GDPR CCPA 個人情報保護法

事業者が押さえておきたい「GDPR」「CCPA」「個人情報保護法」とは

企業では、多くの個人情報を取り扱っていると思いますが、その取扱い、大丈夫ですか?

近年、個人情報保護法の改正に伴って小規模事業者も法律の適用対象となるなど、規制が厳しくなっています。

違反した場合、高額な罰金を科せられるケースも。

今回は、個人情報保護法に関して知っておきたい情報を解説します。

世界で施行されている法律から日本の法律まで分かりやすく解説しているので、ぜひ最後までお読みください。

GDPRとは

GDRPは「General Data Protection Regulation」の略で、日本語では「一般データ保護規則」と訳されます。

WEB上に存在する個人情報を保護する法律であり、2018年5月25日、EUで施行されました。

EUの加盟国、EEA加盟国の一般消費者や従業員の個人データが対象となっています。

GDPRの範囲

GDPRの適応範囲は、WEB上に存在するほぼすべてのデータです。

具体的には

  • 個人のメールアドレスやID
  • 顧客名簿
  • 取引先企業の従業員データや人事システム、組織図など
  • 個人の画像、音声、動画

などの情報が該当します。

IPアドレスやcookieなど一見すると個人情報と認識されていないデータも保護対象になっていて、こうした情報を取得するためには、本人の同意が必要です。

GDPRには、Web上にある個人情報の保護について

  • 個人情報を使用する目的達成に必要な時間以上に個人情報をもっていてはならない
  • 大量の個人情報を扱う必要がある企業は「データ保護オフィサー」を任命しておく必要がある

という規則も定められています。

GDPRの罰則規定

GDPRを破った場合には、最大で企業の世界年間売上の4%、または2000万ユーロ以下の高い方が罰金として科せられます。

2000万ユーロは日本円で約23億円。

最低でも約23億円の罰金が科せられる厳しい法律であるといえるでしょう。

CCPAとは

CCPAは、カリフォルニアで成立した個人の情報保護を目的とした法律です。

保護対象はあくまでカリフォルニア州民ですが、州外の事業者にも対応義務があるとされています。

2020年1月より施行されたCCPAは、GDPRよりも適応範囲が広いためさらに注意する必要があります。

CCPAの範囲

CCPAの対象となるデータは、カリフォルニア州民について識別、関連、結びつきがあり、たどることができるすべての情報とされています。

具体的には、

  • 住所、氏名、年齢、電話番号
  • IPアドレスやメールアドレス
  • 購入履歴
  • 指紋、声紋など
  • サイト閲覧履歴
  • 職歴や学歴

などが挙げられます。

メールアドレスは直接的に住所の特定には結びつかないように思われがちですが、メールがサーバーにのこっている場合にIPアドレスを割り出すと接続元が判明してしまう可能性があります。

こうしたリスクを回避するための法律が、CCPAなのです。

3月10日に閣議決定された「個人情報保護法」改正案

個人情報保護法改正案は、2020年3月10日に閣議決定された法律です。

「改正案」ということから分かるように、もともと、日本には個人情報保護法が存在していましたが、より今の時代に合わせたものに改正されたのです。 

たとえば、以前の個人情報保護法では半年以内に削除される短期保存情報は対象外でしたが、改正案では、短期保存情報も保有の個人情報をして扱うこととされました。

さらに、罰金額が「50万円または30万円以下」から「1億円以下」へと大幅に増額。

EUのGDPR、カリフォルニアのCCPAといった情報保護法にやや近づいたといえるでしょう。

GDPR、CCPA、個人情報保護法改正案、それぞれの違いとは

日本の個人情報保護法改正案は、諸外国の情報保護法に近づける形で改正されました。

それぞれの法律を比較し、特徴的な部分を紹介します。

Cookieの扱い

GDPRとCCPAと比較して個人情報保護法の特徴的なポイントとして、Cookieの扱いがあります。

Cookieとは、大まかに言うとWebサイトの閲覧記録のこと。

たとえば、サイト訪問日時や訪問回数、フォームへの入力情報やログイン履歴などです。

こうした情報はPCやスマホに蓄えられ、サイト閲覧やサービス利用をスムーズにしていますが、GDPRとCCPAではこうした情報も保護範囲に入っているのに対し、改正個人情報保護法では、Cookieは保護対象外。

