はじめに
昨今、世界のあらゆる地域で個人データ及びプライバシー保護法の制定が進んでいる。
たとえば、中国では2021年11月から個人情報保護法が施行される。
また、各国の企業がこうした法制度の対象となり、罰則を受ける企業も相次いでいる。
例えば2021年9月、アイルランドのデータ保護委員会はメッセージアプリのWhatsAppに対し、2億2,500万ユーロの制裁金を科したと発表している。
グローバル化が進み、一企業が複数地域で事業を展開することが増えてきている現代において、地域ごとの個人情報の保護に関する罰則規定はどのような違いがあるのか。
本記事では、各国の個人情報保護法に関する罰則について、日本、アメリカ、EUの代表的な法規制を比較することでその違いを明らかにする。
分析対象
本記事では、日本、アメリカ、EUにおける個人情報保護法のうち、代表的なものに絞って比較をおこなう。
日本では個人情報保護法を、アメリカではCCPA、EUにおいてはGDPRを参照し、それぞれの罰則について比較をしていく。
なお、罰則の前提条件ともなる各法規制の詳細については、各解説記事を参照されたい。
それぞれの規制対象
まず、罰則について説明を始める前に、各法規制の対象の違いから確認していく。
まず、日本の個人情報保護法は、生存する個人に関する特定の条件を満たした情報を取扱う事業者を対象とする法規制である。外国に居住する外国人の情報であっても、日本において活動を行う個人情報取扱事業者がこれを取扱う場合に、個人情報保護法の対象となる。
それに対し、アメリカのCCPAは、カリフォルニア州で事業を行っており、かつ、ある程度の条件を満たした企業にのみ適応される。
さらに、EUのGDPRでは、EAA域外で活動する事業者であっても、EAA域内の個人データを扱う場合には適応対象となる。
このように、同じ個人情報の保護に関する法規制であっても、規制対象が異なる点には注意が必要だ。
罰則の原因
続いて各法規制において、どのような行為を行うことで罰則の対象になるのかをまとめた。
罰則の原因となる行為についての法規制によって様々である。
日本の個人情報保護法は、簡単に以下のどちらかに該当した場合に罰則の対象となる。
- 個人情報保護委員会の勧告に適切に対応しなかった場合
- 個人情報データベースを不正に扱った場合。
つまり、個人情報の保護のために規定されているルールを破る行為に対して罰則が生じる。
EUのGDPRも同様で、あらかじめ示されているルールに従わない行為によって罰則の対象となる。
これに対し、アメリカのCCPAでは、
- カリフォルニア州司法長官に提訴された場合
- 消費者による提訴が行われた場合
というように、事業者が提訴されてはじめて罰則の対象となる。
違反時の罰則
法規制違反時の罰則を書き出すと下図のようになる。
罰則規定の違いに注目する。
まず、日本の個人情報保護法の場合、一般的な罰則対象の行為には1年以下または、100万円以下の罰金が課せられる。これに加え、違反者が法人の従業者である場合には、法人に対しても罰則が適応され、最大で1億円以下の罰金が科せられることとなる。
これに対し、アメリカのCCPAの場合は訴えを起こす主体が、州司法長官か、個人かの違いにより、罰金の金額レンジが変化する。
さらに、EUのGDPRでは、違反内容の違いにより、罰則の上限が変動する。
まとめ
各国の個人情報保護法に関する罰則について、日本、アメリカ、EUの代表的な法規制を比較することでその違いを明らかにした。
参考
個人情報取扱事業者等が個人情報保護法に違反した場合、どのような措置が採られるのですか。