🌍世界各国の個人情報保護制度(79ヶ国、67法域)
こんにちは!
前回の記事で、個人情報保護委員会公表の外国制度が古くなっているけど、すぐには変わらなそうなので、自分でできること半径1mでもがいてみると書きました。
ちょうど、国際的な個人情報・プライバシーのコミュニティIAPPが、世界56か国各国の執筆者による2024年末法制化予測(英語)を公表。
この記事をAI翻訳しながら、個人情報保護委員会の公表内容を照らし合わせて確認してみようと思いつきました。
ということで、この記事は、ブログというより、
各国の個人情報保護法令が93(79か国+14地域)続く感じです(笑)
整理にあたり、上記以外の出典は、信頼できる機関(大手弁護士事務所・国際的な機関)を選んでいますが、正確性や最新性は個人の勉強目的のベストエフォートの成果物です。法的アドバイスを意図するものではありませんのでご了承ください。
まとめ方はこんな感じです↓
⚫︎まとめ単位
世界の7地域ごと、「国」単位
例外:
・連邦法制でない米国、UAEは州・県ごと
・欧州は、EEA圏>国、その他の欧州>国 ごと
⚫︎対象とする国
①個人情報保護委員会が調査している国
②IAPP 2024各国法令予測の対象国
③その他EU十分性認定国、米国の州など
⚫︎国ごとに整理する項目
・法令の改正の大、中、なし:個人情報保護委員会調査と比較して、
・大きな変更あり🔴 (PPC調査なし&法令ありを含む)
・改正(下位規則・予定含)あり🟡
・変更情報なし🔵
・2024年に注意が必要か?→主観で🌟の数
・包括的な法令名、施行日
(個人情報保護委員会調査引用を基準、古くなっている場合は、上に最新情報と出典を明記)
・個人の権利利益に影響を及ぼす制度:データローカライゼーション、ガバメントアクセスの有無(個人情報保護委員会調査から引用、あれば⚠️、なければ🍀)
・その他参考情報
🇪🇺十分性認定国:
欧州委員会が十分なレベルの個人データ保護を保障している旨を決定している国・地域
🤝「OECDガバメントアクセス高次原則」宣言国:
共通の価値観に基づく正当なガバメントアクセスの宣言に加わった国
🔭IAPP2024予測ある国:
各国現地の有識者コメントある国はリンク(英語、一部引用翻訳)
🌊APECCBPRシステム参加国:
越境移転に関する認証・緩和の導入国
📄ASEAN域内のモデル条項(MCCs)利用可能国:
越境移転で、ASEAN域内の標準契約の利用が可能な国
🌍世界の地域区分
外務省による7つの地域分類 で分類します
まとめる順番
上記の地域(アジア、太平洋、北米、中南米、欧州、中東、アフリカ)ごとに、
・その地域の地図と国、確認国(外務省HPキャプチャに確認国を3色で手書き)
・個人情報保護委員会の公開がある国の情報(あいうえお順)
・その他の国の情報(あいうえお順)
という構成です。
では、各国を見てみましょう!
1) アジア 各国の制度
アジア地域は、26ヶ国中、17ヶ国確認、(個人情報保護委員会の調査と比較で)
・大きな変更あり🔴 5ヶ国
・改正(下位・予定含)あり🟡 7ヶ国
・変更情報なし🔵 5ヶ国
【個人情報保護委員会のHP掲載のある国】
🇮🇳インド India 🔴
🚥2023年8月に包括法DPDPが制定され、施行日決定待ち🌟🌟🌟
(個人情報保護委員会公表では、包括的な法令なしとなってあり注意)
・施行日は2024年前半に発表、下位規則が出るとの情報あり。
→下位規則で定められる可能性ある越境移転等、今年度要Watch👀
インドの 2023 年デジタル個人情報保護法案(Digital Personal Data Protection Bill, 2023)は、インドの国会に相当するインド議会の下院(ロク・サバ)で 2023 年 8 月 7 日に可決され、また上院(ラジャ・サバ)でも同月 9 日に可決され、さらに同月 11 日には大統領の同意も得て、法律として成立しました(以下「2023 年デジタル個人情報保護法」といいます。)。
…
2023 年デジタル個人情報保護法は、本ニュースレターの日付現在、未施行です。同法は、一部の規定から段階的に施行される可能性もあります。
法律の原文は、下記インド政府のウェブサイトにて閲覧できます。
https://www.meity.gov.in/writereaddata/files/Digital%20Personal%20Data%20Protection%20Act%202023.pdf
包括的な法令は存在しない。
個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
・2000年情報技術法(Information Technology Act, 2000)(以下「情報技術法」という。)
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスあり
🇰🇷大韓民国 South Korea 🟡
・2023年に個人情報保護法の全面的な改正が行われ、2024年に施行予定。🌟
適法性根拠の追加(契約)、個人情報保護責任者の役割と責任が強化、越境移転時の国の適切性の評価など(IAPP2024予測、B&MYoutube)
・EUの十分性認定国(個人情報保護委員会調査はなし(初期的決定)になっているので注意)
包括的な法令として、以下の法令が存在する。
📕個人情報保護法(Personal Information Protection Act)
URL:https://elaw.klri.re.kr/eng_service/lawView.do?hseq=53044&lang=ENG
施行状況:2011年9月30日施行、現行法は2020年8月5日施行
🍀 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーション、ガバメントアクセスなし
🇪🇺EU十分性認定国、🤝「OECDガバメントアクセス高次原則」宣言国、🌊APECCBPRシステム参加国 、🔭 IAPP 2024予測あり
(2023/9 B&M Youtube)
🇨🇳中華人民共和国 China 🟡
・昨年2023.11が越境移転標準契約の届出期限だったが、個人情報1万人未満等の事業者に届出免除するパブコメが出たが、確定せず、宙ぶらりんな状態。→当局届出の結論がどうなるか、継続Watch要🌟🌟
包括的な法令として、以下の法令が存在する。
📕中華人民共和国個人情報保護法(中华人民共和国个人信息保护法)(以下「個人情報保護法」という。)
仮訳: (PDF : 284KB)
URL:https://www.lawinfochina.com/display.aspx?lib=law&id=36358
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーション、ガバメントアクセスあり
🇲🇳モンゴル国 Mongolia 🔵
更新情報なし
包括的な法令として、以下の法令が存在する。
📕個人情報保護法(Law on Personal Data Protection)
URL: https://legalinfo.mn/mn/detail?lawId=16390288615991
施行状況::2022 年 5 月 1 日施行
🍀 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーション、ガバメントアクセスなし
🇰🇭カンボジア王国 Cambodia 🔵
更新情報なし
包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
・電子商取引法(Law on E-Commerce)(以下「電子商取引法」という。)
施行状況:2020年5月23日施行
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスあり
📄ASEANモデル条項(MCCs)利用可能
🇮🇩インドネシア共和国 Indonesia 🔴
🚥2022/10にPDP法が制定、2年の猶予期限2024/10→今年中に対応が必要🌟🌟
(個人情報保護委員会公表では、包括的な法令なしになっている)
・下位規則のパブコメ中。従前より対応の解像度がかなりあがってきた。引き続き、決定を要Watch👀
インドネシアでは、2022 年 10 月 17 日に制定された個人データ保護法(Law No. 27 of 2022 on PersonalData Protection)(以下「PDP 法」という。同法の概要はこちらのニューズレターを参照いただきたい。)が 2024 年 10 月に施行される予定である。同法の制定からおよそ 1 年が経過した 2023 年 9 月、通信情報省(the Ministry of Communications and Informatics)(以下「MOCI」という。)は、PDP 法の施行に関する政府規則(以下「本規則」という。)の草案(以下「本規則草案」という。)をパブリックコメント募集のために公開した。
