データプライバシー規制 グローバルビジネスにおける必須知識
訪問者のデータを収集するウェブサイトを運営している場合、世界のどこかでプライバシーに関する規制に違反している可能性があります。最新の調査によると、160 か国以上でプライバシー法が制定されており、それらの国の顧客もその法律について知っています。
最近の調査では、回答した人の53%が自国のプライバシー規則について知っており、それに従いたいと考えていることがわかりました。これは2年前の46%から増加しています。さらに、顧客は自分のデータを信頼できる企業から購入したいと考えるようになっています。
だからこそ、企業はデータプライバシーに真剣に取り組まなければならないのです。この記事では、まずデータ・プライバシー規則について、なぜそれが必要なのか、そして世界中でどのように施行されているのかを検証します。最後に、コンプライアンスを確保するための戦略と、それを支援するツールについて説明します。
データプライバシー規制とは?
まず、データ・プライバシーについて考えてみましょう。データ・プライバシーとは何か?簡単に言えば個人が自分の個人情報を管理する能力のことです。そのため、自分のデータがどのように収集され、使用され、共有されるかを人々が決定できるような法律や規則が必要なのです。重要なのは、法律が個人のデータ使用許可をいつでも撤回できるようにすることです。
国連貿易開発会議(UNCTAD)の報告によると、2000年代以前にデータ保護法や規則があったのはわずか13カ国でした。その多くは、企業がオンライン・サービスを提供できるようになる前から存在していたため、更新が必要でした。現在、162 の国内法がデータのプライバシーを保護しており、その半分は過去 10 年間に制定されたものです。 なぜこのような規制が必要なのでしょうか?
理由はたくさんありますが、その原動力は、政府が自分たちのデータを搾取から守ることを望む消費者にあります。消費者は、デジタル経済に参加するということは、電子メールアドレスや電話番号などの個人情報を共有するということだと理解していますが、そのリスクを最小限に抑えたいと考えています。
データ・プライバシー規制は以下のために不可欠です:
- 個人情報を安全に取り扱うための透明性のあるルールとガイドラインにより、個人情報を搾取から守る。
- データ侵害を防止するための適切なセキュリティ対策を実施する。
- データの収集、保存、処理方法について説明責任を果たす。
- 消費者が自らのデータを管理できるようにする。
- 国境を越えたデータの流れを、規制に完全に準拠した形で管理する。
- 個人情報保護法に違反した企業に罰則を与える。
不必要なお役所仕事ではないでしょうか?
近年のデータ漏洩は、データプライバシー規制強化の最大の誘因の一つです。データ漏洩のトップ10を見れば、そのことがよくわかります。
| # | Company | Location | Year | # of Records | Data Type |
|---|---|---|---|---|---|
| 1 | Yahoo | Global | 2013 | 3B | user account information |
| 2 | Aadhaar | India | 2018 | 1.1B | citizens’ ID/biometric data |
| 2 | Alibaba | China | 2019 | 1.1B | users’ personal data |
| 4 | Global | 2021 | 700M | users’ personal data | |
| 5 | Sina Weibo | China | 2020 | 538M | users’ personal data |
| 6 | Global | 2019 | 533M | users’ personal data | |
| 7 | Marriott Int’l | Global | 2018 | 500M | customers’ personal data |
| 8 | Yahoo | Global | 2014 | 500M | user account information |
| 9 | Adult Friend Finder | Global | 2016 | 412.2M | user account information |
| 10 | MySpace | USA | 2013 | 360M | user account information |
そして、それは氷山の一角に過ぎません。2005年11月から2015年11月までの間に、米国を拠点とするIdentity Theft Resource Centerが数えたデータ漏洩件数は5,754件で、主に同国内で856,548,312件の記録が流出しました。
世界中の市民が、個人データを共有する組織に対して、あたかも自分自身のものであるかのようにデータを保護することを望んでいるのも不思議ではありません。より具体的には、彼らは各国政府に次のようなことを望んでいます:
- 消費者の権利の保護
- 個人情報の盗難やその他の消費者詐欺の防止
