データプライバシーに関する法律や規制は、特定の場所内の市民または居住者の個人データを保護します。 企業が自分のデータをどのように利用するかについて個人に権利を与え、企業がデータを収集した後に自分のデータがどのように利用されるかについて意思決定できるようにするものです。 これらの規制は、多国籍、国、州、地方レベルで存在する可能性があります。
このページは、世界のデータプライバシーに関する法規制の一覧です。 新しい法律や規制が登場した際には、随時更新していきます。 法律は以下のカテゴリーに分類されます:
- 米国連邦規則
- 米国の州別規定
- 国際規制
米国連邦データプライバシー法および規則
児童オンラインプライバシー保護法(COPPA)
適用されます:13歳未満の児童からデータを収集するウェブサイトまたはオンラインサービスの運営者。
1998年に制定されたCOPPA(Children’s Online Privacy Protection Act)は、インターネット上での子どもの個人情報の収集、使用、開示に関する不公正または欺瞞的行為を禁止しています。 1998年に米国議会で制定され、連邦取引委員会(FTC)に子どものオンラインプライバシーに関する規制を発行し、実施することを義務づけています。 COPPAの目的は、幼い子どもからオンラインで収集される情報を、保護者がコントロールできるようにすることです。 COPPAは、2000年4月21日に施行されました。
グラムリーチ・ブライリー法(GLBA)
に適用されます:米国内の金融機関
1999年金融サービス近代化法とも呼ばれるGLBA(Gramm-Leach-Bliley Act)は、米国議会で可決され、1999年11月12日に発効しました。 この法律は、金融機関が機密性の高い顧客データを保護するために、情報共有の方法を顧客に開示することを義務付けています。
この法律では、”金融機関 “を “ローン、金融や投資のアドバイス、保険など消費者に金融商品やサービスを提供する企業 “と定義しています。
GLBAのFinancial Privacy Ruleは、金融機関に対し、消費者が初めて顧客として登録する際に、プライバシーに関する通知を提供することを求めています。 また、この規則では、その後毎年プライバシー通知を送付することが義務付けられています。 GLBAのSafeguards Ruleは、金融機関に対し、顧客の非公開個人情報をどのように保護するかを記述した情報セキュリティ計画を提供することを求めています。
健康保険の相互運用性と説明責任に関する法律(HIPAA)
に適用されます: 米国内の医療従事者
1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)は、患者の同意や知識なしに機密性の高い患者の健康情報が開示されないように保護するための国家基準を定めた連邦法であります。
HIPAA Privacy Ruleは、医療提供者、医療計画、医療仲介業者、業務提携先などの対象事業者による個人の健康情報の使用と開示に対処するものである。
HIPAAセキュリティ・ルールは、プライバシー・ルールの対象となる情報のサブセットである「対象事業者が電子形式で作成、受信、維持、または送信するすべての個人を特定できる健康情報(すなわち、電子保護医療情報または「e-PHI」)」を扱っています。
米国州特有のデータプライバシー法規制
2003年カリフォルニア州オンラインプライバシー保護法(CalOPPA)
適用されます: カリフォルニア州の住民から個人を特定できる情報(PII)を収集する商用ウェブサイト。
2003年カリフォルニア州オンラインプライバシー保護法(CalOPPA)は、2004年7月1日に施行されました。 商業用のウェブサイトやオンラインサービスにおいて、サイト上にプライバシーポリシーを記載することを義務付けた米国初の州法である。 具体的には、カリフォルニア州の居住者から個人を特定できる情報(PII)を収集するウェブサイトは、プライバシーポリシーを掲載し、遵守することが求められます。
CalOPPAによると、プライバシーポリシーは明確に表示され、容易に見つけることができるものでなければなりません。 多くのサイトでは、”Your California Privacy Rights “という見出しの下にポリシーが記載されています。 プライバシーポリシーは開示しなければならない:
