2021.09.22　　GDPRとCCPAの違い

GDPRとは、CCPAとはなどのような疑問を持つ人も多いかと思われますが、GDPRやCCPAなどは日本の個人情報保護に関する法律と同等のものを意味します。2018年にEUの中でGDPRが施行され、これにより世界中ではプライバシーを保護する働きが一層活発となり、2020年においてはカリフォルニア州のCCPAや日本の改正個人情報保護法のみならず韓国や中国などのアジア圏でも個人情報やプライバシーに関する法律が施行されるようになりました。

EUやカリフォルニア州、そして日本などのようなIT化が進んでいる地域での厳しい規則に後追いするような形で、他の国々や地域でもプライバシー保護が進められるなど今後もこのような働きは盛んに行われるのではないかなどの予測も行われています。

GDPRとは、一般データ保護規則の意味を持つもの、欧州連合でもあるEUに住んでいる個人からの個人情報の収集および処理に関係するガイドラインを定めている法的な枠組みを意味します。一方、CCPAとは、カリフォルニア州消費者プライバシー法を意味するもので、アメリカのカリフォルニア州に住んでいる個人からの個人情報の収集および処理に関して定められている法律です。いずれも特定地域に住んでいる個人からの個人情報の収集や処理に関する法律ではあるけれども、それぞれの概要を見たときや日本企業の注意点などには違いがあることがわかるのではないでしょうか。

GDPRの場合は、EUエリア内に拠点を持つ企業はもちろん、EU向けにサービスを展開している企業やEUから個人データの処理の委託を受けている企業なども対象です。ここで日本企業の注意点は、これらの対象となるのはEUの外側に拠点があっても対象になる点です。仮に、日本の企業がEU向けにサービスを行う業種である場合や、EUから個人データの処理についての委託を受けている場合は確実に対象になるため注意をしなければなりません。

GDPRは、オプトインを採用しているのが特徴ですが、オプトインは個人情報の提供について肯定的な承認を行うなどの意味があります。これに対してオプトアウトは、個人情報の第三者提供に係る個人データの第三者への提供を本人が停止を求めた場合に停止する義務を持つ者などの相違点を持ちます。これは簡単に解説すると、GDPRは個人データの収集をするときにはデータの利用目的などの承諾を受けなければならないなどの特徴を持っていることです。

GDPRは、EUエリア内の個人データを国外に転する際の条件も規定しているのですが、データ移転先の国や地域などへの個人データ保護の水準そのものがEU並みのものであると判断、これによりGDPRが定めている条件を満たしている場合に限り国外への持ち出しを例外的に認める十分性認証と呼ぶ仕組みを持っていて、十分性認証を得られるとスムーズに国内から個人データの移転が可能になります。2021年2月時点では、日本をはじめスイスやイスラエルなど12カ国と地域が十分性認証を得ているようです。

CCPAは、カリフォルニア州に住んでいる人を対象にしているものですが、どのような拠点にするのかなどは関係なく特定要件を満たしていてカリフォルニア州に住んでいる人々の個人情報を取り扱う際にはCCPAの適用が行われます。そのため、企業側は個人情報そのものがどのように利用するのかを伝える義務があること、CCPAの権利を行使した消費者に対する差別を禁止するなど、消費者のプライバシー保護義務が課せられます。消費者側は、CCPAにより個人情報の利用目的を知る権利を与えられている、必要に応じて削除を要請する権利やオプトアウトする権利などがあるので、企業側はこれらの要求に応じることが義務として存在します。