プライバシーデータ利活用に係る
法律・倫理面の対策
第3回 世界各国におけるプライバシー関連法規制の最新動向
2023年6月29日
昨近の企業間競争に打ち勝つためには、デジタル変革による新たなビジネスモデルの創出や革新的な製品・サービスの提供が必要であり、そのためには消費者のプライバシーデータの収集・分析が欠かせない。プライバシーデータの利活用にあたっては、個人情報保護法等への準拠が必要だが、昨近では倫理(プライバシーに対して消費者が抱く感情)への配慮も必要である。法には触れていないものの、倫理の軽視によりサービス停止に追い込まれた事例も多々あり、企業による対応は急務となっている。
今回のインサイトでは、企業がプライバシーデータの利活用を円滑に進めるための法律面・倫理面での対策を3回に分けて解説する。第1回では企業が抑えておくべき倫理面での順守事項を解説、第2回では倫理対応における効果と具体的な対策例について解説した。今回は、世界各国におけるプライバシー関連法規制の最新動向について解説する。
世界全体におけるプライバシー関連法規制の潮流
各国におけるプライバシー関連法規制のはじまり
1970年代におけるコンピューター・インターネット技術の発展の裏で、個人情報の大量処理・流通によるプライバシー侵害リスクが懸念されるようになった。その結果、1980年に経済協力開発機構(OECD)が個人情報の取り扱いに係る基本的な保護原則(OECDプライバシー8原則)を採択した。当該8原則は、欧州のGDPR(一般データ保護規則)や日本の個人情報保護法をはじめとした世界各国のプライバシー関連法規制の礎となっている。
No. | タイトル | 内容 |
1 | 収集制限 | 個人情報は適法かつ公正な方法で、必要に応じデータ主体の同意をもとに収集 |
2 | データ品質原則 | 個人情報は利用目的の範囲内でのみ活用、目的に沿い正確・完全・最新に更新 |
3 | 目的明確化 | 収集目的はデータ収集より前に特定。目的に限定した事後的な利用や他の目的での利用は目的と矛盾のない範囲で実施。目的の変更の都度目的を特定 |
4 | 利用制限 | データ主体の同意や法令で求められる場合以外は目的外での利用等は行わない |
5 | 安全管理措置 | 滅失、不正アクセス・破壊・開示等のリスクに対する保護措置 |
6 | 公開原則 | 個人データの利活用等においては公開された一般的な方針に基づく |
7 | 個人参加原則 | データ主体の権利(自己のデータ使用有無を知る権利、異議申し立て権等) |
8 | 説明責任の原則 | 上記1~7の原則への準拠性について説明する義務 |
デジタル変革の推進・プライバシー保護意識の高まりを受けた法規制厳格化
OECD8原則の採択は1980年代であるため、ビッグデータを活用した個人データの大量処理、AIを活用した個人属性の推定、クラウド利用における個人データの域外保存等、新たなデジタルテクノロジーの発展に潜むプライバシーリスクについては考慮されていない。これらのリスクに対応できるよう、特にプライバシー保護意識の高い欧州において、2018年に厳格な法規制であるGDPRが制定された。このGDPRを皮切りに、世界各国の法規制における厳格化・厳罰化が進んでいる。
No. | GDPRの主な特徴 |
1 | 同意や「正当な利益」等の条件を満たした場合以外は個人データを収集不可 |
2 | 一定条件を満たさない限りEEA域外への個人データの移転は原則禁止(越境移転規制) |
3 | 個人データ漏洩等が発生した場合は72時間以内に監督当局へ報告 |
4 | EEA域外への法規制の適用(域外適用) |
5 | データ保護バイデザイン/バイデフォルトの義務化 |
6 | データ処理が個人に高いリスクを生じさせる可能性がある場合はデータ保護影響評価を実施 |
7 | 一定条件を満たす場合(大規模・継続的に個人情報を処理する場合等)はデータ保護責任者の設置 |
8 | EEA域内に代理人を設置 |
9 | データ主体に各種権利を付与(知る権利、忘れられる権利、データポータビリティ権など) |
10 | 違反時の多額の制裁金(最大2,000万ユーロor全世界前年売上高の4%の大きい金額) |
国境を越えた個人データの自由で安全な流通における課題
