個人情報保護強化の世界的潮流
主任研究員 堀田 周作
1.個人情報保護強化の世界的潮流
個人データがインターネットを介してボーダレスに利活用されるデジタル社会において、企業はマーケティング等に際して個人データを活用し、ビジネスを拡大してきている。GAFA(米国を代表する巨大IT企業であるGoogle,Amazon,Facebook,Appleの総称)に代表されるプラットフォーマーがその最たる例で、データ量の増加とプロファイリングによる予測分析等により、個人データの利用価値が益々高まっている。その一方で、欧州委員会が2019年3月に公表した欧州の住民のサイバー犯罪に関する意識調査結果では、回答者の79%がサイバー犯罪の被害者になるリスクが増加していると回答しており1、人々のインターネットセキュリティーに対する不安は根強い。こうした背景を踏まえて各国において個人情報の取扱いに関するルールの整備・強化が進められている。2018年5月に欧州域内の個人データ保護を規定するGDPRが施行され、2020年1月1日からカリフォルニア州ではカリフォルニア消費者プライバシー法(CCPA)が施行される。新興諸国に目を向けると、タイでは2020年5月にタイ個人情報保護法(The Thailand’s Personal Protection Act)が、ブラジルでは2020年8月にブラジル個人情報保護法がそれぞれ施行予定であり、インドでもGDPRをベースにした個人情報保護法が現在策定されている。また、日本では2020年に個人情報保護法の改正が予定されている。
2.欧州一般データ保護規則(GDPR)
(1)概要
GDPRは、企業による個人データの取扱いと欧州域外への移転に関する規則等個人データのルールを定めている。個人データは「識別された、または識別され得る自然人(データ主体)に関する情報と定義され、氏名、住所やクレジットカード情報だけでなく、位置情報、IPアドレスやオンライン識別子のような技術的情報など、直接的または間接的を問わず、ある個人を特定することができる情報とされている。GDPRには日本の個人情報保護法にはないデータポータビリティに関する規定があるなど、個人データの定義や個人の権利は日本の個人情報保護法よりも適用範囲が広い。
GDPRは欧州31ヵ国2の住民の個人データが対象であるが、欧州域内から域外へ個人データを移転させる場合にはGDPRで定められた基準をクリアする必要がある。欧州域内に拠点がある日本企業や欧州でサービスや商品を提供している日本企業はGDPRの対象となるため注意が必要である。なお、日本は欧州委員会から十分なデータ保護の水準を確保しているとされる「十分性認定」3を受けており、個人データを移転する事業者間でデータ移転の際に必要となる標準データ保護条項4の締結や本人の明示的な同意が不要となるため企業の事務手続きは軽減されている。
また、GDPRには企業に重大な違反が発覚した場合に制裁金を課す規定があり、2,000万ユーロもしくは全世界売上総額の4%のいずれか高い方を上限とした額が制裁金として課せられる5。
(2)GDPR施行後の状況と今後の展開
欧州委員会で法務、消費者権利、男女平等を担当するベラ・ヨロウバー委員は2019年7月に発表したGDPR施行後1年を総括した声明文で、「GDPRは実を結びつつあり、欧州の人々は自身の個人データを管理するための強力なツールを実装した」と述べている6。
欧州委員会が2019年5月に公表したデータ7によると、個人データの取扱いについて、住民から欧州各国当局へ寄せられた照会(Queries)と苦情(Complains)の合計は約14万件、データ漏えい通知件数は約9万件に達した。GDPRの存在がEU域内の住民の間で浸透し、消費者の個人情報取扱に対する意識が高まっていると考えられる。
GDPR施行以降、企業に制裁金が課せられる事例が生じており8、主な事例は(図表1)のとおりである。Marriott Internationalの事例では漏洩元がMarriott Internationalが買収したホテルで、買収以前からデータが漏えいしていたことが発覚し、企業買収時のデューデリジェンスの重要性にスポットがあてられた9。
(出典)各種資料をもとにSOMPO未来研究所作成。
