今日、日本企業のグローバル化が進むとともに、顧客の購買情報や行動履歴等をビジネスに活用する動きも一層増加し、国内外を問わず個人データを共有する場面が目立ちます。
同時に、各国での個人情報保護法の強化も急速に進んでおり、特にEUの一般データ保護規則(General Data Protection Regulation:以後 GDPR)が施行されて以降は、多くの国でGDPRを規範とした法整備が進められています。
そんな中、グローバル進出を目指す多くの企業にとって「各国の個人情報保護規制への対応」は、避けて通れない重要な課題の1つです。
そこで本記事では、日本および世界各国の個人情報保護規制の概要と実態、および民間企業が行える対策について具体的に解説していきます。
そもそも個人情報保護法とは?
個人情報保護法は、民間事業者、国、独立行政法人、地方公共団体等を含む、個人情報を取り扱う機関が遵守すべき義務等を定めた法律です。従来の日本の法律では、民間企業や国、各地方公共団体などで適用される個人情報保護法制がバラバラであることが問題視されてきましたが、令和2年および3年改正法により、すべての法律と条例が「個人情報保護法令」に一元化されることとなりました。
個人情報とはなにか?
日本の個人情報保護法令では、「個人情報」について次のように定義しています。
①生存する個人に関する情報であり、当該情報に含まれる氏名、生年月日その他記述等(文書、図画、電磁的記録)により、特定の個人を識別することができるもの(他の情報と容易に照合でき、それにより特定の個人を識別することができることとなるものを含む)
(例:氏名、住所、顔画像、職種、肩書など)公刊物等(職員録、電話帳、HP、SNSなど)によって公にされている情報や映像・音声による情報も個人情報に該当します。
②個人識別符号
(例:指紋データ、DNA情報、マイナンバーなど)
「個人識別符号」は、それ単体で特定の個人を識別できる情報のことです。上述した指紋データ、顔認識データ、DNA情報などの身体情報の他に、パスポート番号、年金番号、マイナンバーなどが該当します。
個人情報保護法が民間企業に求めること
各国の法制には当然ながら違いが見られますが、その中にもある程度の調和が見られます。それをもたらしている国際的な枠組みはいくつか存在しますが、中でも代表的なものが「OECDプライバシーガイドライン」です。
1980年9月、プライバシー保護と個人データの円滑な国際交流および関連法制の調和を目的に採択された当ガイドラインの中には、「OECD8原則」と呼ばれる個人情報保護の基本原則が示されており、OECD加盟国はこの原則を国内法において考慮することが勧告されています。
【OECD8原則】
- 収集制限の原則:適正かつ公正な手段によって情報が収集されること
- データ内容の原則:利用目的に適合し、必要な範囲内であること
- 目的明確化の原則:個人データの収集目的が明確に示されること
- 利用制限の原則:明確化された目的以外のために開示、利用、使用されないこと
- 安全保護の原則:紛失、漏えい等の危険に対し、合理的に保護されていること
- 公開の原則:開発、運用および方針について一般的な公開政策がとられていること
- 個人参加の原則:自己のデータに対し確認、消去、訂正する権利があること
- 責任の原則:管理者は、諸原則を実施するための措置を遵守すること
つまり、多くの国はこれに則した法整備を行っているはずであり、事実として、主要各国の個人情報保護法制をOECD8原則と照らし合わせることで多くの共通点を見つけることができます。グローバル進出を検討している日本企業にとって各国法制を理解することは非常に重要なため、OECD8原則はその一助となるでしょう。
世界各国の個人情報保護法と規制実態
今日、世界各国で個人情報保護法制の導入が進んでおり、2019年9月時点で世界130以上の国で導入されていると言われています。
例えばアメリカでは、2020年1月から「カリフォルニア州消費者プライバシー法(以後CCPA)」が施行されましたし、欧州諸国でもEUのGDPRにより個人情報保護法制が一元化されています。アジア、中南米、アフリカでも約半数以上の国々で同様の法整備が進んでおり、未導入の国においてもGDPRを規範とした法制化を検討する動きが目立ちます。
GDPR|EU・欧州経済領域
2018年5月から運用されているGDPR(General Data Protection Regulation)は、EEA(欧州経済領域)における個人情報の取扱いについて定めた法令で、個人データの処理、個人データを欧州経済領域(以後EEA)から第三国に移転する際の法的要件について規定されています。
GDPRの主な特徴は次の通りです。
- 現地に拠点を置く幅広い組織(民間企業、公的機関等)に適用される
- 違反に対し厳しい行政罰が下される(巨額の制裁金等)
- 適切なセキュリティ措置の実施
- 個人データの侵害通知
- 個人の権利保護とその行使の円滑化※
※データへのアクセス、訂正、削除、制御、ポータビリティ、異議などの権利
GDPRの適用対象組織は、営利活動を行う民間企業、公的機関、地方自治体、非営利法人なども含まれ、つまりEU/EEA域内に現地法人、支店、駐在員事務所などを置くすべての組織が対応を求められます。また、EU/EEA域内に現地法人や支店を置かない場合であっても、インターネット等を介してEU/EEA域所在者の個人データを取得・移転する場合は、GDPRが適用されます。
