世界のデータ保護法:合衆国、欧州、アジア等

9月 26, 2019 セキュリティとコンプライアンス, MOVEit

2018年5月から施行されている EU の GDPR は、このデータ保護規則が EU 以外の国にも(EU 在籍者の個人データを扱っている限り)適用されるため、世界中の企業に影響を与えています。そして、その波及効果もあって、EU 以外の地域でも新しいデータ保護法が次々に制定されています。GDPR を念頭に置いた類似した規制もあれば、その国独自のアプローチを採用している法律もあります。

このブログでは、7つの主要な地域に関して、有効な法律、国内および国際企業への影響、その地域の住民の個人データを扱う企業が注意しなければならない点などを概説します。

目次

アメリカのデータ保護法
EU のデータ保護法
EU 脱退後のイギリスのデータ保護法
APEC のデータ保護法
韓国のデータ保護法
中国のデータ保護法
イスラエルのデータ保護法

アメリカのデータ保護法

  • アメリカ合衆国は、国全体に適用される包括的なデータ保護法がいまだ制定されておらず、主要国としては例外的です。ただし、多数のグローバルインターネット企業(Google、Facebook など)がアメリカに本社を置いていることもあり、個人データを保護するための連邦法は近いうちに制定されるのではないかと思われます。
  • 将来制定されるであろう連邦法が参考にすると考えられる2つの規制が存在します。
    • カリフォルニア州は、2020年に施行される予定のカリフォルニア州消費者プライバシー法(California Consumer Privacy Act、CCPA)を可決しました。これは、EUの GDPR に触発されたものです。
    • アメリカ合衆国は、APEC - 合衆国、日本、カナダ、メキシコを含む21の国と地域を含むアジア太平洋経済協力 - の越境プライバシールールシステムにも同意しています。APEC の規格については、別セクションを参照してください。
  • カリフォルニア州の CCPA は、個人データの安全な取り扱いに責任を持つすべての企業を対象にしています。データがどのように使用されるか、データが何らかの形で侵害されたかをユーザーに通知することも義務付けています。
  • アメリカには、患者の健康情報に関する保護を規定した HIPAA(Health Insurance Portability and Accountability Act 1996、医療保険の相互運用性と説明責任に関する法令)があります。
  • 留意すべきポイント: 国全体に適用されるデータ保護の連邦法がまだ制定されていないので、各企業がデータ保護とプライバシーに関する独自の基準を設定しているのが現状です。ただし、そう遠くない将来に制定されるであろう新しい連邦法をまとめあげるためにプライバシーとセキュリティの侵害に関する公開討論も始まっていくでしょうから、アメリカの企業も長期的な変化に適応できるよう備える必要があります。

EU のデータ保護法

  • EU の一般データ保護規則(General Data Protection Regulation、GDPR)は2016年4月に採択され、2018年5月25日から施行されています。
  • GDPR は、それ自体で、または所有者がアクセスする可能性のある他のデータと組み合わせて、個人を識別するために使用できるデータとして定義される、あらゆる形式の個人データに適用されます。
  • GDPR は、実際に EU に拠点を置くかどうかにかかわらず、EU 在籍者の個人データを収集、保存、または処理する組織に適用されます。
  • GDPR は、EU 加盟国の包括的なデータ保護法ですが、各国は自国内で GDPR を実施しコンプライアンス違反を監視する必要があります。
  • GDPR は、個人が個人データの消去または修正を要求する権利を保障しており、企業は要求があれば従う必要があります。
  • 留意すべきポイント: EU に本拠地を置かない企業は、当事者意識が弱くなりがちで、コンプライアンスにはどうするべきか、必ずしも十分把握できているとは言えないようです。一般データ保護規則の詳細ブログ、原則1原則2と原則3原則4と原則5原則6と原則7、をご参照ください。

EU 脱退後のイギリスのデータ保護法

  • イギリスの2018年データ保護法(Data Protection Act 2018)、DPA は、GDPR のイギリスにおける実装であり、2018年5月23日に可決され、直ちに施行されました。DPAは、Brexit の結果に関係なく有効です。
  • DPA は、犯罪者のデータを含む個人データを対象としています。GDPR では個人のプロファイリングを容認しませんが、DPA は容認しています。
  • DPA は GDPR に類似していますが、情報収集、移民、公的機関に関する拡張が含まれています。
  • イギリスの国民医療制度である NHS (National Healthcare System) は、医療データを扱うすべての組織が従うべきルールを取り決めています。
  • 留意すべきポイント: DPAは、違反を繰り返す企業に対しては、罰金を無制限に拡張します。

