越境データ流通の摩擦が生む新貿易障壁：データガバナンスをめぐる三極の対立構造

はじめに

デジタル経済の拡大とともに、国境を越えるデータの流通は、財・サービスの貿易と並ぶ国際経済の主要な争点へと浮上している。クラウドサービス、人工知能モデルの学習データ、決済インフラ、個人情報を含む膨大なデータが瞬時に国境を横断する現代において、各国・地域のデータ規制の差異は、有形物の関税と同等あるいはそれ以上の貿易摩擦を生み出しつつある。データローカライゼーション措置がデータ管理コストを15〜55%押し上げるとの試算も報告されており [1]、規制の非整合は企業の国際展開に対して実質的な障壁として機能する。

このような状況の下、世界のデータガバナンスは大きく三極に分岐している。米国はデータの自由な越境流通を競争力の源泉と位置づけ、規制最小化と市場主導のアプローチを主導する。欧州連合（EU）は一般データ保護規則（GDPR）を軸に「データ主権」と個人の権利保護を優先し、域外企業にも厳格な義務を課す。中国はサイバーセキュリティ法・データセキュリティ法・個人情報保護法の三法体制のもとでデータの国内保管義務を課し、国家による管理を貫徹する。三極それぞれのアプローチは、単なる規制政策の差異を超え、デジタル時代の覇権争いとも連動した地政学的構造を形成している。

主要テーマ1：三極のデータ規制アプローチと貿易への影響

サブ論点1-1：EUのデータ主権戦略とGDPR越境移転規制

EUのデータガバナンスの核心はGDPRに置かれ、2018年の施行以来、域内から域外へのデータ移転には「十分性認定」や「標準契約条項（SCC）」などの安全措置が義務付けられている [2]。2025年9月、EU一般裁判所はEU・米国データプライバシーフレームワーク（DPF）への異議申立を棄却し、同フレームワークが適切な保護水準を確保していることを確認した。しかし、判決は手続き上の障壁が低いことも示唆しており、2026年以降も新たな法的挑戦が予測される [8]。

EUはGDPRに加え、2024年に発効したEUデータ法（Data Act）を2025年9月から本格適用し、クラウド・SaaS・PaaSサービス提供者に対してデータの切り替えや相互運用性に関する新義務を課した。さらに、2025年11月には「デジタル・オムニバス」パッケージが提案され、GDPR・e-Privacy規則・データ法・AI法・サイバーセキュリティ規制の統合・整合化が図られている [2]。一連の立法は、EUが「デジタル規制の輸出大国」として世界標準形成に積極的に関与する姿勢を示すものだが、米国からはEUのデジタル規制が米国テック企業への差別的障壁に相当するとの批判が繰り返されており、貿易摩擦の火種となっている [2]。

一方、米国CLOUD法とGDPRの緊張関係も継続している。CLOUD法は米国当局がEU内に保管されたデータへのアクセスを可能にするが、EUデータ保護機関はGDPRのもとでこうした移転は違法であるとの立場を維持している [8]。この構造的対立は、多くの多国籍企業がデータ保管の地理的分離（データレジデンシー）への投資を強いられる原因となっている。

サブ論点1-2：米国のデータ自由流通推進と通商政策としてのデジタル規制批判

米国はデータの自由な越境流通を、デジタル経済における競争優位を維持するための不可欠な条件と位置づけてきた。歴史的に、米国は自由貿易協定（FTA）のデジタル章を通じてデータローカライゼーション禁止規定やデータ移転の自由化を推進してきたが、多国間の枠組みであるWTOでは同様の前進を果たせていない [1]。

2026年に公表された米国通商代表部（USTR）の年次貿易障壁報告書は、データ主権を名目とした各国の規制を事実上の貿易障壁として名指しし、EUのGDPR適用・中国のデータローカライゼーション要件・インドのデータ保護法などを列挙した [9]。第二次トランプ政権は、外国によるデジタル経済の課税や規制を優先的な通商政策課題として掲げており、2025年1月にはOECD・G20のグローバル課税枠組みからの離脱を通告している [1]。