包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
・電子情報及び電子取引に関する2008年法律第11号(Law No. 11 of 2008 on Electronic Information and Transaction)(以下「2008年法」という。) ※ 2008年法の変更に関する2016年法律第19号(Law No. 19 of 2016 on the amendment of Law No. 11 of 2008)(以下「2016年法」という。)により改正されている
等
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスあり
🔭 IAPP 2024予測あり、📄ASEANモデル条項(MCCs)利用可能
🇸🇬シンガポール共和国 Singapore 🟡
・2020年に包括的なレビューで改正された。
・2024年は、データポータビリティ権やガイドラインの追加(AIにおける個人情報の利用や子どもの情報の取り扱い)を予定。
包括的な法令として、以下の法令が存在する。
📕個人情報保護法(Personal Data Protection Act(No.26 of 2012)))
URL:https://sso.agc.gov.sg/Act/PDPA2012
施行状況:2013年1月2日施行
等
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスあり
🔭IAPP2024予測あり、🌊APECCBPRシステム参加国、📄ASEANモデル条項(MCCs)利用可能
🇹🇼台湾 Taiwan 🟡
・2023年に個人情報保護法が改正され、2024年に主管当局設立、事業者への監督が強化される可能性がある。
(3) 台湾~個人情報保護法の主管当局の設立~
台湾個人情報保護法の2023年改正で創設されることとなった(同法の主管当局となる)個人情報保護委員会は、設立に向けた準備が進められており、2024年中の正式設立が見込まれます。
また、台湾内閣(行政院)が公表した2024年度の政策計画では、各業種の主管当局による民間事業者の個人情報保護への監督管理の強化が強調されており、前述の各業種の主管当局による、業種別の民間事業者の安全管理措置義務に関する規則の立法は引き続き進むことが見込まれます。
包括的な法令として、以下の法令が存在する。
📕個人情報保護法(Personal Data Protection Act)
URL:https://law.moj.gov.tw/ENG/LawClass/LawAll.aspx?pcode=I0050021
施行状況:2012年10月1日施行、改正法2016年3月15日施行
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:
データローカライゼーションなし、ガバメントアクセスなし
🌊APECCBPRシステム参加国
🇭🇰香港 Hong Kong 🟡
・2024年に、PDPOの包括的なレビュー予定で、法改正の可能性がある。🌟
現法令は施行後20年改正されておらず、国際的な潮流や中国本土との越境移転の促進などをふまえ、データ侵害時の報告など事業者の義務などが候補(IAPP予測)
包括的な法令として、以下の法令が存在する。
📕個人データ(プライバシー)条例(Personal Data (Privacy) Ordinance) (以下「PDPO」という。)
URL:https://www.elegislation.gov.hk/hk/cap486!en-zh-Hant-HK.pdf?FROMCAPINDEX=Y
施行状況:1996年12月20日施行
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:
データローカライゼーションなし、ガバメントアクセスあり
🇹🇭タイ王国 Thailand 🔴
・施行は2022年だが、2023年12月に越境移転の下位規則が明確になったことにより、2024年度は🇹🇭→🇯🇵の越境対応が進むことが予想される。🌟🌟
・2024年はさらに複数の分野(DPIA等)の下位規則の明確化が予定されている(IAPP予測)
包括的な法令として、以下の法令が存在する。
📕個人情報保護法(Personal Data Protection Act)
URL:to be decided
施行状況:2019年5月28日一部施行、2022年6月1日全面施行
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:
データローカライゼーションなし、ガバメントアクセスあり
🔭 IAPP 2024予測あり、📄ASEANモデル条項(MCCs)利用可能
🇵🇭フィリピン共和国 Philippines 🔵
・法令改正の動きは見当たらない。
・国家プライバシー委員会により、同意、正当な利益、および欺瞞的デザイン実践または「ダークパターン」に関するガイドラインが発表された(IAPP2024予測)
包括的な法令として、以下の法令が存在する。
📕政府及び民間部門の情報及びコミュニケーション装置における個々の個人情報の保護とその目的やその他の目的のための国家プライバシー委員会の創設に関する法律(Act Protecting Individual Personal Information and Communications Systems in the Government and the Private Sector, Creating for this Purpose a National Privacy Commission, and for Other Purposes)
URL:https://www.privacy.gov.ph/wp-content/uploads/DPA-of-2012.pdf
施行状況:2012年12月8日施行
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🌊APECCBPRシステム参加国、🔭 IAPP 2024予測あり、📄ASEANモデル条項(MCCs)利用可能
🇻🇳ベトナム社会主義共和国 Viet Nam 🔴
・🚥2023年に包括的な法令が施行された。越境移転時、PIA、TIA等の届出が必須で、2024年はネットでの届出窓口も整備される予定。🌟🌟
(個人情報保護委員会公表では、包括的な法令なしになっている)
・電気通信法改正予定で、契約締結時にサービスユーザーによって提供された個人情報(サービスユーザーの名前と住所、送信または受信サーバーの番号と場所、通話時間、IPアドレスなど)を法律に従って要請された場合に関連当局に提供することを企業に要求。(IAPP2024予測)
ベトナムでは、2023 年 4 月 17 日に同国初めての包括的な個人情報保護法令である個人情報保護に関する政令(Decree No.13/2023/ND-CP)(以下「本政令」といいます。)が制定されました。
同政令は個人情報を処理している全ての事業者に適用されるデータ処理影響評価(Data processing impact assessment)実施義務・評価書類の当局提出義務等の様々な義務を規定しているため、対象となる事業者は法令対応作業が必要となるにも拘わらず、施行日が 2023 年 7 月 1 日とされており、猶予期間/移行期間が非常に短いことに留意が必要です。ベトナムで事業を展開している日系企業は迅速に対応を進める必要があります。
包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
・サイバー情報セキュリティ法(Law on Cyber-information Security No.86/2015/QH13)(以下「サイバー情報セキュリティ法」という。)
URL:https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Luat-an-toan-thong-tin-mang-2015-298365.aspx
施行状況:2016年7月1日
等
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスあり
🔭 IAPP 2024予測あり、📄ASEANモデル条項(MCCs)利用可能
🇲🇾マレーシア Malaysia 🟡
・2023年度中に法令改正の動きあり。具体的には、処理者への安全管理措置の直接的な義務、DPO設置、データ漏えい時の罰金額引き上げなど 🌟
(5) マレーシア~個人情報保護法改正の動向~
マレーシアでは、2010年に制定された個人情報保護法の改正作業が進められています。…未だ改正法案の上程や法制化は実現していませんが、仮にこれまでの政府公表どおりに法制化が実現する場合には、情報使用者は新たにデータ保護責任者を選任する等、法改正対応が必要となることから、同法の適用を受ける日系企業としては、こうした法改正の動向及び当局ガイドラインの公表の状況を注視する必要があります。
