各国データ保護法の最新動向と日本における実務対応のポイント（前編）

田中 浩之氏
森・濱田松本法律事務所　パートナー弁護士

日本企業の平時・有事の個人情報保護法対応およびGDPR・CPRA対応、その他のグローバルなデータ保護法案件を数多く手掛け、各国規制の最新動向・各企業の実情を踏まえた効果的かつ効率的な対応の助言を行う。個人情報保護規制に関する執筆・講演実績も多数。最近の著作に、『60分でわかる！改正個人情報保護法 超入門』（技術評論社、2022年、共著）と、第一法規『会社法A2Z』では「対話で学ぶ 知らなきゃ困る グローバル個人情報保護規制」を共著にて連載中。ニューヨーク州弁護士。

EU、米国をはじめ、多くの国で強まるデータ保護規制

——世界的にデータ保護規制の広がりが見られるなか、まずは近年動きのあったEUについて教えていただけますか。

EUは、2018年5月からGDPR（General Data Protection Regulation：一般データ保護規制）を施行しています。その後執行事例が多数出てきたことから、各国企業がどこに、何に留意すべきか徐々に明確化していきました。

そんななか、大きな動きとして見逃せないのがいわゆるSchremsⅡ事件（＊1）です。この事件によって、データの移転規制が非常に大きく変化しました。GDPRにおけるデータの移転規制のルールも具体的に見えるようになった側面があります。それを受けて、各社におけるGDPR対応もアップデートを行なっていくことが必要とされました。

——米国においても、データ保護規制の動きは活発化しているかと思います。こちらについてはどんな状況なのでしょうか。

米国には現在、GDPRや日本の個人情報保護法のように全民間事業者に及ぶ包括的な法律は存在しません。ただ、州法単位ではその限りではありません。複数の州で包括法が成立、施行されるなど、法整備が進んでいる状況です。
 

――データ保護規制に関しては、国を問わず様々な規制が作られつつあると聞きます。

Cookie、顔認識・顔識別データの扱い、AI、ダークパターン、子どもの個人データ保護などを規制する動きですね。Cookieについては、個人情報の定義に含まれる国も多いといえます。また、欧州では、eプライバシー指令に基づく各国法により、厳格に必要なCookie以外については、同意が必要とされています。

顔認識・顔識別データはプライバシーにおける懸念が高いので、やはり問題になりやすいテーマです。AIも物事を機械で決定してしまうことになるので多くの懸念があり、欧州ではＧＤＰＲによる規制以外にも、AI規制（案）などで対応していこうといった動きが見られます。

ダークパターンについては、米国FTC（Federal Trade Commission：連邦取引委員会）による「フォートナイト」の執行事例（＊2）が注目されます。

また、子どもの個人データ保護では、英国のチルドレンズ・コードが特に注目されます。これは子どもの個人情報を処理する際の原則を示したものですが、実務上、例えば子ども向けのプライバシーポリシーの作成などがTO DOとなり得ます。それに触発され、米国カリフォルニア州でもチルドレンズ・コードに似た法律が成立し、2024年7月に施行予定です。上記のフォートナイトの執行事例では、ダークパターン以外にも、13歳未満の子供から、両親に通知せず、両親の検証可能な同意を得ずに個人情報を収集したことにより、米国連邦法のCOPPA（The Children’s Online Privacy Protection Act：児童オンラインプライバシー保護法）に違反したという点も問題となりました。個人データの処理における子どもの保護は、欧米のみならず、例えば、中国や韓国などでも意識されており、世界的にもホットな問題といえるでしょう。

＊1：オーストリアのSchrems氏が、Facebook米国本社への個人データ移転の根拠とされているSCC（Standard Contractual Clauses：標準契約条項。欧州委員会が定めたデータ移転契約の標準契約。EU域内からEU域外への個人データの移転をGDPR上適法化するための適切とされる保護措置の1つ）や、EUから米国へのデータ移転に関する枠組であるプライバシーシールドの有効性などについて訴訟を起こした事件。CJEU（欧州司法裁判所）は、プライバシーシールドを無効と判断し、SCC（標準契約事項）は有効だが相手先国のリスクに応じて補完的措置をとる必要があるなどの見解を示した。

＊2：「フォートナイト」は米国発の人気オンラインゲーム。紛らわしい表現、ボタン配置で消費者が意図しないモノやサービスを購入させ、キャンセルしづらくする「ダークパターン」の仕掛けを意図的に含んだとされ、2億45000万ドル（約330億円）の罰金が命じられた。