こうした米国の姿勢は、デジタル貿易のルール形成を「自由主義的ガバナンス」の問題として国際的に提起する一方、米国大手プラットフォーム企業の利益擁護という実利的動機との整合性を常に問われる構造にある。実際、EU側からは、米国が説く「データの自由な流通」とは、米国企業がグローバルにデータを収集・活用することへの規制免除要求に他ならないという見方も根強い。

主要テーマ2：中国のデータローカライゼーション体制とその影響

サブ論点2-1：三法体制の強化と2025〜26年の改正動向

中国のデータガバナンスは、サイバーセキュリティ法（2017年）・データセキュリティ法（2021年）・個人情報保護法（2021年）の三法によって形成されてきた。2025年10月28日、全国人民代表大会常務委員会はサイバーセキュリティ法の改正を承認し、2026年1月1日に施行した [4]。改正の主眼は執行力の強化にあり、一般違反の最高罰金は5倍に引き上げられ、新設された「重大違反」カテゴリーには最大1,000万人民元（約140万米ドル）の罰金が科される [4]。

三法が課すデータローカライゼーション要件の中核は、重要情報インフラ（CII）事業者が国内で収集・生成した個人情報および重要データを中国国内に保管することを義務付けるサイバーセキュリティ法第37条にある [4]。さらに、外資系企業が中国で直接クラウドコンピューティングサービスを提供することは禁止されており、中国企業との合弁・提携が義務付けられている [4]。

2025年10月には、個人情報越境移転に関する「認証」措置が市場監督管理総局と中国サイバースペース管理局（CAC）の連名で公表され、2026年1月から施行された [4]。また、2025年末には複数の重要なサイバー・データセキュリティ規制草案が立て続けに公表されており、当局が規制の網を一段と緻密に織り込もうとしていることを示している [5]。

サブ論点2-2：外資企業への実務的影響とデジタル貿易上の摩擦

中国のデータ規制は、外資系企業に対して複層的なコンプライアンス負担を課している。個人情報を含むデータの越境移転には、規模や性質に応じてCACへの安全評価申告、標準契約の締結、または認証取得のいずれかが要件となる。これらの手続きは煩雑であり、実務上の不透明性が残存していると報告されている [6]。

米国政府は、こうした要件がデータ移転を妨げ、通常の企業活動を阻害するデジタル貿易障壁であると批判している [4]。WTOを通じた紛争解決も有効に機能しておらず、二国間交渉の進展も限定的にとどまっている。さらに、AI規制をめぐる米国・EU・中国の三極対立が示すように、データガバナンスと技術覇権は不可分の関係にあり、中国のデータローカライゼーション体制は経済的合理性と安全保障・主権の論理が交錯する複合的な産物といえる。

米国や欧州の大手テック企業にとって中国市場でのクラウドおよびAIサービス提供は、中国企業との合弁形態を通じるほかなく、技術移転や知的財産の漏洩リスクとの恒常的なトレードオフを強いられる。こうした構造が、グローバルサプライチェーンのデジタル断片化を加速させているとの指摘も相次ぐ [10]。

主要テーマ3：WTO電子商取引交渉の停滞と多国間ルールの空白

サブ論点3-1：WTO枠組みの限界とJoint Statement Initiativeの現状

WTOは1998年に電子商取引に関する作業計画を採択し、デジタル伝送への関税不賦課のモラトリアムを繰り返し延長してきた。しかし、GATSは特定の約束が存在する分野にのみ保護が及ぶ設計のため、越境データ流通の障壁に対しては体系的な保護を提供できていない [1]。

76か国以上が参加するJoint Statement Initiative on E-commerce（JSI）は、WTOの枠内でデジタル貿易ルールを多国間合意として形成しようとする試みだが、中国・インド・南アフリカなど新興国の一部は交渉への参加を拒否しており、ルールの普遍的適用は実現していない [1]。米国が2025年にOECDグローバル課税枠組みから離脱を通告した動きは、デジタル経済をめぐる多国間交渉全体への逆風となっており、国際的なデジタルガバナンス構築の見通しをさらに不透明にしている [1]。

米国・メキシコ・カナダ協定（USMCA）は2026年に共同見直しが予定されており、デジタル通商条項の更新が議論の焦点となる見込みである。UMSCAのデジタル章はデータローカライゼーション禁止、アルゴリズムの強制開示禁止など先進的な規定を備えており、バイラテラルおよびリージョナルな枠組みが多国間の空白を埋める現実を改めて示している [1]。

