プライバシーデータ利活用に係る法律・倫理面の対策 第3回 世界各国におけるプライバシー関連法規制の最新動向

インサイト
2023.06.29
  • セキュリティ

昨近の企業間競争に打ち勝つためには、デジタル変革による新たなビジネスモデルの創出や革新的な製品・サービスの提供が必要であり、そのためには消費者のプライバシーデータの収集・分析が欠かせない。プライバシーデータの利活用にあたっては、個人情報保護法等への準拠が必要だが、昨近では倫理(プライバシーに対して消費者が抱く感情)への配慮も必要である。法には触れていないものの、倫理の軽視によりサービス停止に追い込まれた事例も多々あり、企業による対応は急務となっている。
今回のインサイトでは、企業がプライバシーデータの利活用を円滑に進めるための法律面・倫理面での対策を3回に分けて解説する。第1回では企業が抑えておくべき倫理面での順守事項を解説、第2回では倫理対応における効果と具体的な対策例について解説した。今回は、世界各国におけるプライバシー関連法規制の最新動向について解説する。

執筆者情報

  • 常盤 隼

    Manager

世界全体におけるプライバシー関連法規制の潮流

各国におけるプライバシー関連法規制のはじまり

1970年代におけるコンピューター・インターネット技術の発展の裏で、個人情報の大量処理・流通によるプライバシー侵害リスクが懸念されるようになった。その結果、1980年に経済協力開発機構(OECD)が個人情報の取り扱いに係る基本的な保護原則(OECDプライバシー8原則)を採択した。当該8原則は、欧州のGDPR(一般データ保護規則)や日本の個人情報保護法をはじめとした世界各国のプライバシー関連法規制の礎となっている。

横にスクロールしてご確認ください

No. タイトル 内容
1 収集制限 個人情報は適法かつ公正な方法で、必要に応じデータ主体の同意をもとに収集
2 データ品質原則 個人情報は利用目的の範囲内でのみ活用、目的に沿い正確・完全・最新に更新
3 目的明確化 収集目的はデータ収集より前に特定。目的に限定した事後的な利用や他の目的での利用は目的と矛盾のない範囲で実施。目的の変更の都度目的を特定
4 利用制限 データ主体の同意や法令で求められる場合以外は目的外での利用等は行わない
5 安全管理措置 滅失、不正アクセス・破壊・開示等のリスクに対する保護措置
6 公開原則 個人データの利活用等においては公開された一般的な方針に基づく
7 個人参加原則 データ主体の権利(自己のデータ使用有無を知る権利、異議申し立て権等)
8 説明責任の原則 上記1~7の原則への準拠性について説明する義務

デジタル変革の推進・プライバシー保護意識の高まりを受けた法規制厳格化

OECD8原則の採択は1980年代であるため、ビッグデータを活用した個人データの大量処理、AIを活用した個人属性の推定、クラウド利用における個人データの域外保存等、新たなデジタルテクノロジーの発展に潜むプライバシーリスクについては考慮されていない。これらのリスクに対応できるよう、特にプライバシー保護意識の高い欧州において、2018年に厳格な法規制であるGDPRが制定された。このGDPRを皮切りに、世界各国の法規制における厳格化・厳罰化が進んでいる。

横にスクロールしてご確認ください

No. GDPRの主な特徴
1 同意や「正当な利益」等の条件を満たした場合以外は個人データを収集不可
2 一定条件を満たさない限りEEA域外への個人データの移転は原則禁止(越境移転規制)
3 個人データ漏洩等が発生した場合は72時間以内に監督当局へ報告
4 EEA域外への法規制の適用(域外適用)
5 データ保護バイデザイン/バイデフォルトの義務化
6 データ処理が個人に高いリスクを生じさせる可能性がある場合はデータ保護影響評価を実施
7 一定条件を満たす場合(大規模・継続的に個人情報を処理する場合等)はデータ保護責任者の設置
8 EEA域内に代理人を設置
9 データ主体に各種権利を付与(知る権利、忘れられる権利、データポータビリティ権など)
10 違反時の多額の制裁金(最大2,000万ユーロor全世界前年売上高の4%の大きい金額)