世界は今もデータ保護法の成立、施行に積極的

――各国のデータ保護法の最新事情について伺いたいと思います。まずは州ごとに動きが見られるという米国ですが、具体的にどんな状況になっているのでしょうか。

先にも述べた通り、州単位での法制成立が活発化しています。例えばカリフォルニア州においては、包括法であるCCPA（California Consumer Privacy Act：カリフォルニア州消費者プライバシー法）が2020年1月に施行されました。さらに、CCPAよりも規制が強化されたCPRA（California Privacy Rights Act：カリフォルニア州プライバシー権法）も12月に成立し、2023年1月に施行されています。バージニア州、コロラド州、ユタ州、コネチカット州でも包括法が成立しており、他の州でも検討が進んでいます。

その一方で、米国全体に及ぶ包括的な連邦法の成立の機運も高まっています。2022年には、民主・共和超党派のAmerican Data Privacy and Protection Act法案が、連邦議会下院での審議に付されることとなりつつ、審議が進まず成立しませんでしたが、2023年にもまた同様の法案が審議される可能性があり、動向を注視する必要があります。

――EUから米国へのデータ移転についてのSchremsⅡ判決の影響と今後の展望について、詳しく伺いたいのですが。

以前は、米国へのデータ移転のためにはプライバシーシートを利用すれば、SCC（標準契約条項）の締結は不要でした。しかし、SchremsⅡ判決によってプライバシーシールドが無効になったことで、SCC締結が必要になりました。それもただSCCを結べばいいというわけではなく、実際にSCCを守らないと意味がないということになります。米国企業とSCCを結んだとしても、米国政府は、EUの基準から見て、問題のあるガバメントアクセス（政府による諜報活動などによる個人データのアクセス）を行っており、これが行われると企業間でSCCを結んでいても、米国政府はこれに拘束されないため、結局、ガバメントアクセスをされてしまうと、SCCは守れなくなります。そこで、ガバメントアクセス制度のリスクを評価したうえでその対策（補完的措置）を講じていく必要があります。なお、SCCについては、従来のものに代えて、新しいフォームに置き換わっていますので、この新しいフォームを使う必要があります。

SchremsⅡ判決の影響で、実務上EUから米国へのデータ移転のハードルはかなり高くなってしまったため、無効にされたプライバシーシールドに代わるDPF（EU-U.S. Data Privacy Framework：EU-米国データプライバシーフレームワーク）を発効することが期待されています。米国では大統領令を通じてガバメントアクセスを制限することとし、現在、DPFについては、欧州側での検討が進められているところですが、仮にこれが発効すれば、再び欧州から米国へのデータ移転はしやすくなることになります。しかし、Schrems氏は、すでにこのDPFに懸念を示しており、仮にこれが発効すれば、訴訟でその有効性を争うことを表明していることにも注意が必要です。
 

――EUを離脱した英国については、EUと違った注意が必要でしょうか。

英国に関しては、EUからの離脱時に、離脱による影響を避けるべく、GDPRの規律を取り込んでUK GDPRを成立させましたので、現時点では、離脱前のルールと実質的な変更はないといって良いでしょう。しかし最近では、これを再度見直そうとの動きがあります。もし見直し案が成立すれば、これまでのようにUK GDPR、GDPRをほぼ一体と見て対応することができなくなります。この件はどんな結果を迎えるのかまだ先が見えていませんが、注目に値する動きです。
 

――中国を含むアジア、あるいはその他地域についてはどんな動きがありますか。

中国ではデータ3法と呼ばれる、データセキュリティ法、個人情報保護法、サイバーセキュリティ法が制定されています。この法律の下位にくるルールなどを、順次整理しているのが今の状況です。なかにはGDPRよりも厳しい規制がかけられているものもあり、なかなか対応のハードルも高い法律といえるでしょう。

例えばデータ移転に関しては本人の同意はマストになります。また、これに加えて、標準契約も結んで当局に届け出なければなりません。標準契約は従前、案があるだけでしたが、すでに公布されており、2023年6月1日から施行されます。さらに、データ移転にあたっては、プライバシー影響評価を行うことも必要です。さらに、一定の場合には当局の安全評価を受けて承認をされないとデータ移転ができません。

タイやブラジルでも、GDPRと類似した法律がすでに施行済です。インドネシアでは、2022年10月にGDPRを参考にした新しい法律ができました。韓国やロシアでも最近改正がありました。マレーシアやフィリピンでも改正案が審議されていますし、インドでも新法の案が出ています。これらに限られず、世界各国で個人情報保護規制については整備・強化が進んでいます。

＞＞ 各国データ保護法の最新動向と日本における実務対応のポイント（後編）に続く