海外デジタルマーケティングで気を付けるべき法律・規制①:個人情報保護(GDPR、CCPA、改正個人情報保護法)

海外のデジタルマーケティングをする際は、個人情報に関する法律や規制について確認した上でマーケティングの施策を検討することが大切です。

欧州のGDPRやアメリカのCCPA、日本の改正個人情報保護法など、個人情報に関する方法が制定されており対象の国によって異なる法律・規制が適用されます。

この記事では、海外におけるデジタルマーケティングの法律・規制に関わる3つの法律について紹介します。

海外デジタルマーケティングを実施する際の個人情報に関する国内外の法律・規制について知りたい方は、参考にしてみてください。

GDPRとは

GDPR(EU情報保護規則)とは、2018年5月25日から適用が完了した「個人データ保護とその取り扱い」についてEU各国で適応される法律です。

EEA(欧州経済領域内)で取得された「氏名」「メールアドレス」「クレジットカード」などの個人情報を、EU域外に移転することを禁止しています。

EU域内で活動する日本企業の駐在員なども対象となり、違反した場合は高額の罰金を課されるリスクもあるので、事前に適用範囲について知っておくことが大切です。

参考URL:https://www.jetro.go.jp/world/europe/eu/gdpr/

参考URL:https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/

参考URL:https://www.hitachi-solutions.co.jp/hibun/sp/column/leakage/03.html

GDPRの具体的な適用範囲

GDPRの法律・規制の適用範囲には、下記のような細則が該当します。

  • 個人のデータ処理・移転に関する原則
  • 本人が個人データに対して有する権利
  • 個人データの管理者や処理者が負う義務
  • 監督機関設置の規定
  • 障害発生時のデータの救済・管理者への罰則
  • 個人データの保護・表現の自由

GDPRの適用範囲は、EU域内の事業者・利用者、データの対象である個人が対象です。

EU域外からEU域内にいる在住者のデータ収集・処理を行う場合にも適応されます。

デジタルマーケティングでEU域内のユーザーをターゲットとしたWeb情報収集は、GDPRの適用範囲となり罰則を受けないように対応しなければならないのです。

ただし2019年1月23日に認定された「十分性認定」によって、日本の個人情報保護法の対象範囲内に限り、EU域内のデータ収集や処理が個人契約なしでも可能になりました。

しかしEU域内の在住者のデータ保護に関する規定は適用されたままです。

以下では、日本企業に適応される可能性がある3つのシチュエーションについてみていきましょう。

日本企業が適応される3つのシチュエーション

GDPRを念頭に置いた対応をすべきなのは、下記の3つの場合です。

  • EU域内に子会社や支店、営業所をもつ企業
  • EU向けに日本から商品・サービスを提供している企業
  • EUから個人データ処理の業務委託を受けている企業

EU域内に子会社があり、現地採用の従業員や顧客の個人情報はGDPRに基づいた管理が必要でこれらの個人情報を日本で取り扱う場合にも同様の管理が求められます。

またEU向けの商品・サービスの輸出に関してもGDPRが適用され、企業がWebサイト上のCookieでユーザーの動向を記録する場合にも適用されます。

EU域内のデータ収集や処理を行う場合に、広く適応される法律だといえるでしょう。

たとえば商品・サービスの購入者がEU域内にいて、日本企業が商品・サービスを売った際に購入者の個人情報を取り扱うのであればGDPRが適応されることになります。

GDPRへの対策として有効なのが、EU域内の在住者の個人情報や取引記録に関するデータを自動的に暗号化するツールを使い、情報漏れのリスクを下げることです。

GDPRの規定に沿った安全管理対策や記録の保存、データ保護責任者が配置されていなかった場合には、1,000万ユーロを超える金額の制裁金が課せられるリスクも。

自社の営業活動がGDPRに該当しないかを確認して、該当する場合には適切な対応をとって制裁を受けないように対策をとりましょう。

CCPAとは?カリフォルニア州の住民が対象

CCPA(カリフォルニア州消費者プライバシー法)とは、カリフォルニア州の住民のプライバシー保護と権利を与え、当該住民の個人情報を利用する事業者に対して適正な個人情報の保護・管理を義務づけた法律です。

前述したGDPRに加えて、世界的なIT企業が集まるカリフォルニアでプライバシー保護に関する法律が定められたことで、この影響は世界中に広がると予測されています。

参考URL:https://www.intellilink.co.jp/column/security/2020/070100.aspx

参考URL:https://acompany.tech/privacytechlab/what-is-ccpa/

参考URL:https://privtech.co.jp/blog/law/ccpa/personal-information-protection-law.html

