« ブログのトップページに戻る

知ってて損はない 中国とアメリカのプライバシー保護法

   投稿者 : 2019年10月16日 By

タイトルイメージ画像

2018年5月より、EUでは「GDPR」が施行された。「GDPR」とはヨーロッパの個人情報に関するデータの処理と移転に関して法律化したものだ。
世界的な個人情報保護に関しては、中国のサイバーセキュリティ法があり、中国国内でのインターネット上の個人情報保護を強化している。アメリカには、個人情報保護のための連邦法的なものはないが、カリフォルニア州では、昨年、アメリカで初の州法として個人情報保護法を可決し、来年2020年より実施されることとなった。
日本もプライバシー保護法は何度か改正されているが、越境ECではEC戦略にあたってはそれら個人情報保護に関する法律に違反、漏洩の無いように管理が必要だ。
今回は、中国のサイバーセキュリティ法とアメリカのプライバシー保護法についてまとめた。

なお、EUのプライバシー保護法「GDPR」については以前のブログ「越境ECにも影響するEUの「GDPR」対策行ってますか?」をご確認いただきたい。

中国の「サイバーセキュリティ法(CS法)」とは

ヨーロッパのGDPR対策とは別に、越境ECでは中国のプライバシー保護法と言われる、「サイバーセキュリティ法」にも注意が必要だ。
2017年6月に施行されたこの法律は「網絡安全法」といい、データのセキュリティ強化と、中国国外へデータを越境移転について法律化したものだ。
中国は、ネット検閲・ブロッキングシステム(グレートファイアウォール)の存在、GoogleやFacebookへの接続規制、さらに、たびたび伝えられる大規模な検閲など、インターネット情報に関して大きく規制と制御を行っている。
この「サイバーセキュリティ法」もこの視点から離れることはなく、個人情報の保護というより、中国国家の安全保障を目的としているところが特徴となっている。
つまり、中国国内の情報データは、輸出入における物流のルールと同じように、サイバー空間においても、同様に移動のルールを設けたというのがこの法律の目的である。
次に、この「サイバーセキュリティ法」のポイントを見ていこう。

サイバーセキュリティ法(CS法)の概要と要点

「サイバーセキュリティ法(CS法)」は全7章、79条で構成されている。特徴は、以下の点を明確にしている点である。

  1. 個人情報及びプライバシーの保護を強化
  2. インターネット運営事業者の定義とセキュリティ要件を明確化
  3. センシティブ情報(国家機密、プライバシー情報)の中国国内保存を要求
  4. 中国国外への越境データ伝送を規制

この法律の対象は、中国国内でビジネスを行うほとんどの企業が適応対象となっている。
中国に本格的に進出している日系企業はこのCS法を遵守しなければならい。
中国CS法の以下の7項目から構成されており、主なポイントを見ていこう。

中国サイバーセキュリティ法の特徴

①個人情報の保護:
中国国内での個人情報の収集、仕様、保護に関する要件

②規制対象「ネットワーク運営者」:
これにあたる事業者は、セキュリティにかかる責任を負う

③規制対象「重要情報インフラ運営者」:
これにあたる事業者は、その保護を名目に中国当局の強い統制を受ける

④機密情報の保全:
中国国内で収集・生成された個人情報および、重要データは、中国国内で保管することが義務付けされる

⑤国外へのデータ移転規制:
原則国外へデータを移転することは禁止

⑥セキュリティ製品の認証:
重要なサイバー設備・セキュリティ製品については、中国当局のセキュリティ認証が必要。
また、ネットワークが妨害、破壊、または無許可アクセスを受けないように保障し、ネットワークの漏洩または改ざんを防止しなければならない。

⑦法的責任と罰則:
サイバースペースにおける中国当局の強い権限が規定され、違反者には高額な罰金を含む罰則がなされ、
企業が違反した場合、もっとも厳しい処罰は、営業停止、ウェブサイトの閉鎖、関連業務の営業許可の取り消しなど、罰金最高額は100万人民元(約1534万3,180円)となっている。

上記7項目の概要のうち、「個人情報保護」、「ネットワーク運営者」、「重要情報インフラ運営者」、「データの国外移転の禁止」について詳しく見ていこう。

CS法の「個人情報保護」とは

ここで示されている、「個人情報保護」とは、日本の個人情報保護法の近い。
個人情報の定義としては、電子的またはその他の形式で記録された情報で、個別または、他の情報を組み合わせることにより、特定の人の身元や、活動を特定することが可能な情報としている。
これら個人情報は、個人センシティブ情報と区分し、それぞれ必要に応じたセキュリティ保護対策を実施することが義務づけされている。

CS法の規制対象「ネットワーク運営者」とは

この「ネットワーク運営者」の対象は、中国国内においてネットワークを確立、運営、維持、使用する企業としている。
つまり、IT企業ばかりではなく、自社のウェブサイトを開設している企業、社内で電子メールを使用している企業も含まれるため、ここでいう、「ネットワーク運営者」とは中国で事業活動を行う、ほぼ全ての企業が適用対象となる。

