Skip to main content

GDPRのようなデータ・プライバシー・ポリシーがある5つの国

GDPRやデータプライバシー規制のマーケティングへの影響は、EUの限られた範囲に留まると思われがちです。

しかし、これは誤解であり、EUで制定された法律は、「EU市民および居住者に属するデータ」の保護を中心に展開されており、単にEU圏内に留まるデータの保護にとどまりません。

実際、第3条にはGDPRの地域的範囲が詳細に示されており、EU域外でGDPRが適用される2つの重要な事例が含まれています。

  1. EU市民および居住者に商品およびサービスを提供する場合
  2. EU市民および居住者のオンライン行動を監視する場合

これらの例外を越えて、世界の他の地域にも、しばしばGDPRに触発された類似の法律が存在します。

GDPRに類似したプライバシーポリシーを持っている他の国とは?

 

1.カリフォルニア州(Yes, We Know, Not a Country)

EU以外でGDPR的なプライバシー法が最も話題になっているのは、おそらくカリフォルニア州消費者プライバシー法(CCPA)でしょう。

カリフォルニアは州であって国ではないことは明らかですが、この州法の人気を受けて、他の多くの州でも2022年に同様の政策の展開が計画されています。

実際、合計15の州が、今年中に同様の法案の起草を計画していることを確認したか、すでに同様の法案が進行中であることを明らかにしている。

その中には、メリーランド州、フロリダ州、ワシントン州、ミシシッピ州が含まれ、その他にも、2022年の導入を確約していないものの、追随の可能性を探っている州もいくつかある。

2.スウェーデン(初のデータプライバシー法)

そこで、スウェーデンはもちろんEU加盟国なのでGDPRの規定に該当しますが、世界初の国家データプライバシー法も振り返っておきましょう。

そう、信じられないかもしれませんが、デジタル時代のデータプライバシー法自体が、現在50歳の誕生日を迎えようとしているのです。

スウェーデン人は、ドイツ人とともに、初期のデータプライバシー法制定において重要な役割を果たしました。1973年には、初の国家データプライバシー法である「データ法」が成立しました。

データ盗難を犯罪とし、データ対象者に自分の記録にアクセスする自由を与える」ために開発されたデータ法の作成は、1969年に早くも国勢調査データのデジタル処理に端を発しています。

スウェーデンは早くから公職にコンピュータを導入し、透明性と開放性を重視する文化があったため、この法律の制定につながった。

3.カナダとPIPEDA

カナダの個人情報保護および電子文書法(PIPEDA)は、しばしばGDPRに最も近いデータプライバシー法であると考えられています。

実際、この法律の進化は、EUの政策立案者をなだめ、カナダとEU間のデータ転送を容易にするという野心によって部分的に誘導されたものです。

GDPRと類似しているものの、いくつかの重要な相違点があり、そのうちのいくつかはPIPEDAの国際的なアピールを制限する原因になっていると考えられています。

これらの相違点は、主に7つの分野を中心に展開されています。

  1. 適用基準
  2. 治外法権
  3. データ処理に対する同意
  4. 忘れられる権利
  5. データポータビリティ
  6. データ侵害の通知
  7. 罰金

最後のポイントとして、GDPR違反に関連する罰金の大きさはほとんど伝説となっており、GDPRに準拠したソフトウェアソリューションやデータ処理コンサルタント会社の設立に重要な触媒として作用しています。

GDPRで課される罰金(最大2000万ユーロまたは全世界の年間売上高の4%)と、PIPEDAの罰金(最大10万カナダドル(約7万ユーロ))の間には、大きな隔たりがあります。

PIPEDAは、「公正情報10原則」に基づいて構成されています。

  1. 説明責任
  2. 個人情報収集の目的の明確化
  3. 個人情報の収集、使用、開示に関する本人の同意
  4. データ収集は、組織が特定した目的に必要なものに限定すること。
  5. 使用、開示、および保存の制限
  6. 個人情報の正確性
  7. 個人情報の紛失、盗難、不正アクセス等に対する安全対策
  8. 個人情報の管理に関する方針及び慣行についての公開性
  9. 要求に応じた個人へのアクセス
  10. PIPEDAの原則の遵守に向けた挑戦

4.イスラエル

中東・アフリカ全体に目を向けると、データプライバシー法を制定している国や地域がいくつかあります。

イスラエルのデータセキュリティ規則は、パスワードや侵入(ペン)テストに関する規則など、EUの法律にはないいくつかの特徴を含んでいるものの、GDPRと最も整合性が取れていると考えられています。

にもかかわらず、イスラエルのデータ保護法は欧州委員会(EC)により適切であるとみなされているため、EU居住者のデータ処理が可能になっています。

このため、イスラエルは、ECがデータ保護のレベルを確認した他の13の「第三国」と肩を並べることになります。その他の国には、ニュージーランド、カナダ(前述の通り)、韓国、英国が含まれます。

近年、これらの法律は何度か更新されており、2022年1月には、やや古めかしい個人情報保護法をデジタル時代に適合させようとする新しい法案が発表されました。

イスラエル以外の中東諸国では、バーレーン、カタール、トルコが何らかの形でプライバシー保護法を制定しており、後者は主にGDPRの2018年以前のバージョンをベースにしている。

5.ケニア(およびアフリカ連合)

アフリカ連合(AU)は、2014年にサイバーセキュリティと個人データ保護に関するGDPR的な条約を採択し、AU各国に対して国内プライバシー法の導入を強制することを意図しています。

にもかかわらず、このイニシアティブの進展はかなり鈍く、自国のプライバシー法を策定して採用した国はわずか5カ国にとどまっています。

この中には、2019年に施行され、その後時間をかけて進化・強化されてきたケニアのデータ保護法が含まれています。

成立時に、ケニアの情報・技術・通信大臣であるジョー・ムチェルは、「ケニアはデータ保護基準の面でグローバルコミュニティに参加した」と述べています。

アフリカでは他に、ナイジェリア、モーリシャス、南アフリカ、ウガンダが何らかの形でデータプライバシー法を採用しています。

その他の国家データプライバシー法とその先にあるもの

これら5つの例以外にも、GDPRに類似したデータプライバシー法を採用している国がいくつかあります。

記事の冒頭で述べたように、合計14の第三国がGDPRと互換性があり、準拠しているとみなされる基準を持っています。

このほか、日本、ブラジル、ウルグアイ、スイス、アンドラ、フェロー諸島、ガーンジー、マン島、ジャージー島、アルゼンチンなどが同様のデータプライバシー法を制定しています。

デジタルデータの保護とプライバシーに関する話題がますますグローバル化し、広く議論されるようになっていることから、近い将来、同様の法律を制定または強化する国がさらに増えることが予想されます。