国別データローカライゼーション法(2026年)
データローカライゼーション法は、一定の個人データを国境内のサーバーに保存することを義務付けるものである。その要件は、ロシアの連邦法242-FZ号のように、市民に関する基幹データベースの国外持ち出しを禁じるハードローカライゼーションから、条件付きの移転を認めるソフトモデルまで幅がある。2026年時点で、60か国を超える国が何らかの形でデータレジデンシー要件を執行している。
データローカライゼーション法は、事業者に対し、特定のデータを、特定の国の領域内に物理的に所在するサーバーに保存し、処理し、またはその複製を維持することを義務付ける。こうした法律は2015年以降急速に増加しており、その背景には、安全保障上の懸念、プライバシー保護の目的、経済開発戦略、そしてデジタル主権をめぐる地政学的な考慮がある。
ローカライゼーション要件の範囲と厳格さは、国によって大きく異なる。自国の居住者に関するすべての個人データを国内にとどめることを義務付ける国もあれば、銀行、医療、通信といった特定の分野にのみローカライゼーションを適用する国もある。複数の国が中間的な立場を取っており、一定の条件のもとで海外への移転を認めつつ、国内での複製の保持を義務付けている。
本ガイドでは、2026年時点でのデータローカライゼーション要件を国別に概観し、ハードローカライゼーションとソフトローカライゼーションの違いを説明したうえで、分野別ルール、EUの立場、経済面の論点、そして実務上のコンプライアンス戦略について解説する。
ハードローカライゼーションとソフトローカライゼーション
ハードローカライゼーションとソフトローカライゼーションの違いを理解することは、コンプライアンス計画にとって極めて重要である。
ハードローカライゼーション
ハードローカライゼーションは、特定のデータが国外に一切出ることを禁止する。データは、国内のサーバー上でのみ収集、保存、処理されなければならない。いかなる保護措置があっても、複製を海外に移転することはできない。ロシアの個人データ法や、中国のデータ保護制度における一部のカテゴリーが、ハードローカライゼーションの例である。
ソフトローカライゼーション
ソフトローカライゼーションは、データの複製を国内のサーバーに保持することを求めるが、通常は政府の承認、本人の同意、契約上の保護措置といった条件のもとで、複製の他国への移転を認める。インドの一部のデータカテゴリーに対する取り扱いや、インドネシアの規制がソフトローカライゼーションの例である。
条件付き移転モデル
国内保存を求めない代わりに、越境移転に条件を課すことで、事実上のローカライゼーションとして機能させている国もある。例えば、移転ごとに政府の承認を必要とすること、輸出前に安全評価を義務付けること、または「十分な」保護水準を有する国への移転に限定することなどである。こうした条件付きモデルは、正式なローカライゼーション要件と同程度の負担を課す場合がある。
国別データローカライゼーション要件
以下の表は、主要な法域におけるデータローカライゼーション要件をまとめたものである。主要国の詳細な分析はこの後に続く。
| 国 | 種類 | 対象範囲 | 主な法律 |
|---|---|---|---|
| 中国 | ハード/条件付き | 個人情報、重要データ、重要情報インフラ(CII)データ | PIPL、DSL、CSL(2026年1月改正) |
| ロシア | ハード | ロシア市民の個人データ | 連邦法242-FZ号、266-FZ号 |
| インド | ソフト/分野別 | 決済データ(ハード)、その他のデータは条件付き | DPDP規則2025、RBI指令 |
| インドネシア | ソフト | 公的電子システムデータ | 政令71/2019号、PDP法(2024年10月) |
| ベトナム | ソフト/条件付き | 個人データ、国家安全保障データ | 政令13/2023号、政令53/2022号 |
| ナイジェリア | ソフト/分野別 | 政府データ、重要インフラデータ | NDPA2023、NITDA法 |
| トルコ | 条件付き | 個人データ | 法律6698号(KVKK) |
| サウジアラビア | 条件付き/分野別 | 個人データ、金融、政府データ | PDPL(2024年9月施行) |
| ブラジル | なし(条件付き) | ローカライゼーションなし。条件付き移転ルール | LGPD |
| 韓国 | 条件付き | 個人情報 | PIPA |
| オーストラリア | なし(条件付き) | ローカライゼーションなし。APP8移転ルール | 1988年Privacy Act |
| カザフスタン | ソフト | 市民の個人データ | 個人データ法(2024年2月改正) |
| UAE | 分野別 | 金融、医療、政府データ | 各分野の規制当局 |
| タイ | 条件付き | 個人データ | PDPA |
