はじめに

2018年にEUでGDPRが施行されてから、世界中でプライバシーを保護する動きが活発化してきました。 2020年には、カリフォルニア州のCCPAや、日本の改正個人情報保護法だけでなく、韓国や中国でも個人情報やプライバシーに関連する法律が施行されました。

そして、EUやカリフォルニア州・日本など、IT化が進んだ国・地域での厳しい規則に追随して、他の国・地域でもプライバシー保護に向けた動きが盛んになると考えられています。本記事では、以下の個人情報・プライバシーに関連する3つの法律について解説します。

EUのGDPR
アメリカ・カリフォルニア州のCCPA
日本の改正個人情報保護法（2020年度版）

詳しい解説は省き、それぞれの法律の概要や特筆すべき点をまとめて紹介します。

GDPR（一般データ保護規則）

GDPR（General Data Protection Reguration：一般データ保護規則）とは、EU（欧州連合）に居住する個人からの個人情報の収集と処理に関するガイドラインを定めた法的枠組みのことです。 1950年のEU人権条約の中で、「誰しもが、自分と家族の生活のプライバシーを尊重して取り扱うことのできる権利を持つ」と定められて以来、EUでは法律を通じてこの権利の保護に努めてきました。

インターネットの技術の発達していくにつれて、プライバシー保護に関する取り決めも最新に保つことが必要であると考えられたため、1995年にEUデータ保護指令が作成されました。そして、テクノロジーの発展に伴い、EUデータ保護指令が更新されたことによって2016年にGDPRが制定されました。（施行は2018年） GDPRは、以下のような企業が対象となります。

EU域内に拠点を持つ企業
EU向けにサービスを行う企業（EU外に拠点があっても対象内）
EUから個人データの処理について委託を受けている企業（EU外に拠点があっても対象内）

GDPRではオプトインを採用しています。個人情報の提供について肯定的な承認をすることをオプトインと言います。それに対し、個人情報の第三者提供に関して、個人データの第三者への提供を本人の求めに応じて停止することをオプトアウトと言います。つまり、GDPRにおいては、個人データを収集する際にデータの利用についての承諾を得る必要があります。

またGDPRは、EU域内の個人データをEU域外への移転する際の条件についても規定しています。 EUにはデータ移転先の国・地域の個人データ保護の水準が「EU並みである」と判断し、GDPRが定めた条件を満たす場合、域外への持ち出しを例外的に認める十分性認定という仕組みがあります。十分性認定を受けると、スムーズにEUから個人データを移転できるようになります。 2021年2月時点では、日本やスイス、イスラエルなど、12の国と地域が十分性認定を受けています。

（データ引用：https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/）

その他、詳しい内容はこちらで解説しています。
https://acompany.tech/privacytechlab/what-is-gdpr/

CCPA（カリフォルニア州消費者プライバシー法）

CCPA（California Consumer Privacy Act：カリフォルニア州消費者プライバシー法）とは、アメリカ・カリフォルニア州に居住する個人からの個人情報の収集と処理に関して定めた法律です。 IT産業の中心地であるカリフォルニア州では、企業による州民（法律に則り、以下「消費者」とする）の個人情報・プライバシーデータの取り扱いが増え、危険に晒される可能性が増大したため、プライバシー保護の需要が高まりました。そして、消費者が自らプライバシーを保護・管理できるようにすることを目的として、2020年1月にCCPAが定められました。

CCPAは、カリフォルニア州の居住者を対象としています。また、どこを拠点にするかは関わらず、特定の条件を満たし、カリフォルニア州の居住者の個人情報を取り扱う企業には、CCPAが適用されます。そして、消費者が自らプライバシーを保護・管理することを目的する達成するためにCCPAでは、企業に義務を課し、消費者に権利を与えています。企業は、