- 消費者と企業の信頼関係の構築
- サイバーセキュリティ対策の改善
- 倫理的なビジネス慣行の推進
- 国際基準の遵守
個人データを業務に利用する組織は、財務リスクと評判リスクを最小限に抑えたいと考えています。特に外部からの攻撃がデータ漏洩の68%を引き起こしている現状では、これは常識です。
データプライバシーに関する用語
すでに162の国内法が制定されており、データプライバシーを取り巻く法的空間は日々複雑さを増しています。Michalsonsは、世界中の主要な市場で施行されているさまざまなプライバシー法および規制のリストを用意しています。
第一に、どの国も同じ問題を解決したいと考えていること、第二に、法律を起草する側は、他国がすでに開発したものを多く採用していることです。その結果、言葉が変わっても用語はほとんど変わりません。
これが、核となる概念です:
| Term | Definition |
|---|---|
| Access and control | Consumers can access, review, edit and delete their data |
| Data protection | Organisations must protect data from being stolen or compromised |
| Consumer consent | Consumers can grant and withdraw or refuse access to their data |
| Deletion | Consumers can request to have their data erased |
| Data breach | When the security of data has been compromised |
| Data governance | The management of data within an organisation |
| Double opt-in | Two-factor authentication to add a layer of confirmation |
| GDPR | Governing data privacy in Europe since 2016 |
| Personally identifiable information (PII) | Data used to identify, locate, or contact an individual |
| Pseudonymisation | Replace personal identifiers with artificial identifiers or pseudonyms |
| Publicly available information | Data from official sources, without restrictions on access or use |
| Rectification | Consumers can request to have errors in their data corrected |
現行のデータプライバシー法制の概要
世界の4分の3以上がデータプライバシー法制を策定し、展開しています。ここでは、世界の主要な市場で見られる法律と規制の内訳を紹介します。
ヨーロッパ
1970年にドイツ政府が自動化されたデータ処理に懸念を抱いたとき、データ・プライバシーの保護がヨーロッパで初めて考えられました。その数年後、スウェーデンが個人データの処理に許可を必要とする法律を制定した最初の国で、最初のデータ保護当局が設立されました。
一般データ保護規則(GDPR)
スウェーデンの取り組みが引き金となり、欧州では次々と法律や規制が制定され、2016年に制定され2018年5月25日から施行された欧州連合(EU)のGDPRに結実しました。これは、EU市民の個人データとプライバシーを保護する詳細かつ包括的なプライバシー法であります。
GDPRの主な目的は以下の通り:
- 個人のデータ管理権限を強化することにより、個人のプライバシー権を強化する。
- EU全体で統一されたデータ・プライバシーの枠組みを確立する。
- 事業者に個人データの責任ある取り扱いを義務付け、その使用方法を完全に開示することにより、透明性と説明責任を向上させる。
- EU居住者のデータを収集、保存、処理するEU域外の組織にも規制の適用範囲を拡大する。
- 「リスクの高い」プロジェクトについては、保護影響評価(PIA)の実施を組織に義務付ける。
プライバシーと電子通信に関するeプライバシー規則(PECR)
国民の個人データを規制するEUの戦略の第二の柱は、プライバシーと電子通信に関するeプライバシー規則(EU PECR)です。GDPRとともに、EUにおけるデータ保護法を構成します。この規則は以下のものに適用されます:
- WhatsApp、Facebook、Skypeのようなメッセージング・サービスの提供者
- ウェブサイト所有者
- 電子通信機能を持つアプリの所有者
- 営利目的のダイレクトマーケティング業者
- 電子的に宣伝メッセージを送信する政党
