ロシアの個人情報保護法を弁護士が解説
現代のグローバルビジネスにおいて各国のデータ保護法制への対応は企業の存続を揺るがす重大な法的リスクおよび社会的リスクを孕んでいます。とりわけロシア連邦(以下、ロシア)の個人情報保護法は世界的に見ても極めて厳格なデータ保護規制を敷いており、日本企業が現地でビジネスを展開する際、あるいはインターネットを通じてロシア国民にサービスを提供する際に最大のコンプライアンス要件となります。日本企業が最も注意すべき点は、ロシア国民の個人データの収集、記録、保管、更新、変更を行うデータベースをロシア国内に物理的に設置しなければならないというデータローカライゼーション義務です。
この義務は2025年2月の法改正により、国外データベースでの初期収集の明確な禁止へとさらに厳格化されました。加えて外国企業であっても適用される域外適用ルールや生体認証データなどの特別カテゴリーに関する厳格な同意要件、そして監督当局への事前通知を義務付ける越境移転ルールなど、日本の個人情報保護法とは大きく異なる要件が多数存在します。違反時には高額な罰金やロシア国内からのウェブサイトへのアクセス遮断という致命的な制裁が科されるため、現地の法務リスクを正確に把握し適切なデータガバナンス体制を構築することが不可欠です。
本記事では、ロシアの個人情報保護法(連邦法第152-FZ号)の全体像から同法最大の特徴である「データローカライゼーション義務」や域外適用、同意要件、特別カテゴリーの個人情報の取り扱い、そして2022年および2025年の最新の法改正に至るまで、日本の法律との異同を踏まえた実務的対応策を交えて解説します。
本記事全体を通じてお伝えする要点は以下の通りです。
第一に、ロシア法は物理的なサーバーの設置場所を強要する点で日本法と決定的に異なり、国外でのデータ初期処理は原則として違法となります。
第二に、ウェブサイトの言語や決済通貨などからロシア市場を標的としているとみなされた場合、現地に拠点がなくとも法が適用されるため、越境的な電子商取引を行う企業は常にリスクに晒されます。
第三に、同意の取得方法は極めて厳格であり、特に特別カテゴリーのデータには書面による同意が必須とされます。第四に越境移転には監督当局への事前通知が義務付けられており、日本へのデータ移転においても厳格な手続きが求められます。
最後に、これらの規制に違反した場合、実際に多国籍企業がウェブサイトの遮断や天文学的な金額の罰金を科された判例が存在しており、決して形骸化した法律ではないという点です。
この記事の目次
ロシア個人情報保護法の全体像と域外適用
ロシアにおける個人情報の保護は主に2006年7月27日に制定された個人情報に関する連邦法第152-FZ号(以下「152-FZ法」)によって規律されています。この法律は欧州のデータ保護指令の基本理念に類似したアプローチをとっており、データ主体の権利保護とデータ管理者(オペレーター)に対する厳格な技術的および組織的安全管理措置の義務付けを中核としています。近年テクノロジーの劇的な変遷と市場環境の変化に伴い、ロシア政府はデジタル空間における国家主権を強化する方針を打ち出しており、152-FZ法も度重なる改正を経て企業に対する要求水準を飛躍的に高めてきました。
日本企業が留意すべき実務上の変化として、2022年7月に可決され同年9月1日より施行された改正法(連邦法第266-FZ号)による域外適用の明確化が挙げられます。従来の152-FZ法には明示的な域外適用の規定がなく、実務上はロシア国内に向けられたインターネットサービスに対して適用されるという監督当局の解釈に依存していました。しかしこの法改正により、ロシア国外に所在する外国企業であっても、ロシア市民との契約に基づき個人データを処理する場合、あるいはロシア市民の同意に基づいて個人データを処理する場合には、明示的に152-FZ法が適用されることとなりました。
日本の個人情報保護法においても第75条により日本国内にある者に対して物品又は役務を提供するに関連して個人情報を取り扱う国外事業者に域外適用がなされますが、ロシア法における域外適用の判断基準はさらに広範かつ厳格な活動を捉える傾向にあります。例えばウェブサイトがロシア語のドメイン(.ru)で提供されていること、ロシアの通貨であるルーブルでの決済が可能であること、あるいはロシア国内への配送オプションが存在することなどの要素がある場合、ロシア市場を標的としているとみなされ法適用の対象となります。
したがって、ロシアに物理的な拠点を持たない日本企業であっても、インターネット経由でロシアのユーザーデータを取得し処理する事業体はすべて本法のコンプライアンス要件を満たす必要があります。連邦法第152-FZ号の英訳および関連する法改正の原文については、ロシアの法制データベース等に準拠した以下の情報源で確認することができます。
