米加州の個人情報保護法に備えよ(The Economist)

The Economist
2019/12/24 0:00
保存
共有
印刷
その他

The Economist

歴史は繰り返さなくても似たことは起きる。インターネット利用者のプライバシーを保護する規制も様々あるが、それぞれに内容は異なる。欧州連合(EU)は一般データ保護規則(GDPR)を2018年5月に施行し、個人データ保護で世界をリードした。GDPRは、当局による監督をほぼ受けないまま消費者のデータを利用、時に乱用してきた巨大IT(情報技術)企業や世界的に事業展開する広告各社を震え上がらせた。

米カリフォルニア州で1月1日から個人情報保護法が施行されることから、米経済界は同連邦法の制定を求めている=ロイター

米カリフォルニア州で1月1日から個人情報保護法が施行されることから、米経済界は同連邦法の制定を求めている=ロイター

インド政府が11日に提出した法案は、企業に消費者の同意を得ないまま個人データを使うことを禁じ、当局に広範な監督権限を与えている。モリソン豪首相は同日、個人情報保護法を見直すとし、独禁当局がデジタルプラットフォーム上で広告がどう展開されているか監視すると述べた。

■個人情報の定義などGDPRより厳しい面も

しかし、GDPRと似た法律で今、最も重要なのは来年1月1日に施行される米国の「カリフォルニア州消費者プライバシー法(CCPA)」だ。オンライン事業者には、悩ましい法律となるだろう。

CCPAには一部、GDPRと同じ内容の規定がある。消費者にどんな個人情報が収集され、それがどう利用されているのか知る権利を与えている。収集された自分に関するデータの消去を要求する権利も与えているし、企業が規定に違反した場合は、企業を訴える権利も認めている。

CCPAの方が緩い面もある。企業がデータを収集し、活用するのに「法的根拠が必要だ」とはしていない。データの国境を越えた移動も制限していない。企業にデータ保護担当役員を任命することも、事業ごとにデータ保護に関するリスク評価することも求めていない。

さらにGDPRでは一定条件下で個人が自分に関するネット上の情報の削除を要求できるが、米国ではできない。言論の自由を保障した合衆国憲法修正第1条があるため、個人に関する書き込みの削除を求める「忘れられる権利」の要求は認められない。

だが、他の面ではカリフォルニア州はEUの先を行く。CCPAは、個人情報の定義が広く、ウェブ上の閲覧記録などのクッキー情報も含む。企業がデータへのアクセスを許可した消費者だけに割引するなど、消費者を差別することも禁じている。企業は、同州の住民が自分の個人情報の売却を拒否したい場合は、その手続きへのリンクをサイト上にわかりやすく表示する義務も負う。GDPRでは売却を拒否する場合、複雑な手続きが伴う。

IT(情報技術)大手からも資金提供を受けている米プライバシー擁護団体の民主主義と技術のためのセンターのミシェル・リチャードソン氏はCCPAを「画期的な内容だ」と評価する。

■ユーザー数が多ければ罰金総額は巨額に

CCPAはカリフォルニア州で事業展開する、もしくは同州の住民データを扱い、かつ売上高が2500万ドル(約27億円)以上の企業に適用される。同州に事業拠点があるかは関係ない。また、加州で年間5万人以上の住民、世帯または機器のデータを売買もしくは共有する全ての営利企業も対象となる。

違反企業には1件最大7500ドルの罰金が科される。GDPRの罰金は、全世界の売上高の4%と2000万ユーロ(約24億円)の高い方だ。CCPAの罰金の上限は比較的低いが、数千人に上る利用者を抱える場合、罰金総額は膨れ上がる可能性がある。

GDPRがこれまで認定した違反の実績を考えると、CCPA施行の影響は広範囲に及ぶだろう。GDPR施行後、約25万件の苦情が申し立てられ、1億ユーロ近い罰金を科された企業もある。違反も高くつくが、ルールの順守にも費用がかかる。

データ保護に取り組む経済界の国際的なNPO、国際プライバシー専門協会(IAPP)と大手国際会計事務所アーンスト・アンド・ヤング(EY)は、GDPRへの対応に必要な費用を平均的な企業で200万ドル、IT企業で300万ドル以上、金融機関は600万ドル以上と試算した。従業員500人以上の米企業が個人情報保護法に対応するための総コストは1500億ドルに達するとの推計もある。

カリフォルニア州司法長官の指示で行った調査では、CCPA施行で影響を受けそうな約50万社の米企業によるその初期対応コストは総額550億ドルに上るという。もっともこうした推計は多少割り引いて聞く必要がある。

規制内容が違うため、GDPRに対応しているからといって自動的にCCPAに対応できるわけではない。それでもEUの規制に既に対応している国際的な企業は、そうでない企業より準備は整っている。GDPR対応済みの大企業の1社当たりの追加で負担するコストは約200万ドルとされるが、彼らにとって大した額ではない。米マイクロソフトと米アップルはCCPAへの準備が整っているだけでなく、その対応策を米全土で適用する計画だという。

ネットで細々と商品を販売する米国の中小企業やアプリメーカーなどにとって、新法は厄介だ。彼らの大半はEUで事業展開していないのでGDPRは無視できるが、米国で最も大きな市場の一つであるカリフォルニア州は無視できない。だが米商工会議所の調査では、国内の小規模事業者はCCPAへの対応を準備しているどころか、同法を知っているのはわずか12%だ。

■どんな連邦法になるかは大統領選挙後の攻防

CCPAの影響は経営だけでなく政治にまで及んでいる。IT大手各社は連邦議会の議員らに、連邦レベルで個人データ保護に関する法律を制定するようロビー活動をしている。ある米大手IT企業のデータ保護担当の幹部は「我々は真剣に連邦レベルの包括的なプライバシー保護法の制定を支持している」と話す。フェイスブックとグーグルも支持を表明している。規制に反対することで知られる米商工会議所も、連邦レベルの法の制定を支持している。

IT大手各社が突然、利用者のデータ保護に熱心になった理由の一つは、相矛盾する内容の法律が全米で乱立するのを避けたいからだ。イリノイ、ニューヨーク、ワシントンの各州では、それぞれ異なる内容の法案を審議しており、他にも多くの州が法律の制定を検討中だ。

IT各社が連邦レベルでの法律を求めるのは別の理由もある。ネット上の活動の多くは州を越えて行われるため、連邦政府の管轄となる。連邦政府の法律に「加州の個人情報保護法が連邦政府の同法より優先される」と明記されない限り、デフォルトで連邦政府の個人情報保護法が優先されることになるからだ。

だが、民主党が連邦議会上院に提出した法案はまさに州法を連邦法より優先するよう求めている。共和党による対抗案は経済界に配慮し、連邦法を優先させることでCCPAを実質的に無効化する内容のものになるだろう。

米経済界がどちらを好むかは誰でもわかる。だが、いずれの法案も来年11月の大統領選挙前に成立することはないだろう。それまで企業はCCPAに従う必要がある。大統領選挙後は、いずれの法案を成立させるかを巡り、激しい攻防が繰り広げられることになる。

(c)2019 The Economist Newspaper Limited. December 21, 2019 All rights reserved.

日経電子版が最長2月末まで無料!
初割は1/24締切!無料期間中の解約OK!

保存
共有
印刷
その他

電子版トップ



[PR]