Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Select your role & we’ll curate content specifically for you
ブログ > 会社情報

データプライバシー関連の法規制を知る

Published on:

Authored by:

Stan Lowe

Bil Harmer

データプライバシー関連の法規制を知る

データプライバシー関連の法規制の整備が進む中で、法規制に対するコンプライアンスの姿勢が、競争力を差別化する重要な要素になっています。コンプライアンスを維持するには、世界中で策定され、施行される法規制に常に注目するだけでなく、それらの法規制の類似点と相違点を理解する必要があります。法規制は国や地域によって異なるため、これは、いくつものレベルで考えなければならない複雑なトピックです。しかしながら、法規制の数が今後も増加の一途をたどることを考えれば、すでに施行されている法規制はもちろん、将来的な施行も視野に入れ、注目する必要がある法規制を鳥瞰図的に理解するのも、十分に価値のあることです。
 

1つ目の目的地:欧州連合(EU)

過去数年間に施行されたデータプライバシー関連の最も重要な法規制が欧州連合の28の国が加盟するGDPR(General Data Protection Regulation、一般データ保護規制)であるのは、間違いのない事実です。GDPRは、EUの国とそこでビジネスを行おうとする企業が、欧州全域のデータ保護と使用を管理するための統一された一連の規制の必要性を認めたことをきっかけに制定されました。

この法律が生まれた理由の1つとして、ヨーロッパの国がデータ保護の目的で無数と言えるほどのさまざまな方法を採用してきたという事実があります。EU加盟国はかつては、EU Data Privacy Directive(EUデータ保護指令)に従ってビジネスを遂行してきましたが、その名前が示すように、これは単なる指令であり、法規制として整備されたものではありませんでした。そのため、欧州全域で(場合によっては1つの国の中でも)さまざまな慣行、規定、法律、要件が発生し、事業所ごとに異なる標準を理解しようと努力したとしても、それを確実に運用するのはほぼ不可能でした。

GDPRによって、この指令が一連の法律に置き換えられ、ヨーロッパで活動するすべての国と企業には、それらの法律に従うことが義務付けられたました。企業においては、法規制の追加は障害であると考えられてきましたが、この法規制の場合は、企業にとって、EU全域の標準であるという点で競争条件が平等であり、予測可能であるという、明確なメリットがあります。さらに、GDPRによって、EUのすべての市民が、企業がデータを保護する方法に関して、所在地に関係なく、何を期待できるかを正確に知ることができます。

GDPRには、6つの主要分野がありますが、重要なのは、GDPRは、国が個人データをどのように管理するかではなく、企業が消費者の個人データをどのように処理するかに主眼を置いた法律である点です。企業は、消費者の個人データをどのように取り扱うかを十分に意識し、認識する必要があります。また、この法律の6つの原則のコンプライアンスが義務付けられており、違反すると厳しい罰則が科せられます。これらの6つの原則はいずれも、自分のプライバシーを守る権利を個人に認めるものであり、以下の権利が含まれます。
 

  1. 忘れられる権利。これは匿名の権利でもあります。
  2. 自分に関するオンライン情報が正確で正しいものであることが保証される権利。
  3. 自分のデータがどこにあるかを知る権利。
  4. そのデータを誰が目にするかを知る権利。
  5. 自分のデータがどのように使用されるかをいつでも知る権利。
  6. 個人データをコントロールする権利。

GDPRがカリフォルニア州で最近可決されたデータ保護の法規制と比べて優れているのは、企業による不適切な行動からデータと個人を保護することに焦点を当てている点ですが、政府による行動については言及されていません。GDPRにはヨーロッパの政府による市民のデータの管理方法については規定されていないため、これは、アメリカとヨーロッパの文化的な違いを示すものです。
 

2つ目の目的地:カリフォルニア州

CCPA(California Consumer Privacy Act、カリフォルニア州消費者プライバシー法)は、2018年に可決され、2020年1月に施行されるデータ保護の法規制です。カリフォルニア州の法律はGDPRを参考にしていますが、政府や企業による個人のデータの使用方法に関して、いくつかの具体的な追加の制限を設けられています。

CCPAでは、消費者としての個人が法律の中心であり、CCPAは、個人データの商用利用について規定するものです。GDPRと同様、このカリフォルニア州の法律にも6つの基本原則があり、市民に以下の権利を許めています。
 

  1. 収集される情報を知る権利。
  2. 自分に関するどのようなデータが販売または開示されるかを知る権利(これは、何が販売されるかではなく、何が開示されるかのみを知る権利を市民に認めているGDPRと異なる点です)。
  3. データの販売を禁止する権利。
  4. 企業が収集したデータを企業から要求する権利。
  5. 削除を要求する権利。
  6. これらのデータプライバシー保護に関連する(GDPRで指定されていない)何らかの要求に対して措置を実行しない権利。

CCPAは、消費者のデータや情報の販売によって、大手企業が得ることができる金額を制限しています。

カリフォルニア州の法律が最終的には、消費者としての個人のデータと情報に関する権利に関連するものであるのに対し、GDPRは、企業がその情報を使用してできることの制限に関連するものです。
 

これ以外の法規制

上記の法規制は、最近施行されたデータ保護法の中で最も注目に値するものではありますが、これらが最後ではないのは、ほとんど疑いの余地のないことです。たとえば、カナダは現在、The Personal Information Protection and Electronic Documents Act(個人情報保護および電子文書法)に基づいて運用されていますが、これは、EUの以前の指令と同様、個人および消費者のデータをどのように保護するかについての判断については、カナダの各州に認められています。このような統一されていない法規制環境で運用することの難しさを考えると、カナダにおいても将来的に、より広範な国内法が制定される可能性があります。

米国においても同様に、州に認めている、州ごとに独自の法規制を実施する権利を無効にする連邦法を提出するかどうかの審議が、連邦議会で進んでいます。繰り返しになりますが、企業は、州ごとに異なる法律に従うことに努力するのではなく、実際には、国としての統一された法律を提唱することになるでしょう。

最終的には、消費者は自分のデータを誰が目にするかに十分に注意し、企業は顧客のデータをどのように管理、保存、処理、保護するかに十分に注意しなければならない、これまでとは異なる新しい環境でビジネスを遂行するということを、企業が十分に認識する必要があります。データは価値を持つ新しい通貨のようなものであり、国民や消費者のプライバシー保護を最も重視している姿勢を示すことが、国や企業の競争力の向上につながる可能性があります。

 

GDPRのコンプライアンスとデータ保護に関するZscalerの声明をご確認ください。
 


Stan LoweはZscalerのグローバルCISO、Bil HarmerはZscalerの北米・中南米地区CISOです



お勧めのブログ