ITにおける個人情報保護への動きが世界に広がっています。個人情報保護に関する法律の整備は1980年ごろから急速に行われ、2018年にはEUのGDPR(一般データ保護規則)が、2020年にはアメリカのCCPA(カリフォルニア州消費者プライバシー法)が施行されました。日本では2003年に個人情報保護法が制定され、近年cookieを使用した個人情報取引問題が表面化されたことから、2020年6月5日に個人情報保護法の改正が成立しました。それぞれの違いを見ていきましょう。
こちらもオススメ
- GDPRとは何か、日本企業が対応すべきポイントは?
- 個人情報保護法改正案のことを知っていますか? メディア担当者が理解したいWeb用語
- 2022年を目処にGoogle Chromeがクッキーデータの利用を規制へ! Apple Safari、Mozilla Firefoxに続く
GDPR(一般データ保護規則)の規制対象は?
GDPRはEUにて個人情報保護のため、個人データの処理と移転に関するルールを定めた規則です。1995年に施行された「Data Protection Directive 95(EUデータ保護指令)」に代わる法規制として2018年5月25日に施行されました。
EU圏内の企業のほか、EU圏内に支社・営業所がある企業や日本からEU圏内へサービスを提供している企業なども対象です。GDPRでは、cookieやIPアドレス、位置情報などを個人情報とみなし、個人情報を取得する時にはユーザーの同意が必要とされています。
CCPA(カリフォルニア州消費者プライバシー法)の規制対象は?
CCPAはアメリカ版のGDPRとして注目を集めいている法律で、2020年1月から施行されています。ユーザーは、事業者が収集する個人情報のカテゴリーや特定の情報についての開示や、個人情報が共有される第三者についての開示、事業者が収集した個人情報の削除を要求する権利が認められています。GDPRと同様、cookieやIPアドレス、位置情報を個人情報とみなすほか、ショッピング履歴、検索履歴なども個人情報として扱われます。
日本における個人情報保護法の規制対象
では日本の個人情報保護法ではどうでしょうか。
2020年の改正個人情報保護法ではcookieを「個人情報」ではなく「個人関連情報」とし、「特定の個人が識別できない要素」と定義しています。そのため、日本ではcookieを利用したユーザー情報の保存や広告配信がすぐに出来なくなるというわけではありませんが、DMP事業者等からcookieやIPアドレスなどを受け取り、他の情報と紐づけることで個人データ・個人情報となる場合は、ユーザーの同意を得ることが義務づけられます。
個人情報保護に関するさらなる動き
デジタル改革の司令塔として、2021年9月にデジタル庁を創設することなどを盛り込んだ「デジタル改革関連法」が、2021年5月に参議院本会議で可決・成立しました。この「デジタル改革関連法」には、個人情報保護制度の見直しが盛り込まれています。デジタル化が急速に進むにつれ、個人情報保護に関する動きは今後も活発になりそうです。
こちらもオススメ