IT化が進む中、企業の大小を問わず重要なポイントになってくるのが個人情報に関するセキュリティの強化です。世界中で活発化するプライバシー保護の動きに日本も追従しており、2020年には改正個人情報保護法が施行されました。

今回は、世界レベルのセキュリティはどうなっているのか、アメリカ・カリフォルニア州のCCPAとEUのGDPR、2つの個人情報やプライバシーに関する法律をもとに解説します。

CCPAとは？

CCPA（California Consumer Privacy Act：カリフォルニア州消費者プライバシー法）は、2020年にアメリカ・カリフォルニア州で制定された米国初の個人情報保護法です。

この法律はカリフォルニア州の居住者を対象にした法律で、拠点とは関係なく特定の条件を満たしているカリフォルニア州居住者の個人情報を取り扱う企業に対して適用されます。

CCPAの下では消費者側に個人情報がどのように利用されているのかを知る権利や個人情報の削除を要請する権利、個人情報の第三者への提供を停止することを求める権利などが与えられます。

一方企業側には、これらの要求に応じる義務が課せられ、これらの権利を行使した消費者に対する差別も禁じられます。

GDPRとは？

次に、GDPRについて見ていきましょう。

GDPR（General Data Protection Reguration：一般データ保護規則）は、EUに居住する個人からの個人情報の収集と処理に関するガイドラインを定めたもので、2016年に制定され2018年から施行されています。

GDPRの対象となる企業は、EU内に拠点を持っている企業のほか、拠点がEU外であってもEU向けにサービスを行っている企業、EUから個人情報の処理について委託を受けている企業など幅広く設定されています。

GDPR適用企業は、個人情報を収集する際、そのデータを利用することについて消費者の承諾を得る必要があります。また、GDPRではEU内の個人情報をEU外に移転する際の条件も規定しており、定められた条件を満たすとスムーズに個人情報の移転が可能になる「十分性認定」を受けられるという仕組みになっています。

それぞれの違いは？

CCPAとGDPRそれぞれについて解説してきましたが、ではこの2つの法律にはどのような違いがあるのでしょうか？

まず第一に、ともに個人情報について定めた法律ですが、そもそも個人情報の定義が異なっています。

CCPAではカリフォルニア州民やその世帯の個人を識別でき得る情報を個人情報と定義しています。一方のGDPRでは、公開されている情報を含む個人の情報及び、他の情報と組み合わせることで個人と識別でき得る情報のことを個人情報と定義しています。

次に、定義された個人情報の使用についても違いが見られます。

CCPAでは、消費者から要求のない限り、個人情報を利用すること自体は禁じられていませんが、GDPRでは事前に許諾を得ていない個人情報を利用することは禁止されています。

そして企業が手に入れた個人情報の第三者提供についてですが、CCPAは消費者から提供停止の要求がなければ可能としています。一方GDPRでは、そもそもの収集時に情報の利用目的や第三者提供の可能性について明示し同意を得る必要があります。

一見個人情報に関する同じような法律に見えるCCPAとGDPRにも、このようにいくつかの相違点があることがお分かりいただけたのではないでしょうか。

事業者がすべきこと

CCPA、GDPRそれぞれの内容を見てきましたが、ではこれからの時代、事業者側にはどのような行動が求められていくのでしょうか？

最も重要なことは、取り扱っている個人情報を改めて把握し、収集や管理の仕方を見直すことです。さらに、消費者が情報開示や情報の第三者提供停止を求めてきた場合に備えた準備も必要となっていきます。

CCPAはGDPRよりも対象範囲が狭いように感じるかもしれませんが、カリフォルニア州の人口はおよそ4000万人と多く、アメリカでビジネスを展開しているほとんどの企業がその適用対象であると言っても過言ではありません。

IT化の流れの中で、ビジネスには国境がなくなってきています。例え自社が対象企業でないとしても、取引先の中に対象者がいるかもしれないと自分事に捉え、改めて、自社の個人情報取り扱いに関する環境をチェックすることが求められています。

まとめ

世界中で活発化している個人情報保護のための動きの中から、CCPAとGDPRという2つの法律について解説してきました。

何か問題が起きてから対処するのではもう遅いということを肝に銘じて、改めて自社の管理環境をチェックし、消費者にとって信頼に足る企業であることをアピールしていきましょう。