11月19日に、Google AdSense から一通のメールが届いた。「Important updates about the California Consumer Privacy Act (CCPA)」、カリフォルニア州消費者プライバシー法――通称 CCPA――、2020年1月1日に施行される法律についての更新のお知らせだ。 　CCPA は、ヨーロッパの「General Data Protection Regulation (GDPR) 」（一般データ保護規則）とよく比較される、プライバシーについての法律だ。GDPR は、2016年4月に制定され、2018年5月25日に施行された（参照：ジェトロ、NTTデータ先端技術株式会社）。 　GDPR 登場時の混乱は今でも覚えている。「制裁金が非常に高いらしい」「日本にいても引っかかるそうだ」「何をしなければならいのだ？」そうした意見が、多く飛び交った。個人でWebサイトを公開している人の中には、「とりあえず、ヨーロッパからのアクセスを全て遮断する」といったことをする人まで出た。 　個人や小さな事業者では、ヨーロッパの事情がよく分からず、大手の対応を見て追随しようとするパターンも多かった。大きな混乱が起きるかと思ったが、そうしたものはなく、大手サイトから順に、徐々に対応がおこなわれていった。 　最終的に、GDPR の登場以降、インターネット上での個人情報の扱いは厳しくなった。CCPA は、その方向をさらに後押しすることになりそうだ。というわけで、今後のインターネット上でのプライバシーについて今回は話をしよう。 　GDPR（一般データ保護規則）が登場した前後、ウェブ界隈はかなり騒然とした。多くのWebサイトでダイアログ（個人情報の取り扱いについて説明して同意を得るためのもの）が出るようになった。そうしたダイアログを出すためのキットも登場した。そして大手企業を中心に対応がおこなわれた。 　GDPR については、大きなポイントは2つあった。1つは、個人データの範囲の拡大である。IPアドレスや、クッキーといったオンライン識別子が、個人データとして定義された。そのため上述のように、クッキーの受け入れについて同意を得るためのダイアログが、多くのWebサイトで導入されることになった。 　2つ目は、対象となる事業者だ。EU に子会社や支店、営業所を有している企業だけでなく、EU にいる人に何らかの商品やサービスを提供している企業も対象になった。これは、アクセス解析や広告などで、EU 圏内にいるユーザーのデータを取得している場合も範囲に含まれる。 　上記のポイントは非常に端折った概略なので、実務に関わる人は専門の記事を読むとよいだろう。施行から時間が経ったために、ネット上に多くの詳細な記事やFAQが出そろっている（例：ジェトロ：GDPRに関わる実務ハンドブック（入門編））。