CS法の「重要情報インフラ運営者」とは

ネットワーク運営者のうち、「重要情報インフラ運営者」に該当する事業者には、より厳格な義務が課せられている。
ここで示される「重要情報インフラ運営者」とは、公共通信・情報サービス・エネルギー・交通・水資源・金融・公共サービス・電子行政に関わる事業者を指している。
さらに、サイバー事故(データ情報の破壊、漏洩)に遭遇した場合、国家安全、経済、科学技術、社会、文化、国防、環境、公共利益に重大な損害を与える情報システム、制御システムも含まれる。

CS法ではデータの国外移転の禁止

この中国CS法で特質すべき点は、「データの国外移転の禁止」の項目である。
データの国外移転の禁止は、世界でもっとも厳しいデータ移転制限であり、個人情報やなどのデータを国外移転を行わなければならない事業者にとっては、大きな負担となる事項である。
「データの国外移転の禁止」とは、中国国内でインターンネット運用において、収集、発生させた個人情報及び重要データは、国内で保存しなければならないというものである。
そして、業務の必要性により、国外に対し確かに提供する必要のある場合には、国のネットワーク安全情報化機関が国務院の関係機関と共同して制定する「安全評価」を受ける必要がある。
この「データ越境伝送」については、中国に進出する日本企業にとっては、一番の関心事であるが、重要な点は個人情報及び重要データの越境送信時に情報アセスメント(評価)を義務付けていることであり、全てのデータを中国から外部に越境を禁止している訳では無い。

アメリカのプライバシー保護法とは

アメリカでは、個人情報保護のための包括的な連邦法は、制定されていない。日本のようなプライバシー保護法なるものがアメリカにはないが、特定分野における個人データの取り扱い規制は数多く制定されている。
例として、医療情報を取り扱う場合の規制や金融サービスで個人情報を取り扱う場合の規制、さらに、児童オンライン・プライバシー保護法や迷惑メール(スパム・メール)防止法など細かく制定されている。
通常、アメリカの企業の場合は、基本的には「自主規制」が原則となっている。つまり、企業の主体的プライバシー・ポリシーなどを公表し、その内容を遵守することを義務づけている。
その上で、万が一、企業が自ら公表しているプライバシー・ポリシーに違反する取扱いをした場合、FTC法の「不公正・欺瞞的行為または慣行」にあたるとして、連邦取引委員会(FTC)が乗り出してくるのである。
FTC法に関しては、以前のブログ「越境ECを始める前に知っておくべき基礎知識【アメリカ編】」をご確認いただきたい。
そのような中で、アメリカ、カリフォルニア州では昨年、2018年6月28日に個人情報保護の新規制法を全会一致で可決した。
昨年、アメリカで起きた、Facebookの個人情報漏洩に端を発するものだが、来年2020年から施行されるカリフォルニア州消費者プライバシー法「CCPA」とはどのようなものなのか、その概要を見ていこう。

カリフォルニア州の個人情報保護する新規制法「CCPA」とは

EUの「GDPR」に匹敵する、もしくは、さらに厳しいと言われる、カリフォルニア州消費者プライバシー法「CCPA」は、2018年6月に成立し、2020年1月から新たに施行される予定だ。
「CCPA」の対象となるのは、カリフォルニア州で事業を行っている企業で、
①年間売上高2500万ドル(約27億16,82万5,000円)以上の企業、または、②年間5万人分以上の個人情報を扱う企業、または、③個人情報の販売で得る額が年間売上高の5割以上の企業のいずれかに該当する企業となっている。

CCPA対象企業

規制の対象となった企業は、集める個人情報の種類や目的などを消費者に通知する必要あること。
さらに、顧客は、企業に対し、集めた個人情報の削除を求めることができる。
また、顧客は、企業に対し、個人情報を第三者と共有したり、転売することもやめるよう申し入れることができる。
また、「CCPA」に違反した場合、州の司法長官の判断に基づき、民事上、最大7500ドル(約81万4,900円)の賠償を求められる。

カリフォルニア州消費者プライバシー法「CCPA」の個人情報とは?

「CCPA」の個人情報は非常に広範囲なのものとなっている。
定義としては、カリフォルニア州民、または世帯について識別し、関連し、記載し、結び付け、直接または間接的に合理的にたどることができるあらゆる情報としている。
具体的には、

  • 実名、仮名
  • 電話番号
  • IPアドレス
  • メールアドレス
  • 口座
  • 社会保障番号
  • 運転免許証
  • パスポート
  • 商品やサービスの購入履歴
  • 虹彩・網膜・指紋・掌紋・顔・声・DNAなどの身体的・生体的特徴を含む生体情報
  • ウェブサイトの閲覧、検索履歴
  • 位置情報データ
  • 職歴
  • 学歴 等である

そして、「CCPA」はEUの「GDPR」と同じように、消費者へ「情報への権利」「忘れられる権利」「第三者への情報共有をオプトアウトできる権利」「平等にサービスを受ける権利」「データの移植を行う権利」「データが適切に保護されていない場合に訴訟を起こす権利」といった権利を有しているとことが特徴である。