国境を越えた個人データの自由で安全な流通における課題

各国の法規制は原則としてOECD8原則やGDPRに基づいているため大筋の要求事項は共通しているが、具体的なルール・手続きは国ごとに異なる。グローバルビジネスの発展には国境を越えた自由なデータ移転が不可欠だが、国ごとの微妙なルールの相違や、データローカライゼーション(自国産業の保護等を目的としたデータの当該国保存義務やデータ越境移転規制)やガバメントアクセス(民間企業が保有するデータに対する公的機関による強制的な閲覧権限等)を設けた国の存在等、自由で安全なデータ流通の促進には課題も多い。

自由なデータ流通を促進する動き

自由なデータ流通に係る課題(各国における越境移転ルールの手続き差異、データローカライゼーション、ガバメントアクセス等)を解決するべく、日本を中心に自由で安全なデータ移転を促進する動きが出てきている。具体的には、以下表のとおり、APEC加盟国間におけるデータ越境移転を促進するためのCBPR認証制度、G20を通し日本が中心となり提唱しているDFFT等があり、今後の動向が注視されている。

横にスクロールしてご確認ください

CBPR
  • Asia Pacific領域の経済フォーラムとして1989年にAPEC(Asia Pacific Economic Cooperation)が設立、日本を含む21カ国が加盟。2004年にOECD8原則に「被害の防止原則」(個人情報保護制度は個人情報の悪用を防止するよう設計されるべき)を加えた「APECプライバシーフレームワーク」を採択。
  • プライバシーを保護しつつAPEC間のデータ越境移転を促進するべく、2011年にAPECプライバシー原則への適合性を認証するCBPR(Cross Border Privacy Rule、グローバル越境プライバシールール)を策定、2014年に日本も参加(日本ではJIPDECが認証団体)。
  • 2023年4月、CBPR参加国にて、より広範な個人データ越境移転を促進すべく、「Global CBPRフォーラム」の設立に向けた宣言に合意。
DFFT
  • デジタル経済の発展には国家間のデータ流通が不可欠だが、各国の越境移転規制は「手続きの複雑化・微妙な差異」、「国際的なデータ流通を阻むデータローカライゼーション」、「プライバシー保護観点で課題のあるガバメントアクセス」等の課題がある。
  • 個人データに関するセキュリティ・プライバシーを保護しつつ、一方で国際的なデータ流通を促進するために、2019年ダボス会議にて日本を中心にDFFT(Data Free Flow with Trust、信頼性のある自由なデータ流通)を提唱。
  • 2021年4月にG7デジタル・技術大臣会合で「DFFTに関する協力のためのG7ロードマップ」、翌年5月に「信頼性のある自由なデータ流通の促進のための G7 アクションプラン」が採択。

法対応に係る課題と対応のポイント

課題と対応ポイント

激化する企業間競争に打ち勝つためにはビジネスのグローバル化が必要であり、国境をまたいだデータ流通が不可欠となる。データ流通のためには各国法規制の順守・理解が必要である一方、法律は時間とともに変化するため、表面的な理解のみでは法改正を見越した迅速かつ根本的な対応が困難となる。
よって、各国法規制の字面を追うのではなく、その法律の存在目的(制定背景)ならびに思想(消費者の権利保護を重視しているのか、データの抱え込みを重視しているのか、プライバシー保護を重視しているのか等)を理解することで、法改正時の逐次対応から脱却することが重要である。

各国法規制の成立背景、特徴、最新動向

続いては、Asia Pacific、EMEA、AMERICASの各国の法規制の成立背景・特徴・動向をまとめて紹介する。各国法規制が何を目的として制定されたのか、どの法律を参照して制定されたのか、何を重視するのか、という観点で違いを見ていくと良いだろう。