各国の法規制は原則としてOECD8原則やGDPRに基づいているため大筋の要求事項は共通しているが、具体的なルール・手続きは国ごとに異なる。グローバルビジネスの発展には国境を越えた自由なデータ移転が不可欠だが、国ごとの微妙なルールの相違や、データローカライゼーション(自国産業の保護等を目的としたデータの当該国保存義務やデータ越境移転規制)やガバメントアクセス(民間企業が保有するデータに対する公的機関による強制的な閲覧権限等)を設けた国の存在等、自由で安全なデータ流通の促進には課題も多い。
自由なデータ流通を促進する動き
自由なデータ流通に係る課題(各国における越境移転ルールの手続き差異、データローカライゼーション、ガバメントアクセス等)を解決するべく、日本を中心に自由で安全なデータ移転を促進する動きが出てきている。具体的には、以下表のとおり、APEC加盟国間におけるデータ越境移転を促進するためのCBPR認証制度、G20を通し日本が中心となり提唱しているDFFT等があり、今後の動向が注視されている。
CBPR |
|
DFFT |
|
法対応に係る課題と対応のポイント
課題と対応ポイント
激化する企業間競争に打ち勝つためにはビジネスのグローバル化が必要であり、国境をまたいだデータ流通が不可欠となる。データ流通のためには各国法規制の順守・理解が必要である一方、法律は時間とともに変化するため、表面的な理解のみでは法改正を見越した迅速かつ根本的な対応が困難となる。
よって、各国法規制の字面を追うのではなく、その法律の存在目的(制定背景)ならびに思想(消費者の権利保護を重視しているのか、データの抱え込みを重視しているのか、プライバシー保護を重視しているのか等)を理解することで、法改正時の逐次対応から脱却することが重要である。
各国法規制の成立背景、特徴、最新動向
続いては、Asia Pacific、EMEA、AMERICASの各国の法規制の成立背景・特徴・動向をまとめて紹介する。各国法規制が何を目的として制定されたのか、どの法律を参照して制定されたのか、何を重視するのか、という観点で違いを見ていくと良いだろう。
Asia Pacific
各国においてGDPRベースの法規制導入が進んでいる。中国、インド、ベトナム等の一部の国ではデータローカライゼーションに関する規定がある。
国 | 法律 | 成立背景 | 特徴 | 最新動向 |
中国 | PIPL | 中国では包括的な個人情報保護法がなかったが、GDPRを皮切りとした世界の個人情報保護法制定の潮流をうけ、中国でも「中国個人情報保護法(Personal Information Protection Law of the People's Republic of China (PIPL)」が2021年11月1日に制定された。 |
GDPRに類似するも、他の中国データ3法も含めた考慮が必要。データローカライゼーションに重きを置き、厳罰性も高い。
|
2023年2月、個人データの越境移転に係るSCC(Standard Contractual Clause、標準契約条項)についてのルールを策定 |
台湾 | 個人情報保護法 | 昨近では「DIGI+2025計画」「AI行動計画」を打ち出しデジタル化を推進。2018年12月にAPEC CBPRに参加。1995 年8月に「コンピュータによる個人情報の処理の保護に関する法」が制定。2010 年 5 月に個人情報の処理全般を対象とした「個人情報保護法」が成立。2016 年3月に「センシティブ情報」の扱いの観点で改正。 |
OECD8原則ベースであり、個人のプライバシー保護および比較的自由なデータ流通を重視。
|
2018年のGDPR制定を受け各国がプライバシー法規制を厳格化する中、台湾もGDPR十分性認定の取得を目指し法改正が議論されている。 新型コロナウイルス感染症対策として台湾政府がマスク在庫管理アプリを開発するなど国家レベルのデジタル化が推進されている。 |
香港 | PDPO |
OECDプライバシー保護原則を受け1996年に施行。2012年に越境移転、ダイレクトマーケティングの観点で改正。 Doxing(特定人物の個人情報を集めインターネット上で公開する行為)の多発を受け2021年に法改正となり、許可されていない個人データの開示が禁止となる。 |
