世界で最も厳格とされる「一般データ保護規則」いわゆるGDPR (General Data Protection Regulation) が欧州で施行されて以来、その影響により世界のプライバシー法規制の動きが大きく変わってきていると言われています。
米国のカリフォルニア州では2020年に、適用する個人情報の切り口は違うものの内容そのものはGDPRに近似した、「消費者プライバシー法 (CCPA) 」を施行しています。
一方アジア地域では、先行していたシンガポールが2021年に大幅改正し、同年に中国が個人情報保護法を施行開始しましたが、それらの内容もGDPRと類似したものとなっています。日本はシンガポール同様GDPRに先行して2003年には「個人情報保護法」を施行しましたが、GDPR施行以来改正を重ねるごとにGDPR要求内容を取り込んでいます。
本稿では、GDPRが世界で最も厳格と言われる理由を確認し、GDPRとその他世界のプライバシー法規制の制定・改正動向及びそれらにグローバル企業はどう対応していけばよいのかについて解説していきます。
GDPRの概要
GDPRは、欧州連合 (EU) を含む欧州経済領域(EEA)内に居住するデータ主体(個人データを提供する本人)の個人データの積極的利活用を促進するとともに、データ主体の権利・利益を保護することを目的とした法律で2018年5月25日から施行されています。
その適用範囲はEEA域内で直接取得する個人データにとどまらず、EEA域外から直接・間接的に取得する場合にも及ぶため、日本に本社を置くグローバル企業でEEA域内に拠点を持ちEEA域内個人データを共有する企業、日本からEEA域内に向けてインターネットサービス等を展開する企業にもGDPR準拠が必要となってきます。
まずはGDPRの概要を確認しましょう。その主な特徴を以下 表1 に整理しました。
表1 GDPRの主な特徴
| # | 項目 | 主な特徴 |
|---|---|---|
| 1 | 適用対象 | EEA域内に在住するデータ主体の個人データを取扱う全世界の組織・企業 |
| 2 | 個人の権利 | データへのアクセス権、「忘れられる権利」、異議申し立ての権利など10項目 |
| 3 | DPOの設置 | 大規模データ取扱い企業等へのデータ保護責任者 (DPO) 任命義務 |
| 4 | 高額制裁金 | 2,000万ユーロ (約32億円) 又は全世界年間売上高の4%のいずれか高い方 |
| 5 | 個人データの定義 | 氏名、電話番号、メールアドレス、画像等に加え、クッキー情報等への拡大 |
| 6 | 域外データ移転 | EEA域外第三国へのデータ移転規制 |
| 7 | 有事対応 | 漏えい等発生・確認後72時間以内での監督機関への通知 |
GDPRの厳しさ
GDPRは、その適用対象の広さ、個人情報定義の拡大、データ主体権利の拡充等それまでの常識を覆す内容で一躍注目を浴びました。しかし、それらにもまして特筆すべきはGDPRが世界で最も厳しい法律と言われる由縁ともなった、前表項目4番の「高額制裁金」ではないでしょうか。2,000万ユーロ (約32億円) 、または全世界年間売上高の4%のいずれか高い方という破格の金額となっており、既にメタ・アイルランドに対する12億ユーロ (約1,900億円) を筆頭に、2,000万ユーロをはるかに超える事案が20件以上発生しています。
次に注目すべきは、個人データ漏えい等発生時の72時間以内での監督機関への通知でしょう。特にその通知に含めるべき内容には、データ侵害の性質、関連するデータ主体の種類及び概数等に加え、データ侵害により起こり得る悪影響を軽減するための対策等、詳細かつ広範囲の情報が求められます。
その他にも、大規模データの取扱いや系統的データ監視を中心的業務とする企業に対するDPOの選任義務、EEA域外への個人データ移転規制やEEA域内に拠点を持たない企業に課される代理人の設定等の要求事項があり、日本のグローバル企業にとっては、言葉の問題、GDPRに関する知識の問題、時間差の問題等があり、頭の痛い課題と言えます。
米国の現状