| 南アフリカ | 条件付き | 個人情報 | POPIA |
| 日本 | 条件付き | 個人情報 | 個人情報保護法(2022年改正) |
中国:最も複雑なローカライゼーション制度
中国は、相互に関連する三つの法律、すなわち2017年のサイバーセキュリティ法(CSL)、2021年のデータセキュリティ法(DSL)、2021年の個人情報保護法(PIPL)を基盤とした、世界で最も包括的なデータローカライゼーション制度の一つを運用している。
重要情報インフラ(CII)運営者
CII運営者は、中国国内で収集・生成された個人情報および「重要データ」を国内に保存しなければならない。海外への移転には、国家インターネット情報弁公室(CAC)による政府の安全評価が必要となる。CII分野には、エネルギー、運輸、金融、公共サービス、電子政務、国防、技術が含まれる。
2026年1月1日施行のCSL改正
全国人民代表大会常務委員会は2025年10月28日にCSLの改正を可決し、2026年1月1日に施行された。2026年1月の改正は、第39条に基づくCII運営者の中核的なデータローカライゼーション要件そのものは変更していないが、執行の様相を大きく変えるものとなっている。
- 特に重大な結果を招いたCII運営者の違反に対する最高制裁金は、1,000万人民元(約140万米ドル)に達するようになった。
- CSLの域外適用範囲は、国内の重要インフラを害する活動にとどまらず、中国のサイバーセキュリティを広く害する活動に従事する海外の組織または個人にまで拡大された。
- AIガバナンスに関する義務が、CSLの枠組みに明示的に組み込まれた。これには、AIイノベーションへの国家的支援、学習データ資源の整備、AIリスク評価および安全ガバナンスが含まれる。
- 未認証のネットワークセキュリティ機器の販売に対する制裁金は、購入額の最大10倍に達する。
個人情報取扱者と2024年3月の閾値変更
PIPLのもとで、中国居住者の個人情報を処理し、そのデータを海外に移転する必要がある事業者は、次の四つの条件のいずれかを満たさなければならない。CACによる安全評価に合格すること、認定機関による認証を取得すること、CACに届け出た標準契約を締結すること、またはその他の適用可能な条件を遵守することである。
2024年3月22日、CACは越境データ流通の規範化・促進に関する規定を公布し、即日施行した。この規定により、従来のルールは大幅に緩和された。
- CACによる安全評価が必要となるのは、暦年で100万人を超える個人の個人データ、または暦年で1万人を超える個人の機微個人情報を移転する場合に限られるようになった。
- 暦年で10万人未満の個人の個人データの移転については、標準契約の届出義務が免除される。
- CACが承認した安全評価の有効期間は、従来の2年から3年に延長された。
- 指定された自由貿易試験区(FTZ)内の事業者は、ネガティブリスト方式に従うことができる。FTZが制限対象データの目録を作成し、その目録に含まれないすべてのデータは自由に移転できる。上海FTZは2024年5月、自動車、バイオ医薬品、投資信託の各分野を対象とする初の一般データ目録を公表した。
重要データ
DSLは、ローカライゼーションおよび輸出制限の対象となる「重要データ」という独立したカテゴリーを導入した。各分野の規制当局が、それぞれの領域における重要データの定義を策定する役割を担っている。自動車、金融サービス、医療の各分野では、重要データ目録の草案または確定版が公表されている。
実務への影響
中国の制度は、多国籍企業にとって最も負担の重いローカライゼーション制度である。中国で事業を行う事業者は通常、国内専用のデータセンターを設け、Alibaba Cloud、Tencent Cloud、Huawei Cloudといった中国のクラウドプロバイダーに国内処理を委ねるなど、完全に別立てのデータインフラを維持している。
ロシア:厳格な個人データローカライゼーション
ロシアのデータローカライゼーション法である連邦法242-FZ号(個人データ法152-FZ号の改正)は、2015年9月1日に施行された。同法は、ロシア市民の個人データの収集、記録、体系化、蓄積、保存、更新、変更、または検索に使用されるすべてのデータベースを、ロシア連邦国内のサーバーに置くことを義務付けている。
対象範囲
同法は、ロシア市民から個人データを収集するあらゆる事業者(ロシア企業か外国企業かを問わない)に広く適用される。これには、オンラインサービス、Eコマースプラットフォーム、ソーシャルメディア企業、そしてロシア居住者から従業員データまたは顧客データを収集するあらゆる事業が含まれる。
越境移転とFZ-266号による変更(2023年)
連邦法266-FZ号(2022年7月14日署名、主要規定は2022年9月1日施行、越境移転関連規定は2023年3月1日施行)は、越境移転の枠組みを大幅に更新した。2023年3月以降、事業者は個人データを海外に移転する前に、その意図をRoskomnadzorに通知しなければならない。十分な保護水準を有すると認められていない国への移転には、Roskomnadzorの明示的な許可が必要となった。
