CCPAの対象となるのは、カリフォルニア州で事業を行い、カリフォルニア州民の個人情報を収集している事業者だ。そこからさらに、年間収入や処理している個人情報の数など複数の条件があり、対象はかなり絞り込まれる（参照：ジェトロ）。そのため GDPR と違って、対象となる事業者は大幅に少ないだろう。 　しかし、個人情報の範囲は広い。直接または間接的に個人をたどることができる、あらゆる情報が対象となる。また、事業者に課せられた責任も重い。プライバシーポリシーを毎年更新しなければならない。そして、事業に関係のない消費者からも情報開示請求を受ける。この請求を受ければ45日以内に開示することが求められる。違反すれば1件ごとに罰金が科せられる。そのため膨大な開示請求が来て、処理がパンクするシナリオも考えられる。 　また、CCPA の権利を行使したユーザーに対して、商品やサービスの提供の有無や、価格の変更といった差別的な扱いを禁止している。これも大きな特徴だろう。こうした条件が盛り込まれることによって、全てのユーザーが正当な権利を行使できるように配慮がなされている。 　個人情報の取り扱いについて、徐々に事業者側の責任と、おこなうべき作業は重くなっている。今後、こうした法律が制定される国や地域は増えていくことが予想される。GDPR はヨーロッパ、CCPA はアメリカでの出来事だったが、日本ではどのようになっているのだろうか。 　日本で「個人情報の保護に関する法律」が成立したのは2003年5月23日、全面施行されたのは2005年4月1日だ。当初は、個人情報の数が5000件以下の小規模取扱事業者は適用対象外だった。しかし、2017年5月30日に全面施行された改正により、この条件が撤廃された（参照：政府広報オンライン）。 　また、個人情報保護法は、2020年に改正がおこなわれる（参照：日経 xTECH）。この改正により、企業に個人データの利用停止や、第三者への提供停止を請求できるようになる。そして個人情報保護法は、今後3年ごとの見直しが図られることになっている（参照：個人情報保護委員会）。 　こうした動きは、世界のプライバシー保護の流れに足並みを揃えて、日本も対応していくことを示唆している。個人情報の取り扱いは、世界だけでなく日本でも今後厳格さを増していく。そしてユーザー側で、自身の個人情報をコントロール可能になっていくものと予想される。 ＜文／柳井政和＞