Bay Area Newsletter / シリコンバレー・ニュース

Share this post

Bay Area Newsletter / シリコンバレー・ニュース
Bay Area Newsletter / シリコンバレー・ニュース
Bay Area Tech Blog #14
Copy link
Facebook
Email
Notes
More

Bay Area Tech Blog #14

誰がためにプライバシー法規制はある?

Thor
Mar 22, 2021

Share this post

Bay Area Newsletter / シリコンバレー・ニュース
Bay Area Newsletter / シリコンバレー・ニュース
Bay Area Tech Blog #14
Copy link
Facebook
Email
Notes
More
Share
出典: Pixabay

 プライバシーに関連したニュースが国内、海外を問わず連日のように報道されていますね。直近ですとLINEが発表した業務委託先の中国の関連会社の従業員が国内の個人情報データにアクセス可能な状態だったことが有名でしょうか (出典: 『LINE、個人データ管理不備で謝罪 中国委託先で閲覧可能』 日本経済新聞)。海外ですと、Facebookがイリノイ州住民をプライバシー侵害から守る州法 Biometric Information Privacy Act(BIPA:生体認証情報プライバシー法)に違反したとして、160万人のイリノイ州住民に1人あたり345ドル(約3万6800円)以上支払うことを命じられたニュースが大きかったように思います(参照: 『Facebookがイリノイ州のプライバシー保護法をめぐる集団訴訟で約694億円支払う』Bay Area Newsletter #20 )。

 ただ、Google Chromeのシークレットモードが個人情報を集めていると集団訴訟された事案では賠償額が50億ドル(約5450億円)に登るなど、プライバシー問題に関してはやや加熱気味であるように感じています。本来、データプライバシー保護関連の法規制は個人情報を正しい枠組みの中で用いることで、データの利活用を活発にすることが目的であり、本質であるはずです。

プライバシー関連法規制の歴史

 プライバシー関連法規制の歴史を振り返ってみたいと思います。上図にあるとおり、データ保護の法律は1970年のドイツから始まりました。その後、1980年になると経済協力開発機構(OECD)が個人データの国境を超えた流れの保護に関するガイドラインを作成します。これは各国のプライバシー法を調和させることが意図されていました。つまり、個人情報の保護を人権として取り扱い、データの国際的な流れが中断せずに正しく扱われるようにすることを目的としていました。さらに、OECDのガイドラインをもとにEUは、データ保護指令を改定します。こちらもOECD同様にデータの自由な流通を促すことが目的でした。EU自体は決して経済が豊かな国だけではなかったので、ビジネス上の煩雑な手続きを減らし、個人データを保護しながらもEU内のビジネスを活発化させる必要があるという時代背景がうかがえます。

 そして、2016年、EUデータ保護指令に変わるものとして新しいデータ保護規則である一般データ保護規則(GDPR)が誕生します。GDPRが登場したときはクラウドの利用が活発になっていたこともあり、クラウドベンダーのように地域をまたがる組織においえてデータプライバシーをどのように保護するのかといった点が大きな争点でした。GDPRに関してやや残念だったのは、罰則や制裁金が大きかったこともあり、マイナス面のほうが大きく取り沙汰されてしまい、本来の目的であるデータ利活用の側面が世間の認識として希薄になってしまったように感じられる点です。

 なお、GDPRについて、GDPRを遵守する国内法を有する国と有さない国でアプローチが異なっています。日本は遵守した国内法を有する国、米国は順した国内法がない国となっています。日本は2019年にGDPRの越境移転規制に関する十分性認定が発行され、これに合わせて個人情報保護法も改定され、日本とEUの相互認証されるようになりました。一方、米国はGDPRを遵守した国内法がないため、EU域外にデータを持ち出すにはプライバシーシールドに加盟する必要があります。例えばAWSはプライバシーシールドに加盟していまして、公開された情報が存在します(参考: 『AWSにおけるEU-USPrivacyShield』)。

カリフォルニア州消費者プライバシー法(CCPA)

 米国カリフォルニア州にてカリフォルニア州消費者プライバシー法(CCPA)が2020年7月より執行されました。こちらは、消費者(カリフォルニア州住民)に8つのプライバシー権を認め、事業者側に8つの義務を定めたものです。CCPAでは、業者が第三者に対して情報を販売するすることを止めるよう命令ができる権利(個人情報の販売に関するオプトアウト権)が与えられており、一般的なプライバシー関連の法規制よりも厳格な内容が含まれていることが特徴となっています。なお、事業者の定義として「カリフォルニア州民の個人情報を収集または処理」していることなどがあり、日本企業であってもCCPAの事業者に該当する可能性があります。

出所: 『カリフォルニア州消費者プライバシー法(CCPA)を読み解く』ニュートン・コンサルティングの表をもとに筆者作成

CCPA、DGPR、個人情報保護法の3つを上表で比較しました。ポイントは以下の3つです。

  1. いずれも対象組織は地域をもとにしたもの(カリフォルニア州、EU、日本)になっている

  2. GDPRとCCPAは単体で個人を識別できない情報(CookieやIPアドレス)であっても組み合わせて個人特定できる場合は個人情報扱いになる

  3. GDPRは罰則金が圧倒的に高い

プライバシー関連の市場規模予測

出典:CB Insights , 12 Tech Trends To Watch Closely In 2021

 さて、データプライバシー関連の市場規模を見てますと2024年までに158 Billionドル(約1.7兆円)に登るとされています。これにはデータ保護、データ分析の他、AIトレーニングやアプリ開発も含まれています。上述のとおり、データ保護関連の法規制は、データを正しく、かつ、公平に扱うことで、ビジネス上の手続きを簡素化し利活用を促すことです。金額としても大きく、ますます重要になっていくデータ関連のビジネスに対して、正しいアプローチで促進していきたいものですね。こちらのブログでもデータ関連のスタートアップを随時紹介していければと思っています。

Share this post

Bay Area Newsletter / シリコンバレー・ニュース
Bay Area Newsletter / シリコンバレー・ニュース
Bay Area Tech Blog #14
Copy link
Facebook
Email
Notes
More
Share

Discussion about this post

No posts

Ready for more?

© 2025 Bay Area Newsletter
Privacy ∙ Terms ∙ Collection notice
Start WritingGet the app
Substack is the home for great culture

Share

Copy link
Facebook
Email
Notes
More