海外の個人情報保護法について[GDPR編]

in

個人情報保護法は実際は海外が先行して進んでいます。なので、日本は言葉悪くいうと二番煎じで日本に合わせて微調整しているような形となります。

GDPR が世界的な基本

SDGs などでも先進的なヨーロッパが個人情報保護法に関しても進んでいます。多分、聞いたことがあると思いますが、GDPR を追いかけておくと、今後の日本の方向性も想定できるような形となっています。

GDPR(一般データ保護規則)は、ヨーロッパ連合(EU)のデータ保護およびプライバシーに関する法律です。この規則は、EU域内の個人のデータ保護を強化し、データ処理に関わる企業に新たな義務を課します。

主な内容は以下の通りです:

  1. 個人データの定義拡大: GDPR では、個人を特定または特定可能な情報すべてが個人データに含まれます。これには名前、写真、メールアドレス、銀行情報、SNS の投稿、医療情報、IPアドレスなどが含まれます。
  2. 同意の要件: 個人データを処理する際には、明確かつ積極的な同意が必要です。同意は撤回することができ、子供のデータを処理する際は特に厳格な規則があります。
  3. データ主体の権利強化: GDPR は、データ主体(データの提供者)に以下の権利を認めています:
    • アクセス権:自分のデータにアクセスし、コピーを受け取る権利。
    • 修正権:不正確なデータの修正を要求する権利。
    • 削除権(忘れられる権利):特定の条件下で自分のデータの削除を要求する権利。
    • 処理制限:特定の条件下でデータ処理の制限を要求する権利。
    • データの移植性:他のサービスプロバイダーへのデータの移動を要求する権利。
  4. データ保護担当者(DPO)の任命: 特定の組織では、データ保護担当者の任命が義務付けられています。DPO は、GDPR のコンプライアンスを監視する責任があります。
  5. データ違反の通知義務: データ違反が発生した場合、関連する監督当局に72時間以内に報告し、特定の条件下ではデータ主体にも通知する必要があります。
  6. 罰則の強化: GDPR 違反の場合、企業は全世界での年間売上高の4%または2,000万ユーロ(いずれか高い方)までの罰金を科される可能性があります。
  7. 領域外適用: GDPR は EU 域内の個人のデータを処理するすべての企業に適用されます。これは、EU域外の企業も含まれます。

GDPRは、データ保護法のグローバルなモデルとして広く認識されており、多くの国がこれを参考にして自国のデータ保護法を整備しています。

ChatGPTに聞いてみました。

よく、罰金の金額が話題になっていると思うのですが、2,000万ユーロって言われてもよくわからないと思いますので、日本円に換算すると、2023年11月現在、1ユーロ162円で換算すると3億円ぐらいです。

では、実際の過去の罰金で大きいものは、GDPR関連の罰金としては、2021年にAmazon に科された7億4,600万ユーロ(約1,120億円)を超える過去最高額となります。(2023年11月現在)

これだけ高額になる理由は説明にある「年間売上高の4%または2,000万ユーロ」というのがあるので、売上高の高いところは注意する必要があるのです。

そこで比べると日本は1億円以下の罰金なので、日本は安い方なのです。

今後日本にも影響が出そうな内容

現在の「改正個人情報保護法」はかなり GDPR を踏襲できているような認識ですが、「データ主体の権利強化」という部分がまだ少し足りていないというか、少ない部分があるところとなります。

データポータビリティ権

特に「データの移植性」に関しては、日本ではまだ議論もされていない内容です。GDPR はやはり世界の先を行っている形でこのデータの移植性はビジネスで利用する際に事業者および消費者両方にとってより良い形を模索しているのを感じられます。これは、「データポータビリティ権」と言われることもあり、簡単に言うと「個人データを持ち運べる権利」です。

これは、消費者にはメリットが大きく、事業者にとってはメリットとデメリットの両方がある形になります。

これは、日本でも携帯電話番号ポータビリティ(MNP)があったと思いますが、それとすごく似ています。MNP において消費者がデメリットに感じる部分はあまり無かったと思うのですが、事業者は他の事業者から顧客を取りやすくなる一方、奪われやすくなる点もあるのです。

特に先行者利益が薄れてしまい、新規参入者に少し有利と言う点が否めません。しかし、そもそもビジネスは既得権益が強いと成長しないと言う側面があるので、先行者も新規参入者もそれぞれのサービスの改善や最適化に集中するためにも個人情報においてデータポータビリティ権があれば、より良い形になる可能性を秘めているとも思います。

日本では、既得権益が強いからかどうかは分かりませんが、個人情報のデータポータビリティ権に関しては、後進国となってしまっているのが、現状です。

弊社の [PIMBOX for personal] のサービスはこのデータポータビリティ制度に関しても意識して構築を進めていきます。