ロシア最大の法的リスクであるデータローカライゼーション義務
ロシアのデータ保護法制において日本企業を含む多国籍企業にとって最大のコンプライアンス上の障壁となるのがデータローカライゼーション義務です。2014年に制定され2015年9月に施行された連邦法第242-FZ号により、152-FZ法第18条第5項が追加されました。この条項により、ロシア国民の個人データの収集、記録、体系化、蓄積、保管、明確化(更新、変更)、および抽出は、ロシア国内に物理的に所在するデータベースを使用して行わなければならないと定められました。
この規制の核心はデータの初期収集および主たる保管がロシア国内のサーバーで行われなければならないという点にあります。日本の法律においては個人データを国内のサーバーに保管しなければならないという物理的なローカライゼーション義務は存在せず、越境移転に関する規制を遵守すれば国外のサーバーやグローバルなクラウドサービスを自由に利用することが可能です。しかしロシア法の下では、ロシアのユーザーがウェブサイト上のフォームに個人情報を入力した場合、そのデータはまずロシア国内のサーバーに記録されなければなりません。
さらに実務上の重大な変更として、2025年2月28日に署名され同年7月1日から施行される改正法(連邦法第23-FZ号)による第18条第5項の厳格化が挙げられます。従来の条文は「オペレーターはロシア連邦の領域内にあるデータベースを使用することを確実にする義務がある」という肯定的な義務の形をとっていましたが、2025年の新法では「インターネットを介した収集を含め、ロシア国民の個人データの記録、体系化、蓄積、保管、明確化(更新、変更)、および抽出を、ロシア連邦の領域外にあるデータベースを使用して行うことは許可されない」という明示的な禁止規定へと書き換えられました。
この条文の変遷からロシア政府がデータの国外流出や外国サーバーでの初期処理に対する監視の目を極めて厳格化しているということが言えるでしょう。例外として国際条約に基づく処理や司法手続きなど一定の条件(152-FZ法第6条第1項の特定の号)に該当する場合はローカライゼーション義務が免除されますが、一般的な民間企業による商業目的のデータ処理においてこれらの例外が適用されることはほとんどありません。
したがって、ロシア向けのビジネスを展開する日本企業は現地のデータセンターを利用するか、ロシア国内にサーバーをホスティングする現地のベンダーと契約を締結するなどの技術的かつ物理的なインフラ整備を強いられることになります。2025年施行の連邦法第23-FZ号によるデータローカライゼーション要件の変更に関する公式な記録は以下の情報源で確認することができます。
ロシアにおける同意の要件と特別カテゴリーの個人情報の取り扱い
ロシアの個人情報保護法は個人データを処理するための適法な根拠に関して非常に厳格な要件を定めています。日本の法律においては利用目的を特定し公表等をすれば必ずしも事前の同意を得ずとも個人情報を取得し処理することが可能なケースが多く存在しますが、ロシア法においては原則としてデータ主体からの自発的、特定の、情報に基づいた明示的な事前同意が求められます。
同意はデータ主体が特定の目的のために自身のデータが処理されることを明確に理解した上で与えられなければならず、データ主体の沈黙や不作為(あらかじめチェックが入ったボックスなど)は有効な同意とはみなされません。さらにデータ主体はいつでも同意を撤回する権利を有しており、撤回要求を受けたオペレーターは遅滞なくデータ処理を停止しデータを破棄する義務を負います。2022年の改正以降はこの対応期限が原則として10営業日以内と厳格に定められています。
152-FZ法においては個人のプライバシーに重大な影響を及ぼす可能性のある特定のデータに対してより高い保護水準を要求しています。152-FZ法第10条は特別カテゴリーの個人情報として、人種、国籍、政治的意見、宗教的または哲学的信条、健康状態、および性生活に関する情報を規定しています。また第11条では生体認証個人データについて、個人の生理学的および生物学的特徴を特徴づけオペレーターが個人の身元を確立するために使用する情報と定義しています。
これらのデータを処理する場合、日本の法律における要配慮個人情報に対する規制と同様に原則としてデータ主体からの事前同意が必要です。しかしロシア法における最大の違いは、特別カテゴリーや生体認証データを処理する際の同意が電子的署名を含む書面によるものでなければならないという厳格な形式要件が存在する点です。同意書にはデータ主体の氏名、パスポート等の身分証明書の情報、処理の目的、処理されるデータの正確なリスト、および同意の有効期間など法律で定められた具体的な項目を網羅的に記載する必要があり、この要件を満たさない同意は無効と判断されるリスクがあります。