包括的な法令として、以下の法令が存在する。
📕個人データ保護法(Personal Data Protection Act 2010)
URL:https://www.pdp.gov.my/jpdpv2/laws-of-malaysia-pdpa/personal-data-protection-act-2010/?lang=en
施行状況:2013年11月15日施行
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
📄ASEANモデル条項(MCCs)利用可能
🇲🇲ミャンマー連邦共和国 Myanmar 🔵
・更新情報なし
包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
・電子取引法(Electric Transactions Law)
URL:https://www.mlis.gov.mm/mLsView.do;jsessionid=7D02C63E2E64C281E6E6AC6CA1445665?lawordSn=1098
施行状況:2004年4月30日成立、2021年2月15日改正法施行
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
📄ASEANモデル条項(MCCs)利用可能
🇱🇦ラオス人民民主共和国 Laos 🔵
・更新情報なし
包括的な法令として、以下の法令が存在する。
📕電子データ保護法(Law on the Protection of Electric Data(No.25/NA, 12 May 2017))
URL:https://www.ilo.org/dyn/natlex/docs/ELECTRONIC/107518/132385/F-1634351766/LAO107518.pdf
施行状況:2017年10月21日施行
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスあり
📄ASEANモデル条項(MCCs)利用可能
【その他の国】
🇯🇵日本 Japan 🟡
個人情報の保護に関する法律の補足規定によると、APPIの改正についての検討は約3年ごとに行われます。個人情報保護委員会(PPC)の2023年11月15日付けの文書「いわゆる3年ごとのレビュー規定に基づくAPPIのレビュー」によると、PPCは2024年春にAPPI改正の方向性に関する中間草案を発行する予定です。
公式のタイムフレームはまだ公表されていませんが、過去の経験に基づいて、提案されたAPPI改正の一般的な概要が2024年下半期に公表されると推定できます。また、改正APPIの法案が2025年に公表され、2027年に施行されることが予想されます。
🇪🇺EU十分性認定国、(補完的ルールあり)、🤝「OECDガバメントアクセス高次原則」宣言国、 🌊APECCBPRシステム参加国 、🔭 IAPP 2024予測あり
🇱🇰スリランカ Sri Lanka 🔴
2022年3月、スリランカは南アジアで初めて包括的なデータ保護法、すなわち「個人データ保護法 第9号 2022」を制定した国となりました。
PDPAの規定のうち、第V部を除いてまだ施行されておらず、コンプライアンスのための猶予期間が続いています。残りの規定が効力を持つ期限は2025年3月19日です。
2) 太洋州(オセアニア) 各国の制度
オセアニア地域は、16ヶ国中、2ヶ国確認、(個人情報保護委員会の調査と比較で)
・大きな変更あり🔴 0ヶ国
・改正(下位・予定含)あり🟡 2ヶ国
・変更情報なし🔵 0ヶ国
【個人情報保護委員会のHP掲載のある国】
🇦🇺オーストラリア連邦 Australia 🟡
・2024年には、改正法案の内容発表の可能性が高い。🌟
・今後の改正内容確定、時期を要Watch👀
2024年の始めには、長期にわたる立法レビューを受けて、オーストラリアのプライバシー法1988への少なくともいくつかの提案された改正が発表される可能性が高いです。連邦政府の2023年のプライバシー法レビューレポートへの対応では、38の改正に同意し、さらなる協議を前提として他の68の提案に「原則として同意」したと述べています。
合意された改正には、自動意思決定で使用される情報の規制、国境を越える転送の促進、情報セキュリティ要件の明確化および強化が含まれます。
包括的な法令として、以下の法令が存在する。
・1988年プライバシー法(Privacy Act 1988)
URL:https://www.legislation.gov.au/Details/C2021C00139
施行状況:1989年1月1日施行
・2013年プライバシー規則(Privacy Regulation 2013)
URL:https://www.legislation.gov.au/Details/F2021C00274
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🔭 IAPP 2024 予測あり 、🤝「OECDガバメントアクセス高次原則」宣言国、
🌊APECCBPRシステム参加国
🇳🇿ニュージーランド New Zealand 🟡
・プライバシー法改正案等の協議中、2024年にいくつか施行予定。🌟
・AI等今日的テーマ等の改正内容は要Watch👀
…AIの使用にニュージーランドのプライバシー法を適用するためのガイダンスを発行しました。
さらに、デジタルアイデンティティサービス信頼フレームワーク法2023の成立、データ移植権のバージョンを提供する顧客および製品データ法案の草案、および個人情報の間接的な収集にプライバシー法の透明性義務を適用するプライバシー改正法案の発表を含む、いくつかの立法開発が進行しました。
これらの変更の多くは2024年に実際に効力を発揮するため、多くの組織とプライバシー専門家にとって、重要な立法および規制の激動の年となるでしょう。
包括的な法令として、以下の法令が存在する。
📕2020年プライバシー法(The Privacy Act 2020)
URL:https://www.legislation.govt.nz/act/public/2020/0031/latest/LMS23223.html
施行状況:2020年12月1日施行
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🔭 IAPP 2024 予測あり、🇪🇺EU十分性認定国、🤝「OECDガバメントアクセス高次原則」宣言国
3) 北米 各国の制度
北米地域は、2ヶ国中、2ヶ国確認
(個人情報保護委員会の調査と比較で)
・大きな変更あり🔴 1ヶ国
・改正(下位・予定含)あり🟡 1ヶ国
・変更情報なし🔵 0ヶ国
うち、米国の州法については、全州のうち
・大きな変更あり🔴 12州
・改正(下位・予定含)あり🟡 1州+協議中多数
・変更情報なし🔵 2州
【個人情報保護委員会のHP掲載のある国】
🇺🇸米国 United States 🔴
・国全体の包括的な法令はない。2024年の包括的な法令制定の可能性は低く、大統領選後の検討再開に注目🌟
・州法カリフォルニア州法が有名だが、2024年度は多くの州が施行を予定しており、自社の取り扱い状況に照らして対応準備が必要🌟🌟🌟
🇪🇺とDPFあり、🇬🇧とデータブリッジあり、🤝「OECDガバメントアクセス高次原則」宣言国、🔭 IAPP 2024予測あり
🇺🇸米国(連邦) Federal Law
過去1年間で、包括的な米国連邦プライバシー法案を最終化するための状況は再び劇的に変化しました。2023年に入る際の合意フレームワークに対する米国議会の勢いは、2024年が始まるときにはすでに脇に置かれました。連邦議員は2023年初めに提案されたアメリカン・データ・プライバシー・プロテクション法(ADPPA)についてわずかな公式討論を行い、その他のプライバシー法案(主に包括的ではなくターゲット指向のもの)が導入されました。
現在のところ、2024年に包括的なプライバシー法が制定される可能性は低いです。選挙年であることから、プライバシー法を超えた議会の優先事項が急速に積み重なっています。驚きが完全に排除されることはありませんが、多くの政策ポイントがまだ非常に不確かな状態で継続的な対話と焦点が欠けていることが、困難な戦いを生んでいます。
包括的な法令は存在しない。
個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
・電子通信プライバシー法(Electronic Communications Privacy Act of 1986)(以下「ECPA」という。)
URL: https://bja.ojp.gov/program/it/privacy-civil-liberties/authorities/statutes/1285
施行状況:1986 年 10 月 21 日施行
等