APEC のデータ保護法

  • アジア太平洋経済協力(Asia Pacific Economic Cooperation、APEC) は、環太平洋地域における多国間経済協力を進めるための非公式なフォーラムで、アメリカ合衆国、日本、韓国、カナダ、メキシコを含む21の国と地域から構成されています。
  • 越境プライバシールール(Cross-Border Privacy Rules、CBPR)は、各 APEC 参加国・地域のプライバシー法の基礎を提供するために制定されました。これまでのところ、アメリカ合衆国、カナダ、日本、メキシコがエコノミーとして参加しています。
  • CBPR データプライバシーガイドラインは、個人データを処理するすべての公共または民間組織に適用されます。
  • データ処理者とデータ管理者に適用される EU の GDPR とは異なり、CBPR はデータ管理者だけを対象にしています。データ処理者とデータ管理者については下の図を参照してください。
  • CBPR は、協力機構内で取引する組織に有用な最低限の保護を提供することを目的としています。独自に特定の市場向けのルールを備えたフレームワークを構築するかどうかは、各参加国・地域次第です。
  • 留意すべきポイント: アメリカにはまだ GDPR に相当する連邦法はありませんが、CBPR フレームワークに同意しています。アメリカ合衆国の連邦法が検討される場合は、CBPR を度外視することはないでしょう。

韓国のデータ保護法

  • 韓国の個人情報保護法(Personal Information Protection Act、PIPA)は2011年9月30日に施行され、おそらく世界でも最も厳しいデータ保護法の1つに属します。
  • PIPA は、画像を含めて、個人を特定するために使用できるデータを対象としています。また、個人の権利を侵害するために使用される可能性のある、宗教や性的指向などの「機密」個人データも区別して制約を定めています。
  • 韓国には、特定の業種向けのデータ保護法も数多くあります。
    • IT サービス:情報通信ネットワークの利用と情報保護の促進に関する法律
    • 信用情報:信用情報の使用と保護に関する法律
    • 金融:金融実名取引及び秘密保障に関する法律
  • 留意すべきポイント: 韓国では、他の国と同様、個人情報を、個人を特定できるものと定義しています。特徴的なのは、完全ではなくても、他の利用可能なデータと組み合わせることができる個人データも保護されていることです。たとえば、匿名化されたデータを別のデータベースと組み合わせて特定の人物にフラグを立てることができる場合、そのデータは、匿名化されていても、他のタイプの個人データと同じレベルの配慮をする必要があります。

中国のデータ保護法

  • 中国のサイバーセキュリティ法(Cybersecurity Law、CSL)は2016年11月7日に可決され、2017年6月1日から施行されています。
  • CSL は、あらゆる形式の中国国民の個人データを対象としています。個人データの国外での保存は、コンプライアンスを確保するためのセキュリティ評価と共に必要性を証明する文書が提供されない限り、許可されません。この厳しい制約があるため、ほとんどのアプリケーションにとって中国国民の個人データを国外で保存することは、実用的ではありません。
  • 中国の CSL は、一般的なデータ処理者だけでなく、電気通信分野の企業、ラジオ、テレビ、および重要と見なされるあらゆるインフラストラクチャの事業者にも適用されます。
  • 留意すべきポイント: 公表または送信することが禁止されている情報については、事業者が中国当局に通知する必要があります。言い換えれば、個人データは、そのデータの所有者によって監視されなければなりません。これは、データプライバシーの本来的な意味から考えればいくぶんパラドックス的だと思われますが。

イスラエルのデータ保護法

  • イスラエルの、それまでのプライバシー保護法から拡張された、プライバシー保護データセキュリティ (Privacy Protection Data Security、PPDS) 規制は、2017年5月8日から施行されています。
  • PPDS は、データにアクセスする人数に応じて、異なるレベルのセキュリティを要求しています。1人の個人が管理するデータベースは最小限の予防措置があれば問題ありませんが、10人以上または100人以上がアクセスできるデータにはより高度なセキュリティが必要です。
  • GDPR とは異なり、イスラエルの規制には地理的境界に関する明確なルールはありません。イスラエルに存在するサーバーとデータには確実に適用されますが、国外に保存されているデータも含まれているかどうかは不明です。
  • PPDS では、金融データと医療データ(バイオメトリックおよび遺伝データを含む)に特に高度な基準を適用しています。
  • 留意すべきポイント: イスラエルの法律は、政府機関、特にセキュリティ機関をほとんどの制限から免除しています。

Sherwood Stranieri