従来の二層制(欧州評議会条約108号の締約国とそれ以外)は、どの国が十分性を推定されるかを判断するうえで、引き続き意味を持つ。ただし、移転前の通知義務は、移転先を問わず適用されるようになった。
主要なデータ保存要件に変更はない。ロシア市民の個人データに関する基幹データベースは、引き続きロシア領域内のサーバーに置かれなければならない。複製を海外に提供することは可能であるが、元となるデータベースはロシア国内にとどめなければならない。
執行
ロシアのデータ保護当局であるRoskomnadzorは、ブロッキング措置を通じてローカライゼーション要件を執行してきた。LinkedInは2016年、ローカライゼーション要件を遵守しなかったとしてロシア国内でブロックされた。ローカライゼーション違反に対する制裁金は、現在6万ルーブルから1,800万ルーブルの範囲であり、違反を繰り返した場合はウェブサイトのブロッキングにつながる可能性がある。
インド:進化するローカライゼーションの状況
インドのデータローカライゼーション制度は、大きく変化してきた。2023年デジタル個人データ保護法(DPDP法)は、厳格なローカライゼーション規定を含んでいた以前の個人データ保護法案に取って代わった。
現行制度:DPDP規則(2025年11月)
DPDP規則は2025年11月に確定・公布された。規則15は、「データ受託者は、中央政府が制限する場合を除き、個人データをインド国外に移転することができる」と定めている。これはネガティブリスト方式であり、政府が通知により特定の国を制限しない限り、すべての移転先へのデータ移転が認められる。越境移転に関する完全な遵守は、2027年5月(2025年11月13日から18か月後)までに求められる。2026年5月時点で、政府は制限対象国のネガティブリストを公表していない。
このアプローチは、厳格なホワイトリスト方式を提案していた以前の法案よりも、著しく許容度が高い。インドは、GDPRで採用されている十分性認定に基づくアプローチではなく、ネガティブリスト方式を選択した。
決済データのローカライゼーション
インド準備銀行(RBI)は2018年4月、すべての決済システムデータをインド国内のみに保存することを義務付ける指令を発出した。これは、カードネットワーク、決済代行業者、ウォレット提供者を含む決済システム運営者が処理する国内取引データに適用される。この要件は、世界で最も厳格な分野別ローカライゼーション義務の一つであり、Visa、Mastercard、PayPalなどの企業にインド国内のデータセンター設置を余儀なくさせた。この義務は完全に効力を保っており、DPDP制度の影響を受けない。
分野別要件
インド証券取引委員会(SEBI)は2024年、クラウドサービスプロバイダーを利用する規制対象事業者に対し、規制・コンプライアンス関連データをインド国内にとどめることを求めるデータレジデンシー要件を課す通達を発出した。インド保険規制開発庁(IRDAI)は、保険データの処理・保存場所について条件を課している。これらの分野別ルールは、DPDP制度とは独立して機能している。
ベトナム:サイバーセキュリティとデータ保存
ベトナムのサイバーセキュリティ法(法律24/2018号、2019年1月1日施行)と、二つの施行政令は、重層的なローカライゼーション要件を課している。この二つの政令を区別することが重要である。
- 政令53/2022/ND-CP号(2022年10月1日施行)は、サイバーセキュリティ法を施行し、データローカライゼーションを規律する。
- 政令13/2023/ND-CP号(2023年7月1日施行)は、ベトナムの個人データ保護規則であり、越境移転の手続を規律する。
政令53/2022号のもとで、通信、インターネット、データ保存、Eコマース、オンライン決済、配車アプリ、ソーシャルネットワーク、メッセージング、ゲームおよび関連サービスを提供する国内企業は、三つのカテゴリーのデータをベトナム国内に保存しなければならない。すなわち、サービス利用者の個人情報、利用者生成データ(アカウント名、セッションのタイムスタンプ、クレジットカード情報、メールアドレス、IPアドレス、登録電話番号)、および関係性データ(利用者がつながっている友人・グループ)である。
外国企業にとって、このローカライゼーション要件は自動的なものではなく、トリガー方式である。公安省からの書面による要請により要件が発動するのは、当該外国企業のサービスがベトナムのサイバーセキュリティ法違反に利用された場合、または当該企業が以前の要請に従わなかった場合である。要件が発動した場合、企業は12か月以内に遵守しなければならず、要請を受領してから少なくとも24か月間、指定されたデータを保持しなければならない。