上記の状況からGDPRは一定の目的は達成しており、またすみやかに見直しが図られていると考えられる。欧州委員会は産業界、団体および専門家に対してGDPR施行後の影響や認識された課題に関するアンケートを実施し、2019年6月に公表したレポートでその結果を概括している10。多くの回答者がGDPRは消費者の基本的人権を守る上で重要なものであると認識する一方、各国の国内規定がGDPRの要求を上回る場合があり、それが事業者への負担となっていると指摘している。例えば、GDPR37条は公的機関などに対して、個人データの保護を任務とする「データ保護オフィサー」(Data Protection Officer : DPO)の任命を求めているが、ドイツでは個人データを扱う従業員が10名以上所属する企業は必ずDPOを任命しなくてはならない。DPO任命による追加の人員確保は、特に中小企業への負担が重くのしかかっている。
欧州委員会が2019年7月に公表したレポート11では、ドイツのDPO任命規定に触れ、今後は各国監督当局との対話を通じてGDPRで求められる水準以上の規定を設けないよう事態の改善に向けて努力を続ける旨が示されている。
また、電子通信データに関するプライバシーを保護するeプライバシー規制の最新案が2019年10月に公表され、現在も施行に向けた審議が進められている12。eプライバシー規則ではユーザーのオンライン行動が追跡できるクッキー情報も保護の対象となっており、今後企業がクッキー情報を取得する場合に規制の対象となり、違反が発覚した場合はGDPRと同様の制裁金が課せられる。
3.米国カリフォルニア州消費者プライバシー法(CCPA)
(1)制定の背景
アメリカでは日本や欧州のように個人情報保護に関する包括的な連邦法や州法は存在せず、児童の情報保護を規定したCOPPA13や医療保険分野のHIPPA14等の事業分野別の連邦法が存在するセクトラル方式が採用されてきた。しかし、2018年3月に発生したFacebookの個人情報不正流出事件15やGDPR施行を契機に個人情報の取扱に対する消費者の意識が高まり、カリフォルニア州では包括的な個人情報保護法制定に向けた法案への住民の署名が集められた16。これを受けてカリフォルニア州議会では法案を作成、2018年6月28日に知事が署名し、CCPAが成立した。成立後も多くの修正案が提出され2020年1月の施行時点の条文が確定しない状況が続いてきたが、2019年9月に修正案に関する議会の審議を終了し、同年10月11日に知事が署名し確定した。
(2)概要
CCPAでは適用対象とする事業者を、個人情報を取得し、その利用の目的と方法を決定する営利目的の事業者であって、カリフォルニア州で事業を行う次のいずれかの要件に該当する者としている。
➢年間売上高が2,500万ドルを超えている。
➢年間合計50,000件以上の消費者、世帯もしくはデバイスの個人情報を商業目的で入手、購入、販売、共有している。
➢年間売上高の50%以上を消費者の個人情報の販売から得ている。
事業者にはグループ会社や当該事業者とブランドを共にする事業者も含まれるため、カリフォルニア州に子会社を開設してブランド展開する日本企業も対象となる可能性がある。
CCPAでは個人情報を、カリフォルニア州の住民または世帯を、識別し、結び付け、直接もしくは間接に合理的に追跡し得る情報と定義している。世帯に関する情報が含まれるのはGDPRにもない特徴的な点である17。また、オンライン上の閲覧履歴、検索履歴や生態認証データ等を幅広く個人情報の範囲とすることが明記されている。
事業者には、個人情報の取得時点までに取得予定の情報の種類および利用目的を知らせる義務がある。オンラインのプライバシーポリシーまたはウェブサイトにおいて、過去12か月に取得した個人情報の種類、情報源の種類、取得等の目的、個人情報を共有する第三者の種類等を開示し、かつ12か月に1回見直すことが求められる。CCPAは個人情報となる情報の範囲がGDPRよりも広く、プライバシーポリシーの年次更改義務などGDPRでは要求されていない規定が存在するため、事業者はその差異に留意しながら対応を進めることが求められる。
カリフォルニア州の住民の主な権利と事業者の主な義務は、(図表2)のとおりである。なお、消費者が開示請求権等の権利を行使したとしても、事業者はサービスを提供しない、商品を販売しない等消費者を不当に差別することが禁じられている。この差別禁止規定は、CCPA独自の規定でGDPRでは明文化されていない。
(出典)各種資料をもとにSOMPO未来研究所作成。
CCPA違反に関するエンフォースメントとしては、消費者による提訴と州司法長官による提訴がある。