OECD8原則ベース。自由なデータ流通を重視しつつ特にDoxingの禁止等を重視。GDPRと異なり域外適用や侵害時の監督通知義務はなく越境移転の規制はあるが未施行。
|
現時点で未施行である越境移転規制の施行が議論されているが、GAFAM(Google、Amazon、Facebook、Apple、Microsoft)を中心に批判も大きい。 DPO(データ保護オフィサー)の設置は義務化されていないが、2019年にPrivacy Management Program: A Best Practice Guide (PMP)をリリースした。 |
韓国 | PIPA | 韓国はキャッシュレス普及率が高く(2016年で96.4%)インターネット上での個人情報の入力が頻繁。人口が約5,000万人と少なく内需が限られているため、必然的に海外とのデータのやり取りが頻発。2011年9月にPIPAが成立。2023 年 2 月の改正で国外移転要件に係る例外範囲が拡大。EU十分性認定国、APEC CBPR参加国。 |
GDPRベースでありデータ主体のプライバシー保護を重視した法律だが下記のとおり一部相違。
|
2023年改正における未施行の部分(データポータビリティ権や自動化された決定に対する説明要求権等)は 2024 年以降施行予定。 |
インド | 2011年個人情報保護規則 | 2022年の名目GDPは世界第5位(約3兆3800億ドル)で約3兆ドルの英国以上。G20とBRICs参加国。政府主導のデータ利活用基盤「インディア・スタック」(国民の生体情報を登録し、銀行口座番号等と紐づけ)が存在。一方で個人情報保護に特化した法律はなく2011年個人情報保護規則で言及される程度。 | OECD8原則ベースだが「責任の原則」が見られない。インドの経済成長のためデータローカライゼーションを重視。 |
他国の厳格なプライバシー保護関連法規制の施行の流れを受け2022年11月にインド電子情報技術省がGDPRベースの「2022年デジタル個人データ保護法案」を公表。
|
シンガポール | PDPA |
シンガポールは歴史的に外資の呼び込みで発展。2020年時点で日本企業も822社が進出。 アジアの金融ハブとして発展する中で個人情報保護の必要性も高まり2014年7月に Personal Data Protection Act 2012(PDPA) が施行。2021年2月にGDPRベースで改正。APEC CBPR参加国。 |
GDPRベースだが一部異なる。プライバシー保護を重視しつつ、アジアの金融ハブとしての自由なデータ流通にも配慮。
|
シンガポール国民は識別番号(NRIC)が付与されており、2019 年 9 月より当該番号の取り扱いに係るガイドラインも施行。 |
タイ | PDPA | 近年まで個人情報保護に特化した法律がなかったが、GDPR等の影響を受け2019年5月に個人情報保護法(PDPA)の一部が施行。残りの条項は2020年に施行予定だったがコロナ対策等により2022年6月へ後ろ倒し。 |
GDPRベースでデータ主体のプライバシー保護を重視。下記のとおりGDPRと一部相違。
|
2023年3月、タイに本社を置く飲食店予約サイト運営会社が個人情報漏洩により約622万の罰金を科された。 |
マレーシア | PDPA | 1996年からICT産業を対象とした投資優遇施策(マルチメディア・スーパーコリド)を推進。デジタル変革の推進を受けた個人情報保護意識の高まりをうけ2013年11月にPDPAが施行。 |
規制対象は商業目的での個人情報使用のみ。OECD8原則ベースの下記7原則が基本でありデータ主体の権利を重視。
|
2017年10月にアジア最大級の個人情報漏洩(マレーシアの携帯電話加入者4,600万人の漏洩)が発生。 オンライン上での個人情報の入力・入手の増加ならびに他国でのプライバシー関連法規制の厳格化を受け法改正が議論されている。 |
ベトナム | 包括的な保護法なし | ベトナムは幼児期から科学、技術、工学、数学の教育(STEM教育)に力を入れておりICTの発展も目覚ましい一方、包括的な個人情報保護規制がない(他の法律で一定触れられる程度)。 | 包括的な保護法はないが、サイバーセキュリティ法で個人情報保護が規定されている。ベトナム内でのデータ保存・事務所設置義務も設け、データローカライゼーションを重視。 |