政令13/2023号は、ベトナム市民の個人データを海外に移転する事業者に対し、移転影響評価を作成し、公安省に届け出ることを求めている。移転を進める前に、登録証明書が必要となる。
インドネシア:電子システムに関する政府規則
インドネシアの電子システム・取引に関する2019年政令第71号(GR71/2019号)は、公的電子システム運営者に対し、データセンターおよび災害復旧センターをインドネシア領域内に設置することを求めている。民間の電子システム運営者は、一定の条件のもとでインドネシア国外にデータを置くことができる。すなわち、国外拠点が政府による監督の実効性を損なわないこと、そして監督および法執行のためのアクセスが提供されることである。
インドネシアの個人データ保護法(2022年法律第27号)は、2022年10月に制定された。遵守のための2年間の移行期間は2024年10月17日に終了し、事業者は現在、完全な遵守が求められている。PDP法は、データ管理者がインドネシア国内または国外のいずれかに個人データを保存することを認めており、これは民間運営者に関するGR71/2019号のアプローチと整合している。
金融サービス分野には、インドネシア金融サービス庁(OJK)による追加要件が課されており、銀行および金融機関は主要なデータセンターを国内に維持することが求められている。
ナイジェリア:NDPRから制定法への格上げ
ナイジェリアのデータローカライゼーション要件は、現在、2023年6月に成立した2023年ナイジェリアデータ保護法(NDPA)に基づいている。NDPAは2019年のナイジェリアデータ保護規則(NDPR)に取って代わり、データ保護制度を制定法の水準に引き上げた。同法により、従来のNITDAのもとでの規制体制に代わる法定機関として、ナイジェリアデータ保護委員会(NDPC)が設置された。
NDPAは包括的なローカライゼーションを課してはいないが、ナイジェリア国外に移転される個人データについて、移転先国において十分な保護を受けること、または適切な保護措置が実施されることを求めている。米国はNDPCにより十分な保護を提供する国として認められておらず、これは米国向けの移転に標準契約条項その他の保護措置が必要であることを意味する。
2024年の政府命令により、銀行認証番号(BVN)データベース、国民識別番号(NIN)データベース、ナイジェリア銀行間決済システム(NIBSS)を含む複数の重要システムが、重要国家情報インフラ(CNII)として指定された。CNII指定を受けたシステムは、より厳格なデータ取扱い・ローカライゼーションルールの対象となる。
政府データについては、追加の要件が課される。NITDAのガイドラインは、政府データおよび政府機関に代わって処理されるデータをナイジェリア国内でホストすることを求めている。ナイジェリア中央銀行(CBN)は、金融機関に対し、国内でのデータ保存の維持と、一定の越境移転についての承認取得を求めている。
サウジアラビア:全面施行されたPDPL
サウジアラビアの個人データ保護法(PDPL)は2023年9月14日に発効し、遵守のための1年間の猶予期間が設けられた。全面執行は2024年9月14日に開始された。PDPLは域外適用され、サウジアラビア国外の事業者によるサウジアラビア居住者の個人データ処理も対象となる。
2024年8月、サウジデータ・AI機構(SDAIA)は、サウジアラビア王国外への個人データ移転に関する規則を公布した。この移転規則は、移転先国が十分な保護を提供している場合、管理者が適切な保護措置を実施している場合、または所定の法的根拠(同意、契約上の必要性、重大な利益、公共の利益)のいずれかが該当する場合に、越境移転を認めている。
SAMA(サウジアラビア通貨庁)の規則は、金融機関に対し、主要なデータ保存をサウジアラビア国内で行うことを求めている。国家医療情報センターは、医療データについて追加の要件を課している。国家サイバーセキュリティ庁(NCA)は、政府データをサウジアラビア国内にとどめることを求めている。
トルコ:条件付き移転の枠組み
トルコの個人データ保護法第6698号(KVKK)は、厳格なデータローカライゼーションを課してはいないが、事実上のローカライゼーションとして機能し得る条件付き移転の枠組みを設けている。
越境移転には、データ主体からの明示的な同意、または個人データ保護委員会(KVKK Board)による十分性認定のいずれかが必要である。2024年3月、KVKK Boardはそのアプローチを更新し、拘束的企業準則、標準契約条項、その他の承認された保護措置に基づく移転を認めることとし、トルコの枠組みをGDPRモデルに近づけた。この更新は、GDPRの十分性認定を得たいというトルコの長年の意向とも整合する。詳細については、トルコのデータプライバシー法ガイドを参照されたい。
カザフスタン:2024年改正によるローカライゼーション
