GDPRとは?

GDPRとは「General Data Protection Regulation」の略で、日本語では「EU一般データ保護規則」と言います。EUにおける個人データ保護に関する法律で、EU議会、EU理事会、EU委員会により制定され、2018年5月25日に施行されました。

GDPRで保護対象となる個人データは次のとおり。

  • 個人の画像、映像、音声
  • Eメールアドレス
  • 顧客の氏名が含まれるもの(顧客名簿など)
  • 従業員や取引先企業担当者の氏名が含まれるもの(従業員名簿、人事システム、組織図など)

EU加盟国およびEEA加盟国の一般消費者、そして従業員に関する個人データほぼすべてが対象になります。また従業員IDやIPアドレスなど個人が識別できるデータも「個人データ」に該当するため、対象が幅広いです。

参考:GDPRに向けての準備はお済みですか?|Adjust

CCPAとは?

一方でCCPAとは「California Consumer Privacy Act」の略で、日本語では「カリフォルニア州消費者プライバシー法」と言います。カリフォルニア州の住民を対象とした個人データの保護に関する法律で、2020年1月に施行されました。

詳しい対象組織は次のとおり。

  • 年間の総収入が2,500万ドル以上
  • 5万人以上のカリフォルニア州民の個人データを処理
  • カリフォルニア州民の情報を販売することで年間収入の50%を得ている

CCPAで保護対象の個人データは概ねGDPRと同様ですが、位置情報、インターネットの閲覧履歴、検索履歴、ショッピング履歴なども個人データとして扱われます。

ただしこうした幅広い個人データが、特定の個人と結び付けられないような場合には対象外となることもあり、GDPRよりもややこしく、さらなる注意が必要だと言えるでしょう。

参考:カリフォルニア「新プライバシー法」、GDPRとの違いは?:より強く、よりアグレッシブな保護法|DIGIDAY

それぞれの違い

GDPRとCCPAの両者は、消費者に対し企業がどんな個人データを何を目的として集めているか、そして集めた個人データを何に利用するのかを開示しなければいけません。また両者とも消費者に個人データを管理する権利を与える法律です。

ただしGDPRとCCPAは対象となる地域だけではなく、個人情報の定義や使用などについても大きな違いがあります。

個人情報の定義

GDPRは、公開されている情報を含む個人の情報、そして他の情報と組み合わせることで個人と識別でき得る情報を「個人情報」として定義しています。

CCPAの場合、カリフォルニア州民やその世帯を識別したり、関連したりなどで、個人を識別でき得る情報を「個人情報」として定義されています。しかし、公共機関で公開されている情報は含みません。

個人情報の使用に関して

GDPRは、事前に許諾を得た場合を除き、個人データを使用することを禁止しています。

一方でCCPAは、「消費者の求めに応じて情報開示すること」を基本姿勢としており、個人データを利用すること自体は禁止していないのです。ただし、消費者から要求があれば情報を開示する必要があります。

またCCPAではプライバシーポリシーを12ヶ月ごとに更新する義務があります。

個人データの第三者提供に関して

GDPRは情報の収集時、データの収集や処理について消費者から同意をもらう必要があります。その際、要項にはデータの利用目的や第三者に提供する可能性がある旨を明示しなければいけません。

CCPAの場合、データの第三者提供はその消費者がオプトアウトしていない場合のみ可能。データの「販売」に関しては、金銭的なやり取り以外や、支払いを伴わない場合も「販売」扱いとなります。