GDPR(EU一般データ保護規則)とCCPA(カリフォルニア州消費者プライバシー法)とは?データ戦略見直しのために知っておくべき個⼈情報保護規制を解説|Syno Academy

ネットで以前検索した商品や、お住まいの地域にあるお店の広告が表示されたという経験がある方は多いのではないでしょうか?顧客の属性や行動履歴に基づき、顧客ごとにパーソナライズした広告を流すといったこのようなプロモーションは、効果的なマーケティングとして広く行われてきた手法です。

しかし近年、個人を特定する情報に関する各国・地域の規制は年々厳しくなっており、2018年5⽉に欧州でGDPR(⼀般データ保護規則)、2020年1⽉に⽶国でCCPA(カリフォルニア州消費者プライバシー法)が施⾏され、2020年2⽉には国内で個⼈情報保護法改正案が閣議決定されました。

このような個人情報保護の強化により、企業は個人のプライバシーを尊重した規制に正しく準拠しながらも、消費者一人ひとりに合わせたマーケティングを実現するために、既存のプロセスの見直しを迫られています。本記事では、ヨーロッパとアメリカ・カリフォルニア州におけるそれぞれの個人情報保護規制のGDPR(⼀般データ保護規則)とCCPA(カリフォルニア州消費者プライバシー法)について、今後企業がどのように対応をしていく必要があるのかを解説します。

目次
  1. GDPR(⼀般データ保護規則)とは?
  2. CCPA(カリフォルニア州消費者プライバシー法)とは?
  3. 個人の権利
    • データのアクセス権
    • 忘れられる権利・削除権
    • 情報の販売からオプトアウト・オプトインする権利
    • 平等の条件でサービスを受ける権利
  4. 企業の義務
    • プライバシー通知
    • データの安全性
    • プライバシーポリシーの更新(CCPAのみ)
  5.  GDPRとCCPAの比較
  6. Syno Clould が提供するゼロパーティデータプラットフォーム

GDPR(⼀般データ保護規則)とは?

GDPR(⼀般データ保護規則)は、2018年5月に欧州で発行されたEU域内にいる個人の「個人データ(PI)」を保護するルールです。EUの個人データを取り扱う場合は、EU域内に子会社や支店の拠点を有している企業はもとより、EU域内の個人の個人データを取得する日本企業や日本の公的機関に対しても、幅広く適用されます。

GDPR(⼀般データ保護規則)は個人データを、「識別された、または識別され得る自然人(デー タ主体)に関するすべての情報」と定義しており、保護される個人データには以下が挙げられます。

例 :氏名、識別番号、所在地データ、個人の画像、映像、音声、Eメールアドレス、顧客の氏名が含まれるもの(顧客名簿など)、従業員や取引先企業担当者の氏名が含まれるもの(従業員名簿、人事システム、組織図など)

罰則:この規則に違反した場合は、全世界年間売上の4%、または2,000ユーロ(日本円にして20億円以上)のどちらか高い方を支払わなくてはなりません。

CCPA(カリフォルニア州消費者プライバシー法)とは?

CCPA(カリフォルニア州消費者プライバシー法)は、アメリカ・カリフォルニア州で適用される、個人情報保護のための法律です。GDPRの後に発行されたこともあり、共通点は多いものの細かな違いがあるため注意が必要です。

カリフォルニア州に事業所を構える事業者のみならず、同州において事業を営む全ての事業者に対して適用されます。厳密には、以下のカテゴリーに一つでも該当する場合はCCPAが適用されます。

  • 5万人以上の消費者もしくは5万台以上のデバイスからPII(個人を特定できる情報)を購入、或いはそれらを販売もしくは共有している
  • 年間総収入が2500万米ドルを超えている
  • 年間収益の半分以上を個人情報の販売から獲得している

(*CCPAの適用に関しては、追加的な例外があります)

CCPAでいう個人情報(PI)とは、カリフォルニア州民または世帯について識別し、関連し、記載し、結び付け、直接または間接的に合理的にたどることができるあらゆる情報を指すと広く定義しています。

例 :実名、仮名、電話番号、IPアドレス、メールアドレス、口座、社会保障番号、運転免許証、パスポート、商品・サービスの購入履歴、虹彩・網膜・指紋・掌紋・顔・声・DNAなどの身体的・生体的特徴を含む生体情報、ウェブサイトの閲覧・検索履歴、位置情報データ、職歴・学歴など

罰則:違反一件にあたり最大2,500ドル(日本円にして25万円以上)、また故意の場合は最大7,500ドル(日本円にして75万円以上)が科されます。

個人の権利

これら二つの法律が消費者に保証する権利については以下の通りです。二つの法律が認める権利は似通っているものの、その範囲や対象が異なる点もあるのでそれぞれの規定を詳しくみていきましょう。

データのアクセス権

GDPR と CCPA は両方ともデータへのアクセス権を定めており、個人は組織が保有する自分のデータを把握することができます。この2つの法律には、個人の要求に応じるために組織が従うべき手続きなどの違いがあります。

CCPAでは、消費者に電子的なアクセスが許可されている場合には、情報は可搬性があり、消費者が情報を用意に使用でき、他の組織に送信できる形式でなければならないと規定しています。

忘れられる権利・削除権

GDPR、CCPAともに、個人が個人情報の削除を依頼することができますGDPRにおける削除されなければならない情報は、CCPAと比べ、範囲が広くなっています。GDPRにおける削除が検討され得る情報は以下が対象です。

