2018年5月より、EUでは「GDPR」が施行された。「GDPR」とはヨーロッパの個人情報に関するデータの処理と移転に関して法律化したものだ。
世界的な個人情報保護に関しては、中国のサイバーセキュリティ法があり、中国国内でのインターネット上の個人情報保護を強化している。アメリカには、個人情報保護のための連邦法的なものはないが、カリフォルニア州では、昨年、アメリカで初の州法として個人情報保護法を可決し、来年2020年より実施されることとなった。
日本もプライバシー保護法は何度か改正されているが、越境ECではEC戦略にあたってはそれら個人情報保護に関する法律に違反、漏洩の無いように管理が必要だ。
今回は、中国のサイバーセキュリティ法とアメリカのプライバシー保護法についてまとめた。
なお、EUのプライバシー保護法「GDPR」については以前のブログ「越境ECにも影響するEUの「GDPR」対策行ってますか?」をご確認いただきたい。
ヨーロッパのGDPR対策とは別に、越境ECでは中国のプライバシー保護法と言われる、「サイバーセキュリティ法」にも注意が必要だ。
2017年6月に施行されたこの法律は「網絡安全法」といい、データのセキュリティ強化と、中国国外へデータを越境移転について法律化したものだ。
中国は、ネット検閲・ブロッキングシステム(グレートファイアウォール)の存在、GoogleやFacebookへの接続規制、さらに、たびたび伝えられる大規模な検閲など、インターネット情報に関して大きく規制と制御を行っている。
この「サイバーセキュリティ法」もこの視点から離れることはなく、個人情報の保護というより、中国国家の安全保障を目的としているところが特徴となっている。
つまり、中国国内の情報データは、輸出入における物流のルールと同じように、サイバー空間においても、同様に移動のルールを設けたというのがこの法律の目的である。
次に、この「サイバーセキュリティ法」のポイントを見ていこう。
「サイバーセキュリティ法(CS法)」は全7章、79条で構成されている。特徴は、以下の点を明確にしている点である。
この法律の対象は、中国国内でビジネスを行うほとんどの企業が適応対象となっている。
中国に本格的に進出している日系企業はこのCS法を遵守しなければならい。
中国CS法の以下の7項目から構成されており、主なポイントを見ていこう。
①個人情報の保護:
中国国内での個人情報の収集、仕様、保護に関する要件
②規制対象「ネットワーク運営者」:
これにあたる事業者は、セキュリティにかかる責任を負う
③規制対象「重要情報インフラ運営者」:
これにあたる事業者は、その保護を名目に中国当局の強い統制を受ける
④機密情報の保全:
中国国内で収集・生成された個人情報および、重要データは、中国国内で保管することが義務付けされる
⑤国外へのデータ移転規制:
原則国外へデータを移転することは禁止
⑥セキュリティ製品の認証:
重要なサイバー設備・セキュリティ製品については、中国当局のセキュリティ認証が必要。
また、ネットワークが妨害、破壊、または無許可アクセスを受けないように保障し、ネットワークの漏洩または改ざんを防止しなければならない。
⑦法的責任と罰則:
サイバースペースにおける中国当局の強い権限が規定され、違反者には高額な罰金を含む罰則がなされ、
企業が違反した場合、もっとも厳しい処罰は、営業停止、ウェブサイトの閉鎖、関連業務の営業許可の取り消しなど、罰金最高額は100万人民元(約1534万3,180円)となっている。
上記7項目の概要のうち、「個人情報保護」、「ネットワーク運営者」、「重要情報インフラ運営者」、「データの国外移転の禁止」について詳しく見ていこう。
ここで示されている、「個人情報保護」とは、日本の個人情報保護法の近い。
個人情報の定義としては、電子的またはその他の形式で記録された情報で、個別または、他の情報を組み合わせることにより、特定の人の身元や、活動を特定することが可能な情報としている。
これら個人情報は、個人センシティブ情報と区分し、それぞれ必要に応じたセキュリティ保護対策を実施することが義務づけされている。
この「ネットワーク運営者」の対象は、中国国内においてネットワークを確立、運営、維持、使用する企業としている。
つまり、IT企業ばかりではなく、自社のウェブサイトを開設している企業、社内で電子メールを使用している企業も含まれるため、ここでいう、「ネットワーク運営者」とは中国で事業活動を行う、ほぼ全ての企業が適用対象となる。
ネットワーク運営者のうち、「重要情報インフラ運営者」に該当する事業者には、より厳格な義務が課せられている。
ここで示される「重要情報インフラ運営者」とは、公共通信・情報サービス・エネルギー・交通・水資源・金融・公共サービス・電子行政に関わる事業者を指している。
さらに、サイバー事故(データ情報の破壊、漏洩)に遭遇した場合、国家安全、経済、科学技術、社会、文化、国防、環境、公共利益に重大な損害を与える情報システム、制御システムも含まれる。
この中国CS法で特質すべき点は、「データの国外移転の禁止」の項目である。
データの国外移転の禁止は、世界でもっとも厳しいデータ移転制限であり、個人情報やなどのデータを国外移転を行わなければならない事業者にとっては、大きな負担となる事項である。
「データの国外移転の禁止」とは、中国国内でインターンネット運用において、収集、発生させた個人情報及び重要データは、国内で保存しなければならないというものである。
そして、業務の必要性により、国外に対し確かに提供する必要のある場合には、国のネットワーク安全情報化機関が国務院の関係機関と共同して制定する「安全評価」を受ける必要がある。