カザフスタンの個人データおよびその保護に関する法律(法律第94-V号)は、カザフスタン市民の個人データを取り扱う事業者に対し、そのデータをカザフスタン国内に所在するサーバーに保存することを求めている。2024年2月11日施行(2023年12月11日可決)の改正により、新たな義務が導入された。事業者は個人データの安全性侵害が発生した場合、デジタル開発省に通知しなければならず、この通知義務は2024年7月1日に施行された。身分証明書の物理的な複製の収集・処理は、現在禁止されている。同省は、予告なしのコンプライアンス検査を実施する権限を得た。
分野別ローカライゼーションのパターン
ローカライゼーションがすべてのデータではなく特定の分野に適用される法域を見ると、いくつかの共通パターンが浮かび上がる。
金融データ
世界各国の銀行規制当局は、しばしば最も厳格なローカライゼーションルールを課している。インドRBIの決済データ義務、インドネシアOJKの要件、ナイジェリアCBNの指令、中国の銀行データルール、サウジアラビアSAMAの規則は、いずれも金融データについて一定程度の国内保存を求めている。金融データのローカライゼーションは、世界的に見て最も一貫性のある分野パターンである。
医療データ
医療データのローカライゼーションは、オーストラリア(My Health Records Act)、トルコ(医療データ規則)、サウジアラビア(国家医療情報センターの要件)、そしてGDPRの基準を超えて医療データに追加の制限を課す複数のEU加盟国において見られる。
通信
通信のメタデータおよび加入者データは、ロシア、中国、ベトナム、インド(通信免許の条件を通じて)、そしてアフリカの複数の国において、ローカライゼーション要件の対象となっている。こうしたルールは、多くの場合、安全保障および法執行によるアクセスへの懸念に由来する。
政府・公共部門データ
ほぼすべての国が、政府データの国内保存を求めている。これには、公的電子システムに関するインドネシアのGR71/2019号、ナイジェリアのNITDAガイドライン、インドの政府クラウド方針、サウジアラビアのNCA要件が含まれる。
AI学習データ
2026年1月の改正によりCSLの枠組みに組み込まれた中国のAIガバナンス規制には、CII運営者が処理するAI学習データに関するローカライゼーション要素が含まれている。CII分野において中国の利用者から収集したデータでAIモデルを学習させる事業者は、その学習データが標準のローカライゼーションおよび安全評価要件の対象であり続けることを確保しなければならない。
EUとデータ主権
GDPRは、EUまたはEEA域内でのデータローカライゼーションを求めていない。その代わりに、十分な保護水準を有する国への越境移転や、標準契約条項(SCC)、拘束的企業準則、十分性認定といった承認された移転の仕組みを通じた移転を認めている。GDPRの枠組みは、保存の義務ではなく、移転の条件を中心に構築されている。
とはいえ、EUがデータ主権をめぐる圧力と無縁というわけではない。
EUサイバーセキュリティ法のもとでENISAが策定を進めるクラウドサービスに関する欧州サイバーセキュリティ認証制度(EUCS)は、主権要件をめぐる長期にわたる議論の対象となってきた。初期のEUCS草案には、最高位の認証階層(High+)について、EU域内への本社所在、EUの司法管轄権のもとにあること、第三国政府へのデータ開示義務がないことといった、明示的な主権要件が含まれていた。これらの要件は、事実上、米国の主要クラウドプロバイダーが最高位の認証を取得することを排除するものであった。2024年9月、EU理事会はENISAおよび欧州委員会に対し、EUCSの策定プロセスを加速し、主権基準をどのように組み込むかを明確化するよう求めた。欧州サイバーセキュリティ認証グループ(ECCG)による採択は2025年を目標としていたが、主権をめぐる論点は依然として係争中であった。
複数のEU加盟国は、GDPRの基準を超える分野別ローカライゼーション要件を課している。ドイツ、フランス、オランダは、医療データについて追加の要件を課している。複数の加盟国が、政府関連データを国内にとどめることを求めている。こうした加盟国レベルのルールは、GDPRの一般的な移転の枠組みと並存している。
経済・通商政策をめぐる論点
データローカライゼーション要件は、計測可能な経済的コストを伴う。情報技術・イノベーション財団(ITIF)は、66か国において154件の明示的または事実上のデータローカライゼーション規制を特定している。OECD由来のデータ制限度指数を用いたITIFの試算によれば、ある国のデータ制限度指数が1ポイント上昇すると、貿易総産出高は7%減少し、5年間で生産性の伸びは2.9%鈍化し、データに依存する産業の川下価格は1.5%上昇するとされている。
ITIFの分析において最もデータ制限度の高い国は、中国(29件のローカライゼーション措置)、インド(12件)、ロシア(9件)、トルコ(7件)である。
