shutterstock
2020年1月1日に施行されるカリフォルニア州消費者プライバシー法
11月19日に、Google AdSense から一通のメールが届いた。「
Important updates about the California Consumer Privacy Act (CCPA)」、
カリフォルニア州消費者プライバシー法――通称
CCPA――、2020年1月1日に施行される法律についての更新のお知らせだ。
CCPA は、ヨーロッパの
「General Data Protection Regulation (GDPR) 」(一般データ保護規則)とよく比較される、プライバシーについての法律だ。GDPR は、2016年4月に制定され、2018年5月25日に施行された(参照:
ジェトロ、
NTTデータ先端技術株式会社)。
GDPR 登場時の混乱は今でも覚えている。「制裁金が非常に高いらしい」「日本にいても引っかかるそうだ」「何をしなければならいのだ?」そうした意見が、多く飛び交った。個人でWebサイトを公開している人の中には、「とりあえず、ヨーロッパからのアクセスを全て遮断する」といったことをする人まで出た。
個人や小さな事業者では、ヨーロッパの事情がよく分からず、大手の対応を見て追随しようとするパターンも多かった。大きな混乱が起きるかと思ったが、そうしたものはなく、大手サイトから順に、徐々に対応がおこなわれていった。
最終的に、GDPR の登場以降、インターネット上での個人情報の扱いは厳しくなった。CCPA は、その方向をさらに後押しすることになりそうだ。というわけで、今後のインターネット上でのプライバシーについて今回は話をしよう。
GDPR(一般データ保護規則)が登場した前後、ウェブ界隈はかなり騒然とした。多くのWebサイトでダイアログ(個人情報の取り扱いについて説明して同意を得るためのもの)が出るようになった。そうしたダイアログを出すためのキットも登場した。そして大手企業を中心に対応がおこなわれた。
GDPR については、大きなポイントは2つあった。1つは、
個人データの範囲の拡大である。
IPアドレスや、クッキーといったオンライン識別子が、個人データとして定義された。そのため上述のように、クッキーの受け入れについて同意を得るためのダイアログが、多くのWebサイトで導入されることになった。
2つ目は、
対象となる事業者だ。EU に子会社や支店、営業所を有している企業だけでなく、
EU にいる人に何らかの商品やサービスを提供している企業も対象になった。これは、アクセス解析や広告などで、EU 圏内にいるユーザーのデータを取得している場合も範囲に含まれる。
上記のポイントは非常に端折った概略なので、実務に関わる人は専門の記事を読むとよいだろう。施行から時間が経ったために、ネット上に多くの詳細な記事やFAQが出そろっている(例:
ジェトロ:GDPRに関わる実務ハンドブック(入門編))。