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🇺🇸米国 州法 State Privacy Legislation
🚥包括的な法令がない中、各州で法令の制定・施行が急速に進んでいる。(個人情報保護委員会の情報公開は3州のみなので注意)
∟ カリフォルニア州 California 🟡
・🚥CPRAをふまえ、2023年1月に大幅に改正されているので注意🌟🌟
📕California Consumer Privacy Act of 2018(CCPA)
As amended by the: California Privacy Rights Act. 2023年1月1日 施行
包括的な法令として、以下の法令が存在する。。
📕カリフォルニア州消費者プライバシー法(California Consumer Privacy Act) (以下「CCPA」という。) 仮訳
URL: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?lawCode=CIV&division=3.&title=1.81.5.&part=4.&chapter=&article=
施行状況:2020年1月1日施行
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
∟ コロラド州 Colorado 🔴
📕Colorado Privacy Act 2021年 制定、2023年7月1日施行
∟ コネチカット州 Connecticut 🔴
📕Connecticut Data Privacy Act 2022年 制定、2023年7月1日施行
∟ デラウェア州 Delaware 🔴
📕The Delaware Personal Data Privacy Act2023年制定、2025年1月1日施行予定
∟イリノイ州 Illinois 🔵
・更新情報なし
包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
・イリノイ州生体情報プライバシー保護法(Illinois Biometric Information Privacy Act. 740 ILCS 14 et seq.)(以下「BIPA」という。)
URL: https://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=3004&ChapterID=57
施行状況:2008年10月3日施行
等
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなしニューヨーク州)
∟ インディアナ州 Indiana 🔴
📕 Indiana Consumer Data Protection Act 2023年制定、2025年7月1日施行
∟ アイオワ州 Iowa 🔴
📕Iowa Consumer Data Protection Act 2023年制定、2025年1月1日施行
∟ モンタナ州 Montana 🔴
📕Montana Consumer Data Privacy Act2023年制定、2024年10月1日施行予定
∟ ニュージャージー州 New Jersey 🔴
📕SB322 2024年 制定、2025年1月15日施行予定
∟ ニューヨーク州 New York 🔵
包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
・ニューヨーク州ハッキング防止及び電子データセキュリティ改善法(New York Stop Hacks and Improve Electronic Data Security Act)(以下「SHIELD法」という。)
URL: https://www.nysenate.gov/legislation/bills/2019/s5575
施行状況:2020年3月21日施行
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
∟ オレゴン州 Oregon 🔴
📕Oregon Consumer Privacy Act (OCPA) 2023年制定、2024年7月1日施行予定
∟ テネシー州 Tennessee 🔴
📕Tennessee Information Protection Act 2023年制定、2025年7月1日施行予定
∟ テキサス州 Texas 🔴
📕Texas Data Privacy and Security Act (TDPSA) 2023年制定、2024年7月1日施行予定
∟ ユタ州 Utah 🔴
📕Utah Consumer Privacy Act 2022年 制定、2023年12月31日施行
∟ バージニア州 Virginia 🔴
📕Virginia Consumer Data Protection Act 2021年制定、2023年1月1日施行
🇨🇦カナダ Canada 🟡
・新しい包括的な法令(CPPA)の準備が進行している。
2024年に制定、2025年以降に施行される可能性があり、施行されると、既存の包括的な法令に置き換わる予定。(IAPP予測 )🌟🌟
2024年にカナダで追跡する最大の潜在的な開発は、2022年6月に導入されたBill C-27です。これにより、連邦の個人情報保護および電子文書法が消費者プライバシー保護法(Consumer Privacy Protection Act)に置き換えられ、人工知能およびデータ法(Artificial Intelligence and Data Act)が作成されます。
これはいくつかの理由で重要ですが、連邦のプライバシー法が初めて罰則を含むようになるためです。この法案を審査する議会委員会は9月に作業を開始したため、2024年に法案が可決される可能性があります。CPPAは通過後少なくとも1年は施行されない可能性が高く、AIを規制する極端な課題を考えると、AIDAの運命は不透明です。AIDAが施行されることなく可決される可能性があります。
ケベックでは、GDPRに似た罰則を含む法25の下での重要な変更のほとんどが2022年9月に施行されました。新しい要件が実際にどのように適用されるかについて多くの不確実性があるため、ケベックの情報アクセス委員会からのガイダンスや執行活動を監視することが重要です。
包括的な法令として、以下の法令が存在する。
📕個人情報保護及び電子文書法(Personal Information Protection and Electronic Documents Act)(以下「PIPEDA」という。)
URL:https://laws-lois.justice.gc.ca/eng/acts/P-8.6/index.html
施行状況:2001年から2004年にかけて段階的に施行
📕プライバシー法(Privacy Act)
URL:https://laws-lois.justice.gc.ca/eng/acts/P-21/
施行状況:1983年7月1日施行
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🇪🇺EU十分性認定国 、🤝「OECDガバメントアクセス高次原則」宣言国、
🌊APECCBPRシステム参加国 、🔭 IAPP 2024予測あり
4) 中南米 各国の制度
中南米地域は、33ヶ国中、12ヶ国確認
(個人情報保護委員会の調査と比較で)
・大きな変更あり🔴 3ヶ国
・改正(下位・予定含)あり🟡 8ヶ国
・変更情報なし🔵 1ヶ国
【個人情報保護委員会のHP掲載のある国】
🇨🇷コスタリカ共和国 Costa Rica 🟡
・新しい包括的な法令(DPL)の準備が進行中で、2024年中の制定の可能性が高い。(IAPP予測 ) 🌟
2022年に導入されたデータ保護法案(Data Protection Law)(法案番号23097)…は、データ保護立法の包括的な改革を提案し、GDPRなどのグローバル基準に沿ったものです。特定の政党から最後の瞬間に提起された懸念によるいくつかの遅延にもかかわらず、立法プロセスでの進行度が高いことから、来年中の可決の可能性が非常に高いと示唆されています。
包括的な法令として、以下の法令が存在する。
📕個人情報の処理に関する人の保護に関する法律(Law on the Protection of Persons Regarding the Processing of their Personal Data No. 8968 of 2011)(以下「個人情報保護法」という。)
URL:http://www.pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_completo.aspx?param1=NRTC&nValor1=1&nValor2=70975&nValor3=85989
施行状況:2011年9月5日施行※1
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🤝「OECDガバメントアクセス高次原則」宣言、🔭 IAPP 2024予測あり