- 保険の発効日
- ウェブサイトが収集する情報
- 他者との情報共有の方法
- ユーザーが保存されている情報を要求、レビュー、変更する方法
- 発効日以降に行われた変更点のリスト
通知を受けてから30日以内にプライバシーポリシーを掲示しないサイト運営者は、違反となり罰金の対象となります。 違反は、カリフォルニア州司法長官事務所のウェブサイトから報告することができます。
カリフォルニア州消費者プライバシー法(CCPA)
適用されます: カリフォルニア州の消費者に関するデータを収集する事業者。
カリフォルニア州消費者プライバシー法(CCPA)が2020年1月1日に施行されました。 これは、カリフォルニア州の消費者に、企業が収集する個人情報をよりコントロールできるようにするものです。 この法律は、カリフォルニア州の消費者に、企業が収集した個人情報について知る権利や、個人情報の販売についてオプトアウトする権利など、新たなプライバシー権を確保するものです。
2020年11月、カリフォルニア州の有権者は、「2020年カリフォルニアプライバシー権法(CPRA)」を承認しました。 CPRAは2023年1月1日に施行されます。 本書はCCPAに代わるものではありませんが、CCPAの更新を行い、追加の法律や規制を含んでいます。
バージニア州消費者データ保護法(VCDPA)
適用されます: バージニア州内でビジネスを行う人または企業。
バージニア州消費者データ保護法(VCDPA)は、2021年3月2日に署名され、2023年1月1日に施行される予定です。 VCDPAにより、バージニア州は、市民のための包括的なデータプライバシー法を制定する2番目の州(つまり、2020年のカリフォルニア州のCCPAに次ぐ)となりました。
VCDPAは、バージニア州内でビジネスを行う人または企業に適用されます:
- 少なくとも10万人の消費者の個人データを管理または処理すること、または、
- 総収入の50%以上を個人データの販売から得ており、少なくとも25,000人の消費者の個人データを管理または処理している。
VCDPAは、消費者が自分の個人データにアクセスし、訂正し、削除し、コピーを取得する権利を与える。 また、消費者は、自分の個人データがターゲット広告に使用されることをオプトアウトすることができます。 また、個人情報の売却をオプトアウトすることも可能です。 VCDPAは、バージニア州検事総長にその法令違反を取り締まる独占的な権限を与えています。
コロラド州プライバシー保護法(ColoPA)
適用されます: コロラド州でビジネスを行う組織、またはコロラド州の住民を対象とした商品・サービスを提供する組織。
コロラド州プライバシー法(ColoPA、通称CPA)は、2021年7月7日に署名され、2023年7月1日に施行される予定です。 コロラド州は、住民のための包括的なデータプライバシー法を制定した3番目の州(カリフォルニア州のCCPA、バージニア州のVCDPAに続く)です。
ColoPAは、コロラド州で事業を行う組織、または同州の住民に商品およびサービスを提供する組織に適用されます。 また、組織がある場合も適用されます:
- 暦年で10万人以上のコロラド州住民のデータを管理または処理すること、または、
- 少なくとも25,000人のコロラド州住民の個人データの販売から収益を得る。
ユタ州消費者プライバシー法(UCPA)
適用されるのは ユタ州で事業を行う営利団体、またはユタ州に居住する消費者を対象とした商品・サービス。
ユタ州消費者プライバシー法は、2022年3月24日に署名された法律である。 2023年12月31日に発効します。 ユタ州は、独自のデータプライバシー法を制定した4番目の州です。
法律の追加要件は以下の通りです:
- 年間売上高が2,500万ドル以上の事業者
- 10万人以上のユタ州住民の個人データを管理または処理すること。
- 個人データの販売から総収入の50%以上を得ており、25,000人以上の消費者の個人データを管理または処理すること。
コネティカットデータプライバシー法(CDPA)
適用されます: コネティカット州でビジネスを行う組織、またはコネティカット州の居住者を対象とした製品またはサービスを製造する組織。