サブ論点3-2：プラットフォーム規制とデータの非対称性が生む競争上の歪み

越境データ流通の制限は、単に規制コストの問題にとどまらず、デジタル市場における競争の非対称性を生み出している。EUのデジタル市場法（DMA）は米国の大規模プラットフォーム企業をゲートキーパーとして指定し、データへのアクセス共有義務などを課している。EU・DMAの巨大テック規制執行が示すように、EUのプラットフォーム規制は市場競争の観点から正当化されているが、実質的に米国企業の事業モデルを標的とするものと批判する声もある。

一方、欧州のクラウド市場では米国3社（Amazon Web Services、Microsoft Azure、Google Cloud）が合計65%以上のシェアを握っており、欧州のデジタルインフラは構造的に米国依存の状態にある [2]。EUが推進するデータ主権戦略は、こうした市場集中を問題視するものだが、競争的な欧州クラウド産業の育成という目標は、現時点では実現に遠い。

中国では逆に、国内プラットフォーム企業（Alibaba、Tencent、Baidu等）がデータローカライゼーション規制のもとで国内市場における支配的地位を確立し、外資系企業との非対称な競争環境が温存されている。この構造は、データガバナンスの名目の下で事実上の産業政策が実施されているという見方を支持するものである。

主要テーマ4：DFFTと日本の役割

サブ論点4-1：DFFT構想の経緯と制度的進展

「信頼性のある自由なデータ流通（DFFT：Data Free Flow with Trust）」は、2019年に安倍首相（当時）がダボス会議で提唱し、G7・G20において繰り返し支持を表明された概念である [6]。その骨子は、信頼できるデータガバナンスの枠組みのもとで越境データ流通を促進し、デジタル経済の恩恵を最大化するというものである。

2023年、G7デジタル・技術閣僚はDFFTを実体化するための「制度的アレンジメント（IAP）」をOECDの下に設置することに合意し、2023年12月にOECDはDFFTエキスパートコミュニティを正式設立した [6]。このコミュニティは民間・学術セクターの専門家を集め、越境データ流通の障壁を技術的・政策的に解決するための提言を策定する役割を担う。

2025年のEU・日本サミットでは、EU・日本デジタルパートナーシップのもとで双方の適格性認定（adequacy decision）の拡張が議論され、学術・研究・公共部門へのカバレッジ拡大や、EUとのデータスペース相互接続パイロットが合意された [7]。また、日本の「データ利活用に関する戦略的計画」は2026年までに官民データ共有モデルの実証を実施し、個人情報保護法を補完する新立法の検討を進める予定である [6]。

サブ論点4-2：DFFTの課題と現実的な限界

DFFTは理念的には三極の規制アプローチを橋渡しする可能性を持つが、現実的な限界も明確になりつつある。第一に、「信頼」の定義が各国によって異なる。米国は市場ベースのデータ流通を「信頼」の基準とするが、EUは個人の権利保護の実質的担保を要求し、中国はデータへの国家的コントロールを手放さない。これら三極の間で共通の「信頼基準」を確立することは、政治的にも技術的にも容易ではない [10]。

第二に、DFFTがOECDの枠内にとどまっている限り、中国はその構造から実質的に排除される。中国がデータ流通の国際的ルール形成に参画するには、サイバーセキュリティ法に代表される一国主義的なデータ国家管理の哲学そのものを見直すことが前提となるが、現政権のもとでその蓋然性は低い。

第三に、貿易断片化と多極化の時代において、各地域が独自のデータガバナンス体制を構築する動きは加速しており、OECDが主導するDFFTの影響力が及ぶ範囲は先進国クラブに限定されかねない。インドや東南アジア諸国は独自のデータ保護法制の整備を進めており、「デジタル主権」の概念が発展途上国にも広がることで、データ流通の分断は一層複雑化する見通しである [10]。

