個人情報保護について各国異なる細かい取り扱い方法を解説
はじめに
海外に向けてECを始める上での懸念材料として「個人情報の取り扱い方」という問題があります。
欧州のように厳しく法律が整備されている場合もあれば、東南アジアの中には、まだ法律自体が存在していない国も少なくないのが現状です。
そこで、各国の個人情報の取り扱い方について、欧州、アメリカに加え、LaunchCartを使った販売先として多い国に絞って情報をまとめました。
各国の「個人情報の取り扱い」
1.欧州
通称GDPRと呼ばれる「General Data Protection Regulation」という法律が2018年5月25日に施行されました。
日本語では「一般データ保護規則」と訳されており、簡単に言うと「個人情報の保有を規制する」というものです。
Google アドワーズ等のリターゲティング広告はcookie情報を利用しているので、こちらの仕様変更も行われると思いますが、広告はブラウザ企業の重要な収入元なので、新たなサービス展開が予測されています。
GDPRの対象は個人データで、IPアドレスやCookieも個人情報とみなされ、個人情報を取得する際は必ずユーザーの同意が必要とされています。
GDPRが適用されるのは、EC内に拠点がありデータを管理、処理する者はもちろんのこと、EC居住者に商品やサービスを提供する者に対しても同じく適用されていく仕組みで、越境ECでEC圏内に商品を販売する場合はもれなく適用されるということになります。
主な規約についてを挙げると、
- 企業は個人情報を取得する場合、収集及び利用目的について有効な同意を明示的に行わなければならない。
- 企業は収集・保管・変更・開示・閲覧・削除など個人情報に対して行われる全ての行為を把握しなければならない。
などが定められており、違反すると全世界売上高の4%もしくは2000万ユーロのどちらか高い方が制裁金として課されるという非常に厳しい内容となってしまうので、知らないでは済まされないでしょう。
2.アメリカ
現時点で個人情報保護としての連邦法は存在しておらず、州ごとにバラバラとなっています。EUほど厳しいものではなく、どちらかというとデータの利用を活性化して経済発展を図るという内容です。
一方で、「カリフォルニア州消費者プライバシー法(CCPA)」という州法が2020年1月1日に施行予定であり、これが比較的厳しい内容となっています。
概要としてはIPアドレスやCookieが個人情報とみなされ、それら含む個人情報を取得する際は明示的に目的や内容を開示、承認を得なければならないなど、GDPRと近い内容です。更に、収集した個人情報から推測される指向や特徴までが個人情報とみなされるという内容になっています。
罰則は以下の用に定められています(Jetroウェブサイトより引用)
消費者から情報の開示請求があった場合、事業者は45日以内に開示することが求められます。これに対応できない場合、事業者は州司法長官から30日以内に違反を是正するよう通知を受ける可能性があり、この通知後も違反が是正できない場合、消費者からの請求1件当たりの違反ごとに最大2,500ドル(故意だと認定される場合には最大7,500ドル)の罰金(民事罰)を科せられる可能性があります。
3.中国
中国には多くの仕組みが規制さており、独自の規制等があります。
「網絡安全法」と呼ばれているものが存在し、日本語では「インターネット安全法」とか「サイバーセキュリティ法」と訳され、2017年6月1日に施行されました。
網絡安全法の適用範囲は、中国国内におけるネットワークの構築、運営、維持・保護、使用並びにネットワークの安全監督管理についてとなっており、中国内外の区別はありません。そのため中国向けの越境ECを行う場合はもれなく適用されます。
主な内容としては、中国における全てのメッセージサービスにおいて本人確認が義務付けらました。そのため各サービスは実名認証が必要となるなど、大きな影響を受けることとなっており、重要情報インフラ運営者に該当する企業に対しては、中国で取得した個人情報は中国国内で保存することが義務付けられています。
アップルのような中国国内でサービス展開をするグローバル企業の場合は、中国国内にサーバーを設置することを余儀なくされています。
違反した場合は1万元から100万元の罰金となり、違反を繰り返した場合は有限、無限のサービス停止や営業許可の取り消しが課せられます。
また、中国では禁制品の取り扱いも厳しく、日本から輸出される全ての食品・飼料等について、10都県のものは輸入停止措置を講じるとともに、日本の政府機関が発行する証明書が求められます。
4.ASEAN諸国(アジア)
昨年まではASEAN諸国で個人情報保護に関する法律が存在する国はシンガポール、マレーシア、フィリピンの3カ国のみで、シンガポールは2014年7月、マレーシアはは2013年11月に個人情報保護法が施行され、個人情報の取得に原則同意が必要などという内容が定められています。
フィリピンに関しては2017年に施行されており、主に人種や民族、宗教などセンシティブな情報を個人情報と定義した内容とされています。
しかし2019年になり状況は以下のような内容に大きく変わってきて来ました。
- タイ...6月28日に初めての個人情報保護法が施行。
- マレーシア...現行法をGDPR(欧州の規制)に近づけた内容に更新。
- ベトナム...1月1日にサイバーセキュリティ法が施行。
- インドネシア...個人情報管理について定めたデータ保護法を制定中
まとめ
エリア | 個人情報保護法内容 |
欧州 | GDPRが2018年5月に施行。世界各国の基準となった。 |
中国 | 網絡安全法が2017年6月に施行。国益を保護するという意味合いが強い。全てのメッセージ系サービスの本人確認の義務化 |
アメリカ | 現状は州ごとに異なっておりデータ利活用の推進要素が強いが、カリフォルニア州消費者プライバシー法が2020年1月に施行予定でありこれにより動きが変わる可能性がある。 |
シンガポール | 2014年より原則個人情報取得には提供者の同意が必要 |
マレーシア | 2013年施行だがGDPRに近づける内容に更新すると発表 |
フィリピン | センシティブな個人情報に対する規制がある |
タイ | 2019年6月に初の個人情報保護法が施行 |
ベトナム | 2019年1月にサイバーセキュリティ法が施行 |
インドネシア | 制定中 |
ASEANにおいて、個人情報保護法が存在しない国では初の施行が相次ぎ、また制定中の国も多く、すでに個人情報保護法が存在する国においてはGDPRを元に再検討する流れが広がってきています。
その次のステップとして「ASEAN 経済共同体 2025 合戦略行動計画」によると、2025年までにASEAN諸国間での個人情報保護のルール整備・統一化の達成を目標とし、2019年はASEANでの個人情報保護元年となりそうです。
関連記事はこちら