世界的な法規制厳格化の流れを受けGDPRベースの規制化が議論。2021年2月に個人データ保護に関する政令ドラフトも公表。GDPRベースだが当局の権限が強い。
|
フィリピン | DPA 2012 | 幼少から英語教育に力を入れ人件費も安価なため欧米企業のBPO(特にコールセンター)が発展。コールセンターでは個人情報を扱うため2012年に個人情報保護法(DPA)が制定、2017年9月に施行。APEC CBPR参加国。 |
GDPRベースだが、コールセンター業務に配慮した自由なデータ流通を重視。
|
近年、Personal Data Protection (Amendment) Bill 2020が議論されている。
|
インドネシア | PDPL |
インドネシアの人口は世界第四位の2.6億人(2020年時点)であり、2016年以降のGDP成長率も年約5%。ICT教育にも力を入れておりポテンシャルが高い。 個人情報保護法はセクター別に法律が異なっていたため、今後のデータ利活用推進と他国による法規制整備の潮流を受け、8年以上の議論を経て2022年に包括的な法律(PDPL)が施行された。 |
GDPRベースだが特にデータ主体の権利を重視。
|
インドネシアのデジタル経済促進のため、CoEラボが開設された。当該ラボは5G、データアナリティクス、IoT等の開発に注力。 |
ニュージーランド | Privacy Act 2020 | 1993年にプライバシー法が制定。GDPR等の各国のプライバシー関連法規制の厳格化および技術進歩に対応するために2020年に改訂。EU十分性認定取得済。 |
GDPRベースでデータ主体のプライバシー保護を重視した法律だが下記のとおり一部相違。
|
第三者から個人情報を取得する際の通知ついての改正が議論されている。 |
オーストラリア | Privacy Act 1988 | OECD8原則の影響を受け1988年にPrivacy Actが制定。その後、1991年、2000年、2014年、2018年に細かな改正。CBPR参加国。 |
OECD8原則ベースの13原則。個人のプライバシー保護を重視しつつ、自由なデータ流通にも配慮。
|
2020年にNational Digital Economy Strategyを打ち出しデジタル化を推進。 2022年10月にGDPRベースの新改正法案を提出、データ侵害時の通知義務化・罰則厳格化、域外適用等が盛り込まれている。 |
EMEA
EU加盟国はGDPRを国内法に取り込んでいるが、一部の規定(データ主体の権利、データ侵害時の当局報告期限、親権者の同意が必要なこどもの年齢等)は国ごとに相違がある。ロシアではデータローカライゼーションの規定がある。
国 | 法律 | 成立背景 | 特徴 | 最新動向 |
英国 | UK GDPR | EU域内の移民問題等を受け2020年12月にEUから離脱。個人情報保護規制としてGDPRを踏襲したUK GDPRを制定(2021年1月) |
EU GDPR同様に個人のプライバシー保護を重視するが、一部EU GDPRと相違。
|
2023年4月にTikTokへ約1470万ドルの罰金を課した(ユーザーが13歳未満かどうかの確認が不十分)。 |
ドイツ | BDSG | 第三世代コンピュータの普及等を受け個人情報保護の機運が高まり1969年に世界初の個人情報保護法が制定。その後、GDPRを適用し2018年5月にBDSGが制定。 |
EU GDPR以上に個人の権利を重視。
|
2019年10月30日に、不動産会社が過去の顧客の個人情報を保持していたとして、同社へ約17億円の罰金を課した。 |
フランス | FDPA | 1789年「人間と市民の権利の宣言」でプライバシーは基本的人権と認識。1978年にはデータ保護法FDPA(French Data Protection Act)が制定。その後2019年6月にGDPRを取り込む。 |
EU GDPR以上に個人の権利を重視。
|
2019年1月にGDPR違反としてGoogleに約62億円(過去最大規模の金額)を制裁。Google Analyticsの収集データが米国内サーバで米当局が閲覧可能であるとして、サイト運営者にGoogle Analyticsの使用停止を求めた。 |
イタリア | Italian Data Protection Code | 1995年のEUデータ保護指令を受け1996年にデータ保護法が成立。2003年に改正され、更にGDPRを取り込み大幅に改正。 |
