個人情報の国際比較
個人情報保護法が施行されて15年になる。この間に、何回かの改正がなされた。特に3年前に大きな改正があり、国境をまたぐ個人情報の行き来にも一定の配慮がなされた。
しかし、個人情報の法的な枠組みでは国ごとに大きな隔たりが顕在しており、いまだに日本では法的なリスクはないが他国ではリスクがあるといったケース、あるいは逆のケースも存在するようだ。それは、個人情報保護という比較的最近になって注目を集めている領域の問題ということで、国際的な合意がなされていないことの影響があるようだ。
個人情報の国際比較を行う前に、個人情報保護が重視されるに至った経緯を振り返ろう。そもそも個人情報保護の進展とICTの浸透は不可分だ。すなわち、デジタルデータとしての個人情報が不正アクセスやウィルスによって容易に、あるいは広範囲に漏えいすることが現実のことになった。実際に、ネットを通じての漏えい事件が頻発するようになっている。また、SNSなどによって、プライバシーを含む情報を伴って、炎上などの事態を招いていることも後を絶たない。
さらに、個人情報を含む情報範囲が多様となったことで、グレーゾーン領域が拡がり、保護されるべき個人情報なのかそうではないのか判断が困難となっている分野が広がっている。これらの事実は、国際的な問題が絡むとますます混迷の域に入ってしまうことも留意したい。
欧州の場合
2018年5月にEU内で施行されたGDPR(General Data Protection Regulation)は、世界で最も規制が厳しいと考えられる。EUに拠点がある組織への適用が原則だが、EU域内に拠点のない組織・管理者においても、EU域内のデータ主体(個人)の個人データを取扱う場合は、GDPRの域外適用原則が適用されるので要注意だ。
違反した場合の制裁金は、最大で全世界売上高(年間)の4%、または2,000万ユーロの高い方が適用される。
米国の場合
米国では、連邦法や各州法において多数の異なる法規制が存在し、法規制のアプローチも業種・データの種類により異なり、包括的な個人情報保護の法律は存在しない。その中で、2018年6月にカリフォルニア州で成立した消費者プライバシー法(CCPA)は、消費者の権利を認め、また域外適用の可能性もある。また、連邦法によるプライバシー規制を求める流れもある。
CCPAの対象となる組織・地域は、年間の総収入が2,500万ドル以上、5万人以上のカリフォルニア州民の個人情報を処理しているもの、カリフォルニア州民の情報を販売することで年間の収入の50%を得ているものとなっている。
このCCPAでの制裁金は、消費者からの請求1件当たりの違反ごとに最大2,500ドル、故意だと認定される場合には最大7,500ドルの罰金となっている。
中国、その他の国の場合
中国では、サイバー空間における国家の安全が目的となっており、包括的な個人情報保護法は存在しない。サイバーセキュリティ法が最新かつ最も包括的なものとされるが、これは、個人情報保護のみを目的とするものではなく、広くオンライン上の情報の保護を目的としている。ただし中国の政府や公的機関は対象外であることに注意を要する。
その他の国では、シンガポール、韓国さらにタイでは、既に欧米、日本並みの個人情報保護法が施行されている。また、ベトナムではサイバーセキュリティ法が施行されている。マレーシアでは、域外移転可能国・地域について候補が提案されているが現時点では未承認となっている。インドでは、「インド内で発生するデータはインドの発展のために利用すべき」という思想があり、個人情報保護の概念は実現していない。
ちなみに、日本で個人情報保護に違反した場合の制裁は、1年以下の懲役又は50万円以下の罰金となっており、従業者等の所属する法人にも50万円以下の罰金が課される。