参考URL:https://ferret-plus.com/14320

注目される背景

CCPAが注目される背景にはアメリカにある50州のうち最も人口が多い州であり、経済活動が活発な地域であることが挙げられます。

具体的には2021年時点でカリフォルニア州の人口は39,237,836人となっています。

また2021年度のGDPは3兆3,570億ドルで、国別GDPランキングで4位のドイツ4兆2,200億ドルに迫る巨大な経済規模を誇っているのです。

世界中の先進的なスタートアップやIT企業が集結するシリコンバレーやハリウッド、ディズニー・カンパニーが集まり、世界的な影響力をもつ企業も多いカリフォルニア州。

カリフォルニア州が先立ってプライベート保護を名目とした法律を制定したことで、他の州でも同じような法律が可決される可能性もあり、その内容が注目されているのです。

参考URL:https://datacommons.org/place/geoId/06?category=Demographics&hl=ja

参考URL:https://www.jetro.go.jp/biznews/2022/10/93e8a8674e1766c0.html

「個人情報の定義

CCPAに定義されている「個人情報」の定義は下記のとおり。

  • 個人情報とは、特定の消費者または世代を特定、関連、説明することができる、直接的にもしくは間接的にリンクさせることができる情報のこと

具体的には以下のような個人データが該当します。

  • 直接的な識別子:実名、別名、住所、電話番号、生年月日、パスポート番号など
  • 間接的な識別子:メールアドレス、IPアドレス、アカウント名、Cookieなど
  • 生体認証情報:虹彩・声紋・指紋
  • 生体データ:音声・視覚・睡眠パターンなど
  • 雇用・教育・財務・医療に関するデータ

これらのデータがCCPAの定める(個人情報)に当たるといわれています。

ただし条文には上記した情報に限定されないといった記載があるため、条文にない情報に関してもCCPAの個人情報保護の適用範囲に該当する可能性も覚えておきましょう。

適用対象

CCPAの法律は、カリフォルニア州の住民の個人情報を保護しています。

カリフォルニア州にいない方でも住民票をもっている方は法律の対象となる点に注意です。

適用対象に該当するのは、下記のようなケースです。

  • 年間収入が2,500万ドルを超えている
  • 5万人以上のカリフォルニア住民の個人情報を購入、受信、販売している
  • カリフォルニア州住民の個人情報を販売して年間50%以上の収益を得ている

個人情報を利用する側の適用対象に関しては、下記のようにルールが設けられています。

【事業者】

  • カリフォルニア州で事業を行い、住民の個人情報の収集を直接的・間接的に行う
  • 単独、または共同で住民の個人情報の処理の目的・手段を決定する
  • 事業者基準の一つ、またはそれ以上を満たす個人の事業体、団体、法人等をさす

【サービス提供者】

  • 事業者から業務委託を受けて個人情報の管理・処理を行う
  • 個人事業体・パートナーシップ、有限責任会社、法人、団体、その他法的主体
  • 営利目的での活動が大前提

【第三者】

  • 直接的にカリフォルニア州の住民の個人情報を収集する事業を行っていない

(住民の個人情報を保持し、使用または開示等を行っている)

  • 住民の個人情報の販売を行っていない

(明示的な通知を受け、オプトアウトの権利を行使できる場合を除く)

このように適用対象は非常に多岐に渡っていることがわかります。

参考URL:​​https://www.intellilink.co.jp/column/security/2020/070100.aspx

参考URL:https://acompany.tech/privacytechlab/what-is-ccpa/

GDPRとの違い

GDPRとCCPAの違いは下記のようにまとめられます。

  • GDPRは対象がEU域内居住者、CCPAはカリフォルニア州居住者
  • GDPRは公開情報を含めた個人を特定できる情報を、CCPAは公開された情報を含まないカリフォルニア市民を識別できる情報を「個人情報」と定義
  • GDPRは消費者から事前に同意を得る必要があり、CCPAはオプトアウトしていない場合にのみ第三者に情報を提供できる

非常に似た法律ですが、個人情報の定義や法律の適用範囲が異なる点がポイントです。

改正個人情報保護法とは?8つの改正ポイント

日本においても、個人情報の保護を目的とした改正個人情報保護法が制定されています。

この章では、2022年に施行された改正個人情報保護法のポイントを見ていきましょう。

参考URL:https://www.ppc.go.jp/news/kaiseihou_feature/

参考URL:https://keiyaku-watch.jp/media/hourei/kojinjyouhouhogohouishohou202101/

参考URL:https://www.staffservice.co.jp/client/contents/hakenhouritsu/column127.html

情報漏洩等報告・本人通知の義務化

個人情報の漏えいが発生した際に個人の利益を大きく損なうリスクが危惧される場合には、個人情報保護委員会や本人に情報漏れの事実を通知することが義務化されました。

具体的には、下記のような事態が発生した際に通知するようにしましょう。

  • プライバシーを侵害するような要配慮の個人情報の漏えい
  • 財産的被害が生じるおそれがある事態
  • 不正の目的をもって行われた漏えい等が発生した事態
  • 1,000人を超える漏えい等が発生した事態

