プライバシーテック研究所

世界の個人情報保護法を比べてみた!GDPR・CCPA・PDPAなど一挙紹介

2022.06.15

はじめに

最近公開されたAppleの最新CM「個人情報オークション」の影響で、プライバシー保護の重要性が高まってきたように思える。その一方で、「なぜここまでプライバシー保護が注目されているの?」と疑問を持つ方もいるだろう。

当たり前だが、個人情報保護法は各国・地域によって異なる。中でも日本の個人情報保護法は、比較的緩い方だと言われている。海外の個人情報保護法に目を向けると、個人情報保護がいかに重要なのか、気づくことができるかもしれない。

そこで本記事では、国内外の個人情報保護法の動向についてまとめてみる。

国内外の個人情報保護法の動向

国内外の個人情報保護法を紹介する前に、世界全体でプライバシー保護の関心が高まった時期について、ざっくりと解説する。

まず、日本では1950年代からプライバシーについて議論されていたようだ。1960年代に入ると、三島由紀夫の小説『宴のあと』のプライバシーの扱いを巡って、日本で初めてのプライバシー権の裁判が実施された。その影響もあり、当時は「プライバシーの侵害」が流行語となった。

1970年代に入ると、コンピュータの普及によって、欧州各国でプライバシーの危機が叫ばれるようになる。1970年にはドイツのヘッセン州で、1973年にはスウェーデンでデータ保護法が制定された。

そして1980年、西側諸国の先進国が集うOECD(経済協力開発機構)が、プライバシー8原則が示される。

OECDプライバシー8原則

  • 収集制限の原則
  • データ内容の原則
  • 目的明確化の原則
  • 利用制限の原則
  • 安全保護の原則
  • 公開の原則
  • 個人参加の原則
  • 責任の原則

これを機に、EU圏を中心に世界各国で個人情報保護法が制定されるようになった。最近では中国やタイなど、今まで個人情報保護法がなかったアジア圏でも広まっている。

日本

日本の個人情報保護法の歴史は、1988年に制定された行政機関個人情報保護法から始まる。また、1998年に民間部門の個人情報保護法となるプライバシーマーク制度が制定された。そして2003年に、個人情報保護法が成立し、2005年に全面適用される。それから改正を何度か繰り返し、現行の個人情報保護法となった。

2022年4月に施行された改正個人情報保護法の注目点としては、「個人関連情報」と「仮名加工情報」と呼ばれる新たな概念の登場や、罰則強化、個人情報利用の停止・消去等の請求権などが挙げられる。

日本の個人情報保護法は原則として、個人情報の保護だけではなく「適正かつ効果的な活用の促進」が目的となっている。この部分が、EUやアメリカの個人情報保護法の考え方と決定的に異なる。

EU

EUでは現在、GDPR(一般データ保護規則)が施行されている。GDPRは、世界で最も厳しいプライバシー法と言われている。詳しくは以下の記事を参照してみてほしい。

GDPRは第5条第1項で、個人データ処理の6原則を提示している。

GDPRは第5条第1項 個人データ処理の6原則

  • 適法性、公正性及び透明性
  • 目的の限定
  • データの最小化
  • 正確性
  • 記録保存の制限
  • 完全性及び機密性

そして第2項では「管理者は、第1項について責任を負い、かつ、同項遵守を証明できるようにしなければならない」といったように、個人データ保護を常に説明できるようにすることが定められた。

GDPRの適用範囲は、EEA(欧州経済領域)内の個人データを取り扱う事業者及びEAA内で商品・サービスを提供する事業者となっている。つまり、EAAの外に拠点を設置している企業にも、GDPRは適用される。

そして、GDPRに違反した場合、最大で2,000万ユーロ、または全世界売上高の4%のペナルティが命じられる。

以上がGDPRの大まかな内容だ。ちなみに、EUから脱退したイギリスも同様の法律を施行している。

また、2022年4月23日、EUがDSA(デジタルサービス法)の主要法案の基本事項に合意したことが発表された。

DSAはDMA(デジタル市場法)と共に、ビッグテックを狙い撃ちするための法律だ。

DSAでは、EU人口の10%である4,500万人以上のユーザーを保有する企業が規制対象となる。最終的な内容は説明されていないが、以下の項目が盛り込まれる予定だという。

DSA 予定項目

  • 宗教、性的指向、民族性に基づくターゲティング広告の禁止
  • ユーザーを特定の選択に導くような設計の禁止
  • レコメンドアルゴリズムの説明義務、ユーザーに最適化していない
  • サービスの選択を可能にする義務
  • 違法コンテンツ・商品を迅速に削除すること

そして既に、グローバル企業の多くが対策に乗り出している。例えば、Meta(旧:Facebook)傘下のInstagramは、時系列フィードの選択を可能にした。これは、「ユーザーに最適化しないサービス」という項目に対応したものだと考えられる。