EU GDPR以上に個人の権利およびデータ保護を重視。
|
ChatGPTの個人情報漏洩を受け、GDPR違反としてChatGPTの利用を一時停止。ChatGPTの利用は13歳以上としながら年齢チェックを未実施であることも指摘。 |
トルコ | LPPD | 従来は個人情報保護に特化した法律がなかったがEUデータ保護指令を受け2016年4月にLPPDが成立。EU十分性認定はないが、改正を重ねGDPRに近づいている。 |
GDPRベースだが規制当局による一定の集権管理を重視。
|
2021年8月24日に国家AI戦略を公表し、AIやデータ利活用を推進。 |
ロシア | Federal Law “On Personal Data” | 1981年に欧州評議会で「個人データの自動処理に係る個人の保護に関する欧州評議会条約」に批准。2006年に個人情報法が制定。2014年の改正でロシア国民の個人データはロシア内DBでの処理・保存が義務化。2022年7月の改正で越境移転時等のロシア当局へ事前通知義務化、域外適用。 |
GDPRベースだがデータローカライゼーションおよび当局による強固な権限を重視。
|
ウクライナ侵攻等をうけ2022年3月16日に欧州評議会から脱退。 |
サウジアラビア | PDPL | イスラム法(シャリア)で個人のプライバシーは保護されるが現時点(2023年6月)で包括的な個人情報保護法はない。一方で中東でも個人情報保護規制が進んでおり、同国においても2021 年9月にPDPLを公表。施行は延期となり2023年9月施行予定。 |
2023年9月施行予定のPDPLはGDPRに類似するが消費者の権利よりもデータローカライゼーションを重視。
|
現時点で包括的な個人情報保護法はなく、左記のとおりPDPLが議論されている。 |
南アフリカ共和国 | POPIA | G20・BRICs加盟国。近年著しい経済発展を遂げている。 2013年11月に個人情報保護法(POPIA)が制定、2014年4月から2022年2月にかけて段階的に施行。 |
GDPRベースであり、個人のプライバシー保護を重視しつつ、自由なデータ流通にも配慮。
|
2023年2月時点では制裁金が課された事例は報告はなし。 |
AMERICAS
南米各国の法規制はOECD8原則をベースとした法規制が主流だが、GDPRレベルの厳格性を備えた法規制の導入が議論されている。2020年に施行され世界全体に影響を及ぼしたCCPA(カリフォルニア州消費者プライバシー法)も、より厳格な方向への改正がなされ(CPRA、カリフォルニア州プライバシー権法)、さらに連邦レベルの法規制(ADPPA、米国プライバシー保護法)も議論されている。
国 | 法律 | 成立背景 | 特徴 | 最新動向 |
米国 | CCPA | 近年までは包括的なプライバシー関連法は存在しなかったが(金融記録や教育記録等、業界毎にプライバシー保護法が点在)、消費者によるプライバシー保護意識の高まりを受け2018年6月包括的なプライバシー保護法であるCCPAが成立、2020年1月1日に施行。 |
GDPRに類似するが、より消費者権利を強調。個人情報収集時等の消費者への通知義務化、消費者からの個人情報の開示・削除要求への対応義務化等が特徴。下記8つの消費者の権利を規程。 ①略式開示請求権 |
カリフォルニアは米国最多の人口を誇りGDPは約3兆ドルに及ぶため、CCPAは米国全体大きく影響。 2022年7月から連邦法(ADPPA)が議論されている。CCPAに類似し、下記が特徴
カリフォルニアではより厳格なCPRAが2023年1月施行。
|
メキシコ | LFPDPPP |
公的機関を対象とした保護法と民間を対象とした保護法(LFPDPPP)(2010年7月施行)がある。 EU十分性認定はないが、APECのCBPRシステムには2013年1月に参加。 |
OECD8原則ベースであり自由なデータ流通を重視。 ①適法な扱い |
Mexican Association of Online Salesによると新型コロナの影響等により2021年にeコマースが27%成長。必然的にプライバシーデータ保護関連法規制の機運が高まっている。 |
