個人情報にまつわる法律と動向を解説!海外・日本の違いとは?

個人情報保護法 2023.08.30
個人情報にまつわる法律と動向を解説!海外・日本の違いとは?

個人にまつわるデータの利活用が世界的に活発化し、国内でも「匿名加工情報」や「パーソナルデータ」といった個人データを区別する用語が登場しました。2022年4月に施行された改正個人情報保護法では、個人情報と匿名加工情報の中間に位置する「仮名加工情報」も新設されています。

EUのGDPRなど、すでに海外ではプライバシー侵害に対して厳しい法律が存在するなか、日本はどのような状況下にあるのか。このページでは、個人情報にまつわる法律と動向について、海外・日本国内の現状に触れつつご説明します。

1. 個人情報の定義とは?

個人情報は「個人を識別できる情報」を指す言葉で、個人情報保護法においては、以下のように定義されています。

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの

引用:e-Gov「個人情報の保護に関する法律

日本国内における個人情報は、上記の通り、氏名や生年月日など特定の個人を識別できる情報、および個人識別符号が該当します。

個人情報に含まれる項目

個人情報のうち個人識別符号は、身体的特徴をもちいた個人特定が可能な符号、あるいは運転免許証や国民健康保険の番号などです。個人情報保護法では以下のように定義されています。

この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

引用:e-Gov「個人情報の保護に関する法律

前者の身体的特徴は、DNAの塩基配列や指紋・掌紋、歩行時の動作や虹彩の模様といったものが含まれます。

上記を始めとする、個人を特定可能とする情報が個人情報です。

個人情報データベース等と含まれる情報について

個人情報保護委員会によれば、個人情報データベース等は以下の通り定義されています。

「特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物。また、コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則(例えば、五十音順等)に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているもの」

引用:個人情報の保護に関する法律についてのガイドライン(通則編)

個人情報のうち以下のデータが個人情報データベース等に含まれます。

  • 個人データ 個人情報データベース等を構成する個人情報
  • 保有個人データ 個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のもの。
参照:e-Gov「個人情報の保護に関する法律

個人情報・個人データ・保有個人データの定義や違いについては以下の記事で詳しく解説しております。ぜひ併せてご覧ください。

>>【比較解説】個人情報・個人データ・保有個人データ3つの違い

匿名加工情報・仮名加工情報とパーソナルデータについて

匿名化されており個人の識別が不可能となっているデータは「匿名加工情報」と呼ばれており、個人情報や匿名加工情報をまとめて「パーソナルデータ」と呼称します。

またそれに加え、2022年4月施行の改正個人情報保護法では、他の情報と照合しなければ特定の個人を識別できないように個人情報を加工した「仮名加工情報」も、パーソナルデータに含むものとして付け加えられました。

>>パーソナルデータと個人情報の違いとは?活用方法と活用時の注意点を解説

2.個人情報取扱事業者とは?用語と義務について

ここまで、個人情報等の情報の定義についてご紹介しました。続いて、情報を取り扱う側である「個人情報取扱事業者」の定義や義務を見ていきましょう。

個人情報取扱事業者の定義

個人情報取扱事業者とは、営利目的であるか否かに関わらず個人情報データベース等を事業のために扱っている者を指します。条文による正式な定義は以下の通りです。

2 この章及び第六章から第八章までにおいて「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。 一 国の機関 二 地方公共団体 三 独立行政法人等 四 地方独立行政法人

引用:e-Gov「個人情報の保護に関する法律

どんな義務があるのか

個人情報取扱事業者には、個人情報を取り扱う際にさまざまな義務が課せられます。なかでも重要となるのが本人からの各種請求への対応です。

個人情報取り扱い事業者には、所定の条件下において本人から保有個人データの訂正・追加・削除・利用停止等の請求を受けた場合、速やかに対応することが求められています。請求を受けてから慌ててしまわないよう、自社の対応フローを事前に作成しておく必要があります。