世界貿易機関(WTO)では、電子商取引に関する共同声明イニシアチブのもとでのデジタル貿易に関する議論において、越境データ流通が取り上げられてきた。複数のWTO加盟国が、データ流通の自由化に関する拘束力のあるコミットメントを提案しているが、データローカライゼーションに関する拘束力のある多国間協定は、いまだ締結されていない。
ローカライゼーションを支持する立場は、それが正当な利益に資すると主張する。安全保障(外国情報機関による市民データへのアクセスの防止)、法執行によるアクセス(当該法域内での捜査のためにデータが利用可能であることの確保)、経済開発(国内クラウド産業の育成とデータ処理関連雇用の国内維持)、そしてプライバシー保護(市民データを自国法のもとに置くこと)である。これに対して批判的な立場は、ローカライゼーションが世界的なインターネットを分断し、国境を越えて事業を行う企業のコンプライアンスコストを増大させ、国内クラウドインフラを欠く発展途上国を不利にし、それに見合う安全保障上の利益を伴わないままインフラを重複させ、大きな経済的コストを生じさせると主張する。
こうした利益の間のバランスは、いまだ解決されていない。インド(特にDPDP法)のように、以前の草案よりも許容度の高い基本制度へと移行した国もあるが、世界的な傾向としては、ローカライゼーションが縮小するのではなく、拡大する方向に向かっている。
最近の動向(2024年から2026年)
本ページの前回の見直し(2026年3月)以降、いくつかの重要な動向が見られた。
中国。 CSL改正は2026年1月1日に施行され、最高制裁金は1,000万人民元に引き上げられ、域外適用範囲が拡大され、AIガバナンスが統合された。2024年3月のCAC越境移転規定は、移転の閾値を緩和し、FTZネガティブリストを導入したもので、これまでで最も大きな中国の越境ルールの緩和となった。
インド。 DPDP規則は2025年11月に確定・公布された。規則15は、ネガティブリスト方式の越境移転モデルを定めている。完全な遵守は2027年5月までに求められる。制限対象国のネガティブリストは、いまだ公表されていない。
サウジアラビア。 PDPLの猶予期間は2024年9月14日に終了した。SDAIAは2024年8月、越境移転規則を公布した。サウジアラビアのデータ保護制度は、現在完全に運用・執行可能な状態にある。
ナイジェリア。 2023年6月に成立したNDPAは、NDPRに代わりデータ保護の制定法上の根拠となった。2024年のBVN、NIN、NIBSSに対するCNII指定は、新たな重要インフラのローカライゼーション義務を追加した。
インドネシア。 PDP法の2年間の移行期間は2024年10月17日に終了した。すべての事業者は、その時点までに完全な遵守を達成することが求められた。
ロシア。 FZ-266号による越境移転通知義務(2023年3月施行)は、あらゆる越境個人データ移転について、Roskomnadzorへの移転前通知という義務的な手続を追加した。
カザフスタン。 2024年2月の改正は、侵害通知義務(2024年7月施行)を導入し、身分証明書の物理的な収集を禁止した。
多国籍事業者のためのコンプライアンス戦略
異なるローカライゼーション要件を持つ複数の法域で事業を展開する事業者は、いくつかの戦略を採用することができる。
地域別データセンターアーキテクチャ
主要な法域にデータセンターを設置する(またはクラウドプロバイダーと契約する)ことで、国内保存の遵守を確保できる。AWS、Microsoft Azure、Google Cloudといった主要なクラウドプロバイダーは、地域別のデータレジデンシーオプションを提供している。事業者は、特定の国からのデータが指定された地域内にとどまるよう、データレジデンシーポリシーを設定することができる。主要プロバイダーはまた、Google Sovereign Cloud、Microsoft EU Data Boundaryといった主権クラウド製品も導入しており、これらを用いれば、事業者は特定のデータが定められた地理的領域を離れないことを契約上約束することができ、専用インフラへの設備投資を伴わずにソフトローカライゼーション要件を満たすことができる。
データの分離と分類
法域とカテゴリーごとにデータにタグを付けるデータ分類の枠組みを導入することで、事業者はローカライゼーションルールを選択的に適用することができる。ある国からのデータのすべてがローカライゼーションを必要とするわけではなく、多くの場合、特定のカテゴリー(金融、医療、政府)のみが国内保存要件の対象となる。
ハイブリッドアーキテクチャ
一部の事業者は、コンプライアンス目的で国内に「即応可能な」ストレージを維持しつつ、データの処理や分析は中央集約的に行っている。このアプローチは、集約的な分析の効率性を維持しながら、ローカライゼーション要件を満たすものである。重要なのは、該当する場合に、国内の複製が「主要な保存先」の要件を満たすことを確保することである。