消費者は、事業者に安全管理措置に違反があり、自己の個人情報が暗号化または修正されずに漏洩した場合に、事業者に対して、損害賠償や差止を求めることができる。損害賠償の上限は、1事故1消費者ごとに100ドル以上750ドル以下の法定損害または実損害のいずれか高い方とされている。なお、法定損害賠償の場合、消費者は事業者に対して事前に違反を通知し、その日から30日以内に事業者が違反を是正し、再発防止策を提出した場合には、消費者は法定損害賠償を請求することはできない。
また、州司法長官は事業者がCCPAの規定に違反し、30日以内に是正できなかった場合は、事業者に対して訴訟を提起でき、7,500ドルを上限に民事上の罰金を課すことができる。
GDPRでは監督当局によって課せられる巨額の制裁金が注目されるが、CCPAでは住民による訴訟がクラスアクションに発展し、高額の賠償損害を負う可能性がある。
(3)今後の動向
2019年10月に公表された具体的な権利行使手続き等をまとめたガイドラインへの意見募集が12月6日で終了し、現在はガイドラインの修正作業が続けられている18。CCPAのガイドラインには不確定要素もあるが、施行を目前に控え、多くの企業が急ピッチでCCPAへの対応準備を進めている。
また、ニューヨーク州やワシントン州でも個人情報保護法案の制定にむけた動きが見られる。州レベルでの個人情報保護関連の法案制定により、個人情報を取扱う事業者の負担が増大するため、事業者は包括的な連邦法の制定を要望しており、今後の動向が注目されている19。
4.新興国の動向
近年、新興国20においても個人情報保護法制の整備・強化が進められている(図表3)。タイ、ブラジルではGDPRの影響を受けた法律が制定され、事業者に個人情報の取扱いに関する様々な義務が課せられており、欧米に限らず、必要な対応事項を確認し、実施していく必要がある。
(出典)各種資料をもとにSOMPO未来研究所作成。
5.日本個人情報保護法改正の動向
日本では個人情報保護法が2017年に改正されてから約2年が経過した。個人情報保護法は、個人情報保護法制の国際的な動向、情報産業技術の発展、それに伴う個人情報を活用した産業の状況等を勘案して、必要に応じて3年ごとに法律改正等の措置を講ずることとされている21。2020年の改正に向けて個人情報保護委員会は、2019年4月に「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」を公表し、意見募集を経て、2019年11月29日に「個人情報保護法いわゆる3年ごと見直し制度改正大綱(骨子案)」を公表した。骨子案では、個人情報に関する個人の権利、事業者の義務を拡大する内容が示されている(図表4)。また、個人データの越境移転の多様化を踏まえ、海外の事業者も個人情報保護委員会の報告徴収および命令の対象とされている。
(出典)各種資料をもとにSOMPO未来研究所作成。
なお、今回の改定では、企業が個人データの削除に応じる「忘れられる権利」の導入は見送られた。今後は、骨子案をベースに年内に大綱が取りまとめられ、来年の通常国会で改正法案が提出される見込みである。
6.おわりに
個人データの利活用が進み、データ価値が高まる一方で、個人情報に関わる不祥事件が相次いでおり、消費者において自身の個人情報がどのように利用され、共有されているか関心や不安が高まっている。各国の個人情報保護法制強化の潮流は、現代社会の要請とも考えられ、GDPRが契機となって世界各地へと波及し、各国の消費者の意識や個人情報保護法制に影響を与えている。
消費者から取得した個人情報を適切に扱うことは事業者にとって消費者と信頼関係を構築するうえで最も重要な事項の1つである。近年では事業のグローバル化に伴いボーダレスにオンラインで個人情報が利活用されることが前提となりつつあり、Facebookの個人情報不正流出事件のように個人情報の不適切な取扱いが発覚した場合は、事業者のレピュテーションに甚大な影響を与えるだけでなく、場合によっては市場から淘汰される可能性もある22。個人情報が日々グローバルに利活用される現代社会において、事業者はGDPRやCCPAに対応するだけでなく、消費者が安心して個人情報を提供して情報技術の恩恵を享受できるよう、個人情報保護に向けた取組みを継続することが求められている。
- European Commission, “Internet security : what Europeans think” March, 2019