- 電気通信事業者
- ISP、WiFi接続事業者
EU PECRは2018年5月25日にGDPRとともに開始される予定でした。それが実現せず、2025年1月現在、再策定中です。
EUデータ法
GDPRやPECRではカバーされないデータの1つが、インターネット製品が生成するデータです。EUデータ法は、このデータを管理するための規制枠組みを提供するもので、IoT機器や関連サービスの製造業者、供給業者、利用者に適用されます。
その意図は、データの共有、使用、再利用を促進し、組織が別のクラウドサービスプロバイダーに切り替えることを容易にすることです。EUデータ法は2024年1月11日に発効し、2025年9月から適用されます。
GDPR英国
ブレグジット前、英国ではEU GDPRが施行されていました。2020年のブレグジット後、英国は英国GDPRとして規制を維持することを選択、枠組みを見直し続ける独立性を主張しました。これは、データ保護法2018と英国PECRを含む、データ保護環境に対するより広範な改革パッケージの一部です。
米国では
米国におけるデータプライバシーに関する主要な連邦法は1974年プライバシー法で、しばらく前から改正が行われています。しかし、その結果を待つよりも、多くのビジネス部門や州が独自の対策を実施しています。
分野別データ保護法
データ保護に対するこの分野別アプローチは、政府による管理ではなく、法律、規制、自主規制の組み合わせに依存しています。1990年代半ば以降、データ保護に関しては民間部門が主導することを認めており、その結果、状況に応じてその場限りの法律が制定されるようになりました。1988年のビデオプライバシー保護法、1992年のケーブルテレビ保護・競争法、公正信用報告法などがその例です。
カリフォルニア州消費者プライバシー法(CCPA)
カリフォルニア州は、連邦プライバシー法の策定が行き詰まったときに最初に行動を起こした州でした。2018年、個人情報のプライバシーに関するカリフォルニア州民の権利を保護し、執行するために、カリフォルニア州消費者プライバシー法(CCPA)を制定しました。施行は2020年です。
カリフォルニア州プライバシー法(CPRA)
同年11月、カリフォルニア州の有権者は、カリフォルニア州プライバシー権法(CPRA)を承認しました。米国で制定された最も強力な消費者プライバシー法と称されるCPRAは、CCPAと連携し、他の司法管轄区(ヨーロッパ、日本、イスラエル、ニュージーランド、カナダなど)の法律や規制の最良の要素をカリフォルニア州の個人情報保護体制に加えるものです。
バージニア州消費者データ保護法(CDPA)
2021年3月、バージニア州はプライバシー保護法を施行する次の米国州となりました。バージニア州消費者データ保護法(VCDPA)は、世界的な法整備も参考にし、消費者のプライバシー保護と企業の利益のバランスを取ろうとしています。この法律は、企業が消費者データを収集、使用、共有する方法について規定しています。
コロラド州プライバシー法(CPA)
VCDPAと同時期に策定されたコロラド州プライバシー法(CPA)は、同法とGDPR、CCPAの影響を受けています。2021年7月に法律として署名されたCPAは、コロラド州の住民にデータの管理権限を与え、企業に対してデータの取り扱いに関するガイドラインを定めています。
他の州では一般的に
その後すぐに、他の州もこれに追随し、コロラド州と同様に、独自のデータプライバシー法や規制の策定に情報を提供するために既存の法律を検討しました。本稿執筆時点で、データ・プライバシー法が様々な開発段階にある州は、コネチカット州、フロリダ州、インディアナ州、アイオワ州、モンタナ州、ニューヨーク州、オレゴン州、テネシー州、テキサス州、ユタ州です。
この記事をお読みになる頃には、さらに多くの州で施行されているかもしれませんし、一部の州の努力によって法律や規制が施行されているかもしれません。すでに米国でビジネスを展開している、あるいはこれから展開しようと考えているのであれば、顧客の出身州について自分なりに調査しておく必要があります。
グローバル
欧米以外の国々でも、プライバシーに関する規制が導入されつつあります。中には、このトレンドに先んじたものもあります。例えば、チリの私生活保護法は1999年に施行され、モーリシャスは2004年に最初のデータ保護法を制定しました。
カナダ
カナダにおけるデータプライバシーをめぐる規制の状況は、米国と同様に複雑です。連邦政府レベルでは、2つの法律があります: 公的機関向けのPrivacy Actと民間企業向けのPersonal Information Protection and Electronic Documents Act (PIPEDA)です。
ここで考慮すべきはPIPEDAです。他のすべてのデータプライバシー方針と同様に、カナダで消費者の個人データを扱う組織のための枠組みを提供しています。GDPRの基準には及ばないものの、そのギャップを埋めようとする動きがあります。