🇵🇦パナマ共和国 Panama 🔵
・更新情報なし
包括的な法令として、以下の法令が存在する。
📕2019年81号個人情報保護法(Law No. 81 on Personal Data Protection 2019)(以下「個人情報保護法」という。)
URL:https://www.gacetaoficial.gob.pa/pdfTemp/28743_A/72148.pdf
施行状況:2021年3月29日施行
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスあり
🇵🇪ペルー共和国 Peru 🟡
・既存のデータ保護法の改正を協議中、2024年に成立する可能性あり。(IAPP予測 )🌟
2023年に、ペルー政府は、データ保護、デジタル政府、デジタル変革に関する現行の法律および政策を改善するための法案と立法を発行しました。しかし、これらの法案の多くはまだ議会のフロアでの議論を待っており、2024年に成立する可能性があります。
たとえば、2023年初めに立法府によって提案されたデータ保護法(Data Protection Law)の修正案は、異なるセクターから混在する助言意見を受け取った後もまだ作業中です。予想されるように、この法案には、セキュリティとデータ侵害への対応を強調した個人データの処理に関するより厳格な規制が含まれています。
包括的な法令として、以下の法令が存在する。
📕ペルー個人情報保護法(Peruvian Personal Data Protection Law(Law No. 29733))
URL:https://spij.minjus.gob.pe/spij-ext-web/detallenorma/H1034642
施行状況:2013年5月8日施行
🍀 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🤝「OECDガバメントアクセス高次原則」宣言国、🔭 IAPP 2024予測あり
🇧🇷ブラジル連邦共和国 Brazil 🟡
・2024年に企業の法令遵守を促進するための税制優遇策を検討している。(IAPP予測 ) 👍
プライバシー侵害が残念ながら一般的になるにつれて、ブラジルの立法者は、セキュリティインシデントの公開要求の増加に対する有権者の要求に追いついています。ブラジルの一般データ保護法(LGPD)は現在、「データ主体にリスクまたは重大な損害を与える可能性がある」違反を国家データ保護機関に報告しなければならないと規定しています。下院法案1876号は、この開示義務を「大衆メディアアウトレット、そのウェブページ、およびオンラインプロファイル」に拡大することを目的としており、2024年末までに法律として成熟することが期待されています。
立法の面では、企業が内部プロセスにLGPDを実装するための税制優遇策(2022年上院法案4号)およびAIの規制(SB 2338)も、2024年に法律として成熟することが期待されています。
税制優遇には、プライバシーコンサルタント、ソフトウェアなど、プライバシーに関連する直接および間接費用を特定の社会貢献の計算基準から控除することが含まれ、企業が良好なプライバシーガバナンスを実装することを奨励しています。
包括的な法令として、以下の法令が存在する。
📕ブラジル一般データ保護法(Brazilian General Data Protection Law(Law No.13, 709/2018))
URL:https://iapp.org/media/pdf/resource_center/Brazilian_General_Data_Protection_Law.pdf
施行状況:2020年9月18日施行
🍀 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🇲🇽メキシコ合衆国 Mexico 🟡
・立法の動きはあるが、2024年は大規模な選挙のため、進む可能性は低い見込み。(IAPP予測 )
2023年に議会に提出されたいくつかのイニシアチブでは、民間団体が保有するメキシコ連邦データ保護法を改正することが目指されていましたが、国家透明性情報アクセス個人データ保護院 (INAI)の闘争が公共の議題の大部分を占め、活動家、ジャーナリスト、プライバシー専門家がINAIへの支持を公に表明し、上院に空席を埋めるよう執拗に挑戦しています。
包括的な法令として、以下の法令が存在する。
📕義務対象者が保有する個人データの保護に関する一般法(the General Law on Protection of Personal Data held by Obliged Subjects)(以下「PSO」という。)
URL:http://www.dof.gob.mx/nota_detalle.php?codigo=5469949&fecha=26%2F01%2F2017
施行状況:2017年1月27日施行
等
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🤝 「OECDガバメントアクセス高次原則」宣言国、🔭 IAPP 2024予測あり
【その他の国】
🇦🇷アルゼンチン Argentina 🟡
・現行の法令の改正案が2023年に出された、2024年も継続議論予定(IAPP予測 )
この法案は、現代のデータプライバシー立法によく見られる定義、原則、および権利を導入しています。これには、プライバシー・バイ・デザインとプライバシー・バイ・デフォルト、プライバシー影響評価、アカウンタビリティ義務、データ保護責任者および外国企業の法的代表者の指名義務、域外適用条項、データ侵害通知、個人データの国際移転の詳細な規制、およびポータビリティルールが含まれます。クレジット報告、自動意思決定、マーケティングに関する特定の規制、およびハベアスデータ行動のルールもあります。
🔭 IAPP Predictions 2024 あり、🇪🇺EU十分性認定国
🇺🇾ウルグアイ Uruguay 🔴
・更新情報なし
🇪🇺EU十分性認定国
🇧🇲バミューダ(英国領) Bermuda 🔴
・2025年1月1日ににPIPAを完全施行予定。引き続き関連する立法の動きあり。
2023年に、バミューダ政府は個人情報保護法(PIPA)の全ての未施行条項が2025年1月1日に施行されることを発表しました。PIPAは、バミューダで個人情報を使用する全ての組織に適用されます。
バミューダの個人情報保護に関する立法枠組みは引き続き活動を見せるでしょう。2023年個人情報保護改正法を通過させ、PIPAを2010年公開情報アクセス法と整合させた政府は、PIPAと電子取引法を調和させる作業を進める予定です。バミューダの立法府はまた、サイバーセキュリティ法案とデジタルアイデンティティサービスプロバイダー法を検討します。
🇧🇴ボリビア Bolivia 🟡
・包括的な法令ないが、草案を検討中
2つの草案規則が提案されていますが、電子政府機関および情報通信技術局(AGETIC)によって推進された草案が、ボリビアにおけるプライバシー規制の枠組みを形成するものとなる可能性が高いです。
🇨🇱チリ Chile 🔴
・2024年に、改正法案が制定、2年後に施行の可能性。
2024年を通じて、チリではデータ保護とサイバーセキュリティの分野における変更が引き続き議論されると予想されます。昨年、GDPRに密接に従って現地のデータ保護規制を完全に変更するデータ保護法案の承認を期待していましたが、残念ながら、その議論は期待されたほど速く進みませんでした。
しかし、議会での議論が間もなく再開され、2024年にはこの長期間待望されていた立法がついに完成するとの見通しが発表されました。一度承認されると、法案は公布後2年で法的に施行されます。
🤝「OECDガバメントアクセス高次原則」宣言国 、🔭 IAPP 2024予測あり
🇨🇴コロンビア Colombia 🟡
・議員立法で改正案の動きあり。
コロンビアの商業産業観光省は、EUデータ保護指令に触発された現行のLaw 1581 of 2012を変更することに関心を示していませんが、国会議員のMaria Fernanda Carrascalは個人データ保護制度を制定するBill 156/2023Cを提出しました。この法案は、既存の規則を維持、現代化、拡張し、公共機関および組織に個人データ保護の新たな要件を課すことを目的としています。これには、技術中立契約と正当な利益を法的根拠とし、データ保護影響評価を制度化することが含まれます。
📕Law 1581/2012 and Law 1266/2008
In addition to the data protection laws, there are decrees and other documents with relevant data protection provisions, including Decree 1377/2013 and Decree 2591/1991.