コネチカットデータプライバシー法(CDPA)は、2022年5月4日に署名され、法律となりました。 2023年7月1日から施行される予定です。 コネティカット州は、独自のデータプライバシー法を制定した5番目の州です。
コネチカットデータプライバシー法は、コネチカット州でビジネスを行う者、または同州の居住者を対象とする者に適用されます。 追加パラメータは以下の通りです:
- 年間10万人以上の消費者の個人データを管理または処理した組織(ただし、決済取引を完了する目的でのみ管理または処理される個人データを除く。
- 個人データの販売から総収入の25%以上を得ており、25,000人以上の消費者の個人データを管理または処理している組織体。
国際的なデータプライバシー法規制
アルゼンチン:個人情報保護法(PDPA)
適用されます:アルゼンチン市民を対象とする、またはデータを収集する組織。
アルゼンチンの個人情報保護法25.326(PDPA)は、2000年10月4日にアルゼンチンの上院と下院で制定されました。 アルゼンチン国民の個人情報を保護する法律です。 個人データ」とは、特定の、または確認可能な物理的な人物や法人を指すあらゆる種類の情報であると定義しています。
法律では、個人データの利用は、確実、適切、適切でなければならないと規定されています。 また、データの使用について同意を 得た際に述べた目的と一致していなければなりません。 また、個人データの所有者が書面または同様の手段で明示的な同意を与えていない場合、その利用は違法とみなされます。
バーレーン個人情報保護法(PDPL)
適用されます: バーレーンの市民を対象とする、またはデータを収集する組織。
2018年7月12日、バーレーンは2018年法律第30号「個人データ保護法(PDPL)」を制定した。 2019年8月1日に施行されました。 同法は、同法違反の調査権限を持つ個人情報保護局によって執行されます。 当局は、組織に対して違反行為の停止を強制し、緊急命令や罰金を科すことができます。 PDPLは、その規定に違反した場合、刑事罰(懲役を含む)および罰金を科すことができます。 罰金は1,000~20,000BHD(バーレーン・ディナール)となります。
カナダ個人情報保護および電子文書法(PIPEDA)
適用されます: 商業活動の過程で個人情報を収集、使用、開示するカナダ全土の民間組織。
個人情報保護・電子文書法(PIPEDA)は、カナダのデータプライバシー法で、個人情報を商業活動でどのように使用できるかを規定する法律です。 PIPEDAでは、”個人情報 “を “記録されているか否かにかかわらず、識別可能な個人に関するあらゆる事実的または主観的情報 “と定義しています。
個人情報の例としては、年齢、氏名、ID番号、収入、民族的出身、血液型などがあります。 PIPEDAでは、企業は個人情報を保護するために10の公正情報原則に従わなければなりません。 その10原則とは
- アカウンタビリティ
- 目的の明確化
- コンセンサス
- コレクションを制限する
- 使用、開示、および保存の制限
- アキュラシー
- セーフガード
- 開放感
- 個別アクセス
- コンプライアンスに挑戦する
欧州連合(EU)の一般データ保護規則(GDPR)
適用されます:欧州連合の市民を対象とする、または市民からデータを収集する組織。
GDPRは2018年5月25日に施行されました。 この法律は、欧州連合(EU)市民を対象とする、または関連するデータを収集するあらゆる組織に適用されます。 GDPRの作成者は、”世界で最も厳しいプライバシーとセキュリティの法律 “と呼んでいます。
法律は広範囲に渡っており、意図的に具体的な内容には触れていません。 そのため、中小企業(SMB)にとって、GDPRへの対応を理解することは困難なことです。 GDPRの規制に違反した場合の罰金は高額です。 罰則は、2,000万ユーロまたは全世界の売上高の4%のいずれか高いほうに達する可能性があります。
イスラエルプライバシー保護(データセキュリティ)規則
適用されます: イスラエル市民を対象とする、またはデータを収集する組織。
イスラエルのプライバシー保護(データセキュリティ)規則は 、2017年5月に法律として成立し、2018年5月に施行されました。 この法律は、民間と公的機関の両方に適用され、個人データを扱うすべての組織の管理ルーチンにデータセキュリティを組み込むことを目的としています。 この規制により、国内のデータセキュリティのレベルが向上し、プライバシーの保護がこれまで以上に強固になることが期待されます。