このような厳格なGDPRですが、その施行は他の国々のプライバシー法規制にどのような影響を及ぼしたのでしょう。まずは米国の現状を見てみましょう。2025年3月現在、米国では包括的なプライバシー法は制定されていません。世界をけん引する大国がこのような重要な法令を制定していないとは奇妙ですね。その裏には、GAFAに代表される巨大プラットフォーマーの働き掛けがあると言われていますが、そのような米国でもプライバシー保護に積極的な組織がありました。カリフォルニア州 (以降、加州) です。GAFA発祥の地でなぜなのか、逆に発祥の地だったからなのか、興味深いところではあります。
加州は前述のごとく2020年1月に「カリフォルニア州消費者プライバシー法 (CCPA) 」を施行しましたが、その後CCPAを強化する形で「カリフォルニア州消費者権利法 (CPRA) 」が2023年1月に改正・施行しました (本稿ではCCPA/CPRAと併記して記述します)。CCPA/CPRAはGDPRの厳しさを踏襲しつつ、以下のような独自の側面を打ち出しました。
- ① 保護対象の拡大:
- 保護対象に、加州に在住する消費者のみならずその世帯に関する個人情報が含まれている
- ② 適用事業者の要件:
- 適用となる事業者の要件に、年間総収益、取扱い個人情報数、その取扱いから得ている年間収益等に対するしきい値が設けられている
- ③ 情報開示義務の強化:
- 「消費者個人情報」のカテゴリー、入手元、利用目的並びに第三者提供に係る情報等をプライバシーポリシーとしてホームページ等で公表し、かつ12ヶ月毎に見直し更新する義務が規定されている
- ④ オプトアウト権の明示:
- 消費者が自身の個人情報の販売・共有を拒否できるよう、を「Do Not Sell or Share My Personal Information (私の個人情報を販売・共有しないで) 」というオプトアウト権行使のためのリンク先をホームページ上に開示する義務が規定されている
CCPA/CPRA対応で最も懸念されるのは、プライバシーポリシー上での、開示すべき情報の多さ並びに消費者個人情報に係る情報の12ヶ月毎の見直し更新でしょう。ホームページはある意味会社の顔とも考えられ、そこからワンクリックで飛べる「プライバシーポリシー」もそれに準じた位置づけと考えられますので、米国で事業を展開する日本企業にとってCCPA/CPRAを意識した「プライバシーポリシー」の整備は喫緊の対応すべき課題と考えられます。
その後米国では、連邦法の検討が遅々として進まないなか、各州が次々に独自のプライバシー法を制定しています。その数は2025年3月時点で加州を含めて19州に及んでおり、その他の州も追随する動きを見せています。これらの多くはCCPA/CRPAの内容を踏襲していますが、その内容の濃さにおいてはCCPA/CPRAが群を抜いています。
その他の国の現状
これまで、米国の状況を見てきましたが、中国とその他の国々の状況も見ていきたいと思います。
1) 中国
中国の個人情報保護法 (PIPL: Personal Information Protection Law) はGDPR施行開始に遅れることおよそ3年後の2021年8月20日に制定され、同年11月1日に施行が開始されました。その規定内容には、個人情報域外移転のための越境標準契約 (Standard Contract Measures) 、最高額 2,000万人民元 (およそ 10億円) あるいは前年度売上高の5%以下の制裁金、個人情報保護影響評価の導入等GDPR類似の規程が含まれていますが、細かく見ていきますと微妙な違いが見えてきます。それらの代表的なものには以下のようなものがあります。
- ① 機微個人情報定義の広さ :
- 金融口座番号、異動履歴、14歳未満の未成年者情報の追加等
- ② 本人権利の広さ:
- 取扱規則説明要求権、死者情報同様権利行使権、訴訟提起権の追加等
- ③ 個人情報保護担当者の任命:
- GDPRが規定するDPOに似ていますが、その任命基準や役割が異なります
- ④ 個人情報処理の法的権限の違い:
- 処理する企業によって追及される正当な利益のための取扱いは含まれません