🤝「OECDガバメントアクセス高次原則」宣言国 、🔭 IAPP 2024予測あり
🇵🇾パラグアイ Paraguay 🟡
・2024年、包括的なデータ保護法案の改正の議論予定
2024年、パラグアイの包括的なデータ保護法案についての議論が期待されます。この法案は、GDPRとイベロアメリカ諸国の個人データ保護基準、および他の現代の立法を参考にしています。提案には、データ保護原則、データ主体の権利、コントローラーの義務、国際転送が含まれ、新しい監督機関の指名も予定されています。
5) 欧州(ヨーロッパ) 各国の制度
欧州地域は、全54ヶ国中、EEA30ヶ国、その他の国24ヶ国。
うち、35ヶ国確認
(個人情報保護委員会の調査と比較で)
・大きな変更あり🔴 0ヶ国
・改正(下位・予定含)あり🟡 3ヶ国
・変更情報なし🔵 32ヶ国 (うちEEA30)
🇪🇺欧州連合 European Union 🔵
・GDPRの法改正の具体的な動きはないが、春にGDPRの評価報告を行う予定。
・非個人データに関するデータ法(Data Act)が1月に施行された。
EUの立法活動は、2024年6月の欧州議会選挙前後で分かれるでしょう。最初の3ヶ月は、政策領域全体で保留中の約150件の立法ファイルをできるだけ多く終結させることに専念され、第3四半期と第4四半期は、次の5年間の優先事項とその新しいEUリーダーシップの確立に焦点を当てます。6月の新しい欧州議会の構成は、欧州理事会の議長の任命と秋に就任が予想される欧州委員会の政治構成を決定します。
その他、EUのデータ法は1月に施行され、人工知能法は4月までに最終化される予定です。欧州委員会は春に自発的なクッキー誓約を開始し、第2回GDPR評価報告書を公開します。しかし、選挙前に最終化されない可能性があるプライバシー関連の提案もいくつかあります。これには、GDPRの執行と調和の提案、健康と金融サービスのためのデータスペース立法提案、AI責任指令の草案などが含まれます。これらの提案の交渉は選挙後も続きます。
並行して、2023年に見られた広告技術、クッキー、子供のプライバシー、処理の法的根拠などの優先領域を通じた活動と執行のレベルが、欧州の規制当局によって増加することが予想されます。
EU(※)では、EU域内の個人データ保護を規定する法として、1995年から現在に至るまで適用されている「EUデータ保護指令(Data Protection Directive 95)」に代わり、2016年4月に制定された「GDPR(General Data Protection Regulation:一般データ保護規則)」が2018年5月25日に施行されました。
GDPRは個人データやプライバシーの保護に関して、EUデータ保護指令より厳格に規定します。
また、EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持ちます。
EU:EU加盟国及び欧州経済領域(EEA)の一部であるアイスランド、ノルウェー、リヒテンシュタイン
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:
データローカライゼーションなし、ガバメントアクセスなし
🔭 IAPP 2024予測あり、 🤝「OECDガバメントアクセス高次原則」宣言国
参考)GDPRの十分性認定国
アルゼンチン共和国、アンドラ公国、イスラエル国、ウルグアイ東方共和国、英国、英国王室属領ガーンジー、英国王室属領ジャージー、英国王室属領マン島、カナダ、韓国、スイス連邦、デンマーク王国自治領フェロー諸島、日本国、ニュージーランド
EEA国:GDPRが適用される国は以下
🇮🇸アイスランド Iceland(EEA) 🔵
🤝「OECDガバメントアクセス高次原則」宣言国
🇮🇪アイルランド Ireland 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇮🇹イタリア Italy 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇪🇪エストニア Estonia 🔵
「OECDガバメントアクセス高次原則」宣言国
🇦🇹オーストリア Austria 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇳🇱オランダ Netherlands 🔵
🤝「OECDガバメントアクセス高次原則」宣言国
🇨🇾キプロス Cyprus 🔵
🇬🇷ギリシャ Greece 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇭🇷クロアチア Republic of Croatia 🔵
🤝「OECDガバメントアクセス高次原則」宣言国
🇸🇪スウェーデン Sweden 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇪🇸スペイン Spain 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇸🇰スロバキア Slovakia 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇸🇮スロベニア Slovenia 🔵
🤝「OECDガバメントアクセス高次原則」宣言国
🇨🇿チェコ Czech Republic 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇩🇪ドイツ Germany 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇩🇰デンマーク Denmark 🔵
🤝「OECDガバメントアクセス高次原則」宣言国
🇭🇺ハンガリー Hungary 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇫🇮フィンランド Finland 🔵
🇫🇷フランス France 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇧🇬ブルガリア Bulgaria 🔵
🤝「OECDガバメントアクセス高次原則」宣言国
🇧🇪ベルギー Belgium 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇵🇱ポーランド Poland 🔵
🤝「OECDガバメントアクセス高次原則」宣言国
🇵🇹ポルトガル Portugal 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇳🇴ノルウェー Norway (EEA) 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇲🇹マルタ Malta 🔵
🇱🇻ラトビア Latvia 🔵
🤝「OECDガバメントアクセス高次原則」宣言国
🇱🇹リトアニア Lithuania 🔵
🤝「OECDガバメントアクセス高次原則」宣言国
🇱🇮リヒテンシュタイン Liechtenstein (EEA) 🔵
🇷🇴ルーマニア Romania 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
🇱🇺ルクセンブルク Grand Duchy of Luxembourg 🔵
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国
EEA外:
🇬🇧英国 United Kingdom 🟡
・ブレクジット後もGDPR(UK GDPR)が適用。
・🇬🇧→🇯🇵の十分性認定、🇯🇵→🇬🇧の越境移転適用除外あり。
・英国独自の包括的な法案が2024年に予定されており要注視🌟🌟
・🇺🇸との間では、データブリッジで越境移転適用除外あり。
イギリス政府は、2023年にデータ保護とAIガバナンスで非常に活発であり、この活動レベルは2024年にも続く予定です。データ保護およびデジタル情報法案は、2023年初めに委員会段階を通過した後、現在議会で報告段階にあります。法案が最終化される前に、必要に応じて議論され、修正されるためには、議会の時間が必要です。
成立した場合、DPDIBは、イノベーションを促進し、ビジネスにかかる負担を軽減するよう設計された、イギリスのGDPRへの改革を含むことが期待されています。これには、処理の記録を維持するためのリスクベースのアプローチの採用、科学研究のためのデータの再利用を容易にする、マーケティングのためのデータ処理を容易にするための同意および正当な利益の規定の調整、プロファイリングを自動意思決定と同じ規定の対象とする、などが含まれます。
政府は、2021年に合意されたEUとの適切性地位を維持する意向を示し、イギリスから第三国へのデータ転送に関する自国の決定に取り組み続ける予定です。政府は最近、EU-U.S.プライバシーフレームワークのイギリス拡張版であるイギリス-米国データブリッジを発表しました。これにより、イギリスの組織は、EU-U.S.スキームにすでに認証されている米国の組織に個人データを輸出できるようになり、追加のデータ転送セーフガードを適用する必要がなくなります。
🇪🇺EU十分性認定国、🤝「OECDガバメントアクセス高次原則」宣言国 、🔭 IAPP 2024予測あり
