ビジュアル・ニュース解説

改正個人情報保護法、プライバシー保護など個人の権利拡大

2021.12.6 掲載
個人の氏名や顔写真などの個人情報を取り扱うインターネットのサービス普及に対応し、世界で個人情報保護の規制強化が進んでいます。国内でも個人データの不当な利用の停止請求や罰金の上限引き上げなどを盛り込んだ改正個人情報保護法が成立し、2022年4月から全面施行されます。今回は改正個人情報保護法の概要や改正の背景などについて解説します。

3.欧州や米国などでも規制強化

3.欧州や米国などでも規制強化
 グローバル化でITサービスは国際分業が進み、海外で一部を開発するのは当たり前になっています。その際、企業はデータの移転先の国の法規制に従う必要があります。欧州連合(EU)は18年に一般データ保護規則(GDPR」を施行しました。EU加盟国(ノルウェーなど一部非加盟国を含む)にいる人の個人データを企業が事業に活用したり、域外に持ち出したりするのを規制しています。欧州企業だけでなく、EU域内に子会社を設けたり、域内の顧客の個人データを利用したりする外国企業も対象です。個人データにはネットの閲覧履歴や、ネット上でデータの送受信先を識別するIPアドレス、位置情報なども含まれます。データの取得時に目的を説明して明確な同意を得ることや、データの処理過程の記録・保存、個人からのデータ削除などの要求への対処を求めています。データ漏洩などのトラブルが起きた場合は、把握してから原則72時間以内にEU各国の監督当局に通知しなければなりません。違反すれば、最大で全世界での年間売上高の4%か、2000万ユーロ(約25億7000万円)の高い方の制裁金を科される可能性があります。
 米国では20年にカリフォルニア州消費者プライバシー法(CCPA)が施行。カリフォルニア州の居住者に対し、企業が保有する個人情報の開示や消去、第三者への売却停止などを請求できる権利を与えました。対象は同州の居住者の個人情報を扱う企業で、年間売上高が2500万ドル(約28億4000万円)を超えたり、5万人分以上の個人情報を扱っていたりする場合です。
 中国でも21年11月に個人情報保護法が施行されました。個人情報の扱いに本人の同意が必要と規定。民族や信仰などの個人情報や、指紋などの生体情報、医療・健康情報などを「デリケートな個人情報」として、個別の同意を求めています。外資を含む中国で事業を展開する企業には、中国国内の個人情報を安全に取り扱うための対策を要求。通信や金融、交通など重要インフラを運営したり、データ量が一定に達したりする場合はデータの国内保存を義務づけました。個人データの海外への持ち出しも厳しく制限し、中国のネット当局の安全評価や専門機関の承認を得る必要があるほか、本人に個人情報の持ち出し目的などを告知して同意を得ることを義務づけました。
2021年12月6日掲載