GDPRとCPRA

今や世界的に個人情報の保護は強化される傾向にありますね。
日本では2003年に個人情報保護法が制定され、2005年より施行されています。
また2022年4月には改正個人情報保護法が施行され、現在に至っています。

日本の個人情報保護法の場合、個人情報の保護だけではなく、適正かつ効果的な活用の促進が目的となっている点において、他の国の同種の法律とは決定的に異なっています。

個人情報保護関連法律 – 世界的な潮流

EUでは、世界で１番厳しいプライバシー法とされるGDPR（一般データ保護規則）が2018年に制定されました。
この法律では、IPアドレスやCookieも規制の対象とされています。
また日本国内の企業であっても、EU諸国に支店があったり、ECサイトなどでEU圏内のお客を対象としている場合、この法律が適用されます。
尚GDPRでは、EU圏内のユーザーの個人情報は、EU圏内のサーバーで管理されていなければならないという決まりがありますが、日本は国レベルで十分性認定を受けていることから、この規制の対象外となっております。
またこの為にGoogle Analyticsは使用を制限されています（アメリカが十分性認定を受けていないため。オーストリアやフランスでは、Googleアナリティクスの使用は禁止されている）。
また他の国でもこのGDPRに倣って個人情報保護関連の法律が施行されていることから、このGDPRに対応しておくと、後々楽かも知れません。

一方のアメリカでは、カリフォルニアの州法ですが、CPRAという法律があります。
こちらの法律は、元々CCPAという法律があったのですが、そちらの法律を改正（より厳しい内容になりました）したものになります。
アメリカは州ごとに法律がちがいますが、こちらの法律はカリフォルニア州でのみ適用されます。
こちらの法律でもIPアドレスとCookieは規制対象となっております。
また州法ですが、カリフォルニア州に支店があったり、同州の住民を対象にECサイトで販売やサービスの提供を行っている場合も、規制の対象になります。

この他例えばブラジルではLGPD、韓国のデータ３法、シンガポールのPDPAなどなど、いずれもEUのGDPRを手本として、個人情報の保護に関する法律が制定されています。

対処方法

• 個人情報を取得する際は、事前にユーザーの了解を取得しておく。
• 可能な限り、IPアドレスやCookieは収集しない。
• 開示要求にスムーズに答えられる様、個人情報の管理はしっかりしておく。
• 保存している個人データを暗号化する。
• データ保護責任者を置く。