🇦🇩アンドラ公国 Andorra 🔵
・更新情報なし
🇪🇺EU十分性認定国
🇺🇦ウクライナ Ukraine 🟡
・EU加盟に向けて、データ保護法についてもGDPRとのギャップ分析を進めているが、ロシアとの戦況の影響に左右されている。(2024.1)
残念ながら、しかし理解できることに、議会は今年、新しいデータ保護法に関する問題には対処していません。その焦点は主に戦争と反腐敗問題に向けられていました。…このような自己スクリーニング中に、ウクライナはデータ保護の現状を示し、類似点、相違点、およびギャップを強調しました。戦争が続いているにもかかわらず、ウクライナはEUに加盟するために合理的なすべてのステップを踏む最善を尽くしています。
それを踏まえて、データ保護および隣接する規制は、EU加盟国になるための要件であるため採用されます。しかし、民間の改革のペースは戦場で決定されます。ウクライナが2024年に軍事目標を達成すれば、データ保護のような改革は非常に迅速に続くでしょう。
📕On Protection of Personal Data
https://zakon.rada.gov.ua/laws/show/2297-17?lang=en#Text
包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
・個人データ保護法2297-Ⅳ号(The Law of Ukraine on Personal Data Protection No 2297-VI)
URL:https://cedem.org.ua/en/library/law-of-ukraine-on-protection-of-personal-data/
施行状況2011年5月21日施行
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🇨🇭スイス Switzerland 🟡
🚥2023.9.1に改正されているので注意。
・EUとの十分性認定あり、米国との越境移転DPFは調整中との情報あり。
スイスの新しい連邦データ保護法は、2023年9月1日に施行されました。これまで欧州法の要件に準拠するための措置を講じる必要がないと考えていた企業の間で、顕著な盛り上がりがあります。
📕New Federal Act on Data Protection (nFADP)
https://www.kmu.admin.ch/kmu/en/home/facts-and-trends/digitization/data-protection/new-federal-act-on-data-protection-nfadp.html
2023.9.1施行
包括的な法令として、以下の法令が存在する。
📕1992年6月19日のデータ保護に関する連邦法(The Federal Act on Data Protection of 19 June 1992)(以下「DPA」という。)
URL:https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/en
施行状況:1992年6月19日施行(2013年7月1日最終改正)
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🔭 IAPP 2024予測あり、🤝「OECDガバメントアクセス高次原則」宣言国、🇪🇺EU十分性認定国
🇷🇺ロシア Russia 🔵
・更新情報なし
包括的な法令として、以下の法令が存在する。
📕個人データに関する2006年7月27日の連邦法第152-FZ号(Federal law No. 152-FZ “On personal data” dated 27 July 2006)
URL:https://www.dataguidance.com/sites/default/files/en_20190809_russian_personal_data_federal_law_2.pdf
施行状況:2006年7月27日施行
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションあり、ガバメントアクセスあり
6)中東 各国の制度
中東地域は、15ヶ国中、5ヶ国確認
(個人情報保護委員会の調査と比較で)
・大きな変更あり🔴 1ヶ国
・改正(下位・予定含)あり🟡 3ヶ国
・変更情報なし🔵 1ヶ国
うち、UAEは連邦の他に3地域あり、
・改正(下位・予定含)あり🟡 1地域
・変更情報なし🔵 2ヶ国
【個人情報保護委員会のHP掲載のある国】
🇦🇪アラブ首長国 United Arab Emirates(UAE) 🟡
🇦🇪UAE(連邦)
🚥現時点でまだ施行されていないが、他の湾岸地域での法制化もふまえ、2024年に施行規則が発表された後、施行される可能性が高い🌟🌟(出典: IAPP 2024.1)
アラブ首長国連邦(UAE)は2021年に個人データ保護法(PDPL)を公布し、2022年に施行される予定でした。しかし、施行の前提条件である実施規則はまだ発行されていません。2023年を通じて、サウジアラビア王国の個人データ保護法の実施を含む、広い湾岸地域全体で多くの規制進展が見られたことから、2024年初旬にPDPLの実施を支援する実施規則の発行が期待され、その後の施行日が年内に設定される可能性が高いです。
個人情報の保護に関する制度は、包括的な法令としても、個別の分野に適用される法令としても存在しない。
なお、アラブ首長国連邦政府は、2021年9月5日、個人情報保護に関する包括的な法令が近いうちに制定される予定である旨を公表した。
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスあり
∟ UAE(地域:ADGM)
・更新情報なし
包括的な法令として、以下の法令が存在する。
📕2021年データ保護規則(Data Protection Regulations 2021)
URL:https://adgmen.thomsonreuters.com/sites/default/files/net_file_store/ADGM1547_23167_VER2021.pdf
施行状況:2021年2月11日施行
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスない(連邦法あり)
∟ UAE(DHC)
・更新情報なし
包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
・健康データ保護規則(Health Data Protection Regulation)
URL:https://www.dhcc.ae/regulations/dhca-governance-laws
施行状況:2013年10月21日施行
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスない(連邦法あり)
∟ UAE(DIFC:ドバイ国際金融センター)🟡
ドバイ国際金融センター(DIFC)の場合、英国との適合性が見込まれており、ビジネスを行う際に国境を越えたデータの自由かつ安全な流れに依存する自由地帯で運営する企業にとって、コンプライアンスの義務の影響を軽減します。
包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。
・DIFCにおけるデータ保護に関する法律(DIFC Law No. 5/ of 2020 on the Data Protection)
URL: https://www.difc.ae/application/files/6115/9358/6486/Data_Protection_Law_DIFC_Law_No.5_of_2020.pdf/
施行状況:2020年7月1日施行(ただし、上記法令への違反に関しては、2020年10月1日より執行可能)
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスない(連邦法あり)
🇮🇱イスラエル Israel 🟡
・EU十分性認定により、2024.1から越境移転義務が免除された
・現在、法改正が検討されており、GDPRに存在するPIA、DPO、適法性根拠などが追加になる可能性が高い🌟
📕プライバシー保護法5741-1981 および越境移転等関連文書
https://www.gov.il/en/departments/legalInfo/legislation
最終更新: 2023年9月1日
包括的な法令として、以下の法令が存在する
📕プライバシー保護法5741-1981(Protection of Privacy Law, 5741-1981)
URL: https://bja.ojp.gov/program/it/privacy-civil-liberties/authorities/statutes/1285
施行状況:- 施行状況:1981年3月11日施行
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🇪🇺EU十分性認定国、🤝「OECDガバメントアクセス高次原則」宣言国、🔭 IAPP 2024予測あり