さらに2021年の法改正により公衆に利用可能とされた個人データという新しいカテゴリーが導入されました。これはSNSなどでユーザー自身が不特定多数に向けて公開したデータであっても、オペレーターがそれを収集し再配布する場合には一般的なプライバシーポリシーへの同意とは別個に明確で特化した同意を取得しなければならないという規制です。これによりインターネット上の公開情報をスクレイピングしてビジネスに利用する手法はロシアにおいては極めて高い法的リスクを伴うことになります。
法改正によるロシアにおける個人情報の越境移転と事前通知義務
グローバルなビジネス展開において国境を越えたデータのやり取りは不可避ですが、ロシアにおける越境移転規制は2022年の法改正によって劇的な変遷を遂げました。152-FZ法第12条は個人情報の越境移転について規定しており、2023年3月1日より施行された新制度ではロシア国外へ個人データを移転するオペレーターに対し事前に監督当局であるロシア連邦通信・情報技術・マスコミ分野監督庁(Roskomnadzor)へ越境移転の意図に関する通知を行うことが義務付けられました。
日本の個人情報保護法においては本人の同意を得るか、日本と同等の水準にあると認められる国への移転、あるいは適切な保護体制を整備した事業者への移転であれば越境移転が認められますが、事前に行政機関へ個別の通知を行う義務はありません。対してロシア法では移転を実施する前に必ず当局への届け出と移転先に対する厳密な影響評価を実施しなければならない点で実務上の負担が大きく異なります。Roskomnadzorへの通知には移転先の国名、移転の法的根拠と目的、データのカテゴリー、移転先機関のデータ保護措置に関する情報などを詳細に記載する必要があります。法律は移転先の国を個人データの適切な保護を提供する国と適切な保護を提供しない国の二つに分類し、それぞれで手続きの要件を変えています。
欧州評議会の個人情報自動処理に関する条約の締約国およびRoskomnadzorが独自に十分な保護水準を満たすと認定した国は適切な保護を提供する国に該当します。このカテゴリーの国へ移転する場合、オペレーターはRoskomnadzorへ事前通知を提出すれば、当局からの承認を待たずに直ちに越境移転を開始することができます。ただし、Roskomnadzorは通知受領後10営業日以内に道徳や国民の権利と正当な利益の保護を理由として移転を制限または禁止する権限を有しています。一方で適切な保護を提供しない国へ移転する場合は通知を提出した上で、Roskomnadzorからの明確な承認が得られるまで、あるいは審査期間が経過するまでデータの移転を開始することが禁止されます。
日本は条約の締約国ではありませんが、Roskomnadzorが2022年8月5日に発行した命令第128号においてデータ主体の権利の適切な保護を提供する外国のリストに日本が含まれています。したがって日本企業がロシア国内から日本本土のサーバーへ個人データを移転する場合、日本は適切な保護を提供する国として扱われます。このため、日本の親会社や法務部門へのデータ移転を行う際は、Roskomnadzorへの事前通知を行えば理論上は移転の開始自体を保留する必要はありません。しかしながら当局が事後的に移転を禁止した場合には直ちに移転を中止し、移転先の日本企業は既に受信したデータを破棄しなければならないという重いリスクを負っていることに留意する必要があります。
違反に対するロシアの厳格な罰則とウェブサイト遮断の判例
ロシアにおけるデータ保護規制とりわけデータローカライゼーション義務の違反は企業の事業継続を根底から揺るがす深刻なペナルティをもたらします。監督当局であるRoskomnadzor(連邦通信・情報技術・マスコミ分野監督庁)は、コンプライアンス要件を満たさない企業に対して高額な行政罰を科す権限と、ロシア国内からの対象ウェブサイトへのアクセスを強制的に遮断する権限を有しています。
ロシア行政違反法第13.11条には個人情報保護法違反に関する罰金が規定されています。データローカライゼーション義務に違反した場合の罰金は他の一般的なデータ保護違反と比較して桁違いに高く設定されています。
| 違反の種類 | 対象者 | 罰金額(ルーブル) |
| データローカライゼーション義務違反(初回) | 法人 | 1,000,000 ~,000,000 |