  • セキュリティー事故を感知するのに必要な情報
  • 違法行為・修復・エラーを回避するのに必要な情報
  • 事業者内部での使用が必要な情報

情報の販売からオプトアウト・オプトインする権利

GDPRとCCPAは、個人が組織に対してデータの処理や販売の停止を求める権利を保証しています。ここで理解しておくべきポイントは、GDPRは基本的にオプトイン、CCPAはオプトアウト(16歳未満の消費者はオプトイン)する権利を認めているという点です。

具体的には、GDPRではオプトインの同意を得ていない限り、事業者は消費者のPIを処理、収集するにあたり同意が必要です。それに対しCCPAは、企業のホームページに「私の個人情報を販売しない」というリンクを設ける必要があります。

さらに、CCPAは、消費者に「明示的な通知」とその後の「販売」からオプトアウトする機会が提供された場合に限り、「販売」に基づいて個人情報を受け取った第三者は、その個人情報をさらに販売することができると規定しています。CCPAの下では、消費者は個人データの販売のみをオプトアウトすることができ、”販売 “の定義に該当しない収集やその他の用途はオプトアウトできません。対してGDPRでは、個人データのあらゆる種類の処理に異議を唱えることができます。

(個人情報をオプトアウトするCCPAの権利は絶対的なものですが、GDPRの一般的な異議申し立ての権利は、管理者がデータ対象者の権利や利益を上回る処理を行うためのやむを得ない正当な理由があることを証明した場合は特別な例外とみなされる場合があります。)

平等の条件でサービスを受ける権利

CCPAは、CCPAが規定する権利を行使する消費者に対する差別を禁じています。GDPRは同様の権利を明示してはいないものの、同じ原則に基づく規定が存在します。

企業の義務

プライバシー通知

GDPR と CCPA の両方に、個人情報を収集・処理する際に組織が個人に提供しなければならない情報についての規定が含まれています。GDPRは、個人から直接情報を収集する場合の通知と、他の情報源から情報を取得する場合の通知を区別しています。

CCPAは、「誰から個人情報を得たのか」ということを、事業者がプライバシー通知という形でカリフォルニア州民に情報提供することを義務付けています。プライバシー通知は少なくとも「個人情報取得前もしくは取得時」に実施される必要があります。GDPRと異なる点として、CCPAは下記の二点を追加義務としています。

  • ウェブサイト上およびプライバシー通知において「私の個人情報を販売しない」というリンクの設置義務
  • 事業者がサービス提供者と共有する情報の説明義務

データの安全性 

PI侵害の対策として、事業者が「合理的なセキュリティー対策とその慣習」を設定、実施することを規定しています。

プライバシーポリシーの更新(CCPAのみ)

CCPAでは、年に一回プライバシーポリシーを更新することを事業者の義務として設定しています。

GDPRとCCPAの比較

 GDPRCCPA
個人情報の定義識別された、または識別され得る自然人(デー タ主体)に関するすべての情報カリフォルニア州民または世帯について識別し、関連し、記載し、結び付け、直接または間接的に合理的にたどることができるあらゆる情報
個人情報の使用に関して事前に許諾を得た場合を除き、個人データの使用は禁止。個人データの利用は可能だが、消費者がかいじ、削除を求めたらそれに対応する必要がある。
個人データの第三者提供に関してオプトインの同意を得ていない限り、事業者は消費者のPIを処理、収集するにあたり同意が必要。企業のホームページに「私の個人情報を販売しない」というリンクを設ける必要がある。
さらに、消費者に「明示的な通知」とその後の「販売」からオプトアウトする機会が提供された場合に限り、「販売」に基づいて個人情報を受け取った第三者は、その個人情報をさらに販売することができると規定しています。
プライバシーポリシー更新頻度記載なし年一回
罰則、制裁金全世界年間売上高の4%、または2,000万ユーロ(日本円にして20億円以上)のいずれか高い方違反1件あたり最大2,500ドル(日本円にして25万円以上)
故意の場合最大7,500ドル
差別に関する規定なしあり

Syno Clould が提供するゼロパーティデータプラットフォーム

個人情報の保護規制の強化により、データ利⽤⽬的の開⽰とそれに対する消費者からの同意は必須となり、それに違反した⽅法で収集した顧客データをマーケティングにおいて活⽤することは個⼈のプライバシーに侵害しているとみなされます。また、新たな規制に違反した企業に対して実際に罰⾦などが発⽣するケースもあり、企業にとって大きな損害を及ぼす可能性もあることから、徹底した対策が必要です。

個人情報の収集から管理、その活用方法まで既存のプロセスの見直しを迫られている中で、近年注目されているのが「ゼロパーティデータ」です。ゼロパーティデータとは、「消費者が企業に対して、特定の対価と引き換えに意識的に提供するデータ」つまり、消費者の同意のもとで提供されたデータのことを指します。

Syno Cloud for Digital Marketing では、顧客から同意を得たゼロパーティデータを広告主及び媒体社が主体的かつ効率的に収集する仕組みを構築することが可能です。さらに、WEBアクセスや、モバイルアプリ、CRM等のファーストパーティデータを管理するDMP・CDPと連携することで、全てのオーディエンスデータを共通IDで一括管理することができるようになります。また、Synoが提供するSyno BI上で、連携した全てのオーディエンスデータを活用し、CXやマーケティング効果の分析や可視化を効率的に行うことができます。

アンケートパネルの構築からゼロパーティデータの収集、データの分析まで、個人情報保護規制対策を十分に行った新時代のデジタルマーケティングをサポートします。ご不明な点などございましたら、お気軽にご相談くださいませ。