GDPR(General Data Protection Regulation)と個人情報保護法は、どちらも個人情報の保護を目的とした法律ですが、その適用範囲や具体的な規制内容には違いがあります。Webを通じてビジネスを行う際に、法律を遵守しながら個人情報を適切に管理するためには、守るべきルールをしっかりと把握することが重要です。
この記事では、GDPRと日本の個人情報保護法がどのように異なり、どのような場面でそれぞれが適用されるのかを解説します。
GDPRとは何か?その概要と特徴
GDPRはEU域内で適用される個人データ保護規則で、各国の現在のプライバシー保護関連の法規制の先駆けとなった法規制です。
GDPRの基本概念と目的
GDPR(General Data Protection Regulation)は、EU(欧州連合)域内で個人データを保護するために2018年5月に施行されました。
データを収集・処理する企業や組織に対し、透明性や責任を求める厳格なルールを規定しており、個人が組織に収集された自分のデータにアクセスしたり、削除を求めたりする権利が明確に定められています。また、EU域外の企業であっても、EU圏の居住者のデータを取扱う場合には、GDPRの規制の適用を受ける点が大きな特徴となっています。
GDPRについてはこちらの記事で詳しく解説しています。併せてご覧ください。
【関連記事】GDPR対応のポイントは、利用者の利便性の確保とプライバシーの保護!
GDPRの適用範囲と対象
GDPRの適用範囲は非常に広く、EU域内に拠点を持つ企業だけでなく、EU圏の居住者のデータを取扱う全ての企業が対象となります。
例えば、日本の中小企業がEUの顧客に商品を販売する場合、その取引で収集した顧客情報(名前、住所、支払い情報など)もGDPRの規制の適用を受けます。また、EU域内に支店を持ち、現地スタッフを雇用している日本企業もGDPRの適用対象となります。
GDPRでは特定の個人を識別できる個人情報(氏名、住所、電話番号など)のほかにも、IPアドレスやCookie、デバイスの位置情報など、直接的には個人を識別しない情報についても保護の対象とされています。
特に健康や医療情報、宗教や信条、政治的な見解などのセンシティブな情報については、慎重な扱いが求められています。
GDPRの罰則
個人データを保護するために厳しい規制を設けているGDPRの大きな特徴のひとつとして、違反時に課される高額な制裁金の存在があります。
売上規模や違反内容にも左右されますが、最高額は「2000万ユーロまたは、全世界年間売上高の4%のいずれか高い方」とされています。約3,800億円もの制裁金が課されたケースもあり、企業にとっては非常に厳しい罰則と言えるでしょう。
【関連記事】実際に課されたGDPRの制裁金をランキング形式で紹介!
GDPRは、EU域内外を問わず、多くの企業に影響を与える国際的な規制であると同時に世界各国のプライバシー関連の法規の内容に大きな影響を及ぼす存在となっています。
企業に個人データの取扱いやデータ主体のプライバシー保護を厳格な罰則で強く促しており、規制の内容だけではなく、規制がはじまった時代背景や特徴を理解することで、適切に対応するための準備を進めることができるでしょう。
日本の個人情報保護法とは?
個人情報保護法は、主に日本国内における個人情報の取得や取扱い、および個人の権利を定めた個人のプライバシーを守るための法律です。
個人情報保護法の基本概要
個人情報保護法は、日本国内の個人情報取扱事業者に適用される法律で2005年に全面的に施行されました。施行後、定期的に改訂を繰り返し、現在においては日本の代表的なプライバシー保護法となっています。
個人の権利利益を保護し、個人情報の適正な取扱いを促進することが個人情報保護法の基本的な概念であり、情報を収集する際には利用目的を通知・公表し、原則として本人からの同意を得ることを求めています。
2022年の改正では、漏えい等が発生し、個人の権利利益を害する恐れがある場合、個人情報保護委員会への報告および本人への通知が義務化され、提供先において個人データとなることが想定される情報の第三者提供については、本人の同意が得られていること等の確認が義務化されました。
また、外国に個人データを提供する場合のルールが強化されるなど、グローバル化に対応した規律が追加されています。
2024年の個人情報保護法施行規則改正のポイント
2024年には、主に「データ漏洩時の報告義務の強化」と「個人データとして解釈するデータの拡大」に関する施行規則の改正が行われました。「データ漏洩時の報告義務の強化」では、個人情報が漏洩した場合に、迅速かつ適切な対応を行うことが義務付けられました。
「個人データとして解釈するデータの拡大」では、企業が取得し、個人データとして保有する「予定」の個人情報も保護対象に追加されました。
例えば、Webサイトにおいて利用者が入力フォームに記載し、データを送信した後、データが事業者に届く前の段階にある個人情報、郵便で返送している途中の書類(事業者への到着前)に記載されている個人情報なども、保護対象に該当します。
個人情報保護法は、定期的に社会情勢を踏まえた改訂を行うことで、サイバー攻撃や情報漏洩リスクへの対応やプライバシー保護の対策強化を向上させています。次回の改正は、2025年に予定されており、2024年12月25日に「個人情報保護法のいわゆる3年ごとの見直しに関する検討会報告書」が個人情報保護委員会から公表されました。
この報告書では、外国の法制度(GDPRやCCPA)との関係性も踏まえ、課徴金制度の導入にかなり具体的に言及しており、次回の法改正の規定路線ではないかと内外からの注目を集めています。
【参考】個人情報保護法のいわゆる3年ごとの見直しに関する検討会報告書
また、2024年9月4日に公表された中間整理の段階では、以下の項目が取り上げられていました。2022年の法改正時点ではほとんど話題に上がっていなかったテクノロジー関連、生成AI関連の検討課題や指摘の多さが際立った結果になっています。
【参考】「個人情報保護法 いわゆる3年ごと見直しに係る検討の中間整理」
・本人同意を要しないデータ利活用等(生成AIに関するものが大半)
・こどもの個人情報等(16歳未満とする案を検討)
・生体データ
・不適正利用/適正取得、同意取得(ダークパターン等)
・団体による差止請求制度及び被害回復制度
・漏洩等報告
・本人の権利救済手段
・オプトアウト等
・勧告、命令、刑事罰
・プライバシー強化技術(PETs)の位置づけ
特にプロファイリングを元にして、更に生成したデータは、データの取得に該当しないため、利用目的の通知や公表等の規制が一切かからない点もプライバシー侵害の深刻な問題点として指摘が上がっています。
国内でのデータ管理における個人情報保護法の役割を理解することは、企業や個人事業主にとって、今や欠かせないステップとなりました。個人情報保護法の基礎や2024年4月に改訂されたポイントについては、こちらの記事でも詳しく解説しています。
【関連記事】個人情報保護法施行規則の改正ポイントをまとめて解説!
