個人情報保護法, CCPA, GDPRを比較してみた。

1月1日にカリフォルニア州のプライバシー関連法CCPAが施行されました。EUのGDPR（2018年5月施行）に続いて特に注目されているデータ保護・プライバシー関連法律の１つです（世界には他にたくさんありますが）。そして日本では今年（2020年）、「個人情報保護法 いわゆる3年ごと見直し」法案が国会で提出される予定です。

CCPAでは、ここで要点がまとめられている通り、消費者について以下の権利が定義されています。

・企業のデータ収集の運用について開示請求する権利
・個人情報のコピーを受け取る権利
・個人情報を削除してもらう権利
・個人情報を第三者に売却しないよう求める権利（いわゆるオプトアウト）
・上記権利を行使したことに基づいて差別されない権利

単体で説明するより、GDPRと日本の個人情報保護法と各項目を並べて比較した方が分かりやすいと考え、年末から比較表を作り始めました。比較表が完成に近づいてきたので（おそらく永遠に完成しませんが）、比較結果を簡単にまとめようと思います。法務や弁護士にお任せした方がいい分野かもしれませんが、エンジニアとしても知っておいた方がいいと思うのでまとめました。
まず比較表はこんな感じです（リンクをクリックすると生々しいスプレッドシートが開きます）。

表を書くことで見やすくなると思ったら逆効果？
Webのいくつかの記事をそのままコピペしている箇所がありますので、セルのnoteに引用元を記載しています。ご了承ください。表が間違っている可能性があるのでそのままリファレンスにしないでください。
まとめ欄（一番右）だけ以下に転記します。一部メモ書きのままです。

対象組織・地域

GDPRと日本だけ、NPOや公共機関が対象。
基本的に事業者の所在地ではなく、情報処理対象の人の所在地を基準にどこの法律が適用されるかが決まる。

個人情報の定義

共通点として、複数の情報と組み合わせて特定の個人を識別できる情報も個人情報扱いされている。
ただ、GDPRとCCPAでは、単体で個人を直接識別できない情報（クッキーやIPアドレス）について、世の中の何らかの追加情報（例えば会員情報）と組み合わせて個人の特定ができると考えられるような場合は個人情報扱いになるのに対し、日本では個人情報と容易に照合できる場合のみ個人情報扱いになる。

個人情報の例

GDPRとCCPAのみ、クッキーとIPアドレスが対象であることが明記されている。
日本では上記の通り、会員情報等と紐付けられる場合のみクッキーとIPアドレスが個人情報扱いになる。クッキーが会員IDのみと紐づく場合、会員IDは「公的機関が生成する識別符号」ではないため、クッキーも会員IDも個人情報扱いにならないと思われる。

基本用語・コンセプト

呼び方が若干変わるものの、責任を持ってユーザに対して説明したり、同意を取ったりする「管理者」と、管理者の指示に従い情報処理をする「処理者」が全ての法律で定義されている。日本の「委託先」の役割と責任について説明が少なく、どの場合に適用できるかははっきりしていない。

特に配慮が必要な個人情報

CCPAだけ特に定義なし。アドテックではほとんど扱われていないと信じているので一旦省略。

データ運用方法の開示

GDPRの方が開示しなければならない情報が多い（ユーザの権利、保存期間、ControllerとDPOの連絡先等）。GDPRだけ収集前ではなく収集時に開示が必須。

保有データの開示

開示を請求できるデータの期間はCCPAの方が長いが、年２回の請求回数上限がある。
日本は請求できるデータの期間と回数が定められていない。

データ収集・処理

GDPRだけオプトイン方式。
CCPAと日本はデータ処理・利用停止できない。

データの第三者提供

CCPAはオプトアウト方式。
GDPRは第三者提供以前にデータを処理するためにオプトインが必要なので、第三者提供もオプトインと考えればよさそう。
日本は基本的にオプトイン方式だが、事業者から申請すればオプトアウトへの変更が可能。オプトアウトが今後厳しくなる見通し。今年の改正では提供元で個人情報に該当しないものの、提供先で個人情報になる場合も制限の対象になる見込み（最近の事件を受けて）。

保有データの削除

日本は違反があった場合のみユーザがデータ利用停止・削除を請求できるのに対し、CCPA/GDPRは違反なくても請求可能（いわゆる忘れられる権利）。CCPAでは無条件で、GDPRでは同意を取り下げた場合やデータが不要になった場合のみ請求可能。
CCPAは削除義務が免除される条件が緩い（例外が多い）。

オプトアウト等の請求権の行使による差別可否

日本だけ差別に関する規定なし。
CCPAだけ差別が具体的に定義されている（価格設定、サービスレベル、販売拒否等）

データポータビリティ

日本だけデータポータビリティの権利なし。GDPRだけ直接別のControllerへのデータ移行を依頼できる。技術的に可能な場合だけなので実際は誰も対応していないかもしれない。

データの安全管理

データ管理・運用の要件はGDPRと日本だけ細かく定義されている。

仮名化情報

他の情報と組み合わせない限りユーザを識別できないように加工されたデータ。
CCPAでは仮名化データが対象かどうか明記されていないので、「対象」と考えた方が無難。
GDPRは他の情報と組み合わせてユーザと特定できる場合、仮名化情報も個人情報扱い。データ開示請求に答えるために最識別化が求められるケースがある。日本は今年の改正で仮名化データの概念が追加される予定。

匿名化情報

直接的にも間接的にも消費者を特定できない情報。
CCPAはdeidentified（非識別化）データとaggregate（集計）データが対象外。GDPRも匿名データは対象外。
日本だけ、第三者提供等を目的にした匿名加工処理の場合、
・匿名加工処理の要件が明記されている(個人識別符号、他データとの
　連結符号、 特異な記述等の削除)。
・作成時や提供時に、匿名加工情報に含まれる個人に関する情報項目の
　公表・明示義務が規定されている。

制裁金

CCPAと日本はGDPRと比較して二桁少ない金額になっている。
・CCPA：28万円
・日本：50万円以下
・GDPR：2000万円 or 年間売上の4%

最後に

個人情報の範囲、同意の要否（オプトイン・オプトアウト）について差があるものの、共通の概念（データの種類、各種権利）が多く定義されていて、並べてみると世界各国が進めているプライバシー保護強化の取り組みが同じ方向に向かっていることがわかります。

なお、記事は今年（2020年）の改正の内容が確定していない状態で、現時点（2020年1月30日）の情報を元に書いています。CCPAもすでに改正（CPRA）が見込まれています。引き続き各地域の法律をウォッチしながら理解深めていく必要があります。
記事内容に（大きな）不備や誤解、誤認識が記載されている場合、ご指摘いただければ事実関係を確認し修正いたします。