放っておくと経営危機レベルの制裁金も! GDPR・CCPA・個人情報保護法それぞれの対策の必要性を解説

CCPAGDPR個人情報保護法法律 2020.06.29
放っておくと経営危機レベルの制裁金も! GDPR・CCPA・個人情報保護法それぞれの対策の必要性を解説

いずれも「個人のプライバシー」を守るための法律である、GDPR・CCPA・個人情報保護法。ヨーロッパ、アメリカ、日本と、それぞれ独自の、かつ厳格な規制内容を示しています。

実は、これらの法律は海外の規則だからと言って無視できるものではなく、しっかりとした対策を取らなければ日本企業にも莫大な制裁金が課せられる可能性もあります。そこでここでは、GDPR、CCPA、個人情報保護法のそれぞれの定義や罰則内容、対策方法などについて解説します。

1.1 「GDPR」「CCPA」「個人情報保護法」の概要

それでは、GDPR、CCPA、個人情報保護法、それぞれの概要からチェックしましょう。

GDPR

GDPR(EU一般データ保護規則:General Data Protection Regulation)は、EU域内の個人データを守るために制定された法律です。AIやITテクノロジーの進化により個人情報悪用のリスクが高まっている現状を受け、2018年5月25日に施行されました。

GDPRの施行は「罰則対象が全世界に及ぶこと」「制裁金が数十億円単位と高額なこと」から、世界中に大きな衝撃を与えました。世界的なプライバシー保護の流れを加速させるきっかけとなったとも言える法律です。

CCPA

「GDPR並みの影響があるのでは」と考えられているのが、CCPA(カリフォルニア州消費者プライバシー法:California Consumer Privacy Act)です。カリフォルニア州民の個人データを守るための法律で、2020年1月1日に施行されました。猶予期間を経た2020年7月1日から効力が発生します。

こちらもGDPRと同様、全世界へ適用可能性があり、制裁金も莫大な金額になるなど、GDPRと非常に似通った性質を持っています。また、GDPR対策だけではCCPAに対応できないため、各企業の早急な対策が求められています。

個人情報保護法

個人情報保護法は日本における個人データ保護のための法律です。2003年5月に公布され、2005年4月から全面的に施行されました。
GDPRやCCPAと比べると保護対象の範囲が狭く、罰則も重くありません。しかし、3年ごとに見直し・改正が行われる方針をとっており、2020年3月に閣議決定された「改正案」では保護対象の拡大や罰則の厳罰化が行われ、同年6月5日に改正個人情報保護法が成立しました。昨今の情勢を踏まえれば、今後も厳格化は続くと予想されます。

2. 各法律の対象となる「個人データ」の定義とは

ひと口に「個人データ」と言っても、その範囲についてはそれぞれに異なる定義を定めています。ここでは、各法律が定める個人データの定義を解説します。

GDPRは「EU域内の個人(短期滞在者含む)」が対象

GDPRは、EU域内に滞在または居住中に取得された個人データが保護対象です。住人のみならず、出張などで短期間滞在した人にもGDPRが適用されます。

取り締まり対象はEUに営業拠点がある企業だけではなく、EUからデータ移転を受けている、あるいはEU域外からEUに向けてサービスを提供している世界の事業者全般です。英語版の自社サイトを運用しEUからのWebアクセスがある程度存在するというだけでも適用される恐れがあります。

CCPAは「カリフォルニア州の住民(納税者)」が対象

CCPAは、カリフォルニア州の住民(納税者)の個人データが保護対象です。GDPRと異なり、短期滞在者は含まれません。

取り締まり事業者の定義は複雑ですが、カリフォルニア州民の個人データを取得し、かつ下記のいずれかを満たすことで適用されます。

・年間総収入が「2,500万ドル」以上

・5万件以上の「カリフォルニア州民の個人データ」を取得あるいは処理

・「カリフォルニア州民の個人データ」の販売による収入が年間収入の50%以上

世界中が対象ですが、GDPRとは違い小規模の事業者は適用されません。

個人情報保護法は国籍・居住地を問わず

個人情報保護法は、もともとは国内事業者のみが取り扱う個人データが対象であり、その個人の範囲は居住地や国籍を問わないとしていました。その後、法律が改正され、現在では海外事業者が取り扱う個人データも一部罰則対象となるように変更されています。

3. 違反時の罰則について

いずれも個人データの保護を目的としながら、それぞれ定義や適用範囲が違う3つの規則・法律ですが、万が一違反してしまった場合はどのような罰則が与えられるのでしょうか。

GDPRは全世界での売上高から算出される

GDPRの制裁金は、「2,000万ユーロ」もしくは「年間売上高(前年度)の4%」のどちらか高い方を上限とし、悪質さに応じて金額が決められます。最低でも約24億円(1ユーロ120円計算)が基準ですから、莫大な金額となります。

また、年間売上高は「全世界」が計算対象であり、企業規模によっては企業の存続にも影響を与えるような金額を求められます。

CCPAは「違反件数」により巨額の罰金となる

一方のCCPAは、違反1件ごとに最大2,500ドル(故意だと7,500ドル)が科せられます。つまり、100人分違反すれば最大25万ドル、1万人で最大2,500万ドルと、件数により跳ね上がる形式です。

こちらも、企業にとって致命的なダメージとなりかねません。

個人情報保護法は懲役刑の可能性がある

個人情報保護法の罰金額は、2020年3月の改正案により最大1億円(法人)へ引き上げられました。それでも、GDPRやCCPAと比べれば小額に感じるかもしれません。

しかし、個人情報保護法では、国からの命令に違反した場合に「6ヶ月以下の懲役刑」が科せられる可能性があります。命令に即応できるよう、個人情報取り扱いの枠組みを事前に企業内で整えておかなければなりません。

4. 各法律対策として企業が必要な対応とは

最後に、各法律対策として求められる対応をいくつかご紹介します。

CookieなどWeb上でのデータの取り扱いに注意する

共通して必要なのが、CookieやIPアドレスなど「オンライン識別子」に関する対策です。各法律で厳密な扱いは異なりますが、オンライン識別子は「他の情報と組み合わせて個人を特定できるもの」として、保護すべきデータに含まれます。取得時には、利用目的などを明記したうえで必ず同意を得るようにしましょう。

GDPR対応にはデータ保護責任者(DPO)を選任する

GDPRでは、個人データの適切な処理に関する責任者である「データ保護責任者(DPO)」を置くよう推奨しています(事業規模によっては義務)。GDPRが遵守されているか確認することはもちろん、イレギュラーが発生した場合には監督機関への連絡役をこなす重要な存在です。社内における個人データ取り扱いの現状を明確にするためにも、設置を検討しましょう。

CCPAは年1回のプライバシーポリシー更新とオプトアウト対策を

CCPAに対応するには権利者からの申し出に即応できる枠組み作り、いわゆるオプトアウト対策が必要です。個人情報の開示・消去・第三者への提供停止など、CCPAで権利者に認められた権利は多岐にわたりますが、申し出から45日以内に対応できなければ罰則対象になってしまいます。
また、個人情報の取得目的などを公表する「プライバシーポリシー」の更新も、年に一度義務付けられています。ポリシーへ記載すべき項目は非常に多く、独力で完全に対応するのは困難です。外部の専門家へ相談するのが良いでしょう。

5. まとめ

GDPR・CCPA・個人情報保護法は、いずれも日本企業にも関わってくる重大な法律です。データ保護に関する考えの甘さから対策を怠り、高額な制裁金を科されるようなことがないよう、この内容を参考に、ぜひ事前に個人情報の取り扱い方法を工夫しておきましょう。