Asia Pacific

各国においてGDPRベースの法規制導入が進んでいる。中国、インド、ベトナム等の一部の国ではデータローカライゼーションに関する規定がある。

横にスクロールしてご確認ください

法律 成立背景 特徴 最新動向
中国 PIPL 中国では包括的な個人情報保護法がなかったが、GDPRを皮切りとした世界の個人情報保護法制定の潮流をうけ、中国でも「中国個人情報保護法(Personal Information Protection Law of the People's Republic of China (PIPL)」が2021年11月1日に制定された。 GDPRに類似するも、他の中国データ3法も含めた考慮が必要。データローカライゼーションに重きを置き、厳罰性も高い。
  • 特定の個人情報または大量情報を処理する場合は国家安全評価または中国内のデータ保管が必要
  • GDPR以上の制裁金(全世界売上高の5% or 5,000万元)
  • 罰則は責任者にも及び事業停止などもあり得る
2023年2月、個人データの越境移転に係るSCC(Standard Contractual Clause、標準契約条項)についてのルールを策定
台湾 個人情報保護法 昨近では「DIGI+2025計画」「AI行動計画」を打ち出しデジタル化を推進。2018年12月にAPEC CBPRに参加。1995年8月に「コンピュータによる個人情報の処理の保護に関する法」が制定。2010年5月に個人情報の処理全般を対象とした「個人情報保護法」が成立。2016年3月に「センシティブ情報」の扱いの観点で改正。 OECD8原則ベースであり、個人のプライバシー保護および比較的自由なデータ流通を重視。
  • データ収集に同意は必要だがGDPRほど厳格な同意要件なし
  • データ主体はデータの照会、訂正、削除、利用停止等の権利はあるがポータビリティ権はない。
  • データの域外移転においても厳格な要件がない
  • 日本の「個人情報保護委員会」のような監督機関はなく各事業の主務官庁等で監督
2018年のGDPR制定を受け各国がプライバシー法規制を厳格化する中、台湾もGDPR十分性認定の取得を目指し法改正が議論されている。
新型コロナウイルス感染症対策として台湾政府がマスク在庫管理アプリを開発するなど国家レベルのデジタル化が推進されている。
香港 PDPO OECDプライバシー保護原則を受け1996年に施行。2012年に越境移転、ダイレクトマーケティングの観点で改正。
Doxing(特定人物の個人情報を集めインターネット上で公開する行為)の多発を受け2021年に法改正となり、許可されていない個人データの開示が禁止となる。
OECD8原則ベース。自由なデータ流通を重視しつつ特にDoxingの禁止等を重視。GDPRと異なり域外適用や侵害時の監督通知義務はなく越境移転の規制はあるが未施行。
  1. 利用目的に合致した範囲でのみ個人データを収集可能
  2. 個人データの正確・最小保持
  3. 同意なしの目的外利用を禁止
  4. 安全管理義務
  5. 個人情報保護方針、透明性
  6. データ主体からのデータ修正依頼等への対応

現時点で未施行である越境移転規制の施行が議論されているが、GAFAM(Google、Amazon、Facebook、Apple、Microsoft)を中心に批判も大きい

DPO(データ保護オフィサー)の設置は義務化されていないが、2019年にPrivacy Management Program: A Best Practice Guide (PMP)をリリースした。