こういうと、「個人情報保護法改正って大したことないじゃん」と思うかもしれませんが、改正個人情報保護法で対象外となったのは、Cookie情報を利用したマーケティングが下火になってきており、優先順位が下がったことが理由であると考えられます。

ただし、世界の情勢が不安定になり、ITビジネスに再び注目が集まっているので、状況によっては改正されることもありえるでしょう。

罰則規定

GDPR・CCPA・改正個人情報保護法の罰則規定は、それぞれ異なります。

それぞれの罰則規定は

  • GDPR:最大額は全世界で得た売上高の4%または2000万ユーロ
  • CCPA:請求1件あたり最大2,500ドル、故意だと判定された場合最大7,500ドル
  • 改正個人情報保護法:最大1億円

 

日本の場合、個人にも50~100万円以下の罰金が課せられます。

どの法律も厳しい罰則が設けられていることから、世界的に個人情報保護が注目されているといえるでしょう。

日本の企業へ与える影響

改正個人情報保護法をはじめ、諸外国で実施されている個人情報保護法は、企業に対して大きな影響を与えると考えられます。

今回の改正では、「個人情報を取り扱う事業者が不当な行為を助長するためにデータを利用してはならない」とされました。

しかし、どのような行為が不正行為の助長にあたるのかについては明記されていないため、今後、どのような行為が不正行為の助長に当たるのかを指すのかが明確になったとき、業務形態によっては多くの企業に影響が出るかもしれません。

日本の改正法では、個人情報保護法を3年ごと見直すことと明記されているため、見直しのタイミングで注目しておくことが必要です。

法律の適応範囲の拡大

個人情報保護法 改正

改正以前の個人情報保護法は、「5000件を超える個人情報を保有する事業者」に対して適用されていました。

つまり、個人データの数が少ない企業は対象外だったのです。

個人情報保護法の改正に伴い、たとえ数件でも個人情報を扱う事業者に対しては、個人情報保護法が適用されるようになりました。

適用範囲となる事業者の条件は

  • アドレス帳や電話帳、顧客や従業員リストを扱っている
  • 従業員や顧客情報をファイリングしている

というもの。

つまり、ほとんどの事業者が個人情報を取り扱っているとされ、法律の適用範囲になっているのです。

こうした法律の適用範囲拡大はとくに中小企業にとって負担になるという声もあります。

GDPRの影響

GDPRはEUに在住する個人などの情報を保護する法律です。

そのため、日本企業には関係が無いと思う方もいるかもしれませんが、実は、影響を受けている企業も数多くあります。

GDPRの影響を受ける企業は、ヨーロッパ圏に顧客や子会社がある企業や、データ処理などを委託されている企業など。

例えば、イタリア人からネットショップに発注があった場合も、保護対象となります。

もし違反した場合、罰金を支払う義務があるので、たとえ日本国内でしか事業展開していない企業でも最低限の知識は身につけておくことが必要といえるでしょう。

CCPAの影響

CCPAの影響を受ける日本企業とは、カリフォルニア州に住んでいる人の個人情報を年間5万件以上管理している企業や、カリフォルニア州に従業員や顧客企業があり、年間の売上が2,500万ドル以上の会社です。

アメリカという国の特性上、実際に被害がなくても損害賠償を求められるケースもあるため、カリフォルニア州の企業とやり取りのある方は特に注意が必要です。

まとめ

個人情報保護に関する法律は、時代とともに変化しています。

多くの人がネットを利用し、多くのデータがやり取りされている今、企業は個人情報の取り扱いに慎重にならなければなりません。

海外の個人情報保護法も日本企業に影響を及ぼす場合があります。

海外に拠点がある企業はもちろん、海外在住の人と取引のある企業は、海外の個人情報の取り扱いに対してより理解を深めなければならないでしょう。

今回紹介した内容を参考に、自社の対策に活かしてみてください。


参考