移転メカニズムの重層化
ソフトローカライゼーションを採用する法域では、事業者は国内保存を維持しつつ、(SCC、十分性認定、同意、契約条項といった)移転の仕組みを用いて、グローバルな事業運営のためにデータの複製を輸出することができる。
規制動向のモニタリング
ローカライゼーション法は頻繁に変更される。事業者は、事業を展開するすべての国における立法・規制の動向を追跡するための体系的なプロセスを必要とする。2024年から2026年にかけては、インド、サウジアラビア、インドネシア、ナイジェリア、カザフスタン、中国において重要な変更が見られた。これらの市場に大きな拠点を持つ事業者にとって、四半期ごとのコンプライアンスレビューは最低限必要な取り組みである。
これは一般的な法律情報であり、法的助言ではない。複数の法域にわたるデータローカライゼーション要件に対応する事業者は、個別の状況についての助言を得るため、関連する法域の資格を有する弁護士に相談すべきである。本ページは、2026年5月時点で入手可能な情報を反映している。
Frequently Asked Questions
データローカライゼーションとは何か。
データローカライゼーションとは、個人データその他のカテゴリーのデータを、特定の国の国境内に物理的に所在するサーバーに保存、処理、または維持することを求める法的要件をいう。こうした法律は、その国の居住者に関するすべてのデータを国内にとどめることを求める場合(ハードローカライゼーション)、国内での複製の保持を求めつつ海外への移転を認める場合(ソフトローカライゼーション)、または事実上のローカライゼーションとして機能する越境移転の条件を課す場合がある。
最も厳格なデータローカライゼーション法を有する国はどこか。
2026年時点で、中国、ロシア、ベトナムが最も包括的なローカライゼーション制度を維持している。中国は、CII運営者に対し、個人情報および重要データを国内に保存することを求めており、越境移転には政府の安全評価が必要となる。2026年1月1日施行のCSL改正は、最高制裁金を1,000万人民元に引き上げ、同法の域外適用範囲を拡大した。ロシアは、ロシア市民の個人データに関するすべての基幹データベースをロシア国内のサーバーに保存することを求めており、2023年3月以降、事業者は越境移転の前にRoskomnadzorへの通知も行わなければならない。ベトナムは国内サービス提供者による国内保存を求めるとともに、外国企業に対してトリガー方式のローカライゼーション義務を課している。
GDPRはEU域内でのデータローカライゼーションを求めているか。
[GDPR](/world-laws/world-data-privacy-laws/eu-data-privacy-laws/what-is-gdpr)は、EUまたはEEA域内でのデータローカライゼーションを求めていない。その代わりに、十分な保護水準を有する国への越境移転や、[標準契約条項(SCC)](/world-laws/world-data-privacy-laws/standard-contractual-clauses)、拘束的企業準則、[十分性認定](/world-laws/world-data-privacy-laws/eu-adequacy-decisions)といった承認された移転の仕組みを通じた移転を認めている。ただし、EUCSクラウド認証をめぐる議論や、医療・政府データについてGDPRの基準を超える一部のEU加盟国の分野別ルールは、この範囲を超えるものである。
ハードローカライゼーションとソフトローカライゼーションの違いは何か。
ハードローカライゼーションは、特定のデータが国外に一切出ることを禁止する。データは国内のサーバー上でのみ保存・処理されなければならず、複製を海外に移転することはできない。ソフトローカライゼーションは、データの複製を国内のサーバーに保持することを求めるが、通常は政府の承認、本人の同意、契約上の保護措置といった条件のもとで、複製の他国への移転を認める。ロシアの個人データ法はハードローカライゼーションの例であり、インドネシアの制度はソフトローカライゼーションの例である。
インドはデータローカライゼーションを求めているか。
2025年11月に確定したインドのデジタル個人データ保護規則は、包括的なローカライゼーションを課していない。規則15は、中央政府がネガティブリストを通じて特に制限しない限り、あらゆる国への越境移転を認めている。2026年5月時点で、ネガティブリストは公表されていない。越境移転に関する完全な遵守は2027年5月までに求められる。しかし、インド準備銀行は、すべての決済システムデータをインド国内のみに保存することを求めており、これは世界で最も厳格な分野別ローカライゼーション義務の一つとなっている。