この規制は、プライバシー保護機関であるgetso(PPA)によって実施される。 PPAは、データベースに対して、その活動の安全性を強化するための変更を実施するよう指示することができる。 例えば、PPAは、低リスクのデータベースに対して、中リスクのデータベースに適用される規定の実施を指示することができる。
日本の個人情報の保護に関する法律(APPI)
適用されます: 日本国民を対象とする、または日本国民のデータを収集する組織。
2005年に「個人情報の保護に関する法律(APPI)」が施行されました。 この法律の目的は、日本国民の個人情報を保護することです。 日本国民の個人情報を収集または受領するすべての組織は、この法律を遵守しなければ罰則を受けることになります。 APPIは、個人情報保護委員会(PPC)によって実施されています。
ケニアデータ保護法
適用されます: ケニア市民を対象とする、またはデータを収集する組織。
ケニアのデータ保護法は、2019年11月25日に施行されました。 アフリカで初めて制定された包括的なデータプライバシー法の一つです。 同法は、ケニアの住民の個人データを処理する組織に適用されます。 欧州連合のGDPR法のパラメータに酷似している。 同法に基づく罰則は、500万ケニアシリング(KES)または前会計年度の企業の年間売上高の1%に達する可能性があります。
ブラジル個人情報保護法(LGPD: Lei Geral de Proteção de Dados Pessoais)
適用されます: ブラジルの市民を対象とする、またはデータを収集する組織。
Lei Geral de Proteção de Dados Pessoais (LGPD)は、ブラジルのデータ保護法です。 LGPDは2020年9月18日に施行されました。 この法律は、Autoridade Nacional de Proteção de Dados(ブラジルの国家データ保護局)によって施行されています。
導光板は65条で構成され、個人データの収集、処理、保存、共有の条件など、個人データの使用に関する権利を定義しています。 LGPDは、ブラジルに所在する個人の個人データ、およびブラジルで収集または処理されるデータの取り扱いに適用されます。 また、ブラジルの個人に対して商品やサービスを提供するためにデータが使用される場合にも適用されます。
モーリシャス2017年データ保護法(DPA)
適用されます: モーリシャスの市民を対象とする、またはデータを収集する組織。
2017年モーリシャスデータ保護法(DPA )は、個人情報の収集、処理、取り扱いに関連して、モーリシャスにおける個人のプライバシー権を保護します。 同法は2017年12月8日にモーリシャス議会で可決され、2018年1月15日に施行された。 DPAは、2004年のデータ保護法(The Data Protection Act of 2004)に取って代わります。
DPAは、データ保護委員会(DPC)によって執行されます。 DPCは、同法の遵守を促すため、データ保護認証機構やデータ保護シール・マークに関するガイドラインを発行し、技術基準を定めることができます。
ニュージーランドのプライバシー法2020
適用されます: ニュージーランドの市民を対象とする、またはデータを収集する組織。
プライバシー法2020の法律が、ニュージーランドのプライバシーコミッショナー事務所によって2020年12月1日に発効されました。 個人情報のプライバシーに関する個人の権利を保護するための枠組みを提供することで、個人のプライバシーを促進し保護しようとする法律です。 また、個人が自分の個人情報にアクセスする権利についても規定しています。
個人情報保護委員会には、組織や企業が同法を遵守することを保証する権限が付与されています。 同法は、代理人が見る権利がある個人情報にアクセスするために、誤解を与えることを犯罪とするものです。 違反した場合、10,000ドル(ニュージーランドドル)以下の罰金に処される可能性があります。
ナイジェリアデータ保護規則(NDPR)
適用されます: ナイジェリア市民を対象とする、またはデータを収集する組織。