その他、義務の詳細については以下の記事も併せてご参照ください。

>>企業は個人情報開示請求にどう対応するべきか 手順と注意点を解説

3. 世界の個人情報にまつわる法律と動向

次に、アメリカとEU(欧州)、中国にフォーカスして個人情報にまつわる法律と動向についてご説明します。

アメリカの法律・動向

アメリカには、日本の個人情報保護法のような包括的な法律はないものの、一部分野において個人情報の取り扱いに規制を設けているケースはありました。

医療情報に関するプライバシー保護について定めたHIPAA(医療保険の相互運用性と説明責任に関する法律)や、12歳以下を対象とする個人情報取得について定めたCOPPA(児童オンラインプライバシー保護法)が代表的な例です。

最新の動向としては、2020年1月にCCPA(カリフォルニア州消費者プライバシー法)が施行されました。その後、さらに大幅な変更を加えたCPRA(カリフォルニア州プライバシー権法)が同年12月に成立しています。当初の法律CCPAでは、カリフォルニア州民の個人情報を収集するなど、以下の「要件1」あるいは「要件2」に該当する事業者が取り締まり対象となり得ました。

要件1 ①自己の株主若しくはその他の所有者の利益又は金銭的便益のために組織又は運営され、 ②消費者の個人情報を収集し又は自己の代わりに個人情報が収集され、 ③単独で又は他と共同で消費者の個人情報を処理する目的と手段を決定し、 ④カリフォルニア州で事業を行い、かつ、 ⑤以下の基準の一つ又はそれ以上を満たす、個人事業体、パートナーシップ、有限責任会社、法人、団体又はその他の法的主体を意味する。 (i) 第 1798.185 条第(a)項(5)により調整された年間の総収入(annual gross revenues)が2,500 万米ドル($25,000,000)を超える。 (ii) 単独又は組み合わせで 5 万件以上の消費者、世帯又はデバイスの個人情報を、年間ベースで、単独又は組み合わせで購入し、事業者の商業目的で受け取り、販売し、又は商業目的で共有する。 (iii) 消費者の個人情報の販売から年間収入の 50%以上を得ている。
要件2
①上記 1 に定める事業者を支配し又はこれに支配され、かつ ②当該事業者と共通のブランドを共有する主体。

出典:日本貿易振興機構(ジェトロ)「施行が迫る「カリフォルニア州消費者プライバシー法」(米国)より引用

新法CPRAでは要件1の(ⅱ)に変更が加えられ、対象となる個人情報の件数が10万件以上に引き上げられ、デバイスはカウントの対象外となりました。

ここで注意しておきたいのが、要件1「④カリフォルニア州で事業を行い」の定義が広く、たとえ日本の企業であっても、カリフォルニア州民の個人情報を取り扱う場合はCCPAの適用対象となる可能性があるため、国内企業も他人事ではないということです。

同法により、対象企業は情報の開示・削除等の要求に対して45日以内の対応が必要となり、CPRAに違反すると1件の請求に最大2,500ドル(故意であれば最大7,500ドル)のペナルティが科せられます。未成年の個人情報の違反を伴う場合は、故意の有無に関わらず最大7,500ドルとされています。

CPRAについて詳しく知りたい方はこちらをご参照ください。
>>CPRA(カルフォルニア州プライバシー権法)とは? CCPAからどう変わった?

EU(欧州)の法律・動向

EUは諸外国のなかでも特に個人情報保護の意識が高く、2018年には従来の法令より規定内容・罰則を大幅に厳格化したGDPR(EU一般データ保護規則)が施行されました。

GDPRでは、氏名や生年月日などの個人を識別できるデータだけでなく、位置データやオンライン識別子(IPアドレス・Cookie等)も保護対象としています。これらの情報を取得する際、取得側は個人にデータの利用目的や保管期間といった事項を明示し、そのうえで取得・利用の同意を得なければなりません。