ブラジル | LGPD | 包括的な個人情報保護法がなかったがGDPRの影響を受け40の既存法規制を統一する形で2020年8月にLGPDが成立。 |
GDPRベースで個人のプライバシー保護を重視するが一部相違。
|
2023年3月23日にブラジル当局(ANPD)が違反疑義として調査中の企業一覧を公表。 |
アルゼンチン | Provision 60-E/2016 | 2000年に南米発の個人情報保護法である個人データ保護法 (PDPA)が成立。中南米初のEU十分性認定取得国。2016年に主に越境移転の観点で改正。 | OECD8原則ベースで個人のプライバシー保護を重視。データ主体の権利保護等、GDPR等には厳格性で劣る。 | 昨近のグローバルにおけるデータ保護法の潮流に適合するよう、GDPRベースの見直しが議論されている。 |
カナダ | PIPEDA |
1990年代にオンタリオ州でプライバシーバイデザインが提唱されるなどプライバシー保護意識が高い。 連邦政府を対象としたプライバシー保護法が1982年に成立。民間企業向けには2004年に包括的な保護法であるPIPEDAが成立。2001年にEU十分性認定を受け、2015年4月にCBPRに参加。 2015年の改正で同意要件が厳格化(同意が有効なのはデータ収集・利用等がもたらす影響をデータ主体が容易に理解可能な場合のみ) |
GDPRベースで個人のプライバシー保護を重視するが一部相違。
|
デジタル変革の推進を受け2022年にDigital Charter Implementation Actが制定。当該ActにはAI等に関する法規制とともに「Consumer Privacy Protection Act、CPPA」が含まれる。 CPPAの特徴
|
まとめ
世界各国におけるプライバシー関連法規制は、OECD8原則ベースからより厳格性の高いGDPRベースへシフトしつつある。今回紹介した通り、ベースとなる法規制は共通である一方、国毎に越境移転ルール等が微妙に異なり、また、ガバメントアクセスやデータローカライゼーション等の規定を設けている国もあるため、各国の自由なデータ流通を促進する動き(APEC CBPR認証、DFFT等)も顕著となっている。グローバルを対象としたビジネス展開やガバナンス高度化においては、各国のプライバシー関連法規制の動向を把握し、各国の拠点間におけるデータフローの可視化、個人情報の該当有無の精査、法規制対応状況のアセスメント、プライバシーデータの扱いに係るマニュアル・プロセス整備・従業員教育など、データマネジメント領域において多岐にわたる対応準備が必要となるため、専門家の知見・支援なども活用した検討推進が求められる。
アビームコンサルティングは国内・国外を問わずプライバシー関連法規制対応の支援実績があり、データマネジメント領域において「プライバシー法対応評価と対策支援」「プライバシーデータ利活用セキュリティ評価」「個人情報取扱マニュアル作成支援」等のサービスを有している。また、アビームコンサルティングでは、アセスメントで課題を抽出するだけ、あるべき姿を描きレポートするだけにとどまらず、実際のマニュアル・プロセス構築や従業員教育・運用支援等、現場・現物・現実に根差した実現力のあるコンサルティング支援が可能である。
関連ページ
- 【サービスライン】セキュリティ
- 【サービス】ABeam Security®プライバシーデータ利活用セキュリティ評価
- 【インサイト】改正個人情報保護法の対応ポイント第1回 法改正の変更点と企業が対応すべき事項とは
- 【インサイト】改正個人情報保護法の対応ポイント第2回 仮名加工情報に関して企業が対応すべき事項とは
- 【インサイト】改正個人情報保護法の対応ポイント第3回 個人データの越境移転に関して企業が対応すべき事項とは
- 【サービス】ABeam Security® プライバシー法対応評価と対策支援サービス
- 【インサイト】DX推進に潜む新たなプライバシー関連リスクと企業が対応すべきファーストステップ
- 【インサイト】「California Consumer Privacy Act -CCPA- 要点と対応の勘所」
- 【インサイト】プライバシーデータ利活用に係る法律・倫理面の対策 第1回 倫理観点での順守事項
- 【インサイト】プライバシーデータ利活用に係る法律・倫理面の対策 第2回 倫理観点での対策