- EU加盟28ヵ国に欧州経済領域(European Economic Area)のアイスランド、ノルウェー、リヒテンシュタインを加えた31ヵ国。
- European Commission, “EU Japan Adequacy Decision” January 2019
- GDPR第46条標準データ保護条項(Standard Data Protection Clause)とは当事者間で締結されるデータ移転に関する合意書のこと。
- 個人情報の漏洩があったとしても、その事実をもって即制裁とはならないが、漏洩事故が発生するということは何らかのかたちでGDPRを順守できていない可能性があると判断される。
- European Commission, “General Data Protection Regulation shows results, but work needs to continue” July 24, 2019
- European Commission, “GDPR IN NUMBERS” (visited August 20, 2019)
- British AirwaysとMarriott Internationalへの制裁金はあくまで予告金額であり本稿執筆時点で最終的な制裁金額は確定していない。
- 日本経済新聞「米マリオットがはまった「データ管理の罠」個人情報保護のリスク、M&A前に精査を」2019年7月17日
- European Commission, “CONTRIBUTION FROM THE MULTISTAKEHOLDER EXPERT GROUP TO THE STOCK-TAKING EXERCISE OF JUNE 2019 ON ONE YEAR OF GDPR APPLICATION”. June 13, 2019
- European Commission, “COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL” July 24, 2019
- Council of the European Union, “Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications)”, October 4, 2019
- Children’s Online Privacy Protection Act of 1998:COPPA
- Health Insurance Portability and Accountability Act : HIPPA
- 2018年3月に8700万人ものフェイスブックユーザーのデータをイギリスのコンサルティング会社であるケンブリッジ・アナリティカが不正に取得し、2016年のアメリカ大統領選挙に利用したと告発された事件。
- BUSINESS LAWYERS、「2018年6月成立、米国カリフォルニア州消費者プライバシー法の概要と日本企業に求められる対応」2019年9月10日カリフォルニア州では住民が作成した法案が一定の署名を集め、その後実施される有権者の投票によって可決されると法律が制定される制度が存在する。なお、住民主導で可決した法案は議会による改正ができず、改正には住民投票が必要となる。
- 世帯に関する情報例としては、車載GPSの情報や各家庭単位の電気や水道利用量データ等が考えられる。
- State of California – Department of Justice – Office of the Attorney GeneralのHP(Visited Dec 10, 2019)
- The New York Times, “Americans Will Pay a Price for State Privacy Laws”, Oct 14th, 2019
- 図表3の記載の他に、BRICsのうち、ロシアでは2015年9月に改正個人データに関するロシア連邦法が、中国では2017年6月1日に中国サイバーセキュリティ法がそれぞれ施行済みである。
- 2017年の改正法で3年ごとの見直し規定が導入された。
- 前掲注15の事件において、その後ケンブリッジ・アナリティカは廃業となった。
PDF:1MB
PDF書類をご覧いただくには、Adobe Readerが必要です。
右のアイコンをクリックしAcrobet(R) Readerをダウンロードしてください。