この「データ越境伝送」については、中国に進出する日本企業にとっては、一番の関心事であるが、重要な点は個人情報及び重要データの越境送信時に情報アセスメント(評価)を義務付けていることであり、全てのデータを中国から外部に越境を禁止している訳では無い。
アメリカでは、個人情報保護のための包括的な連邦法は、制定されていない。日本のようなプライバシー保護法なるものがアメリカにはないが、特定分野における個人データの取り扱い規制は数多く制定されている。
例として、医療情報を取り扱う場合の規制や金融サービスで個人情報を取り扱う場合の規制、さらに、児童オンライン・プライバシー保護法や迷惑メール(スパム・メール)防止法など細かく制定されている。
通常、アメリカの企業の場合は、基本的には「自主規制」が原則となっている。つまり、企業の主体的プライバシー・ポリシーなどを公表し、その内容を遵守することを義務づけている。
その上で、万が一、企業が自ら公表しているプライバシー・ポリシーに違反する取扱いをした場合、FTC法の「不公正・欺瞞的行為または慣行」にあたるとして、連邦取引委員会(FTC)が乗り出してくるのである。
FTC法に関しては、以前のブログ「越境ECを始める前に知っておくべき基礎知識【アメリカ編】」をご確認いただきたい。
そのような中で、アメリカ、カリフォルニア州では昨年、2018年6月28日に個人情報保護の新規制法を全会一致で可決した。
昨年、アメリカで起きた、Facebookの個人情報漏洩に端を発するものだが、来年2020年から施行されるカリフォルニア州消費者プライバシー法「CCPA」とはどのようなものなのか、その概要を見ていこう。
EUの「GDPR」に匹敵する、もしくは、さらに厳しいと言われる、カリフォルニア州消費者プライバシー法「CCPA」は、2018年6月に成立し、2020年1月から新たに施行される予定だ。
「CCPA」の対象となるのは、カリフォルニア州で事業を行っている企業で、
①年間売上高2500万ドル(約27億16,82万5,000円)以上の企業、または、②年間5万人分以上の個人情報を扱う企業、または、③個人情報の販売で得る額が年間売上高の5割以上の企業のいずれかに該当する企業となっている。
規制の対象となった企業は、集める個人情報の種類や目的などを消費者に通知する必要あること。
さらに、顧客は、企業に対し、集めた個人情報の削除を求めることができる。
また、顧客は、企業に対し、個人情報を第三者と共有したり、転売することもやめるよう申し入れることができる。
また、「CCPA」に違反した場合、州の司法長官の判断に基づき、民事上、最大7500ドル(約81万4,900円)の賠償を求められる。
「CCPA」の個人情報は非常に広範囲なのものとなっている。
定義としては、カリフォルニア州民、または世帯について識別し、関連し、記載し、結び付け、直接または間接的に合理的にたどることができるあらゆる情報としている。
具体的には、
そして、「CCPA」はEUの「GDPR」と同じように、消費者へ「情報への権利」「忘れられる権利」「第三者への情報共有をオプトアウトできる権利」「平等にサービスを受ける権利」「データの移植を行う権利」「データが適切に保護されていない場合に訴訟を起こす権利」といった権利を有しているとことが特徴である。
「CCPA」によって、カリフォルニア州民に対して大きく分けて、5つの特徴的権利を付与している。以下の5項目がそれにあたる。
(1)企業が収集した個人情報のカテゴリー、情報源、情報の用途および収集した情報の開示先、目的など、企業の収集データの運用について、消費者からのリクエストに応じて開示する必要がある。
(2)企業は消費者によるリクエストがあれば、本人の個人情報を削除しなければならない。
(3)消費者によるリクエストに応じ、過去12カ月の間にその消費者が収集された具体的な個人情報のコピーを受け取る権利。
(4)消費者は企業のデータ売却の運用について知り、その消費者個人情報を第三者に売却しないよう求める権利(オプトアウト)がある。
(5)消費者らがCCPAにより付与された新たな権利を行使したことよって、料金やサービス内容などで差別されない権利。
「CCPA」の内容を見ると、「GDPR」と大きく違う点は、消費者の求めに応じて、情報開示することを義務付けた点である。
「GDPR」では「個人データを使用しないこと」を基本としているが、「CCPA」では消費者の個人データの使用に関しては禁じてはおらず、消費者リクエストに求めに応じて、データの使い方の開示、情報の削除などの権利を付与している点である。
カリフォルニア州の人口は約4000万人、そして、IT企業がひしめくシリコンバレーがある。日本企業もカリフォルニア州で事業を行っている場合、まず間違いなく対策が必要となる。そのための準備が必要だろう。
「CCPA」では消費者のデータ提供に対するインセンティブを認めている。
企業がカリフォルニア州、消費者のデータ提供に大きく頼っている場合、インセンティブを与えてデータの量・質を維持する必要があるだろう。
そのための準備を進める必要があり、すでに、トヨタ自動車の米国法人は「保持している個人情報に関する包括的なレビューを実施している」と「CCPA」対応を進めている。
昨年5月の「GDPR」が施行から世界規模で個人情報保護法の改正、新制度の制定が始まっている。
アメリカでは、カリフォルニア州消費者プライバシー法に続き、米国国立標準技術研究所(NIST)が消費者のプライバシー保護のための新たなプライバシーフレームワークの開発に着手している。
また、アップルCEOのティム・クック氏も、アメリカ国内で「包括的な連邦プライバシー法案」を策定すべきと提言している。
アメリカの政策は、日本政府、企業に大きな影響があるので、今後のアメリカ政府の動向には注視する必要があるだろう。
【記事参考】
[…] る。 「知ってて損はない 中国とアメリカのプライバシー保護法」 […]