また、GDPRは罰則が厳しい事でも有名で、GDPR違反の制裁金の上限額が2,000万ユーロ(27億円相当)を超える事もあるほどです。これは日本企業でも例外ではありませんので、巨額の制裁金というペナルティ対策の意味でも、GDPRへの対応を急ぐ必要があるでしょう。
CCPA|アメリカ・カリフォルニア州
2020年1月に施行、同年7月から運用されているCCPA(California Consumer Privacy Act)は、カリフォルニア州民の個人情報の取扱いについて定めた法令です。現在、アメリカ全土を適用対象とした個人情報保護法制は存在しないものの、CCPAを皮きりに、各州において包括的な個人情報保護法制が検討されています。
CCPAの主な特徴は次の通りです。
- 現地に拠点を置く「事業者」に適用される
- カリフォルニア州民の情報を扱う場合、事業所の場所を問わず適用
- GDPRより個人情報の定義が広い
- 個人データの移転は違法ではないが責務が伴う
- 罰金額は1件当たり最大2,500ドル、故意の場合は7,500ドル
CCPAとGDPRでは、適用範囲、個人情報の定義、罰則、データ処理の扱いなどで細かな違いはあるものの、大まかには共通しています。(がより厳格なのはGDPRでしょう)
最も大きな違いの一つは、CCPAの場合、適用対象組織が「事業者」に限定されている点です。CCPAでは「1. 年間総売り上げ2,500万ドル以上」「2. 年間50,000県以上のカリフォルニア州の消費者データを扱う」「3. カリフォルニア州の消費者のデータ販売が売り上げの50%を占める」の、どれか一つ以上に該当する営利組織を「事業者」として定義しており、該当する場合は日本企業であっても例外ではありません。
このように、CCPAとGDPRでは大小さまざまな違いがあるため、GDPRに準拠しているからといってCCPAにも準拠出来ているとは限りませんので、十分に注意が必要です。
PIPL|中国
2021年8月に可決、同年11月から運用されているPIPL(Personal Information Protection Law)は、中国国民に関連する個人データの扱いについて定めた法令です。
PIPLの主な特徴は次の通りです。
- 現地に拠点を置く幅広い組織(民間企業、公的機関等)に適用
- 現地に拠点が無くても、中国国民の個人データを扱う場合は適用
- 個人の同意なくデータを第三者や一般に公開/提供されない
- 違反に対し厳しい行政罰が下される(巨額の制裁金等)
- 個人データの移転時や侵害時に通知される
- 個人の権利保護とその行使の円滑化※
※データへのアクセス、訂正、削除、制御、ポータビリティ、異議などの権利
ご覧の通り、PIPLとGDPRには個人情報の定義、個人の権利保護、個人情報取り扱いの法的根拠、個人データの域外移転規制など、多くの点で類似していることが分かります。世界で最も厳格な個人情報保護法制とされているGDPRですが、PIPLはそれに匹敵する機密性の高さを有しています。
特に、個人データを国境を越えて移転する場合に企業に課される、様々なリスク評価及びテストの体系に、その厳格さが表れています。
PIPLでは、個人データを中国域外に移転する場合、データ受領者の処理活動がPIPLの規定と同程度の保護を満たすような措置を講じていることに加え、後述する4つのうちいずれかの条件を満たし、さらに当該個人に個別の同意を得ることで、初めて可能となります。
個人データ域外移転に伴う4つの条件
- CIIOs※および個人情報処理組織に求められるセキュリティ評価に合格すること
- 認定機関が実施する個人情報保護認証を受けること
- 外国の受領者と標準契約を締結すること
- 法規制または当局によって定められたその他状況
※CIIOs:重要情報インフラ運営者
グローバル進出を目指す日本企業がすべき個人情報保護対策
前述の通り、各国の個人情報保護法制において、民間企業に求められている対応はある程度共通しています。OECD8原則を軸に、各国の法令を詳細に把握し、専門家の力を借りながら準備を進めていくのが定石です。
なお、民間企業が今すぐ進められる有効な個人情報保護対策としては、「情報セキュリティの強化」が挙げられます。2022年4月から日本で施行される個人情報保護法、およびGDPRでも「適切なセキュリティ措置の実施」が義務付けられていますし、CCPAやPIPLでも同様の項目が存在します。
自社のWebサイト/アプリケーションは安全か?
一般に公開されているいないに関わらず、御社のWebサイトやWebアプリケーションは日夜、様々なセキュリティの脅威に晒されています。
Webサイトやシステムの脆弱性をついた「不正アクセス」や、悪意をもったデータ暗号化によって金銭を要求する「ランサムウェア」、その他にもハッキング、改ざん、DDoS攻撃など、挙げればきりがありません。
こういった脅威を防ぐために、最も手軽かつ有効な対策は、信頼の置けるセキュリティソリューションを導入することです。Webセキュリティの専門家に頼ることなく、低コストで、かつ多種多様な脅威に対応したいのであれば真っ先に検討すべき選択肢といえます。
今、少しでもセキュリティソリューションの導入を検討している方は、一度ペンタセキュリティの製品ラインナップをご覧ください。
アジア・パシフィック地域でNo.1の実績を持つWAF「WAPPLES」や、強力かつ包括てきなデータベース暗号化を実現する「MyDiamo」など、グローバルなセキュリティ対策に有効な製品がそろっています。
DB暗号化ソリューション D’Amoはこちら