韓国 PIPA 韓国はキャッシュレス普及率が高く(2016年で96.4%)インターネット上での個人情報の入力が頻繁。人口が約5,000万人と少なく内需が限られているため、必然的に海外とのデータのやり取りが頻発。2011年9月にPIPAが成立。2023年2月の改正で国外移転要件に係る例外範囲が拡大。EU十分性認定国、APEC CBPR参加国。 GDPRベースでありデータ主体のプライバシー保護を重視した法律だが下記のとおり一部相違。
  • データ侵害時は当局よりもデータ主体に連絡
  • 越境移転にあたりデータ主体の同意が必要
  • データポータビリティについて詳細記載なし(2024年以降の施行が議論されている)
2023年改正における未施行の部分(データポータビリティ権や自動化された決定に対する説明要求権等)は2024年以降施行予定。
インド 2011年個人情報保護規則 2022年の名目GDPは世界第5位(約3兆3800億ドル)で約3兆ドルの英国以上。G20とBRICs参加国。政府主導のデータ利活用基盤「インディア・スタック」(国民の生体情報を登録し、銀行口座番号等と紐づけ)が存在。一方で個人情報保護に特化した法律はなく2011年個人情報保護規則で言及される程度。 OECD8原則ベースだが「責任の原則」が見られない。インドの経済成長のためデータローカライゼーションを重視。 他国の厳格なプライバシー保護関連法規制の施行の流れを受け2022年11月にインド電子情報技術省がGDPRベースの「2022年デジタル個人データ保護法案」を公表。
  • 同意の有効性に関する規定
  • データローカライゼーションについての記載削除
  • 違反時の禁固刑は廃止(罰金のみ)
シンガポール PDPA

シンガポールは歴史的に外資の呼び込みで発展。2020年時点で日本企業も822社が進出。

アジアの金融ハブとして発展する中で個人情報保護の必要性も高まり2014年7月に Personal Data Protection Act 2012(PDPA) が施行。2021年2月にGDPRベースで改正。APEC CBPR参加国。

GDPRベースだが一部異なる。プライバシー保護を重視しつつ、アジアの金融ハブとしての自由なデータ流通にも配慮
  • 罰則は禁固刑あり
  • ビジネスコンタクト情報はPDPAの適用除外
  • 民間企業のみ対象
  • 仮名化の規定なし
  • 処理記録、DPIA(データ保護影響評価)義務なし
  • データ主体にデータ削除、データポータビリティ権なし
シンガポール国民は識別番号(NRIC)が付与されており、2019年9月より当該番号の取り扱いに係るガイドラインも施行。
タイ PDPA 近年まで個人情報保護に特化した法律がなかったが、GDPR等の影響を受け2019年5月に個人情報保護法(PDPA)の一部が施行。残りの条項は2020年に施行予定だったがコロナ対策等により2022年6月へ後ろ倒し。 GDPRベースでデータ主体のプライバシー保護を重視。下記のとおりGDPRと一部相違。
  • 仮名化について言及なし
  • 同意なしで第三者に個人情報を提供した場合等は禁固刑あり(最大1年以下)
  • 故意または過失でデータ主体に損害を与えた場合は損害額の2倍以内の賠償義務あり
2023年3月、タイに本社を置く飲食店予約サイト運営会社が個人情報漏洩により約622万の罰金を科された。
マレーシア PDPA 1996年からICT産業を対象とした投資優遇施策(マルチメディア・スーパーコリド)を推進。デジタル変革の推進を受けた個人情報保護意識の高まりをうけ2013年11月にPDPAが施行。 規制対象は商業目的での個人情報使用のみ。OECD8原則ベースの下記7原則が基本でありデータ主体の権利を重視
  1. 個人情報処理には原則同意要。センシティブ情報の取得には明示的な同意要
  2. データ主体に対し個人情報の処理について書面で通知
  3. データ主体の権利(自らの個人情報へのアクセス・訂正等)
  4. 個人情報の目的外利用・第三者開示の場合は同意要
  5. 個人情報の安全管理義務
  6. 不要となった個人情報を破棄
  7. 正確、完全、最新化義務