また、任天堂とソニーは、イギリスにおけるサブスクリプション自動更新の設計を変更している。

このように、EUはDSAとDMAを施行することで、ビッグテックに対して強い規制を始めていくことになる。そして、EUの個人情報保護法の背景には、2000年に公布された欧州連合基本権憲章がある。EUの個人情報保護法は「個人の人権を守るためにある」というのが原則なのだ。キリスト教、特にプロテスタントの宗派が多いEUらしい考え方だといえる。

アメリカ

アメリカの個人情報保護法の歴史を辿ると、1974年のプライバシー法まで遡ることになる。このプライバシー法は、公的部門における個人情報保護法だ。当時、民間部門における個人情報保護法は、各分野ごとに法律が施行されていた。

基本的にアメリカでは、「情報の流れを自由にすることで成長を促す発想」が色濃く反映されている。まさに「自由の国アメリカ」というわけだ。そのため、世界各国と比べると、アメリカの個人情報保護法は緩いとされてきた。

その最たる例がFTC法第5条だ。FTCとは連邦取引委員会のことを指す。このFTC法第5条は、消費者プライバシー保護に関する法律だが、包括的な規制が明文されているわけではない。 個人情報を取り扱う企業は、あくまでも自主規制によってプライバシーの取り扱いを決定し、それを遵守すればOKなのだ。つまり各事業者は、自らが提示するプライバシーポリシーをしっかり守ればいい。

もちろん、プライバシーポリシーの内容に反する行為が確認された場合は、FTC法第5条が適用され、ペナルティを受けることになる。とはいえ、自分で決めたルールを守ればペナルティは回避できるので、やはり緩いことには変わりないだろう。

ところが、近年の情報社会に合わせて、アメリカでも包括的な個人情報保護法を策定しようとする動きが見られるようになった。それが2015年に発表された消費者プライバシー権利章典法案だ。この法案では、プライバシー保護の7原則が提示されている。

消費者プライバシー権利章典のプライバシー保護7原則

  • 個人のコントロール
  • 透明性
  • コンテキストの尊重
  • セキュリティ
  • アクセスおよび正確性
  • 適切な範囲の収集
  • 責任

そして以上の7原則に違反した場合にも、FTC法第5条が適用されるようになった。

以上が、アメリカの連邦が制定する個人情報保護法の概要だ。ただし、アメリカの場合、連邦だけでなく、各州の個人情報保護法に注目する必要がある。

一番注目されているのが、CCPA(カリフォリニア州消費者プライバシー法)だ。

CCPAは、以下の特徴が挙げられる。

CCPA

  • 消費者は、企業に対して個人情報の削除を要求できる
  • 消費者は、企業に対して個人情報の第三者提供の停止を要求できる
  • 請求1件に対して最大2,500ドル、故意である場合は最大7,500ドルの罰則

これらの特徴を見て分かる通り、CCPAは、個人情報保護のための権利を消費者に与える法律だ。CCPAに関しては、以下の記事を参照してみてほしい。

中国

中国は、近年まで個人情報保護法が存在しなかった。しかし、2015年に制定された国家安全法を皮切りに、安全保障のためのプライバシー保護の声が強まるようになった。

その流れでまず、2017年にサイバーセキュリティ法が施行された。同法は、個人情報保護のみだけでなく、オンライン上の情報の保護を目的とした法律だ。簡単に言うと、オンライン上のセキュリティ全般の法律だといえるだろう。ちなみに対象者はネットワークサービスの提供者や運営者となっており、政府や公的機関は対象外となっている。

また、2021年9月には、データセキュリティ法が施行される。同法では、データ全般の処理活動やデータセキュリティが規範化されている。その中にはもちろん、個人データも含まれている。

そして2021年11月、個人情報保護法が施行された。原則としては以下の項目が挙げられている。

中国の個人情報保護法

  • 合法性、正当性、必要性、信義誠実
  • 取扱目的の明確性と合理性、取扱目的との直接関連性、本人権利利益への影響が最小となる方法、最小範囲の個人情報の収集
  • 公開、透明性、ルールの明示
  • 情報の質の保証
  • 責任、安全確保
  • 法令遵守、国家安全、公共利益保護

法律内容の詳細については、以下の記事を参照してみてほしい。

中国の個人情報保護法は、GDPRとよく似ている法律内容だ。ただ、根本的に目的が異なっているように思える。GDPRは「市民のプライバシーを守ること」が主目的であるのに対し、中国の個人情報保護法は「国家安全」が主目的なのだろう。GDPRは市民のプライバシーリテラシーの強さが背景にあるが、中国の個人情報保護法は米国に対する牽制の意味合いが強いように思える。

韓国

韓国では2020年にデータ3法が改正・施行された。韓国におけるデータ3法とは「個人情報保護法」「情報通信網利用促進および情報保護などに関する法律」「信用情報の利用および保護に関する法律」のことを指す。詳しくは以下の記事を参照してみてほしい。