GDPRと個人情報保護法の主な違い
共にユーザのプライバシーを守ることを主目的としているGDPRと個人情報保護法ですが、適用範囲や規制内容には違いがあります。
適用範囲の違い
GDPRでは、EU域内の個人データを扱う企業や組織、個人を対象としている一方で、個人情報保護法では、日本国内において収集された個人情報および個人データを対象とし、それらを取扱う「個人情報取扱事業者」が適用の対象となっています。
個人情報取扱事業者とは、個人情報を検索して利用できる形式で管理している企業とされており、2017年の法改正により保有データの5000件の件数制限が撤廃されたことにより、現在では実質的には日本で活動するほぼ全ての企業が個人情報取扱事業者に該当しています。
個人情報保護法の対象については、こちらの記事で解説しています。
【関連記事】改正個人情報保護法の適用範囲は?自社が該当するのか確認しよう
データ主体の権利の違い
GDPRでは、データ主体(個人)が自分のデータにアクセス(アクセス権)したり、削除を求めたりする権利(削除権)などが明確に定められています。一方、日本の個人情報保護法でも同様の権利が認められていますが、GDPRほど詳細ではありません。
たとえば、GDPRの「忘れられる権利」は、個人が検索エンジンに自分に関する情報削除の要求やデータ利用の同意を撤回できる権利を含んでいます。
「・・・以下の根拠中のいずれかが適用される場合、データ主体は、管理者から、不当に遅滞することなく、自己に関する個人データの消去を得る権利をもち、また、管理者は、不当に遅滞することなく、個人データを消去すべき義務を負う。」
違反時の罰則の違い
先に触れたようにGDPRでは非常に高額な制裁金が定められており、実際にその制裁金が課されるケースもあります。日本の個人情報保護法でも、2022年の法改正以降、厳罰化の傾向がみられます。法人における罰金の最高額は1億円に引き上げられましたが、GDPRと比較すれば、まだ低い水準にあると言えるでしょう。
ただし、個人情報保護法の違反による社会的信用への影響は大きく、顧客や取引先との関係性悪化が深刻な問題となるリスクもあります。また、2025年に予定されている法改正では、課徴金制度の導入とその金額がどの程度に設定されるのか、次第に世間の注目が集まっています。
こどものプライバシー保護の規定
プライバシー関連の法律では、こどもの年齢は16歳未満とする規定がスタンダードになりつつあります。GDPRでは、こどもの年齢基準を16歳未満とし、こどもの個人データ処理には保護者の同意を必要とし、こどもの権利利益に配慮するよう求めています。
オーストラリアの議会で2024年11月28日に可決され、日本でも大きな話題となったソーシャルメディアの利用禁止法案においても、こどもの年齢は16歳未満とされています。早ければ12カ月後には施行されるこの法案、最大5000万豪ドル(49億円前後)の罰金が課される可能性があると報じられました。
日本の個人情報保護法には、こどもに関する規定は現在はありませんが、2025年の法改正に盛込まれる可能性が2024年9月4日の「中間整理」公表されています。こどもの年齢の定義は、同じく16歳未満とする方向性のようです。各国の事情に沿いながらも、こどもの個人データに対して特に配慮を促す規定や法制度の整備と違反時の厳罰化の傾向はさらに顕著になる可能性があります。
ほとんどの日本企業は、個人情報保護法の適用対象とされる個人情報取扱事業者に該当するため、慎重なデータ管理が求められています。GDPRは、EU域内における規制ではありますが、特にインターネットを活用したビジネスを展開する際には注意が必要です。
EU域内に居住するユーザからアクセスを受ける可能性がある場合、GDPRの遵守が必須となりますし、取得後のデータの越境の有無などについては、特に慎重な確認と対応が必要となります。
GDPRと個人情報保護法を遵守するためには?
近年のプライバシー保護法は、より規律や規制が厳格になる傾向にあり、遵守するべきルールやデータの解釈なども複雑になってきています。さらには複数の法令により異なるルールが定められているため、法令遵守をするためのハードルが上がっていると言えるでしょう。
法令を正しく理解し、安全なデータ管理を実現するためには、法的知識はもちろんそれを実現するためのITシステムの導入・運用も重要です。しかし、自社だけでは法的知識やITスキルについて不安が生じるケースもあるのではないでしょうか。
RTmetricsは、GDPRや個人情報保護法を遵守しながらWebサイトのアクセス解析・分析を行えるアクセス解析ツールです。近年のクッキー規制も考慮した設計で、規制を受けにくく、法的リスクを抑えながら多角的なアクセス解析や分析が可能となっています。
Webを通じたビジネスにおいて法的リスクへの不安や安全なアクセス解析をお求めの場合はぜひRTmetricsをご検討ください。