CCPAの権利

「CCPA」が示す新たな消費者の為の特別な権利

「CCPA」によって、カリフォルニア州民に対して大きく分けて、5つの特徴的権利を付与している。以下の5項目がそれにあたる。

(1)企業が収集した個人情報のカテゴリー、情報源、情報の用途および収集した情報の開示先、目的など、企業の収集データの運用について、消費者からのリクエストに応じて開示する必要がある。

(2)企業は消費者によるリクエストがあれば、本人の個人情報を削除しなければならない。

(3)消費者によるリクエストに応じ、過去12カ月の間にその消費者が収集された具体的な個人情報のコピーを受け取る権利。

(4)消費者は企業のデータ売却の運用について知り、その消費者個人情報を第三者に売却しないよう求める権利(オプトアウト)がある。

(5)消費者らがCCPAにより付与された新たな権利を行使したことよって、料金やサービス内容などで差別されない権利。

「CCPA」の内容を見ると、「GDPR」と大きく違う点は、消費者の求めに応じて、情報開示することを義務付けた点である。
「GDPR」では「個人データを使用しないこと」を基本としているが、「CCPA」では消費者の個人データの使用に関しては禁じてはおらず、消費者リクエストに求めに応じて、データの使い方の開示、情報の削除などの権利を付与している点である。

カリフォルニア州の人口は約4000万人、そして、IT企業がひしめくシリコンバレーがある。日本企業もカリフォルニア州で事業を行っている場合、まず間違いなく対策が必要となる。そのための準備が必要だろう。
「CCPA」では消費者のデータ提供に対するインセンティブを認めている。
企業がカリフォルニア州、消費者のデータ提供に大きく頼っている場合、インセンティブを与えてデータの量・質を維持する必要があるだろう。
そのための準備を進める必要があり、すでに、トヨタ自動車の米国法人は「保持している個人情報に関する包括的なレビューを実施している」と「CCPA」対応を進めている。

まとめ

昨年5月の「GDPR」が施行から世界規模で個人情報保護法の改正、新制度の制定が始まっている。
アメリカでは、カリフォルニア州消費者プライバシー法に続き、米国国立標準技術研究所(NIST)が消費者のプライバシー保護のための新たなプライバシーフレームワークの開発に着手している。
また、アップルCEOのティム・クック氏も、アメリカ国内で「包括的な連邦プライバシー法案」を策定すべきと提言している。
アメリカの政策は、日本政府、企業に大きな影響があるので、今後のアメリカ政府の動向には注視する必要があるだろう。

【記事参考】

 

 

関連する記事

2018年 国内EC市場,越境EC市場 成長は鈍化傾向... 5月16日、経済産業省は「平成30年度我が国におけるデータ駆動型社会に係る基盤整備(電子商取引に関する市場調査)」を実施し、日本の電子商取引市場の実態、及び日米中3か国間の越境電子商取引の市場動向について、その内容を公表した。 「平成30年度我が国におけるデータ駆動型社会に係る基盤整備」の...
中国向け 越境ECをやる4つの方法 越境ECは中国に売るか、それ以外か 越境ECを始めるときは中国かそれ以外の国に売るかの2者択一です。 2018年から2019年にかけて越境ECというと、さまざまなソリューションを提供する業者で市場が活性化しつつあるものの、逆にそれが複雑化してわからりづらくなってきたのではないでしょうか。 ...
中国人旅行者の4割は訪日後、越境ECを利用している... 昨年12月12日、日本貿易振興機構(ジェトロ)が「中国の消費者の日本製品等意識調査」公表した。 報告書よると、中国の越境ECで日本の商品をを購入した経験が「ある」と回答した割合は67.7%と前回調査と比べて1.1ポイント上昇しており、越境EC利用者数は高い値で推移していることがわかった。 ...
今、中国で最も熱い「Douyin」と「RED」を知ってますか?... 4月1日、新元号が「令和」と発表された。「令和」は、初めて日本の古典からの引用とされいるが、中国の漢書にも「令和」は存在した言葉でもあるようだ。 その中国では今後、中国消費者の中心となるのは、ジェネレーションZ(Z世代)と呼ばれる、2000年(もしくは1990年代後半以降)から2010年ま...
過去最多! 海外に出かける”中国の春節2018”... 先週2月16日から中国では春節の大型連休が始まっている。 春節というのは日本でいう旧暦の正月である。 オンライン旅行大手、携程旅行網(シートリップ)などの発表によると、春節の大型連休を利用して海外に旅行する中国人が2017年より約6%も多く、その人数は650万人を上回る過去最多になると予測...
加速する 中国の「ニューリテール戦略」とは... 中国の景気が減速し中国向け輸出減など、日本にも影響が出てきている。アメリカとの貿易摩擦も影響し減速に追い打ちをかけている。 そのような中、アリババグループは好調をキープしているようだ。 今年、1月31日に発表された2018年10-12月期の決算報告では、グループ全体で昨年比41%増の1,1...

タグ: , , ,

このエントリーをはてなブックマークに追加
 

今なら海外展開の為の成功BOOKを無料ダウンロードできます。是非この機会にお読みください。