このような場合には、速やかに個人情報保護委員会・本人に通知することが大切です。

参考URL:https://www.ppc.go.jp/news/kaiseihou_feature/#rouei

参考URL:https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/

外国にある第三者への提供

外国にいる第三者に個人情報を提供する場合、移転先事業者の情報や移転後の個人情報管理の状態の確認を求めることが義務付けられています。

具体的には、下記のような情報を開示する必要があるのです。

  • 移転先の所在国
  • 移転国における個人情報の保護制度
  • 移転先が講じている個人情報保護措置

また移転先の企業から下記のような確認をする必要もあります。

  • 移転先における適正な個人情報管理ができているか確認
  • 移転先における適正な個人情報保護に関する制度
  • 本人の求めに応じて必要な情報開示をする

保有している個人データの開示方法

個人データの第三者提供記録の開示請求が可能になり、期間に関わらず保有個人のデータも開示、利用停止・消去等の対象になりました。

元々は6ヶ月以内に消去する予定の個人データの開示義務はありませんでしたが、新たに個人情報を無期限に開示する義務が追加されたのです。

参考URL:https://www.ppc.go.jp/news/kaiseihou_feature/#rouei

参考URL:個人情報保護委員会:令和2年度 個人情報保護法概要リーフレット

個人データの利用・停止などの要求

利用停止・消去できるのは、個人データの目的外の利用や不正取得された場合、第三者提供を停止できるのは第三者提供義務違反の場合という規定があります。

新たに個人データの利用停止要求ができる要件に、下記が追加されています。

  • 本人が利用する必要がなくなった場合
  • 個人情報保護委員会への報告義務がある情報漏えいがあった場合
  • 本人の権利、または正当な利益が害される場合

これらの場合にも、個人データの停止・消去が要請できるようになったのです。

参考URL:https://www.ppc.go.jp/news/kaiseihou_feature/#rouei

参考URL:https://www.ppc.go.jp/news/anime_personalinfo/story7/

公表等事実の充実

情報漏れに際して、事業者の名称や利用目的、開示請求等の手続き、苦情の申出先等を公表事項として規定されていました。

それに加え情報の安全管理のために講じた措置についても、合わせて公表する義務があることが追記されました。

ただし公表等により支障を及ぼす可能性のあるアクセス制限や制御の範囲など、個人情報へのアクセスの手ががりになるような情報に関しては、開示義務がありません。

参考URL:https://www.ppc.go.jp/news/kaiseihou_feature/#rouei

不適正利用の禁止

法律に違反している場合もしくは法律に違反している訳ではありませんが、道徳的に非難される情報の取扱いに対しての規制です。

不道徳な個人情報の取扱いは避けましょう。

参考URL:https://www.ppc.go.jp/news/kaiseihou_feature/#rouei

個人関連情報

個人関連情報とは、生存する個人に関する情報で個人や仮名情報に該当しないもの。

位置情報やCookieを利用した、購買履歴やサイトの使用歴などがこれにあたります。

この項目では、個人関連情報の第三者への提供規制が定められています。

参考URL:https://www.ppc.go.jp/news/kaiseihou_feature/#rouei

仮名加工情報

仮名加工情報とは、氏名やパスポート情報などの個人情報を暗号化することで複数のリソースを参照しなければ元の個人情報を判別できないような情報のことです。

個人情報を暗号化すると、仮名加工情報の扱いとなり情報漏れ時の情報公開義務はありません。

作成元の個人情報は残したまま、仮名加工情報を作成できます。

顧客の個人情報を取り扱う際は、暗号化して管理するべきでしょう。

参考URL:https://www.ppc.go.jp/news/kaiseihou_feature/#rouei

注意すべき法律・規制を知って、海外マーケティングを成功させましょう

この記事では、国内外のデジタルマーケティングで注意すべき法律や規制であるGDPRやCCPA、改正個人情報保護法について解説しました。各法律や規制の中身を確認して、ペナルティを受けないように気をつけましょう。

この記事を書いた人

野口慎平

GDX 事業責任者 兼 プルーヴ株式会社事業開発部シニアマネージャー。
新卒で大手外資系総合コンサルティングファームにビジネス&テクノロジーコンサルタント職として就職。2016年よりプルーヴ株式会社に法人営業職として入社。慶應義塾大学理工学部・同大学院 理工学研究科電子工学修了。
海外SEOとマーケティングオートメーションを軸としたデジタルマーケティングを得意とする。
Salesforce Pardot甲子園2021優秀賞受賞

取得資格:
応用情報技術者、IPAプロジェクトマネージャ、上級ウェブ解析士、IoTコーディネーター取得
Salesforce認定アドミニストレーター