個人情報の保護は企業活動に欠かせない要素となり、各国で法整備が進んでいます。
この記事では、日本をはじめ、EUのGDPRや米国のCPRA、韓国のPIPA、中国のPIPLなど、主要な海外の個人情報保護法について、適用範囲や違反時の制裁、越境データ移転時の注意点などを紹介します。
個人情報保護法とは
個人情報保護法とは、企業や国、自治体など個人情報を取り扱うすべての機関が遵守すべき義務やルールを定めた法律です。
従来、日本では民間企業や行政機関ごとに法律がバラバラで運用が複雑でしたが、令和2年・3年の改正で「個人情報保護法」に一元化されました。これで個人情報の取り扱いに関するルールがよりシンプルでわかりやすくなり、安全な個人情報の管理が求められるようになりました。
そもそも個人情報とは
「個人情報」とは、生存する特定の個人を識別できる情報のことを指します。具体的には、氏名、生年月日、住所、顔写真のほか、メールアドレスや電話番号など他の情報と組み合わせて個人を特定可能な情報も該当します。
また、指紋や顔認証データなど身体的特徴に基づく符号や、マイナンバー・パスポート番号などの公的な番号や記号も「個人識別符号」として個人情報に含まれ、厳格な管理が求められます。
個人情報保護法の動向
世界の個人情報保護法は、EUのGDPR施行をきっかけに大きく変化しています。GDPRはEUだけでなく、EU域外で事業展開する日本企業にも広く影響を与える規制です。
最近では、韓国や中国などもGDPRを参考に法改正を進めており、グローバルでビジネスを展開する企業にとって、海外の最新の法規制動向を理解し対応していくことが、ますます重要になっています。
海外の個人情報保護法の適用範囲とは
海外の個人情報保護法の適用範囲や規制内容は、各国で大きく異なります。主な違いは下表のとおりです。
|
国・地域 |
法令名 |
適用対象 |
域外適用 |
対象情報 |
主な特徴 |
|
日本 |
個人情報保護法(APPI) |
国内の事業者 |
あり(国外から日本人情報を取扱う場合) |
氏名、住所、メール、識別符号など |
委託先管理、第三者提供制限、越境移転時は同意や認定が必要 |
|
EU |
GDPR(一般データ保護規則) |
EU内で活動またはEU個人に提供・監視する組織 |
あり |
個人識別可能な情報 |
同意明確化、データ主体の権利保障、DPO(データ保護責任者)の設置義務、最大年商4%または2,000ユーロの制裁金 |
|
アメリカ(カリフォルニア州) |
CPRA(カリフォルニア州消費者プライバシー法) |
カリフォルニア州民の情報を扱う一定規模の企業 |
実質なし(カルフォルニア州民対象で適用) |
消費者・世帯に関する情報 |
広い販売定義、オプトアウト権、罰則よりも訴訟リスクが焦点 |
|
韓国 |
PIPA(個人情報保護法) |
国内全事業者 |
あり(韓国人情報を扱う海外企業も対象) |
識別可能な個人情報 |
同意原則、移転制限、独立監督機関(PIPC)による運用、行政罰、刑事罰 |
|
中国 |
PIPL(個人情報保護法) |
国内企業および中国人に提供・分析する海外企業 |
あり |
識別可能な全情報(匿名化除く) |
国家安全重視、厳格な越境規制、制裁は最大売上5%または5,000万元、刑事罰 |
例えばEUのGDPRや、日本のAPPI、韓国のPIPA中国のPIPLは、一定の条件下で国外の企業にも適用されるため、注意が必要です。一方、米国カリフォルニア州のCPRAや東南アジア諸国のPDPAは、国内の事業者を主な対象としています。
また、越境移転規制は特にGDPRとPIPLが厳格であり、海外でのデータ管理には細心の対応が求められます。
海外サーバーも個人情報保護法の対象?
