これからのネット上の「プライバシー」。いよいよカリフォルニア州消費者プライバシー法(CCPA)施行へ

これからのネット上の「プライバシー」。いよいよカリフォルニア州消費者プライバシー法(CCPA)施行へ

shutterstock

◆2020年1月1日に施行されるカリフォルニア州消費者プライバシー法

 11月19日に、Google AdSense から一通のメールが届いた。「Important updates about the California Consumer Privacy Act (CCPA)」、カリフォルニア州消費者プライバシー法――通称 CCPA――、2020年1月1日に施行される法律についての更新のお知らせだ。

 CCPA は、ヨーロッパの「General Data Protection Regulation (GDPR) 」(一般データ保護規則)とよく比較される、プライバシーについての法律だ。GDPR は、2016年4月に制定され、2018年5月25日に施行された(参照:ジェトロ、NTTデータ先端技術株式会社)。

 GDPR 登場時の混乱は今でも覚えている。「制裁金が非常に高いらしい」「日本にいても引っかかるそうだ」「何をしなければならいのだ?」そうした意見が、多く飛び交った。個人でWebサイトを公開している人の中には、「とりあえず、ヨーロッパからのアクセスを全て遮断する」といったことをする人まで出た。

 個人や小さな事業者では、ヨーロッパの事情がよく分からず、大手の対応を見て追随しようとするパターンも多かった。大きな混乱が起きるかと思ったが、そうしたものはなく、大手サイトから順に、徐々に対応がおこなわれていった。

 最終的に、GDPR の登場以降、インターネット上での個人情報の扱いは厳しくなった。CCPA は、その方向をさらに後押しすることになりそうだ。というわけで、今後のインターネット上でのプライバシーについて今回は話をしよう。

◆ファーストインパクト、GDPR

 GDPR(一般データ保護規則)が登場した前後、ウェブ界隈はかなり騒然とした。多くのWebサイトでダイアログ(個人情報の取り扱いについて説明して同意を得るためのもの)が出るようになった。そうしたダイアログを出すためのキットも登場した。そして大手企業を中心に対応がおこなわれた。

 GDPR については、大きなポイントは2つあった。1つは、個人データの範囲の拡大である。IPアドレスや、クッキーといったオンライン識別子が、個人データとして定義された。そのため上述のように、クッキーの受け入れについて同意を得るためのダイアログが、多くのWebサイトで導入されることになった。

 2つ目は、対象となる事業者だ。EU に子会社や支店、営業所を有している企業だけでなく、EU にいる人に何らかの商品やサービスを提供している企業も対象になった。これは、アクセス解析や広告などで、EU 圏内にいるユーザーのデータを取得している場合も範囲に含まれる。

 上記のポイントは非常に端折った概略なので、実務に関わる人は専門の記事を読むとよいだろう。施行から時間が経ったために、ネット上に多くの詳細な記事やFAQが出そろっている(例:ジェトロ:GDPRに関わる実務ハンドブック(入門編))。

◆セカンドインパクト、CCPA

 CCPAの対象となるのは、カリフォルニア州で事業を行い、カリフォルニア州民の個人情報を収集している事業者だ。そこからさらに、年間収入や処理している個人情報の数など複数の条件があり、対象はかなり絞り込まれる(参照:ジェトロ)。そのため GDPR と違って、対象となる事業者は大幅に少ないだろう。

 しかし、個人情報の範囲は広い。直接または間接的に個人をたどることができる、あらゆる情報が対象となる。また、事業者に課せられた責任も重い。プライバシーポリシーを毎年更新しなければならない。そして、事業に関係のない消費者からも情報開示請求を受ける。この請求を受ければ45日以内に開示することが求められる。違反すれば1件ごとに罰金が科せられる。そのため膨大な開示請求が来て、処理がパンクするシナリオも考えられる。

 また、CCPA の権利を行使したユーザーに対して、商品やサービスの提供の有無や、価格の変更といった差別的な扱いを禁止している。これも大きな特徴だろう。こうした条件が盛り込まれることによって、全てのユーザーが正当な権利を行使できるように配慮がなされている。

◆これからのプライバシーの流れを考える

 個人情報の取り扱いについて、徐々に事業者側の責任と、おこなうべき作業は重くなっている。今後、こうした法律が制定される国や地域は増えていくことが予想される。GDPR はヨーロッパ、CCPA はアメリカでの出来事だったが、日本ではどのようになっているのだろうか。

 日本で「個人情報の保護に関する法律」が成立したのは2003年5月23日、全面施行されたのは2005年4月1日だ。当初は、個人情報の数が5000件以下の小規模取扱事業者は適用対象外だった。しかし、2017年5月30日に全面施行された改正により、この条件が撤廃された(参照:政府広報オンライン)。

 また、個人情報保護法は、2020年に改正がおこなわれる(参照:日経 xTECH)。この改正により、企業に個人データの利用停止や、第三者への提供停止を請求できるようになる。そして個人情報保護法は、今後3年ごとの見直しが図られることになっている(参照:個人情報保護委員会)。

 こうした動きは、世界のプライバシー保護の流れに足並みを揃えて、日本も対応していくことを示唆している。個人情報の取り扱いは、世界だけでなく日本でも今後厳格さを増していく。そしてユーザー側で、自身の個人情報をコントロール可能になっていくものと予想される。

<文/柳井政和>

【柳井政和】

やない まさかず。クロノス・クラウン合同会社の代表社員。ゲームやアプリの開発、プログラミング系技術書や記事、マンガの執筆をおこなう。2001年オンラインソフト大賞に入賞した『めもりーくりーなー』は、累計500万ダウンロード以上。2016年、第23回松本清張賞応募作『バックドア』が最終候補となり、改題した『裏切りのプログラム ハッカー探偵 鹿敷堂桂馬』にて文藝春秋から小説家デビュー。近著は新潮社『レトロゲームファクトリー』。

関連記事(外部サイト)