2017年10月にアジア最大級の個人情報漏洩(マレーシアの携帯電話加入者4,600万人の漏洩)が発生。

オンライン上での個人情報の入力・入手の増加ならびに他国でのプライバシー関連法規制の厳格化を受け法改正が議論されている。

ベトナム 包括的な保護法なし ベトナムは幼児期から科学、技術、工学、数学の教育(STEM教育)に力を入れておりICTの発展も目覚ましい一方、包括的な個人情報保護規制がない(他の法律で一定触れられる程度)。 包括的な保護法はないが、サイバーセキュリティ法で個人情報保護が規定されている。ベトナム内でのデータ保存・事務所設置義務も設け、データローカライゼーションを重視。 世界的な法規制厳格化の流れを受けGDPRベースの規制化が議論。2021年2月に個人データ保護に関する政令ドラフトも公表。GDPRベースだが当局の権限が強い。
  • 域外移転はデータをベトナム内に保管、当局書面承認
  • 当局が域外移転を年次評価
  • 個人情報収集時は同意要、「正当な利益」等の例外なし
  • ガバメントアクセス可能
フィリピン DPA 2012 幼少から英語教育に力を入れ人件費も安価なため欧米企業のBPO(特にコールセンター)が発展。コールセンターでは個人情報を扱うため2012年に個人情報保護法(DPA)が制定、2017年9月に施行。APEC CBPR参加国。 GDPRベースだが、コールセンター業務に配慮した自由なデータ流通を重視。
  • フィリピンで扱われる海外在住の外国籍の個人情報は適用対象外
  • 違反時は罰金に加え懲役あり
  • 一定数の個人情報を処理するにあたり当局(NPC)へ届け出
近年、Personal Data Protection (Amendment) Bill 2020が議論されている。
  • 同意取得以外の要件
  • データ主体によるデータポータビリティ権
インドネシア PDPL

インドネシアの人口は世界第四位の2.6億人(2020年時点)であり、2016年以降のGDP成長率も年約5%。ICT教育にも力を入れておりポテンシャルが高い。

個人情報保護法はセクター別に法律が異なっていたため、今後のデータ利活用推進と他国による法規制整備の潮流を受け、8年以上の議論を経て2022年に包括的な法律(PDPL)が施行された。

GDPRベースだが特にデータ主体の権利を重視
  • データ主体からの各種権利行使に対し72時間以内に対応
  • 個人の金融データ、こどもに関するデータはセンシティブ情報
  • 宗教情報が一般的な個人情報に分類される
  • 違反時の罰則で資産の押収、事業凍結等が課される場合あり
インドネシアのデジタル経済促進のため、CoEラボが開設された。当該ラボは5G、データアナリティクス、IoT等の開発に注力。
ニュージーランド Privacy Act 2020 1993年にプライバシー法が制定。GDPR等の各国のプライバシー関連法規制の厳格化および技術進歩に対応するために2020年に改訂。EU十分性認定取得済。 GDPRベースでデータ主体のプライバシー保護を重視した法律だが下記のとおり一部相違。
  • 違反時の最大制裁金は10,000NZDのみ
  • データ主体の権利に忘れられる権利、データポータビリティ権等がない
第三者から個人情報を取得する際の通知ついての改正が議論されている。
オーストラリア Privacy Act 1988 OECD8原則の影響を受け1988年にPrivacy Actが制定。その後、1991年、2000年、2014年、2018年に細かな改正。CBPR参加国。 OECD8原則ベースの13原則。個人のプライバシー保護を重視しつつ、自由なデータ流通にも配慮
  1. オープンで透明な個人情報管理体制の構築
  2. 仮名・匿名情報の使用
  3. 個人情報の収集制限
  4. 受動的個人情報の保持制限
  5. 収集時の通知
  6. 二次的目的の使用・開示制限
  7. ダイレクトマーケティング制限
  8. 海外移転時の説明原則
  9. 政府発行識別子の使用禁止
  10. データの正確性保持
  11. 安全対策の実施等
  12. アクセス権付与
  13. 修正権付与

2020年にNational Digital Economy Strategyを打ち出しデジタル化を推進。

2022年10月にGDPRベースの新改正法案を提出、データ侵害時の通知義務化・罰則厳格化、域外適用等が盛り込まれている。

EMEA

EU加盟国はGDPRを国内法に取り込んでいるが、一部の規定(データ主体の権利、データ侵害時の当局報告期限、親権者の同意が必要なこどもの年齢等)は国ごとに相違がある。ロシアではデータローカライゼーションの規定がある。