🇶🇦カタール国 Qatar 🔵
・更新情報なし
包括的な法令として、以下の法令が存在する。
📕個人情報の保護に関する2016年法律第13号(Law No. 13 of 2016 Concerning Personal Data Protection)(以下「個人情報保護法」という。)
URL:https://almeezan.qa/LawPage.aspx?id=6873&language=ar
施行状況:2016年12月31日施行
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスあり
🇹🇷トルコ共和国 Turkey 🟡
・現在の法令をGDPRの原則と一致、改正の動きがある。
2024年が展開するにつれて、トルコは包括的なデータ保護改革を推進する上での重要な時点にあります。2023年に設定された野心的な目標にもかかわらず、総選挙の激しさがデータ保護の改善を優先順位リストで下げました。しかし、2つの重要な政策文書が公開され、トルコのデータ保護法の改革のためのロードマップを提供することで、運動は完全には失われませんでした。
…第二の立法努力は、リスクベースのアプローチと説明責任に焦点を当て、TDPAをGDPRの原則と完全に一致させることを目指しています。
包括的な法令として、以下の法令が存在する。
📕個人情報保護法(Law on Protection of Personal Data)
URL:https://www.kvkk.gov.tr/Icerik/6649/Personal-Data-Protection-Law
施行状況:2016年4月7日施行
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🤝「OECDガバメントアクセス高次原則」宣言国 、🔭IAPP 2024予測あり
【その他の国】
🇸🇦サウジアラビア Saudi Arabia 🔴
・包括的な個人情報保護法令PDPLが2023年に改正され、データローカライゼーション要件が削除された。🌟
改正個人データ保護法は、2023年3月27日に王室令により実施され、2023年9月14日に施行されました。管理機関は、2024年9月13日までにコンプライアンスを達成する必要があります。
PDPLは、サウジアラビア王国初の包括的なデータ保護法です。この法律は域外適用範囲を持ち、王国内で行われる個人データの処理および王国に住む個人の個人データを外部の機関が処理する場合に適用されます。
最も重要な修正点の一つは、個人データの国境を越えた移転を規制する厳格なデータローカライゼーション要件の削除です。PDPLは、国家の安全保障や王国の重要な利益を損なわず、かつ王国外で個人データに十分な保護レベルが確保されている場合に、個人データを国境を越えて合法的に移転する状況を定めています。
📕Personal Data Protection Law
2021/9/16制定、2023/3/27改正
7)アフリカ 各国の制度
アフリカ地域は、55ヶ国中、6ヶ国確認
(個人情報保護委員会の調査と比較で)
・大きな変更あり🔴 3ヶ国
・改正(下位・予定含)あり🟡 0ヶ国
・変更情報なし🔵 3ヶ国
【個人情報保護委員会のHP掲載のある国】
🇹🇳チュニジア共和国 Tunisia 🔵
・更新情報なし
包括的な法令として、以下の法令が存在する。
📕個人情報の保護に関する法律(法律第2004-63号)(Law n°2004-63 dated 27 July 2004 on the Protection of Personal Data)(以下「個人情報保護法」という。)
URL:http://www.inpdp.nat.tn/ressources/loi_2004.pdf
施行状況:2004年7月27日施行
⚠️ 個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションあり、ガバメントアクセスなし
🇿🇦南アフリカ共和国 South Africa 🔵
・包括的な法令POPIAが完全施行されている
・EU十分性認定をめざしているもよう(IAPP 予測)
2023年は、南アフリカの個人情報保護法(POPIA)が制定されてから10年、完全に施行されてから約2年半が経過しました。POPIAは南アフリカの情報規制機関によって施行されています。2022年は情報規制機関が「足場を固め」、運用を開始した年でしたが、2023年はデータ主体の権利の保護と施行において大きな進歩を見せました。2023年4月、情報規制機関は前年に895件のPOPIAに関する苦情を受け、そのうち616件を解決したと報告しました。…
残念ながら、2023年はEUによる南アフリカへの適切性決定に関する発表はありませんでした。個人データの自由な流れを提供するため、2024年に向けて適切性に向けて何らかの進展があることを期待しています。
📕Protection of Personal Information Act (POPI Act)
2020/7/1施行、猶予期限2021/6/30
包括的な法令として、以下の法令が存在する。
📕個人情報保護法(the Protection of Personal Information Act, 2013(Act No. 4 of 2013))
URL: 準備中
施行状況:2022年2月1日全面施行(2014年4月11日から2022年2月1日にかけて段階的施行
️🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
🇲🇦モロッコ王国 Morocco 🔵
・更新情報なし
包括的な法令として、以下の法令が存在する。
📕個人データの取扱いに関する個人の保護に関する法律(法律第09-08号)(Law No. 09-08 on the Protection of Individuals with Regard to the Processing of Personal Data)
URL:https://www.cndp.ma/images/lois/Loi-09-08-Fr.pdf
施行状況:2009年2月18日施行
🍀個人の権利利益に重大な影響を及ぼす可能性のある制度:データローカライゼーションなし、ガバメントアクセスなし
【その他の国】
🇰🇪ケニア Kenya 🔴
・包括的な法令が存在する
・サイバー犯罪増加、仮想通貨、AI等環境変化をふまえ、立法改革の動きあり。(IAPP 予測)
2023年9月、情報、通信、デジタル経済を担当する内閣秘書官は、セクターの政策と立法改革に関する作業グループを任命しました。作業グループの参照用語には、ケニアの情報、通信、技術、デジタル経済セクターを規制または支える既存の政策、立法枠組み、機関構造、管理プロトコルのレビューと改革のための推奨事項の作成が含まれ、これらは2024年に公開されます。
📕The Data Protection Act, 2019
📕The Data Protection (General) Regulations, 2021
🇳🇬ナイジェリア Nigeria 🔴
🚥2023年7月に包括的なデータ保護法が成立した。(IAPP 予測)
2023年は、長い間期待されていたナイジェリアのデータ保護法が2023年6月についに成立し、包括的なデータ保護法を持つ国々のグローバルリストにナイジェリアが加わったという、ナイジェリアのデータ保護の風景において重要なマイルストーンとなりました。
https://ndpc.gov.ng/Files/Nigeria_Data_Protection_Act_2023.pdf
🇿🇼ジンバブエ Zimbabwe 🔴
🚥包括的な法令の実施が進み、子ども、同意、DPO等分野別ガイドラインが作成されつつある。(IAPP 予測)
ジンバブエは、2021年12月に公布されたサイバーおよびデータ保護法の実施に向けて順調に進んでいます。指定されたデータ保護機関であるジンバブエ郵便・通信規制庁は、2023年にさまざまな認識向上イニシアチブを通じて法律を解説する上で大きな進展を遂げました。これらのイニシアチブは、仮想および物理プラットフォームで開催されました。
…さらに、権限は、ステークホルダーとの協議のためにさまざまなドラフトガイドラインを用意しました。これらは、個人情報の国境を越えた移転、子どものデータの処理、同意、およびDPO向けの追加情報に関する事項を指導します。
サイバーおよびデータ保護法 Cyber and Data Protection Act, 2021
📈全体の統計
さいごに、確認した結果の統計をスプシで計算してみました。改正の程度はあれど、ざっくり半分くらいは2024年に動きがありそうです。
なお、上は「国」単位の集計、下は、「法域」単位です。
以上、終わったーーーー! 達成感!(笑)
業務で見る必要がない初めての国もたくさんあり、大変だったけど意外と楽しかったなというのが感想です。(スマホ指になりそうでしたがw)
わかりやすさには、まだまだ難がありますが、世界中をまずは総なめ、自分の中のもやもや最新化優先で!
間違えてるよココ、など発見されましたら、そっと教えていただけますと幸いです。
ではまた!
今日のDall-E3
今日はお寿司食べてもいいですか?🍣