日本企業が海外サーバーを利用する場合、個人情報保護法の対象となるかは、サーバーが設置される国や地域によって異なります。下表は、法律ごとの範囲の違いです。
|
国・地域 |
適用範囲 |
越境データ移転 |
海外サーバー利用時の影響 |
海外拠点での法適用 |
違反時の制裁 |
|
日本(APPI) |
日本国内にある個人情報に適用 |
同意が原則、基準に適合した事業者への移転も可 |
所在地関係なく日本法適用 |
現地法、かつ日本人データは対象 |
法人に最大1億円、個人に懲役・罰金あり |
|
EU(GDPR) |
EU内個人に提供・分析で適用 |
認定国以外はSCCや同意必要 |
サーバー所在地は不問 |
EU域内に拠点があれば適用、域外の場合はEU域内個人に提供・分析を行う場合 |
最大2,000万€ or 年商4% |
|
アメリカ(カリフォルニア州)(CPRA) |
カリフォルニア州の個人情報を一定規模で取扱 |
基本自由、販売はオプトアウト必要 |
所在地では決まらない |
条件満たす現地法人に適用 |
最大7,500ドル/件、データ侵害時の訴訟リスク大 |
|
韓国(PIPA) |
韓国個人に提供 or 拠点保有で適用 |
同意が原則、例外条件あり |
サーバー所在地は不問 |
国内に拠点があれば適用、国外の現地法人は国内のデータ主体の個人情報を取り扱う場合 |
売上3%課徴金、罰金あり |
|
中国(PIPL) |
中国個人に提供・分析で適用 |
同意+評価・契約など厳格 |
原則として国内に保存、国外の移転には条件あり |
国内に拠点があれば適用、国外の現地法人は国内の個人に提供・分析を行う場合 |
最大5,000万元 or 年商5% |
例えば日本では、その地域の個人情報を取り扱う時点で法律が適用されますが、中国のPIPLでは中国国内の個人に対するサービスや行動分析を行った場合が対象になります。また、越境データ移転にも国ごとに異なる制限があり、利用時には各国法令の把握が不可欠です。
海外の主要な個人情報保護法
以下では、海外の主な個人情報保護法を紹介します。
GDPR|EU・欧州経済領域
GDPRは、2018年にEUで施行された世界でも最も厳格とされる個人情報保護法です。適用対象はEU域内の個人情報を扱う企業だけでなく、EU外からサービスを提供する事業者にも及びます。
データの最小化や保存期間の制限など6つの処理原則を定め、違反時には最大2,000万ユーロまたは全世界売上高の4%という高額な制裁が科される点も特徴です。人権保護を軸に設計されたGDPRは、各国の法整備にも大きな影響を与えています。
GDPRについてはこちらでも詳しく解説しています。
世界で最も厳しい個人情報保護法「GDPR」において、企業が実施すべき対策とは?
CPRA|アメリカ・カリフォルニア州
CPRA(カリフォルニア州プライバシー権法)は、2023年にカリフォルニア州で施行されたプライバシー保護法です。この州では、2020年に施行されたアメリカ初の包括的なプライバシー保護法であるCCPA(カリフォルニア州消費者プライバシー法)をさらに強化する目的で誕生しました。対象は州内の個人情報を一定規模以上取り扱う企業で、収集目的の開示やデータ削除、販売停止など8つの権利が消費者に認められています。
企業には情報の開示義務やオプトアウト対応が求められ、違反時には1件あたり最大7,500ドルの罰金が科される場合もあります。個人と世帯の情報が対象になる点も、CPRAの大きな特徴です。
PIPA|韓国
韓国のPIPA(個人情報保護法)は、情報通信網法や信用情報法とともに「データ3法」として個人情報を厳格に保護する法律です。2020年の改正により定義の明確化や監督体制の統一が図られ、GDPRに近い水準へと強化されました。
PIPAでは、氏名や住民登録番号はもちろん、単体で識別できない情報や仮名処理データも個人情報に含まれる点が特徴です。医療・位置・通信履歴など幅広い情報が対象となります。
PIPAについてはこちらでも詳しく解説しています。
最新の個人情報流出事例と韓国の「個人情報保護法」から、セキュリティ管理者が学ぶべきポイントとは?
PIPL|中国
PIPLは、2021年に施行された中国初の包括的な個人情報保護法で、中国国内外の企業が中国国民の個人情報を扱う際のルールを厳格に定めています。特に「域外適用規定」により海外企業にも適用される点が、大きな特徴です。
健康・位置・生体情報などの敏感情報には追加の同意が必要で、企業には同意取得や評価実施、代表者の任命など高度な管理が求められます。違反時は最大で売上の5%または5,000万元の罰金も科されます。
まとめ
世界各国で個人情報保護法の強化が進む中、企業にはGDPRやPIPLといった海外法制への対応も求められています。特に、越境データの移転や海外サーバーの利用に際しては、法適用の範囲や罰則を正しく理解し、技術面での備えも不可欠です。
ペンタセキュリティのD.AMOは、データベースの暗号化、アクセス制御、ログ監視などを通じて、企業の情報資産を多層的に保護します。日本を含むアジア各国での導入実績があり、各国の個人情報保護法に準拠したセキュリティ対策を支援しています。
Penta SecurityのD.AMOについてご興味がありましたら、お気軽にお問い合わせください。