主要テーマ5：越境データ流通の分断が企業・産業に与える実務的影響

サブ論点5-1：クラウド・AIサービスへの影響

三極の規制乖離は、クラウドサービスおよびAIの開発・運用に直接的な影響を与えている。AI学習モデルは大量のデータを必要とするが、データのローカライゼーション要件が学習データの地理的制約を課すことで、グローバルなAI開発が阻害される可能性がある。生成AIの企業普及が示すように、企業はAIシステムの構築・展開において複数の法域にまたがる規制対応を同時に求められており、コンプライアンスコストの増大が競争力に影響を及ぼしつつある。

大手クラウドプロバイダーは「ソブリン・クラウド」と呼ばれる、各国のデータ主権規制に対応したローカライズドなサービス形態への投資を加速している。AWS、Microsoft、Googleはいずれも欧州・中東・アジアの主要市場においてデータレジデンシーを確保したサービスの提供体制を整備しつつある。こうしたアーキテクチャ上の対応は不可避の選択ではあるが、データのサイロ化を促し、グローバルなデータ活用の効率を低下させるという批判もある。

サブ論点5-2：金融・決済データと規制の実務的摩擦

金融分野では、決済データおよびKYC（顧客確認）データの越境移転に関する規制が特に複雑な問題を引き起こしている。中国はクロスボーダー決済データについて厳格な国内保管要件を課しており、外資系金融機関は現地のデータ処理インフラへの多額の投資を求められる。EU域内では、支払サービス指令（PSD2）と組み合わされたGDPRの適用が、オープンバンキングのデータ共有とプライバシー保護の間でテンションを生んでいる。

一方、米国の規制は金融機関がグローバルに統合されたデータインフラを運用することを相対的に許容しているが、これがEUやアジア当局との摩擦を生み出す一因ともなっている。国際決済銀行（BIS）傘下の機関はクロスボーダー決済インフラの効率化に取り組んでいるが、データガバナンスの国際的不整合はその実現を阻む構造的な障壁として機能している。

注意点・展望

データガバナンスをめぐる三極の分断は、短期的には解消される見通しが乏しい。むしろ、規制の非整合が常態化する「断片化均衡」の状態が当面継続するとの見方が現実的である。

注目すべき動向として、EUのデジタル・オムニバスパッケージの立法化プロセスがある。これは複数のデジタル規制を整合化するものであり、企業の対EU規制対応を一定程度簡素化する可能性がある。同時に、米国による外圧の下でEU規制が実質的に後退するかどうかも注視される。

中国に関しては、2025〜26年のサイバーセキュリティ法改正を含む一連の規制強化が、外資系企業の中国事業リスク評価を一段と厳格化することは確実である。改正法の罰則強化は、コンプライアンス体制が脆弱な中小企業や新興国企業にとって特に大きな参入障壁となりうる。

USMCA見直し（2026年予定）は、デジタル貿易ルールの更新・強化を議論する機会となり得るが、トランプ政権下では保護主義的な要素が強調される可能性もある。また、ASEANが推進するデータガバナンス・ハブの構築は、地域内のデータ流通の円滑化に資する一方、主要三極との接続性をどう設計するかが課題となる。

まとめ

越境データ流通をめぐるガバナンスの分断は、デジタル経済時代における最も重要な通商政策課題の一つとして定着した。米国の「データ自由流通」推進、EUの「データ主権」重視、中国の「データローカライゼーション」貫徹という三極のアプローチは、それぞれの経済的利害・安全保障上の懸念・政治的価値観を反映しており、短期的な収束は見込みにくい。

WTOにおける多国間デジタル貿易ルールの形成は停滞が続き、FTA等のバイラテラル・リージョナルな枠組みが事実上の代替手段となっている。OECDが支援するDFFTは、信頼を基軸とする国際的なデータ流通原則の確立を目指すが、中国の不参加と米国の多国間主義離れが構造的な制約として残る。

企業にとっては、複数法域にまたがるデータコンプライアンスの高度化が経営上の恒常的課題となった。ソブリン・クラウドへの投資、データレジデンシーの確保、地域ごとのAIモデル管理体制の整備は、グローバルに事業を展開する上での不可欠なインフラとなりつつある。三極の規制乖離が固定化されるのか、あるいはどこかで妥協点を見出せるのかは、2020年代後半のデジタル経済の競争地図を左右する決定的な問いである。