横にスクロールしてご確認ください

法律 成立背景 特徴 最新動向
英国 UK GDPR EU域内の移民問題等を受け2020年12月にEUから離脱。個人情報保護規制としてGDPRを踏襲したUK GDPRを制定(2021年1月) EU GDPR同様に個人のプライバシー保護を重視するが、一部EU GDPRと相違。
  • 保護対象に国家安全、移民、インテリジェンスサービス等で収集された個人情報も含む
  • 親の同意が必要な年齢が13歳未満
2023年4月にTikTokへ約1470万ドルの罰金を課した(ユーザーが13歳未満かどうかの確認が不十分)。
2023年3月に改正法案「Data Protection and Digital Information」が公表された。
ドイツ BDSG 第三世代コンピュータの普及等を受け個人情報保護の機運が高まり1969年に世界初の個人情報保護法が制定。その後、GDPRを適用し2018年5月にBDSGが制定。 EU GDPR以上に個人の権利を重視。
  • 20人以上の個人情報を扱う場合はDPO(データ保護オフィサー)が必要
  • データ主体は金銭的損害を請求できる
2019年10月30日に、不動産会社が過去の顧客の個人情報を保持していたとして、同社へ約17億円の罰金を課した。
フランス FDPA 1789年「人間と市民の権利の宣言」でプライバシーは基本的人権と認識。1978年にはデータ保護法FDPA(French Data Protection Act)が制定。その後2019年6月にGDPRを取り込む。 EU GDPR以上に個人の権利を重視。
  • 一定条件でヘルスデータを扱う場合は当局(CNIL)に通知
  • 保護者の同意/許可が必要な年齢は15歳未満
  • 死後のデータの扱いについてデータ主体が指定可能
2019年1月にGDPR違反としてGoogleに約62億円(過去最大規模の金額)を制裁。Google Analyticsの収集データが米国内サーバで米当局が閲覧可能であるとして、サイト運営者にGoogle Analyticsの使用停止を求めた。
イタリア Italian Data Protection Code 1995年のEUデータ保護指令を受け1996年にデータ保護法が成立。2003年に改正され、更にGDPRを取り込み大幅に改正。 EU GDPR以上に個人の権利およびデータ保護を重視。
  • 死者の個人情報保護に言及
  • 保護者の同意/許可が必要な年齢は14歳未満
  • データの不法越境移転などは禁固刑もあり得る
ChatGPTの個人情報漏洩を受け、GDPR違反としてChatGPTの利用を一時停止。ChatGPTの利用は13歳以上としながら年齢チェックを未実施であることも指摘。
トルコ LPPD 従来は個人情報保護に特化した法律がなかったがEUデータ保護指令を受け2016年4月にLPPDが成立。EU十分性認定はないが、改正を重ねGDPRに近づいている。 GDPRベースだが規制当局による一定の集権管理を重視。
  • 一定規模以上のデータ管理者はVERBIS(当局管理のデータ管理者・データ種別のデータベース)に登録
  • VERBIS登録時にデータ処理記録を提供
2021年8月24日に国家AI戦略を公表し、AIやデータ利活用を推進。
ロシア Federal Law “On Personal Data” 1981年に欧州評議会で「個人データの自動処理に係る個人の保護に関する欧州評議会条約」に批准。2006年に個人情報法が制定。2014年の改正でロシア国民の個人データはロシア内DBでの処理・保存が義務化。2022年7月の改正で越境移転時等のロシア当局へ事前通知義務化、域外適用。 GDPRベースだがデータローカライゼーションおよび当局による強固な権限を重視。
  • ロシア国民の個人情報はロシア内サーバに保管、違反時はウェブサイトブロック等の措置
  • 個人情報の取扱い開始時や越境移転時はロシア当局に通知
  • ロシア当局による情報収集への協力義務
ウクライナ侵攻等をうけ2022年3月16日に欧州評議会から脱退。
サウジアラビア PDPL イスラム法(シャリア)で個人のプライバシーは保護されるが現時点(2023年6月)で包括的な個人情報保護法はない。一方で中東でも個人情報保護規制が進んでおり、同国においても2021年9月にPDPLを公表。施行は延期となり2023年9月施行予定。 2023年9月施行予定のPDPLはGDPRに類似するが消費者の権利よりもデータローカライゼーションを重視。
  • データ主体の権利行使方法について詳細記載なし
  • 越境移転規制がより厳格(国家安全保障の観点)
現時点で包括的な個人情報保護法はなく、左記のとおりPDPLが議論されている。
南アフリカ共和国 POPIA G20・BRICs加盟国。近年著しい経済発展を遂げている。2013年11月に個人情報保護法(POPIA)が制定、2014年4月から2022年2月にかけて段階的に施行。 GDPRベースであり、個人のプライバシー保護を重視しつつ、自由なデータ流通にも配慮。
  • データポータビリティ権なし
  • データ侵害時の当局報告期限の定めなし(GDPRは72時間)
  • こどもの年齢は18歳以上(GDPRでは13~16歳)
  • PIA(プライバシー影響評価)の実施義務なし
2023年2月時点では制裁金が課された事例は報告はなし。

