Webサイト発注虎の巻ダウンロード
Webサイト発注虎の巻ダウンロード

グローバルビジネスをするなら押さえるべきGDPRとCCPA。日本企業の対応例も

ZIMA

個人情報と聞いて、何が思いあたりますか?

「個人情報保護法」では、「個人情報」を次のように定義しています。

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) をいう。
※引用元:個人情報保護委員会事務局

つまり、名前・住所・電話番号・年齢・国籍・性別・カード番号・個人番号(マイナンバー)・パスポートナンバーなどですね。

個人情報保護法は、日本で個人情報を取り扱うすべての組織、団体を対象とした法律になります。企業の場合、お客様情報だけでなく社員の情報も対象となります。これは死者の情報も同様とのこと。ただし、歴史上の人物は対象外のようです。

これに対し日本の各企業では、個人情報保護方針(プライバシーポリシー)ページをWebサイトに設置し利用者に対して公開することが推奨されています。

では、日本以外の利用者が対象である場合に、上記の対応のみで問題ないのでしょうか? 答えはNOです。世界では、さらに厳しい規制があるようです。そこで今回は昨今話題となっている「CCPA」「GDPR」について日本の個人情報保護法と比較しながらご説明します。

GDPR・CCPAってなに?

GDPRとは

「EU 一般データ保護規則(General Data Protection Regulation))」

略してGDPRと呼ばれており、同法は2018年5月25日から施行されています。EU域内(アイスランド、ノルウェー、リヒテンシュタイン含む)の個人情報の取り扱いに関する規則です。

CCPAとは

「カリフォルニア州消費者プライバシー法(California Consumer Privacy Act)」

略してCCPAと呼ばれており、同法は2020年1月1日から施行されています。アメリカ、カリフォルニア州内の個人情報の取り扱いに関する規則です。

日本の個人情報保護法と異なる点は?

日本の個人情報保護法

  • 対象

個人を特定できる情報(氏名、住所、電話番号、個人番号など)。

  • パーミッション

プライバシーポリシーの明示。

  • 管理体制

適切な管理。

  • 罰金

2022年4月1日より法改正により、1年以下の懲役又は100万円以下の罰金に処することを定めました。

GDPR

  • 対象

EUを含む欧州経済領域(EEA)域内で取得した個人情報に加え、IPアドレス、Cookie、IDFA、AAID等を含むあたりが厳格です。
※IDFA (Identifier for Advertisers) は、Appleがユーザーの端末にランダムに割り当てるデバイスIDです。
※AAID(Google Advertising ID)は、GoogleがAndoreidユーザーの端末にランダムに割り当てるデバイスIDです。

  • パーミッション

プライバシーポリシーへの明確な同意。提供情報についても厳格。

  • 管理体制

厳格な管理。

  • 罰金

全世界年間売上高の4%、または2,000万ユーロ(23億円)のいずれか高い方の罰金が科せられています。
※2021年にAmazon.comはGDPRに違反したとして7億4,600万ユーロ(約971億円)の罰金を科せられています。

CCPA

  • 対象

カリフォルニア州民の個人識別情報や、その世帯の識別情報も個人情報とする点が厳格です。

  • パーミッション

プライバシーポリシーへの明確な同意。提供情報についても厳格。

  • 管理体制

厳格な管理。

  • 罰金

違反1件あたり最大2,500ドル。故意の場合最大7,500ドルの罰金を科せられています。

国内企業の対応例

日本国内で各国を対象に事業を展開している企業のサイトでは、下記のように個人情報保護方針ページとは別にGDPRプラバシーポリシーを設けているようです。
ヤマトホールディングス
筑波大学
TEIJIN

その一方でCCPAの対応についても、規制対象となる企業については、上記とは別にGDPRプラバシーポリシーを設けているようです。大手企業の例を見てみましょう。
aws.amazon.com
slack.com
entrust.com

また、Cookieポリシーのページも別に設けるなど徹底しており、取り扱いについての同意も明確に行なっているようです。

CCPAの規制対象となる企業とは

私の大好きなニュースサイトGigazineが教えてくれました。

記事の中で取り上げているデータ処理を専門に行う企業TonicAIのブログ記事には下記のように記載されていました。対象の企業は、CA州で事業を行い、次の1つ以上の基準を満たす営利企業とのことです。

次の1つ以上の基準を満たす営利企業が対象
    1. 年間総収入が2500万ドルを超える
    2. 5万人を超える消費者、世帯、またはデバイスの個人情報を処理する
    3. PIIの販売から収益の50%以上を引き出す

参考記事:Gigazine_2020年から施行される個人情報保護法「CCPA」はGDPRよりも企業に厳しい内容である

最後に

いかがでしたでしょうか?

日本の個人情報に対する規定は世界に比べて対象範囲が狭いと感じましたが、GDPRが制定されて以降、世界を事業対象とした企業においては、GDPR対策が確実に進んでいるようです。

「GDPRってなに? CCPAってなに?」という声が、これから先さらに増えることと思いますので、この記事をご覧になった方はご自身でも色々な情報に目を向けてみてください。そんなきっかけとなることができたら幸いです。

それではZIMAでした。またお会いしましょう。