>>GDPRとは?概要や日本企業が対策すべき項目を解説

中国の法律・動向

中国は、2017年に中国サイバーセキュリティ法を施行し、情報管理における広範囲な規定を設けました。

以下のような、セキュリティ全般にまつわる規定となっており、個人情報の保護に関してはGDPRを意識したものとなっています。

  • 一般市民を対象とした個人情報保護
  • 国家レベルでの安全確保とデータ保全
  • 個別企業におけるデータ安全の確保

引用:JIPDEC「個人情報保護関連の海外の法制度の概要

その後2021年8月に、中国で初めて個人情報保護について包括的に定めた個人情報保護法(PIPL)が成立し、同年11月から施行されました。

中国の個人情報保護法では、個人情報は以下のように定義されています。

第四条 個人情報は、電子的又はその他の方法で記録された、既に識別され又は識別可能な自然人に関する各種情報をいうが、匿名化処理後の情報を含まない。

引用:桃尾・松尾・難波法律事務所「中国個人情報保護法の成立 中華人民共和国個人情報保護法(桃尾・松尾・難波法律事務所仮訳)」

同法は、中国域内では無条件に適用され、国外であっても中国域内の個人を対象とする販売や行動分析をする場合は適用対象となるため、国内企業も注視しておく必要があります。

中国の個人情報保護法について詳しく知りたい方はこちらをご参照ください。

>>【2022年最新】中国の個人情報保護法(PIPL)が成立、知っておくべきポイントは?

4. 日本の個人情報にまつわる法律と動向

日本でも、個人情報にまつわる法令を時代にあわせた規定に整備する流れが見られます。

2022年4月に施行された改正個人情報保護法では、世界的な規則の強化に呼応するように日本国内での規定や罰則が強化されました。しかし、2023年8月現在、日本の改正個人情報保護法は、CPRAやGDPRに比べて個人が持つ「個人情報に関する請求権」の強制力がまだまだ弱い印象です。

CPRAやGDPRは、個人情報の削除・開示を申し立ての実行が個人側にとって有利に働くよう規定されています。一方、改正個人情報保護法は全面的に個人側が有利な規定ではありません。改正個人情報保護法の概要資料によると、個人の権利は以下の通り定められています。

image3.png

出所:個人情報保護委員会「個⼈情報の保護に関する法律等の⼀部を改正する法律案(概要)

このように、個人の請求権が発揮されるのは、不正取得等の法律違反に該当するケースに加え、個人の権利・正当な利益が害される懸念のあるケースに限られます。

また、改正個人情報保護法ではオンライン識別子(IPアドレス・Cookie等)を個人情報にカテゴライズしておらず、「個人関連情報」と呼ばれる新設された枠組みへ分類するに留まりました。この点も、海外の法律と比較すると緩やかな対応です。

第三者提供が認められないことと引き換えに、従来の匿名加工情報よりも作成・利用の要件が緩和された仮名加工情報が新設されるなど、諸外国におけるプライバシー保護の流れを踏襲しつつも、個人にまつわる情報の有効活用ができるよう整備が進められているのだと予想されます。

日本企業が今後意識すべきポイント

しかし昨今、国内でも個人情報流出や情報管理の不備が報道され、個人は「企業のセキュリティに対する姿勢」に一層注意深くなっています。今回の個人情報保護法の改正が既存のセキュリティインシデントの歯止めとならないなら、より厳しいペナルティが盛り込まれる可能性もあるでしょう。

諸外国がGDPRを1つの基準として捉え、自国の個人情報にまつわる制度考案・制度変更の参考にしている現状から、GDPRレベルの厳格な個人情報保護が世界基準となる未来もそう遠くないかもしれません。

いずれにせよ、消費者が企業に求めるセキュリティ水準は高まっているため、制度内容はもちろん、消費者心理を尊重して個人情報の扱いを慎重に行い、情報管理に最大限配慮する意識が求められます。

5.まとめ

アメリカやEU、中国ではすでに個人情報にまつわる法整備が進んでおり、日本も各国に追随してインターネット時代に即した規則作りを進めています。

個人情報を管理する立場にある企業には、目まぐるしく変わる制度変更に順応できるよう、最新情報の持続的なキャッチアップが必要となるでしょう。

公開日:2020年6月29日

パーソナルデータの取扱いにお悩みの方に

  • 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
  • 誰にどこまで同意を取ったか管理するのが大変…
  • ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
  • 同意は管理できても他社システムを上手く連携して使えないと…

Trust 360で、すべて解決!