AMERICAS

南米各国の法規制はOECD8原則をベースとした法規制が主流だが、GDPRレベルの厳格性を備えた法規制の導入が議論されている。2020年に施行され世界全体に影響を及ぼしたCCPA(カリフォルニア州消費者プライバシー法)も、より厳格な方向への改正がなされ(CPRA、カリフォルニア州プライバシー権法)、さらに連邦レベルの法規制(ADPPA、米国プライバシー保護法)も議論されている。

横にスクロールしてご確認ください

法律 成立背景 特徴 最新動向
米国 CCPA 近年までは包括的なプライバシー関連法は存在しなかったが(金融記録や教育記録等、業界毎にプライバシー保護法が点在)、消費者によるプライバシー保護意識の高まりを受け2018年6月包括的なプライバシー保護法であるCCPAが成立、2020年1月1日に施行。

GDPRに類似するが、より消費者権利を強調。個人情報収集時等の消費者への通知義務化、消費者からの個人情報の開示・削除要求への対応義務化等が特徴。下記8つの消費者の権利を規程。

①略式開示請求権
②拡張開示請求権
③アクセス・ポータビリティ権利
④情報請求権
⑤削除権
⑥個人情報販売に関する拒否権
⑦子どもの個人情報に係る権利
⑧差別を受けない権利

カリフォルニアは米国最多の人口を誇りGDPは約3兆ドルに及ぶため、CCPAは米国全体大きく影響。
2022年7月から連邦法(ADPPA)が議論されている。CCPAに類似し、下記が特徴
  • 権利行使した消費者への報復禁止
  • 消費者がワンクリックで全ターゲティング広告を拒否可能
カリフォルニアではより厳格なCPRAが2023年1月施行。
  • センシティブ情報の追加
  • 消費者権利の追加:訂正権、データポータビリティ権等
  • 制裁金高額化(2,500USDから7,500USDへ)
メキシコ LFPDPPP 公的機関を対象とした保護法と民間を対象とした保護法(LFPDPPP)(2010年7月施行)がある。
EU十分性認定はないが、APECのCBPRシステムには2013年1月に参加。

OECD8原則ベースであり自由なデータ流通を重視。

①適法な扱い
②収集前に同意を取得(黙示的で足る)
③保護方針の提示
④目的内の正確な扱い
⑤目的内利用
⑥個人情報提供者の利益優先
⑦利用目的の範囲内での保持期間・保持範囲
⑧個人情報保護法の原則を順守するため措置