ナイジェリアデータ保護規則(NDPR)が2019年1月に法制化されました。 ナイジェリア国内外での個人データの処理に適用されます。 この法律は、プライバシーの権利を保護し、デジタル取引のための適切な環境を整え、雇用を創出し、ナイジェリアにおける情報管理の慣行を改善するものです。
NDPRは、ナイジェリアのデータ保護に関する規制当局である国家情報技術開発庁(NITDA)によって施行されています。 NITDAは、規制戦略、パートナーシップ、継続的な改善を通じて、アフリカにおけるデータ保護管理を追求することを目標としています。
カタール:2016年法律第13号
適用されます: カタールの市民を対象とする、またはデータを収集する組織。
2016年に制定されたカタールの法律第13号 は、電子的手段を用いた個人データの処理を保護するものです。 欧州連合のGDPRと類似した要素を持つ。 法律第13号には「プライバシー・バイ・デザイン」の原則が盛り込まれており、製品・サービスの設計・開発時にプライバシー問題を考慮するよう組織に求めています。 また、子どもを対象としたウェブサイトの運営者に対しては、子どもの保護者の明示的な同意を得るための具体的な告知を行うことを求めています。
南アフリカ共和国個人情報保護法(POPIA)
適用されます: 南アフリカ共和国の市民を対象とする、またはデータを収集する組織。
南アフリカの個人情報保護法(POPIA)が2020年7月1日に成立し、2021年7月1日に施行されました。 この法律は、南アフリカの住民に関する個人情報を処理するすべての企業や組織に適用されます。
同法は、個人情報を保護することにより、プライバシーに対する憲法上の権利を提供するものである。 個人情報を合法的に処理するための最低限の閾値要件を規定することで、個人情報の処理方法を規制しています。 また、南アフリカ居住者に対しては、同法に従わない処理から個人情報を保護する権利と救済手段を提供しています。 POPIAは、この法律で保護された権利を行使し、実現することを憲章とする情報規制当局の役割を確立しました。
韓国個人情報保護法(PIPA)
適用されます: 韓国の市民を対象とする、またはデータを収集する組織。
韓国の個人情報保護法(PIPA )は、2011年9月30日に制定されました。 国民の権利と利益を保護するために、個人情報がどのように処理されるかを規定した法律です。 法律では、個人情報を不必要な収集、不正使用、不正開示、乱用から保護しています。 “個人情報 “とは、生存する個人に関する情報であって、氏名、住民登録番号、画像等により個人を特定することが可能なものをいいます。
トルコ個人情報の保護に関する法律 第6698号
適用されます: トルコの市民を対象とする、またはデータを収集する組織。
トルコの個人データ保護に関する法律第6698号が2016年4月7日に成立しました。 同法の目的は、トルコの居住者の権利と自由、特に個人データの使用と処理におけるプライバシーの権利を保護することである。 法律では、データ対象者の明示的な同意なしに個人データを処理または保存することを禁じています。
ウガンダの場合データ保護とプライバシー法(2019年
適用されます: ウガンダの市民を対象とする、またはデータを収集する組織。
ウガンダのデータ保護およびプライバシー法(2019年 )は、ウガンダ共和国憲法(1995年)の第27条に基づき、ウガンダ国民の個人データの収集、処理、保管を保護するためのものです。 同法は、個人データを適法かつ公正な方法で収集し、適切、正確かつ安全であることを規定しています。 また、データを必要以上に長く保存しないこと、収集した管轄区域外に転送しないことを明記しています。
ウルグアイ:データ保護法
に適用される: 個人データを処理するウルグアイの管理者。
ウルグアイのデータ保護法Law No.18.331は、2008年8月11日に発効しました。 国民や法人の個人情報を含むすべてのデータベースの登録が必要です。 法律では、国民または法人に関する情報で、識別または特定できるものを「個人データ」と定義しています。 個人データを収集するために、法律ではデータ処理者は事前に文書による同意を得ることが義務付けられています。 また、同意を得たときに特定した目的以外に個人情報を利用することはできません。
データプライバシー、ガバナンス、そしてそれがマーケティング組織にとってどのような意味を持つのかについて詳しく知りたい方は、こちらの継続的な報道を ご覧ください。