「個人情報がどのように利用するのか通知する義務」
「CCPAの権利を行使した消費者に対する差別の禁止」

など、消費者のプライバシーを守るための義務が課せられています。

一方、消費者は、

「個人情報がどのように利用されているのか知る権利」
「個人情報の削除を要請する権利」
「個人情報をオプトアウトする権利」

などを持ち、企業はこれらの要求に応じる必要があります。 CCPAでは消費者が企業に対してオプトアウトする権利を持つため、消費者の要求に応じて個人情報の販売を停止する義務があります。

その他、詳しい内容はこちらで解説しています。
https://acompany.tech/privacytechlab/what-is-ccpa/

改正個人情報保護法（2020年度版）

日本の個人情報保護法は、個人情報の有用性に配慮しつつ、個人の権利・利益を保護することを目的とした、個人情報の取扱いに関連する法律です。 2003年、高度にIT化した状況において個人情報を明確に保護する必要性が高まったため制定されました。そして、2015年に個人情報保護法の改正案が成立しました。（施行は2017年）この改正では、生体認証情報（指紋や声紋など）が個人識別情報であること、病歴などの要配慮個人情報は本人の同意を得ない第三者提供を禁止することが明文化されました。

加えて、匿名化処理を施した個人情報である、匿名加工情報という概念が導入されました。匿名化とは、特定の個人を識別することができないように個人情報を加工し、特定の個人情報を復元できないようにするデータ処理の方法です。匿名加工情報は、情報の項目や提供方法を公表することで、第三者提供が可能とされていました。しかし、匿名化処理したデータでも個人を特定できる、という報告がありました。そこで、第三者提供が制限されている、仮名加工情報という概念が、2020年度の改正で導入されました。

2020年度の改正では、不適切利用の禁止・第三者提供の規制強化など、様々な項目が追加・強化されました。これは、GDPRやCCPAなど、海外での個人情報・プライバシー保護に関する法律の影響を大きく受けていると言われています。そして、仮名化した個人情報である、仮名加工情報という概念を新たに導入しました。仮名化とは、データ内の特定の個人を識別できる情報を、削除または他の情報に置き換えることで、加工後のデータのみから、特定の個人を識別できないようにするデータ処理の方法です。仮名加工情報は、事業内部での目的外利用は許容されていますが、委託先以外への第三者提供が禁止されています。また、仮名加工情報は、保有個人データについての本人の権利行使と、個人データの漏えいなどの報告の対象外であるため、企業が個人情報を仮名加工情報として取り扱う場合に大きなメリットとなります。

2020年度改正では以下の個人データについて、オプトアウトによる第三者提供ができなくなりました。

要配慮個人情報
不正な手段により取得された個人情報
他の事業者がオプトアウトの規定に基づき取得した個人データ

その他、域外における強制力の伴う命令が可能になり、海外の事業者にも適用することができるようになりました。

まとめ

GDPRは、EUに居住する個人からの個人情報の収集と処理に関するガイドラインを定めた法的枠組みである。
GDPRではオプトインを採用している。
CCPAは、企業に義務を課し、消費者に権利を与えることで、自らプライバシーを保護・管理することを目的としている。
CCPAではオプトアウトする権利を消費者に与えている。
アメリカのIT産業の中心地であるカリフォルニア州に追随し、他の州でもプライバシーに関連する規則が設けられると、考えられている。
日本の改正個人情報保護法は、個人の権利・利益の保護と個人情報の有用性のバランスを図るために制定された。
2020年度の改正では「仮名加工情報」を新たに導入し、事業内部における個人情報の活用についての規制が緩和された。
GDPRなど、海外の動向の影響を受け、不適切利用の禁止・第三者提供の規制強化など、個人情報の取り扱いが厳しくなった。

本記事では、日本の改正個人情報保護法・GDPR・CCPAの概要や違いについて解説しました。また、中国・韓国における個人情報保護に関連する法律について、以下の記事で解説しているので、ぜひご覧ください。
https://acompany.tech/privacytechlab/chinese-privacy-law/
https://acompany.tech/privacytechlab/south-korean-privacy-law/