2024年と2026年に、中国のデータローカライゼーションルールにどのような変更があったか。
二つの大きな変更があった。2024年3月、CACは越境データ流通に関する新たな規定を公布し、移転の閾値を大幅に緩和した。安全評価が必要となるのは、年間100万人を超える個人、または年間1万人を超える機微データ対象者に関わる移転に限られるようになった。10万人未満の移転については、標準契約の届出義務が免除される。2026年1月には、サイバーセキュリティ法の改正が施行され、最高制裁金が1,000万人民元に引き上げられ、中国のサイバーセキュリティを害するあらゆる活動を対象とするよう域外適用範囲が拡大され、AIガバナンスがCSLの枠組みに統合された。
多国籍企業は、異なるローカライゼーション要件にどのように対応しているか。
一般的な戦略には、地域別データセンターの設置や、法域ごとのデータレジデンシーオプション(Google Sovereign Cloud、Microsoft EU Data Boundaryといった主権クラウド製品を含む)を提供するクラウドプロバイダーの利用、国とカテゴリーごとにデータにタグを付けるデータ分類の枠組みの導入、コンプライアンス目的の国内保存と分析目的の中央集約処理を組み合わせたハイブリッドアーキテクチャの維持、ソフトローカライゼーション法域向けにSCCなどの移転メカニズムを重層的に用いること、そして事業を展開するすべての国の変更を追跡するための四半期ごとの規制モニタリングプロセスの確立が含まれる。
どの分野が最も多くのデータローカライゼーション要件に直面しているか。
金融サービス・銀行分野は、最も厳格かつ広範な分野別ローカライゼーションルールに直面しており、インド(RBI)、インドネシア(OJK)、ナイジェリア(CBN)、サウジアラビア(SAMA)、中国のいずれの規制当局も、国内でのデータ保存を求めている。医療データは複数の法域でローカライゼーションの対象となっている。通信のメタデータは、安全保障上の理由からしばしばローカライゼーションの対象となる。政府・公共部門データは、データレジデンシー法を有するほぼすべての国でローカライゼーション要件の対象となっている。AI学習データは、特に中国において、新たに現れつつあるローカライゼーションのカテゴリーである。
データローカライゼーション要件は、世界的に増加しているか、それとも減少しているか。
世界的な傾向は、ローカライゼーションの拡大に向かっている。何らかのローカライゼーション義務を有する国の数は、2015年以降大幅に増加している。ITIFの最近の報告によれば、66か国において154件のローカライゼーション措置が特定されている。その背景には、安全保障上の懸念、国内クラウド産業を育成する経済開発戦略、デジタル主権をめぐる地政学的緊張、そして法執行によるアクセス要件がある。インドがDPDP規則で採用したように、以前の草案よりも許容度の高い制度を採用した国もあるが、より広い傾向としては、縮小ではなく拡大に向かっている。
Sources and References
- 中国PIPL(npc.gov.cn).gov
- 中国データセキュリティ法(npc.gov.cn).gov
- 中国サイバーセキュリティ法(2026年1月改正)(npc.gov.cn).gov
- 中国CSL改正(2025年10月可決、2026年1月施行)(gov.cn).gov
- CAC越境データ流通規定(2024年3月)(chinalawtranslate.com)
- CACデータ輸出標準契約(2023年)(cac.gov.cn).gov
- ロシア連邦法242-FZ号(pravo.gov.ru).gov
- 欧州評議会条約108号(coe.int).gov
- インド2023年DPDP法(meity.gov.in).gov
- RBI決済データ保存指令(rbi.org.in).gov
- ベトナム サイバーセキュリティ データローカライゼーション(米国国際貿易庁)(trade.gov).gov
- ナイジェリア2023年データ保護法(cert.gov.ng).gov
- ナイジェリアデータ保護委員会(ndpc.gov.ng).gov
- トルコKVKK法第6698号(mevzuat.gov.tr).gov
- インドネシア政令71/2019号(jdih.kominfo.go.id).gov
- サウジアラビアPDPL施行規則(istitlaa.ncc.gov.sa).gov
- サウジアラビアICT越境移転執行(米国国際貿易庁)(trade.gov).gov
- カザフスタン データローカライゼーション概要(Morgan Lewis、2024年)(morganlewis.com)
- ITIF:越境データ流通の障壁(itif.org)
- ITIF:EUクラウドサービス規制(2025年)(itif.org)
- Hogan Lovells:EUCS主権論争(hoganlovells.com)