Mexican Association of Online Salesによると新型コロナの影響等により2021年にeコマースが27%成長。必然的にプライバシーデータ保護関連法規制の機運が高まっている。
ブラジル LGPD 包括的な個人情報保護法がなかったがGDPRの影響を受け40の既存法規制を統一する形で2020年8月にLGPDが成立。 GDPRベースで個人のプライバシー保護を重視するが一部相違。
  • データ侵害時の当局報告期限に定めなし(GDPR:72時間)
  • データ侵害時の当局報告に必要な情報について詳細記載なし
  • 制裁金はGDPRより少ないが日次制裁金があるため要注意
  • データ管理者のみDPOが必須
2023年3月23日にブラジル当局(ANPD)が違反疑義として調査中の企業一覧を公表。
アルゼンチン Provision 60-E/2016 2000年に南米発の個人情報保護法である個人データ保護法(PDPA)が成立。中南米初のEU十分性認定取得国。2016年に主に越境移転の観点で改正。 OECD8原則ベースで個人のプライバシー保護を重視データ主体の権利保護等、GDPR等には厳格性で劣る。 昨近のグローバルにおけるデータ保護法の潮流に適合するよう、GDPRベースの見直しが議論されている。
カナダ PIPEDA

1990年代にオンタリオ州でプライバシーバイデザインが提唱されるなどプライバシー保護意識が高い。

連邦政府を対象としたプライバシー保護法が1982年に成立。民間企業向けには2004年に包括的な保護法であるPIPEDAが成立。2001年にEU十分性認定を受け、2015年4月にCBPRに参加。

2015年の改正で同意要件が厳格化(同意が有効なのはデータ収集・利用等がもたらす影響をデータ主体が容易に理解可能な場合のみ)

GDPRベースで個人のプライバシー保護を重視するが一部相違。
  • 同意は暗黙的で足る
  • 「忘れられる権利」「データポータビリティの権利」がデータ主体に付与されていない。
  • データ侵害時の報告期限なし(GDPRでは72時間以内)

デジタル変革の推進を受け2022年にDigital Charter Implementation Actが制定。当該ActにはAI等に関する法規制とともに「Consumer Privacy Protection Act、CPPA」が含まれる。

CPPAの特徴
  • データ主体に「忘れられる権利」「データポータビリティの権利」を付与
  • 制裁金の高額化(全世界の年間収益の5%または2,500万ドルの高い方)

まとめ

世界各国におけるプライバシー関連法規制は、OECD8原則ベースからより厳格性の高いGDPRベースへシフトしつつある。今回紹介した通り、ベースとなる法規制は共通である一方、国毎に越境移転ルール等が微妙に異なり、また、ガバメントアクセスやデータローカライゼーション等の規定を設けている国もあるため、各国の自由なデータ流通を促進する動き(APEC CBPR認証、DFFT等)も顕著となっている。グローバルを対象としたビジネス展開やガバナンス高度化においては、各国のプライバシー関連法規制の動向を把握し、各国の拠点間におけるデータフローの可視化、個人情報の該当有無の精査、法規制対応状況のアセスメント、プライバシーデータの扱いに係るマニュアル・プロセス整備・従業員教育など、データマネジメント領域において多岐にわたる対応準備が必要となるため、専門家の知見・支援なども活用した検討推進が求められる。
アビームコンサルティングは国内・国外を問わずプライバシー関連法規制対応の支援実績があり、データマネジメント領域において「プライバシー法対応評価と対策支援」「プライバシーデータ利活用セキュリティ評価」「個人情報取扱マニュアル作成支援」等のサービスを有している。また、アビームコンサルティングでは、アセスメントで課題を抽出するだけ、あるべき姿を描きレポートするだけにとどまらず、実際のマニュアル・プロセス構築や従業員教育・運用支援等、現場・現物・現実に根差した実現力のあるコンサルティング支援が可能である。

インサイト

Contact

相談やお問い合わせはこちらへ