2022年デジタル憲章実施法(別名法案C-27)は、2022年6月に連邦政府機関によって提出される法案です。これは、カナダのプライバシーの枠組みをGDPRなどのグローバルスタンダードに合わせ、デジタル経済の新たな課題に対処することを目的としています。あなたがこれを読むときには、最終決定されているかもしれないし、されていないかもしれません。
州レベルでは、カナダの3つの州(アルバータ州、ブリティッシュ・コロンビア州、ケベック州)が独自の法律と規制を導入しました。その根拠は法案C-27と類似しているため、法案が可決されれば、冗長になるかもしれません。
日本
最近まで、日本の個人情報保護法(APPI)はアジアで最も包括的なデータ保護法であると多くの人に考えられていました。当初は2003年に導入されましたが、GDPRなどの世界的なプライバシー基準に合わせるため、2020年に大幅に改正されました。
APPIは、企業や組織がどのように個人情報を収集し、利用し、保護するかについて明確な規則を定めています。また、日本居住者の個人情報を日本国外に移転する際の条件も定めています。
中国
新しい、少なくとも今のところアジアで最も包括的なデータプライバシー法は、中国の個人情報保護法(PIPL)です。PIPLは、サイバーセキュリティ法、データセキュリティ法と並んで、急速に進化する中国のデータガバナンスの枠組みの一部です。
PIPLは2021年11月に施行され、GDPRや日本のAPPIなどの影響を受けています。データ保護体制は、個人情報保護の枠組みを確立し、中国で事業を行う企業や同国の消費者をターゲットとする企業に重大なコンプライアンス義務を課すものです。
その他の国々
他の多くの国々が、すでに法律や規制を導入しているか、あるいは現在策定中です。前述したように、現時点で162カ国あり、以下の通りです:
| Argentina | Costa Rica | Paraguay |
| Australia | Ecuador | Peru |
| Bahrain | Hong Kong | Saudi Arabia |
| Bermuda | Israel | Singapore |
| Brazil | Mauritius | South Africa |
| Chile | Mexico | UAE |
| Colombia | New Zealand | Uruguay |
観察力のある読者なら、このリストにアフリカの2カ国しか入っていないことにお気づきかもしれません。アフリカ大陸にある55カ国の半数以上が、データプライバシー法制を制定しているか、制定に取り組んでいます。
複雑な状況
グローバル化されたビジネスモデルの構築は、すでに多くの法律が施行され、今後もさらに多くの法律が施行されるため、非常に複雑になっています。何をしなければならないかは、事業を計画している国や対象とする国によって異なります。そしてそれは、国家間の個人データの流れを容易にするために締結された協定を考慮する前の話です。
この点では、EUと米国の関係が参考になります。GDPRが2016年に施行されたとき、EUと米国のプライバシー・シールドも施行されました。しかし、それから約4年後、欧州連合司法裁判所(CJEU)はこれを無効としました。裁判所は、プライバシー・シールドはEUから米国に移転された個人データを適切に保護していないと判断したのです。
この判決は、米国に転送された個人データの政府による過剰な監視を認める米国の法律に基づいていました。CJEUは、これがEU基本権憲章に基づくEU市民の基本的権利に抵触すると判断しました。
EUと米国のデータ・プライバシー・フレームワークという新たな仕組みで、これに代わるものが交渉されました。しかし、法的な課題が予想され、長期的な存続は不透明です。米国が関与するAPECプライバシーフレームワークとOECDプライバシーフレームワークも存在します。
コンプライアンス違反に対する罰則
いずれにせよ、消費者データ・プライバシーに関する法規制は理にかなっています。しかし、本当に興味深いのは、その多くが違反者を罰するための実質的な歯止めを持っていることです。GDPRはその好例だ。2022年1月、フランスのデータ保護規制当局がグーグルとフェイスブックに深刻な罰金と刑事罰を科すまでは、GDPRは主にEUの問題でした。
グーグルは1億5000万ユーロの罰金を科せられ、フェイスブックはフランスのユーザーがクッキーのトラッキング技術を簡単に拒否できるようにしなかったとして6000万ユーロの支払いを命じられた。これをきっかけに、これまでにない多額の罰金が津波となって押し寄せました。
これまでで最大の罰金は、アイルランドのデータ保護委員会がインスタグラム、フェイスブック、ワッツアップを運営するメタ社に課した120億ユーロの罰金です。この罰金は、欧州ユーザーの個人データを適切なデータ保護措置を講じることなく米国に移転させたとして科せられたものです。この重大な罰金は、コンプライアンス違反がもたらす深刻な経済的影響を示すものでありました。
これらの罰則は、恣意的な決定ではなく、構造化されたアプローチに従っています。GDPRは罰金の明確な枠組みを定義しています。罰金額は、前会計年度における企業の全世界での総売上高の最大4%です。これは深刻なビジネス上の脅威です。
あなたはどうすべきでしょうか?
