パーソナルデータの保護に関する国際的な動向
インターネットの普及により、個人のデータは国境を越えてやり取りされるようになりました。日本では個人情報保護法がありますが、世界各国でもパーソナルデータ(個人に関するデータ)の保護に関する法制度が整備されています。特にEU(欧州連合)のGDPRは世界的に大きな影響を与えており、ITパスポート試験でも出題されています。
GDPR(一般データ保護規則)
Section titled “GDPR(一般データ保護規則)”GDPR(General Data Protection Regulation:一般データ保護規則)は、EU(欧州連合)が2018年に施行した、パーソナルデータの保護に関する規則です。EU域内の個人データの取扱いについて厳格なルールを定めており、違反した場合には巨額の制裁金が科される可能性があります。
GDPRの特徴
Section titled “GDPRの特徴”GDPRには、日本の個人情報保護法と比較して、次のような特徴があります。
| 特徴 | 内容 |
|---|---|
| 適用範囲が広い | EU域内に拠点がなくても、EU域内の個人にサービスを提供する事業者に適用される |
| 制裁金が高額 | 違反した場合、最大で全世界の年間売上高の4%または2,000万ユーロのいずれか高い方の制裁金 |
| データ主体の権利が強い | 忘れられる権利(消去権)やデータポータビリティの権利など |
| 越境データ移転の制限 | EU域外への個人データの移転には、十分な保護水準が必要 |
GDPRの適用範囲
Section titled “GDPRの適用範囲”GDPRの適用範囲は非常に広く設定されています。次の表で整理しましょう。
| ケース | 適用対象か |
|---|---|
| EU域内に拠点がある事業者が、EU域内にサービスを提供 | 対象 |
| EU域内に拠点がある事業者が、EU域外にサービスを提供 | 対象 |
| EU域外の事業者が、EU域内の個人にサービスを提供 | 対象 |
| EU域外の事業者が、EU域外にのみサービスを提供 | 対象外 |
つまり、EU域内の個人のデータを扱う場合は、事業者の所在地に関係なくGDPRが適用されるということです。日本企業であっても、EU域内の顧客にサービスを提供していれば、GDPRを遵守しなければなりません。
試験で出るポイント
忘れられる権利(消去権)
Section titled “忘れられる権利(消去権)”忘れられる権利(right to be forgotten)は、GDPRで明文化された重要な権利で、正式には「消去権」(right to erasure)といいます。個人が、自分に関するデータの削除を事業者に要求できる権利です。
たとえば、あるSNSサービスを退会した利用者が、自分の投稿や個人情報をすべて削除するよう求めることができます。事業者は、正当な理由がない限り、この要求に応じなければなりません。
忘れられる権利が認められる主な場合は次のとおりです。
- データの収集目的がすでに達成され、保持する必要がなくなった場合
- データ主体(本人)が同意を撤回した場合
- データが違法に処理された場合
ただし、公共の利益や法的義務に基づくデータの保持が必要な場合など、一定の例外もあります。
仮名化と匿名化
Section titled “仮名化と匿名化”パーソナルデータを活用しながらプライバシーを保護するために、仮名化と匿名化という技術が用いられます。GDPRでもこの2つの概念が区別されています。
仮名化(pseudonymisation)とは、追加情報を用いなければ特定の個人を識別できないように、個人データを加工することです。たとえば、顧客データベースの氏名をランダムなIDに置き換え、氏名とIDの対応表を別の場所に安全に保管する方法が仮名化にあたります。
仮名化されたデータは、対応表と組み合わせれば元の個人を特定できるため、依然として個人データとして扱われ、GDPRの規制対象となります。ただし、通常の個人データよりもセキュリティリスクが低いため、GDPRでは仮名化を推奨しています。
匿名化(anonymisation)とは、どのような手段を用いても特定の個人を識別できないように個人データを加工することです。たとえば、購買データから氏名・住所・年齢などの個人を識別できる情報をすべて削除し、統計的な傾向データだけを残す方法が匿名化にあたります。
匿名化されたデータは個人データではなくなるため、GDPRの規制対象外となります。
仮名化と匿名化の比較
Section titled “仮名化と匿名化の比較”| 項目 | 仮名化 | 匿名化 |
|---|---|---|
| 個人の識別 | 追加情報があれば可能 | 不可能 |
| GDPRの適用 | 適用される(個人データ) | 適用されない |
| 例 | 氏名をIDに置き換え、対応表を別管理 | 統計データとして集計し、個人を特定できない状態にする |
| 日本法との対応 | 仮名加工情報に近い概念 | 匿名加工情報に近い概念 |
試験で出るポイント
越境データ移転
Section titled “越境データ移転”越境データ移転とは、個人データを国境を越えて他国に移転することです。GDPRでは、EU域内の個人データをEU域外に移転する場合、移転先の国・地域が十分な保護水準(十分性認定)を確保していることが求められます。
日本は2019年にEUから十分性認定を受けており、日本とEUの間では個人データの円滑な移転が可能になっています。これにより、日本企業がEU域内の顧客データを日本国内のサーバーで処理することなどが、特別な手続なしに行えるようになりました。
各国・地域のデータ保護法
Section titled “各国・地域のデータ保護法”GDPRの影響を受けて、世界各国でデータ保護法の整備が進んでいます。
| 国・地域 | 法律・規制 |
|---|---|
| EU | GDPR(一般データ保護規則) |
| 日本 | 個人情報保護法 |
| 米国 | CCPA(カリフォルニア州消費者プライバシー法)など、州単位の規制 |
| 中国 | 個人情報保護法(PIPL) |
このように、パーソナルデータの保護は世界的な潮流となっており、国際的なビジネスを行う企業は各国の規制に対応する必要があります。
試験で出るポイント