従来の個人情報保護法では、個人情報の判断基準が曖昧だったり、個人情報の保護機関が分散されていたりと、現代社会において不十分な内容だった。その影響もあり、EUの「十分性認定」に認定されず、EUとのビジネスで壁が存在していた。

ちなみにEUの十分性認定とは、データ移転先の国・地域の個人データ保護の水準がEU並みだと判断した場合に、EUからの個人データの移転が例外的に認められる仕組みのことを指す。つまり、EUの十分性認定に認定されなければ、EUからの個人データを受け取る際に、煩雑な手続きが必要になってしまうのだ。

だが、2020年にデータ3法が改正されたことで、2021年12月に、韓国はEUの十分性認定の採択を受けることができたようだ。

シンガポール

シンガポールの包括的な個人情報保護法であるPDPAは、2014年に全面施行され、2021年2月に改正が施行された。

PDPAは企業に対し、大きく分けて3つの義務を課している。

  • 個人情報保護に関する担当・責任者を選任しなければならない
  • PDPAで定められている10の原則に即した規定・手続きを整備・運用すること
  • 定めた規定・手続きについて、従業員に周知徹底・研修を行うこと

10の原則は以下の通りとなっている。

PDPA 10原則

  • 同意原則
  • 目的制限原則
  • 通知原則
  • 個人に対する開示および訂正原則
  • 正確性原則
  • 保護原則
  • 保持原則
  • 移転制限原則
  • 説明責任原則
  • データポータビリティ原則

PDPA違反の罰則は、是正命令及び100万シンガポールドル以下の罰金または年間売上高の10%までの罰金となっている。ただし、企業の規模によっては、さらに高額の罰金が科せられる。

タイ

2022年6月1日、タイの個人情報保護法(PDPA)が施行された。

タイのPDPAの基本的な内容は、GDPRとほとんど変わらない。ただし、罰則として1年以下の懲役もしくは最大100万タイバーツの罰金、またはその両方を含む「刑事罰」が生じる可能性がある点が異なる。また、最大500万バーツの罰金を伴う民事責任が生じる場合もある。

1年以下の懲役は、企業にとっては大きな痛手になるだろう。そして、タイのPDPAに違反した場合は、企業の取締役、管理職、またはその他責任者が責任を負う可能性がある。つまり、幹部クラス以上が懲役刑に科される可能性があると考えられる。

とはいえ現状は、SNSに投稿する写真や動画の取り扱いにばかり注目を集めている。今後、どのように展開するかは気になるところだ。

インド

現在、インドでは「2011年個人情報保護規則」が現行規制として存在している。ただし近年は、「2019年個人情報保護法」が国会で審議されている最中で、注目を集めている。

この、2019年個人情報保護法も、GDPRがモデルとされている。ただし、インド独自の要素が盛り込まれている点に注目するべきだろう。インド独自の要素は以下の通りだ。

  • 個人情報を取得する際の通知で、取得した個人情報の共有先を示す必要がある
  • 「重要データ管理者」「ソーシャルメディア仲介業者」「保護者データ管理者」という分類が存在しており、これらのデータ管理者は追加義務を負う
  • 毎年、独立データ監査人による監査を受けなければならない
  • 重要個人情報は、緊急医療対応などの例外を除き、国内で処理しなければならない
  • DPA(データ保護局)が新たに設立される→裁量権が大きい

インドの個人情報保護法の特徴は、データローカライゼーションの考え方にある。つまり、インド国内で発生するデータはインドの発展のために利用するべきだとする思想が定着しているといえる。そのため、GDPRに比べると、データ管理に対して、かなりのリソースが投入されている。企業も、データ管理のために、一定のリソースを投じる必要がありそうだ。

各国・地域で個人情報保護法の目的が異なる

本記事では様々な国々の個人情報保護法を紹介してみた。近年はGDPRモデルの個人情報保護法が増えているようだが、GDPRほどの厳しい罰則を設けなかったり、独自の要素を盛り込んだりと、各国で特徴がある。そして当然、それぞれの国で異なる思惑がある。

注視すべきなのは、EU、中国、インドのデータローカライゼーションの動きだろう。EUとインドで施行されると思われる、新法の動向に注目する必要がある。

まとめ

  • 世界中の国々が、GDPRをモデルにして個人情報保護法を施行・改正している
  • それぞれの国々で異なる背景があり、独自の要素が盛り込まれている
  • 米国の個人情報保護制度は基本的に緩いが、州によって規制の強さは異なる

参考文献

プライバシー保護法制の歴史的経緯

米国におけるプライバシー保護の動向と改正個人情報保護法に与えた影響

情報通信法学研究会通信法分科会、中国における個人情報保護法

PwC、タイ個人情報保護法(PDPA)の重要事項まとめ

JIPDEC、個人情報保護関連の海外の法制度の概要