長期的な成功を目指す企業にとって、規制要件を受け入れ、それに適応することは不可欠です。データプライバシー規制と保護影響評価は今後も続くものであり、多くの国が同様の枠組みを導入しています。
しかし、良いニュースもあります。ご覧いただいたように、これらの法律や規制の多くはGDPRの影響を受けているか、あるいは過去に遡って整合しています。これは良いスタート地点です。顧客データを扱うツールは、GDPRに準拠したものを選びましょう。
例えば、ウェブ解析はデータがすべてであり、そのデータの多くは個人的なものです。多くの人がそうであるように、Google アナリティクス4を使用している場合、デフォルトではGDPRに準拠していないため、すでに問題が発生しています。そして、コンプライアンスを達成するためには、かなりの追加設定が必要になります。
より良い選択肢は、すぐにGDPRに準拠したウェブ解析プラットフォームを選ぶことでしょう。Matomoのようなものでよいでしょう。そうすれば、各国がGDPRの基本的な枠組みに対して行った微調整に準拠するのはずっと簡単になりますし、対応してくれるかもしれません。
プライバシーを重視したデータ戦略
効果的なウェブサイトのデータ解析は、ビジネスの成功に不可欠です。それにより、組織は顧客のニーズを理解し、サービス提供を改善することができます。
しかし、そのデータは必ずしも顧客の身元と結びつける必要はありません。
それは、企業がデータを収集することを止めるためではなく、そのデータの責任ある倫理的な取り扱いを奨励し、実施するためです。公式なプライバシー・ポリシーや倫理的なデータ収集慣行がなければ、金銭的な利益のためにそのデータを使用したり悪用したりする誘惑に抗うことができません。
クッキーの使用とコンプライアンス
クッキーが顧客や見込み客に関する信頼できる情報を収集する唯一の方法であった時代もありました。しかし、GDPRの下で、そしてGDPRに基づいた、または法律を合わせた多くの国で、企業はすべてのトラッキング、特にトラッキングクッキーをオプトアウトする簡単な方法をユーザーに提供しなければなりません。
では、クッキーを使わずに必要な情報を収集するにはどうすればいいのでしょうか?簡単です。クッキーに全面的に依存しないウェブ解析プラットフォームを使うのです。例えば、特定の国で、プライバシーを最大限に保護するように設定されている場合、Matomoはクッキーのない操作を可能にします。また、さまざまなデータプライバシー規制のクッキー同意要件を管理するのにも役立ちます。
適切なツールを選ぶ
ますます確立されていくでしょう。幸いなことに、現実的なアプローチがあります。
何度か述べたように、GDPRは多くの国から効果的なデータプライバシー規制の特に優れた例とみなされています。そのため、自国の法律の多くはEUの取り組みをモデルにしており、地域の要件や変則性を満たすためにあちこちに微調整を加えています。
その結果、GDPRに準拠すれば、ここで取り上げた他のデータプライバシー規制の多くにも準拠する可能性があります。つまり、GDPRに準拠したデータ収集と解析のためのツールを、いわば箱から出してすぐに選択できるということでもある。Matomoのようなツールです。
Matomoは、ウェブサイトの訪問者が自分のデータを完全にコントロールできるようにします。
Matomoのオンプレミス版かEUホスティングのクラウド版かを決める前に、21日間の無料トライアルを始めてみませんか?クレジットカードは必要ありません。