越境データフローとは国を超えたデータの流れのことです。特に個人データが海外に流出したり、利用できる状態にあることへの懸念や管理についての議題になります。これは物理的なディスクによるデータの流出だけではなく、ネットワークアクセスによる流出も含みます。この越境データの規制に関して、最近大きな動きがあったのはEUです。データ保護指令(DPD)という市民データの保護を目的にプライバシー情報の管理についての指令がありましたが、これをさらに規則として繰り上げ罰則を科す一般データ保護規則、通称GDPRが制定されました。GDPRでは、データ保護指令をアップグレードする形で制定され、データ保護当局の存在と個人情報の管理に関するユーザーの権利が定義されています。
GDPR以前にあったデータ保護指令とは、EU市民データの保護を目的にしたプライバシー情報の管理についての指令です。組織は、データがどのように収集および使用されるかを個人に通知する必要があります。また、データの受領国が適切なプライバシー保護を持っていると認められない限り、EU域内からの送信はありません。一方でGDPRは、データ保護指令のプライバシー情報の観点も維持しながら、個人データの保護に対する権利という基本的人権の保護を目的とした規則です。EU所在者の個人データをやり取りする、 EU域内に拠点がある、EUのデータ主体に対する物品やサービスの提供を行う、行動を監視する組織や個人を対象とします。
両者の体制上の違いとしては、データ保護指令では、加盟国は独立した国家としての立法権、司法権、行政権を持っています。GDPRでは、加盟国に一律に適用される規則になります。加盟国の法律は国内法という扱いになり刑罰の可能性もありますが、GDPRは制裁金という扱いになります。
GDPRではデータ主体の保護の観点で大きく3つの権利が規定されています。アクセス権とは、個人が自分のデータにアクセスできるようにすることです。自分の個人情報がどのように登録されているのかを確認できるようにします。消去権・忘れられる権利とは、企業が必要なくなったときに個人情報の削除を要求する権利です。もしも利用しているサービスが終了し、管理されている個人情報がいらなくなったときに安全ではない状態で保管されることは嫌でしょう。つまり、いらなくなった時に削除してもらう権利が必要です。データポータビリティの権利とは、個人データを取得している管理者を別の管理者に送信させる権利です。具体的には事業者等に自ら提供した個人データを本人が再利用しやすい形式で受け取る権利になります。自身のデータであれば他の会社に移すことで、データの利活用を活発化させる狙いがあります。
EUに会社を持つ外国の企業やサービスはGDPRに則らなければならず、GDPRに則っているかを認定することを十分性認定と言います。米国や日本も、基本的には十分な体制があるとは見なされませんので、十分性認定を受ける必要があります。GDPRに満たしているかを定期的に監査し、もしも問題のある事業者が見つかった場合には、取り扱いを停止もしくは禁止します。ただ、十分性認定を受けたとしてもそれだけでデータの流通が自由になるわけではありません。補完的ルールが適用され、再移転等は制限されます。ちなみに、日本は2019年に十分性認定を受けました。
また、GDPRには72時間ルールという厳しい期限があります。これはデータの侵害が発生した場合、データを管理している組織は個人データ侵害を認識してから72時間以内に管轄の監督機関に、個人データ侵害を通知しなければならないというものです。72時間を超えた場合、遅延に対する理由も必要になります。こういったことに従わないと、最大で2000万ユーロ以下または全世界の売り上げの総額の4%以下のいずれか高い方という制裁金が課せられます。
GDPRはGoogleやFacebookに対する抑止力という解釈もある
また、米国のカリフォルニア州もGDPRと同じようにデータの勝手な持ち出しを規制する法案を通しています。カリフォルニア州のプライバシー法を説明する前に米国の法体制がどのようになっているのか簡単に紹介しておきます。米国はその広すぎる国土から、地域ごとに文化が異なります。そのため、国単位で細かいルールを制定しても、適用できません。よって、連邦法と州法の二段構成になっています。各州で憲法・連邦法・条約に矛盾しない形で州法が決められています。その中でも、カリフォルニア州は割と法案の制定に積極的な州です。GDPRのような国際的な法律のトレンドにも敏感なのです。そして制定されたカリフォルニア州版のGDPRであるカリフォルニア州消費者プライバシー法、通常CCPAでは、消費者に、企業が自分の何の情報を収集しているか、その情報を組織がどのように使用しているかを知る権利、消費者が組織に個人情報の削除を要求できる忘れられる権利 、個人情報の販売をオプトアウトする権利 、プライバシー権を行使する際に差別や報復を恐れることなく行使できる権利が求められます。
#一般データ保護規則(GDPR) #データ保護指令(DPD) #セーフハーバー(EU-US Safe Harbor) #カリフォルニア州消費者プライバシー法(CCPA)