GDPR / CCPA 何が違うの?

CCPAは2018年5月に発効された欧州のGDPRの影響で実施される、米国の最初の主要個人情報保護法です。

一部ではCCPAを「カリフォルニアGDPR」と呼びますが、この二法が実際にどのように違うのか、
CCPAとGDPRの主な相違点と重なる点は何なのか調べてみましょう。

1.GDPRとCCPA

GDPRは、Webサイト、会社や組織が、名前、電子メールアドレス、位置データ、ブラウザの履歴や他の多くの項目に含まれている個人データを処理する方法を制御します。

ウェブサイトにEUの訪問者が有り、またはGoogleやFacebookのようなサードパーティのサービスがすべての種類の個人データを処理する場合、GDPRは、まずユーザーから事前の同意を得なければならないと言います。

CCPA(カリフォルニア消費者の個人情報保護法)は、米国初の州全体の個人情報保護法です。

カリフォルニア住民が自分のデータを処理することができる方法を変更します。企業がすでに収集したデータを公開したり、または削除するように要求することができ、第3者のデータの販売を完全に拒否することができる新しい権限を付与します。

※CCPAについて、もっと詳しくはこちらを↓
 https://tech-cci.io/archives/4497

2.CCPAとGDPRの簡単に比較すると、

  • GDPR – 欧州連合(EU)全体の「デフォルトでのプライバシー」法的枠組みの作成に重点を置いています。
  • CCPA – カリフォルニアの巨大なデータ経済における透明性とその消費者に対する権利を作成することを目的としています。

つまり、GDPRがデータを処理する前に、EUのユーザーが個人情報を使えないようにロックすることができるドアを作ると言えます。

また、CCPAはカリフォルニア州の消費者がビジネス側で既に獲得したデータまたは第3者に販売されたデータを見つけるための窓を作ると言えます。

3.主な差異点-事前同意 / opt out

GDPRとCCPAの最も重要な違いは、事前の同意とオプトアウトに関することです。

GDPRは、ユーザーが個人データを収集して処理する前に、明確にユーザの同意を必要とする半面、CCPAは、消費者がデータを第三者に公開したり、販売することを拒否することができるようにする必要があります。

GDPRに応じて個人データの収集のための法的根拠(例えば、同意)が必要です。CCPAに応じて、ユーザーが個人情報の収集慣行でオプトアウトできるようにする必要があります。
GDPRは、EU内のすべての個人を保護する一方で、CCPAはカリフォルニア州の居住者を保護します

4.個人情報(CCPA)と個人データ(GDPR)

  • CCPAは「特定の消費や自宅から直接または間接的に識別情報の説明と関連付けることができる、または合理的に接続することができる。」は、個人情報(personal information)を定義する。
  • GDPRは「特に識別子を参照して、直接または間接的に特定したり、特定可能なデータ主体に関連するすべての情報」という個人情報(personal data)を定義する。

CCPAは個人に限定されない個人データが含まれています。つまり、個人に限定されないが、家族単位に分類される情報を含みます。ただ、GDPRは排他的に個人データだけを定義します。

また、CCPAとは異なり、GDPRは個人の機密データ(sensitive personal data)と呼ばれる特別なカテゴリのデータを生成し、特定の要件のいずれかが満たされない限り、処理を禁止します。

GDPRは、EUからの個人データを処理する6つの法的根拠(参照:https://gdpr-info.eu/art-6-gdpr/)を持っていますが、CCPAは、個人情報を処理することができる法的根拠がありません。

つまり、消費者がデータの販売を拒否する権利を行使していない限り、企業は、カリフォルニア州の住民のためにデータを必要に応じて処理することができます。

5.消費者とデーターの主体

GDPRは「識別可能な個人」と定義されたデータ主体を保護する一方、CCPAは「カリフォルニア居住者の個人」と定義された消費者に特定の権利を与えます。

データ主体はCCPAによれば「臨時的または一時的な目的で州にある個人」または「臨時的または一時的な目的のために州外にいる個人」と定義されます。
しかし、GDPRに沿ったデータ主体は、EU在住者や市民のみならずあらゆる人になり得るのです。

6.CCPAとGDPRの範囲

CCPAとGDPRは、両方とも領土外の範囲を持っています。
CCPAは、会社がカリフォルニアにあるかどうかに関係なく、ビジネスの定義(年間50,000人以上のカリフォルニア住民のデータ取引を行うなど)に該当する会社に適用されます。

GDPRはEU内の個人に商品やサービスを提供する場合、世界中のすべてのウェブサイト、会社及び組織(データコントローラ)に適用されます。

しかし、範囲の差はGDPRが収集または処理の時点で欧州連合にある全ての個人(データ主体)を保護するということです。 ここでCCPAは消費者がいると定義された個人のみ保護します。(カリフォルニア居住者。つまり、一時的にまたはその他の目的で州に居住)

7.Businesses(CCPA)とData Controllers(GDPR)

CCPAは、企業とそのデータ処理活動の条件を制御し、一連の狭い分類でこれらを定義します。

CCPAによると、ビジネスは営利目的であり、消費者の個人情報を収集し、処理の目的と手段を決定し、カリフォルニアでビジネスを行い、次の基準の少なくとも1つを満たす法人です。

  • 2,500万ドルを超える年間収益
  • 毎年少なくとも5万人のカリフォルニア住民の個人情報を処理する。
  • 個人情報の販売を通じて、年間収益の50%以上を生み出している。
    これには、毎日カリフォルニア住民の個人データを処理している数多くの会社、組織およびウェブサイトが除外され、CCPA発効日以降も除外される可能性があります。

一方、GDPR要求事項は、データ処理活動があるあらゆる種類のエンティティで定義されたデータコントローラに適用されます。

GDPRは、利益の有無にかかわらず、パブリックまたはプライベート、EU内外のサイズ、またはCCPAにあるその他のしきい値について制限を設けていません。

GDPRによると、データコントローラは単にEUでデータを収集及びまたは処理する全ての主体です。

これには、あらゆる会社、ビジネス、組織が含まれます。(サイズや形、目的に関係なく、すべてのウェブサイト)

これは、CCPAとGDPRの大きな違いを強調しています。つまり、後者は、誰に何を適用するかという点ではるかに広い範囲を持っているということです。

まとめると、GDPRはCCPAよりも多くの人々をより多くのデータ処理プラクティスから保護します。

最後に、

GDPRは、欧州連合(EU)のユーザーの事前同意に基づいて、個人情報保護の基本であるEUでデータ保護フレームワークを形成する、より大きな個人情報保護法です。これは、アクセス、消去、情報の権利、および同意を取り消す権利を持つEUの個人に権限を与えます。

CCPAはカリフォルニア居住者が特定の企業(CCPAの定義を満たす)がデータへのアクセスを要請し、取得したデータに対する決定権限を得ることができる、より小さく、より具体的な法律です。
収集されたデータを第三者に販売や削除することを完全にオプトアウト(opt out)します。

2つの法律は基本的なレベルで異なっており、ヨーロッパとカリフォルニアでプライバシーとデータの自律性について2つの非常に異なる法的枠組みを作りました。

GDPRとCCPAは個人情報、プライバシーのために作られた法律なので似ている法律だと考えている方が多いかと思いますが、実はそれぞれ異なっていますので、違いについてよく理解し、対応をしていきましょう。