- ⑤ 複数の監督当局の存在:
- GDPRでは加盟国毎の単独の監督機関が設定されていますが、中国では3つの主要な監督機関が存在します
以上のように、法律としての考え方や枠組みは似ているのですが、具体的なルールにおいては中国独自の考え方が多く反映されています。これらの中で特に日本企業の中国法対応をより難しいものとしそうなのが⑤項の監督当局の多さです。この背景には、個人情報保護法が他の2つの法律と密接に関連して制定されている事があげられます。いわゆる中国のデータ三法と言われるもので、全体の基本を定める「サイバーセキュリティ法」とデータ管理をつかさどる「データセキュリティ法」それに「個人情報保護法」です。これらの法律の主務機関が異なるため、事案ごとにその監督当局も違ってくるということになります。中国事情に精通した弁護士事務所等との連携等が重要な鍵となりそうです。
2) その他の国々
その他にGDPR類似の法令整備を実施した国々としては、南米のブラジル、アジアのシンガポールやタイ、インドネシア及び韓国等が挙げられます。
ブラジルの一般データ保護法 (LGPD: Lei Geral de Proteção de Dados Pessoais) は2020年8月16日に施行されました。詳細な規定においては微妙な差異があるもののほとんどの要求事項はGDPRを基に整備されています。さらに、ブラジルは既に域外移転のためのツールとしての標準契約条項のルールを定めた国際データ転送規則も承認しており、企業が個人データを適切に国外へ移転できる仕組みを整備しています。
一方アジア地域でもGDPRを参考にした個人情報保護法の強化が進んでいます。
- ① シンガポール:
- 個人情報保護法(PDPA:Personal Data Protection Act 2012)の改正を2021年2月1日に施行
- ② タイ:
- 個人データ保護法(PDPA:Personal Data Protection Act, B.E. 2562 (2019))を2022年6月1日に施行
- ③ 韓国:
- 個人情報保護法(PIPA:Personal Information Protection Act)を2023年9月15日に改正
- ④ インドネシア:
- 個人データ保護法(PDP法:Law No. 27 of 2022 on Personal Data Protection)を2024年10月17日に改正
いずれもGDPRの厳しさには及ばないものの、データ主体の権利の保護や企業の責務の強化など、類似の個人情報保護強化を打ち出し、展開しています。
日本の現状
それでは日本の動きはどうでしょう。前述のごとく日本はGDPRに先行して2003年には「個人情報保護法」を施行していましたが、その内容はGDPRと比べるとそれほど厳しいものではありませんでした。しかしGDPR制定・施行の動きに呼応して、特に2020年に大幅な改正を実施し、その規制内容の強化を図りました。
個人情報保護委員会が発表した資料では、その改正のポイントを以下の6点として説明しています。
- ① 個人の権利の在り方:
- 個人情報の利用停止・消去等要求権等
- ② 事業者の守るべき責務の在り方:
- 漏えい等発生時の報告義務
- ③ 事業者による自主的な取組を促す仕組みの在り方:
- 認定個人情報保護団体制度の改正
- ④ データ利活用に関する施策の在り方:
- 仮名加工情報の創設
- ⑤ ペナルティの在り方:
- 不正提供罪、命令違反時法人罰金の最高1億円への引き上げ
- ⑥ 法の域外適用・越境移転の在り方:
- 外国企業による国内個人情報取扱い違反時の報告等の義務化
これら6つの改正ポイントを見ただけでも主要なGDPR要求事項を取り込んでいることが推察できますが、それでも、GDPRの厳しさを象徴する「高額制裁金」、「情報漏えい時の72時間以内の報告」、「DPO選任義務」等から見ればまだまだ穏やかな内容でした。ただし、2025年には「いわゆる3年ごとの見直し」によりさらなる強化策を盛り込んだ改正が予定されています。
日本企業が直面する課題対応の考え方
