個人情報にまつわる法律と動向を解説！海外・日本の違いとは？

個人にまつわるデータの利活用が活発化し、「匿名加工情報」や「パーソナルデータ」といった個人データを区別する用語が登場してきました。こうした状況のもと、消費者の個人情報、および個人にまつわるデータの法整備が進められており、すでに世界ではプライバシー侵害に対して厳しい法律を定めている例もあります。

このページでは、個人情報にまつわる法律と動向について、海外・日本国内の現状に触れつつご説明します。

1. 個人情報の定義とは？

個人情報は「個人を識別できる情報」を指す言葉です。

日本国内における個人情報は、以下の個人情報保護法に記載されている通り、氏名や生年月日など特定の個人を識別できる情報、および個人識別符号が該当します。

出所：e-Gov「個人情報の保護に関する法律」

個人情報のうち個人識別符号は、身体的特徴をもちいた個人特定が可能な符号、あるいは運転免許証や国民健康保険の番号などです。前者の身体的特徴は、DNAの塩基配列や指紋・掌紋、歩行時の動作や虹彩の模様といったものが含まれます。

出所：e-Gov「個人情報の保護に関する法律」

上記を始めとする、個人を特定可能とする情報が個人情報です。

一方、匿名化されており個人の識別が不可能となっているデータは「匿名加工情報」と呼ばれており、個人情報や匿名加工情報をまとめて「パーソナルデータ」と呼称します。またそれに加え、2020年6月成立の改正個人情報保護法では、他の情報と照合しなければ特定の個人を識別することができないように個人情報を加工することでビッグデータの利活用に活かすことができる「仮名加工情報」も、パーソナルデータに含むものとして付け加えられました。

2. 世界の個人情報にまつわる法律と動向

ここでは、アメリカとEU（欧州）、中国にフォーカスして個人情報にまつわる法律と動向についてご説明します。

アメリカの法律・動向

アメリカには、日本の個人情報保護法のような包括的な法律はないものの、一部分野において個人情報の取り扱いに規制を設けているケースはありました。

医療情報に関するプライバシー保護について定めたHIPAA（医療保険の相互運用性と説明責任に関する法律）や、12歳以下を対象とする個人情報取得について定めたCOPPA（児童オンラインプライバシー保護法）が代表的な例です。

最新の動向としては、2020年1月にCCPA（カリフォルニア州消費者プライバシー法）が施行されました。CCPAは、カリフォルニア州民の個人情報を収集し、カリフォルニア州で営利目的の事業を行っている企業のうち、下記条件に該当する場合を対象としてます。

• 年間の総収入が2,500万ドル以上
• 年間5万以上のカリフォルニア州民の個人情報を処理（購入・取得・販売等）している
• カリフォルニア州民の情報を販売して年間収入の50％以上を得ている

参考：日本貿易振興機構（ジェトロ）「施行が迫る「カリフォルニア州消費者プライバシー法」（米国）」

企業は、情報の開示・削除等の要求に対して45日以内の対応が必要となり、CCPAに違反すると1件の請求に最大2,500ドル（故意であれば最大7,500ドル）のペナルティが科せられます。

EU（欧州）の法律・動向

EUは諸外国のなかでも特に個人情報保護の意識が高く、2018年には従来の法令より規定内容・罰則を大幅に厳格化したGDPR（EU一般データ保護規則）が施行されました。

GDPRでは、氏名や生年月日などの個人を識別できるデータだけでなく、位置データやオンライン識別子（IPアドレス・Cookie等）も保護対象としています。これらの情報を取得する際、取得側は個人にデータの利用目的や保管期間といった事項を明示し、そのうえで取得・利用の同意を得なければなりません。

規定に抵触すると判断された場合、企業の全世界年間売上高の2％（特定のケースでは4％）、もしくは1,000万ユーロ（特定のケースでは2,000万ユーロ）のうち高い金額が制裁金として科せられます。

過去には、GDPRに違反したとして、数百億円規模の制裁金が科せられた事例もあります。

中国の法律・動向

中国は、2017年に中国サイバーセキュリティ法を施行し、情報管理における広範囲な規定を設けました。

以下のような、セキュリティ全般にまつわる規定となっており、個人情報の保護に関してはGDPRを意識したものとなっています。

• 一般市民を対象とした個人情報保護
• 国家レベルでの安全確保とデータ保全
• 個別企業におけるデータ安全の確保

引用：JIPDEC「個人情報保護関連の海外の法制度の概要」

このような規定を定める中国サイバーセキュリティ法は、中国政府や中国の公的機関を除き、海外組織を含む中国内のあらゆる個人・組織が適用対象となります。

3. 日本の個人情報にまつわる法律と動向

日本でも、個人情報にまつわる法令を時代にあわせた規定に整備する流れが見られます。

2020年6月成立の改正個人情報保護法では、世界的な規則の強化に呼応するように日本国内での規定や罰則が強化されました。しかし、ただし、2020年5月現在、日本の個人情報保護法は、CCPAやGDPRに比べて個人が持つ「個人情報に関する請求権」の強制力はまだまだが弱い印象です。

CCPAやGDPRは、個人情報の削除・開示を申し立ての実行が個人側にとって有利に働くよう規定されています。一方、日本の個人情報保護法は全面的に個人側が有利な規定とはなっていません。2020年の見直しにあたり案として出ている基準は以下の通りです。

出所：個人情報保護委員会「個⼈情報の保護に関する法律等の⼀部を改正する法律案（概要）」

このように、個人の請求権が発揮されるのは、不正取得等の法律違反に該当するケースに加え、個人の権利・正当な利益が害される懸念のあるケースに限られます。

なお、個人情報保護法ではオンライン識別子（IPアドレス・Cookie等）を個人情報にカテゴライズしていません。あくまで単体で個人を識別できる情報のみを個人情報として扱い、それ以外は個人識別が不可能となるよう処理を施して匿名加工情報として運用される見通しです。

また、2020年に見直される個人情報保護法では、仮名加工情報と呼ばれる制度が新設されることとなっています。仮名加工情報は、第三者提供が認められないことと引き換えに、従来の匿名加工情報よりも作成・利用の要件が緩和されています。諸外国におけるプライバシー保護の流れを踏襲しつつも、個人にまつわる情報の有効活用ができるよう整備が進められていると考えて良いでしょう。

日本企業が今後意識すべきポイント

昨今、国内でも個人情報流出や情報管理の不備が報道され、個人は「企業のセキュリティに対する姿勢」に一層注意深くなっています。2020年に見直し対象となった個人情報保護法が既存のようなセキュリティインシデントの歯止めとならないなら、より厳しいペナルティが盛り込まれる可能性もあるでしょう。

諸外国がGDPRを1つの基準として捉え、自国の個人情報にまつわる制度考案・制度変更の参考にしている現状から、GDPRレベルの厳格な個人情報保護が世界基準となる未来も予想されます。

いずれにせよ、消費者が企業に求めるセキュリティ水準は高まっているため、制度内容はもちろん、消費者心理を尊重して個人情報の扱いを慎重に行い、情報管理に最大限配慮する意識が求められます。

4.　 まとめ

アメリカやEU、中国ではすでに個人情報にまつわる法整備が進んでおり、日本も各国に追随してインターネット時代に即した規則作りを進めています。

個人情報を管理する立場にある企業には、目まぐるしく変わる制度変更に順応できるよう、早期の察知と対応が求められています。