| データローカライゼーション義務違反(初回) | 責任者(役員等) | 100,000 ~,000 |
| データローカライゼーション義務違反(再犯) | 法人 | 6,000,000 ~,000,000 |
| データローカライゼーション義務違反(再犯) | 責任者(役員等) | 500,000 ~,000 |
この表に示される通り法人が再犯と認定された場合の罰金は最大で1,800万ルーブルに達します。さらに個人データの大規模な漏洩事故を引き起こした場合には企業の年間総収益の1%から3%に相当する莫大な売上高ベースの罰金が科される可能性もあり法務リスクは極めて高いと言わざるを得ません。罰金以上にビジネス上の致命傷となるのが、Roskomnadzorによるウェブサイトのアクセス遮断措置です。違反企業は個人データ侵害者の登録簿に掲載されロシアのインターネットサービスプロバイダを通じて強制的に接続が遮断されます。
この遮断措置の強力さを示す象徴的な判例が、ビジネス特化型SNSであるLinkedInに対するアクセス遮断事件です。2016年8月4日、モスクワのタガンスキー地区裁判所は、LinkedInがロシア国民の個人データをロシア国内のサーバーに保存していないこと、および未登録ユーザーの個人データを事前の同意なく収集していることを理由に152-FZ法違反を認定し、Roskomnadzorによるアクセス遮断の要求を認める判決を下しました(当事者:Roskomnadzor v. LinkedIn Corporation)。
これに対しLinkedIn側は、ロシア国内に法人拠点を持たないことや活動が国際的なものでありロシアを明確に標的としていないことを主張して控訴しましたが、2016年11月10日にモスクワ市裁判所は第一審判決を支持しLinkedInの控訴を棄却しました。裁判所はLinkedInのウェブサイトにロシア語版が存在しロシア向けの広告が提供されている事実から、同社がロシア市場をターゲットにしており外国企業であってもロシアのデータローカライゼーション法の適用対象になると判断しました。この判決を受け、LinkedInは数百万人のロシア国内ユーザーへのアクセスを失う結果となりました。
また近年では多国籍テクノロジー企業に対する制裁も激化しています。Google LLCは、ロシア国内の法律で禁止されているコンテンツの削除要件やデータローカライゼーション義務への度重なる違反を理由にタガンスキー地区裁判所から幾度も巨額の罰金を科されています。2021年以降、Googleに対しては企業の売上高に基づいた数十億ルーブル規模の制裁金が相次いで言い渡されており、2024年から2026年にかけても違法コンテンツの未削除やVPNサービスのプロモーションを理由に追加の罰金が科されています。こうした一連の判例からロシア当局が外国のプラットフォーム企業に対しても一切の例外を認めず実力行使によって国内法を強制適用させる意図を明確にしているということが言えるでしょう。
この判決や制裁に関する欧州人権裁判所の公式なプレスリリース等は以下の情報源で確認することができます。
まとめ
ロシアの個人情報保護法は独自のデータローカライゼーション義務と強力な法執行体制によって諸外国のデータプライバシー法制の中でも特異な位置を占めています。特に2025年7月に施行される新たな改正法は外国データベースを用いた初期データ収集を明確に禁止するものであり、コンプライアンス要件は過去最高レベルに達しています。また日本企業がロシアに物理的な拠点を持っていなくとも、ウェブサイトの言語や決済手段によってロシア市場を標的としていると判断されれば域外適用の対象となります。
さらに、特別カテゴリーの個人情報に対する書面での同意要件や、連邦通信・情報技術・マスコミ分野監督庁(Roskomnadzor)への越境移転の事前通知義務など、日本の法律とは根本的に異なる厳格な規制が存在します。これらの法律に違反した場合、実際にLinkedInやGoogleなどの多国籍企業に対してウェブサイトのアクセス遮断や売上高ベースの巨額の罰金が科された判例が存在しており、その事業リスクは計り知れません。
日本企業がロシア市場に関与する際は日本法と同列に考えることは極めて危険であり、現地サーバーの調達や厳格な同意書の取得、監督当局への的確な越境移転通知など、ロシア独自の法制度に完全に対応したガバナンスモデルの構築が急務となります。モノリス法律事務所ではこうした複雑かつ劇的な変遷を遂げる国際的なデータガバナンスや海外の厳格なプライバシー規制に対する実務的対応策について、各企業のビジネスモデルに即した高度なリーガルサポートを提供し事業の適法な展開をサポートいたします。
カテゴリー: IT・ベンチャーの企業法務