このような世界の個人情報保護ひいてはプライバシー保護強化の動きを受けて、グローバルで事業を展開する日本企業はどのようなことに留意し、どう対応していけばよいのでしょう。ここまでに説明してきた中で特に重要と思われる以下の2点への対応検討をお勧めしたいと思います。
1) GDPR準拠を基本とした個人情報管理体制の整備
本稿をここまでお読み頂いてお分かりかと思いますが、現在GDPRは個人情報保護における世界のデファクトスタンダード (事実上の標準) と言っても過言ではありません。GDPRに準拠した体制を整備することにより、多くの海外個人情報保護法対策が可能となりますので、グローバル企業としてはまずはGDPR準拠に向けた管理体制を整備すべきと考えます。
その点で言えば、日本にはプライバシーマーク(Pマーク)制度と言う第三者認証の仕組みが存在しますので、本マークを取得して体制を整備するのも一つの対応策と言えるかと思いますが、プライバシーマーク制度には海外法対応に関して以下のような懸念点が存在します。
- ① 適用対象が日本国内に拠点を置く法人のみなので海外子会社への展開がしにくい
- ② 認定審査対象が会社組織全体となっており、認定取得及び維持管理が大変である
- ③ Pマーク審査基準準拠だけではGDPRの要求要件全てをカバーできない
このような懸念点を解消するものとして考えられるのが、PIMS (プライバシー情報マネジメントシステム) と呼ばれるISO/IEC 27701規格です。現時点では、ISMS (ISO/IEC 27001:情報セキュリティマネジメントシステム) の拡張規格となっており、両方の規格認証の取得が必要となっていますが、ISMS要求事項を取り込んだ単独認証規格として整備される予定になっており、既にドラフト版が公開されています。
PIMSの主な特徴を挙げますと以下のようになります。
- ① GDPRの要求要件のほとんどを取り込んでおり、かつ他の国々の個人情報保護法にも適用できるような柔軟性を持った規格に整備されている
- ② 国際規格なので日本国内組織に限定されることはなく、海外子会社への適用が比較的容易となる
- ③ ISMS同様、部門等の組織やサービス単位で第三者認証を取得することが出来るので、取り組みやすくその後の維持管理も比較的容易となる
- ④ 反面、日本における普及度が低いため未だJIS規格化のめどが立っておらず、従って日本語の規格が存在しない
世界のプライバシー法規制の強化が今後も一層加速される可能性を考慮するならば、認証取得までとはいかなくとも、PIMSをガイドラインとした管理体制の構築・整備はグローバル企業がとるべき最良の対応策の一つと言ってよいでしょう。
2) 英文プライバシーポリシーの見直しと整備
お勧めするもう一つの対応案は、英文プライバシーポリシーの見直しと整備です。
GDPRは、保有する個人情報の取扱いに関連した各種情報の開示、データ主体の持つ権利並びにそれらの権利を行使するための手段の明示等多くの情報をプライバシーポリシー上で公開することを要求しています。また、CCPA/CPRAはそれらに加え、取得する個人情報の分類と入手元毎の個人情報種類、利用目的、販売あるいは共有先等の情報の開示と12ヶ月毎の見直し更新を要求しています。
既に一部の日本のグローバル企業はGDPRを基本とした英文プライバシーポリシーを整備し、かつCCPA/CPRA対応用の別表を用意していますが、未だに多くの海外展開企業が日本の個人情報保護法あるいはプライバシーマーク制度準拠の個人情報の取扱いページをそのまま英文化して開示しているようです。米国に事業展開していながらもGDPR対応のみで、CCPA/CPRA対応が出来ていない企業も散見されます。
企業の顔ともいうべきホームページ上からワンクリックで見に行けるプライバシーポリシーは、プライバシー保護に対する意識が高まる中、非常に重要なページです。欧州のGDPR対応を支援する多くのサイトでひな形が提供されていますし、EEA地域発祥のグローバル企業などの事例を参考にするのも一つの考え方でしょう。
まずはGDPR対応のプライバシーポリシーの整備を、加えてCCPA/CPRAを始めとしたその他地域の法令対応ページの追加検討が望まれます。
