米国カリフォルニア州でも法律制定

GDPRと共通点が多い米国カリフォルニア州の消費者プライバシー法(The California Consumer Privacy Act:CCPA、2018年制定)も、個人情報に対する消費者のコントローラビリティについて、立法府により以下のように説明されています(From Assembly Bill No.375,Sec.2)。

・「人々は、プライバシーと、自らの情報に対するさらなるコントロールを望んでいる。カリフォルニア州の消費者は、自らの個人情報に対するコントロールを行使できなければならない」

・「自らの個人情報をコントロールする効果的な方法を消費者に提供することで、また、以下に掲げる権利を確実にすることで、カリフォルニア州民のプライバシーの権利を促進することは立法府の意図である。

(1)どのような個人情報が収集されているのかを知る権利
(2)自らの個人情報が販売・提供されるかどうか、誰に販売・提供されるかどうかを知る権利
(3)個人情報の販売を拒否する権利
(4)自らの個人情報にアクセスする権利
(5)プライバシーの諸権利を行使した場合でも、平等なサービスおよび価格を享受する権利」

また、CCPAでも、GDPRなどと同様、クッキー情報を個人情報の定義の中に含めており、本人のコントローラビリティが及ぶことになっています。なお、カリフォルニア州では、2020年12月にプライバシー権法(California Privacy Rights Act:CPRA)が成立し、CCPAの内容がさらに強化されています。

写真=iStock.com/thisbevos
※写真はイメージです

世界の動向から取り残される日本

このようにみると、EUや米国での経験を通じて、この「20年近く」で自己情報コントロール権(情報自己決定権)の輪郭は相当程度はっきりしてきたと言えるでしょう。また、表現の自由を含む他の権利との調整も、EUの最高裁に当たる欧州司法裁判所(CJEU)の判例などを通じて、一定の議論の蓄積がなされてきたと言えます。

少なくとも、この「20年近く」で、データ保護のありさまは大きく発展してきました。にもかかわらず、日本の立法担当者が、「個人情報保護法の制定から20年近くが経過しましたが、……事情は基本的には変化していない」と述べるのは、世界の動向・変化に目が向いていないと言わざるをえません。