GDPR、CCPA、日本法は、同じ個人データ保護の話に見えても、制度思想、適用範囲、同意、本人権利、越境移転、制裁の見方が異なります。企業法務で最初に分けるべき論点を比較し、実務のチェック順に整理します。
GDPR、CCPA、日本法は、同じ個人データ保護の話に見えても、制度思想、適用範囲、同意、本人権利、越境移転、制裁の見方が異なります。
三法は同じ個人データ保護法ではなく、制度思想と実務対応の起点が異なります。
GDPR・CCPAと日本法は、いずれも個人に関するデータを扱いますが、制度設計の発想は大きく異なります。GDPRは基本権保護と説明責任を軸に、個人データの処理ごとの適法性を問います。CCPAはカリフォルニア消費者に対する通知、販売・共有のオプトアウト、機微情報利用制限を重視します。日本法は利用目的、第三者提供、外国第三者提供、安全管理、漏えい等報告を中心に運用します。
このページでは、2026年6月7日時点で確認できる公的資料・一次情報を中心に、企業法務、プライバシー法務、コンプライアンス、内部監査、IT・データ法務の実務観点から整理します。個別案件では、対象者の居住地、サービス提供地域、Cookie・広告・AI・従業員データ・越境移転の有無により結論が変わる可能性があります。
次の3つの項目は、三法の制度思想を表します。重要なのは、同じ「個人情報保護」という表現でも、何を証明し、誰にどの選択権を与え、どの社内証跡を残すかが異なる点です。各項目を見ると、最初に作るべき管理表が法域ごとに違うことが分かります。
処理ごとに法的根拠、透明性、データ最小化、安全管理、越境移転、説明責任を示す必要があります。
収集時通知、販売・共有、オプトアウト、機微情報利用制限、消費者請求が中心です。
利用目的の特定、目的外利用制限、第三者提供、外国第三者提供、安全管理、漏えい等報告を軸にします。
適用対象、概念、同意、本人権利、越境移転、制裁を横並びで確認します。
次の比較表は、三法で最初に見るべき論点を表します。重要なのは、用語を直訳せず、GDPR、CCPA、日本法それぞれで、対象者、対象企業、権利、提供、越境移転、制裁の設計が異なる点です。行ごとに読むと、同じ社内規程で処理せず、法域別に管理項目を分ける理由が分かります。
| 論点 | GDPR | CCPA/CPRA | 日本法 | 実務上の意味 |
|---|---|---|---|---|
| 制度思想 | 基本権保護、包括的データ保護、説明責任です。 | 消費者プライバシー、通知、選択権、販売・共有規制です。 | 個人の権利利益保護と有用性の調和です。 | 三法別に管理項目を分けます。 |
| 適用対象者 | EU域内のデータ主体、またはEU向け提供・行動監視に関係する個人です。 | カリフォルニア州居住者である消費者です。 | 生存する個人に関する個人情報です。 | 居住地、行動地、サービス提供先を把握します。 |
| 適用企業 | 管理者・処理者で、EU域外企業にも域外適用があります。 | カリフォルニアで事業を行う一定規模等の営利事業者が中心です。 | 個人情報データベース等を事業に用いる事業者です。 | CCPAは対象企業要件があるため、範囲が異なります。 |
| 中核概念 | personal data、processing、controller、processorです。 | personal information、business、service provider、contractor、sale、shareです。 | 個人情報、個人データ、保有個人データ、要配慮個人情報、個人関連情報です。 | 社内データ分類を法域別に作ります。 |
| 適法化 | 各処理に法的根拠が必要です。 | GDPR型の法的根拠を処理ごとに要求する構造ではありません。 | 利用目的特定、目的外利用制限、同意が必要な局面、第三者提供規制等です。 | 同意だけで単純化しない設計が必要です。 |
| 本人権利 | アクセス、訂正、削除、制限、ポータビリティ、異議、自動化決定への権利等です。 | 知る権利、アクセス、削除、訂正、販売・共有オプトアウト、機微情報利用制限等です。 | 開示、訂正等、利用停止等、第三者提供停止、記録開示等です。 | 受付窓口、本人確認、期限管理、例外判断を法域別にします。 |
| 越境移転 | 十分性認定、SCC、BCR等が中心です。 | GDPR型の一般的な越境移転規制はありません。 | 外国第三者提供の同意・情報提供・相当措置等が中心です。 | グローバルSaaS・クラウド利用時の確認項目が異なります。 |
| 制裁 | 最大2,000万ユーロまたは全世界年間売上高4%などです。 | 原則1違反ごとに2,500ドルまたは7,500ドルなどです。 | 命令違反等の刑事罰・法人罰があり、2026年改正法案では課徴金制度が議論対象です。 | 金額だけでなく、差止め、集団訴訟、信用毀損を評価します。 |
域外適用、対象企業、個人データ概念を、事業の実態から確認します。
次の判断の流れは、三法の対象性を初期診断するためのものです。重要なのは、日本企業かどうかだけで判断せず、EU向け提供、EUユーザーの行動監視、カリフォルニア消費者向けサービス、海外クラウド、日本国内本人へのサービス提供を確認することです。分岐を順に追うと、どの法域の検討が必要かを洗い出せます。
EU域内の人、カリフォルニア消費者、日本国内の本人、従業員、求職者、取引先担当者を分けます。
言語、通貨、配送先、広告配信地域、販売実績、アプリ配信地域を見ます。
Cookie ID、広告ID、IPアドレス、位置情報、健康情報、従業員データ、AI評価などを分類します。
GDPR、CCPA、日本法の管理項目を分け、越境移転と契約を確認します。
利用目的、第三者提供、委託、共同利用、外国提供、漏えい等報告を確認します。
データ概念にも差があります。GDPRのpersonal dataは、識別された、または識別可能な自然人に関するあらゆる情報を広く含みます。CCPAのpersonal informationは、消費者または世帯に合理的にリンク可能な情報を含みます。日本法では、個人情報、個人データ、保有個人データ、個人関連情報を分けて考えます。
この違いにより、IPアドレス、Cookie ID、広告ID、端末ID、ログ、位置情報、オンライン行動履歴、推定属性、プロファイル情報は、法域によって扱いが変わる可能性があります。匿名化、非識別化、集計情報と扱う場合でも、再識別可能性や他データとの突合可能性を確認します。
GDPRは処理ごとの法的根拠、CCPAは通知と選択権、日本法は利用目的と同意が必要な局面を見ます。
次の表は、GDPRで処理活動ごとに整理する項目を表します。重要なのは、同意と書くだけでは足りず、目的、データ項目、法的根拠、保存期間、受領者、越境移転、リスク評価を一体で管理する点です。行ごとに読むと、同じ顧客データでも処理活動ごとに根拠とリスクが変わることが分かります。
| 処理活動 | 目的 | データ項目 | 法的根拠 | 保存期間 | 受領者 | 越境移転 | リスク評価 |
|---|---|---|---|---|---|---|---|
| EC注文処理 | 売買契約の履行 | 氏名、住所、決済情報 | 契約履行 | 会計・税務期間 | 配送会社、決済会社 | あり/なし | 中 |
| マーケティングメール | 販促 | メール、購入履歴 | 同意または正当利益等 | 退会まで | MAツール | あり | 中 |
| 行動広告 | 広告最適化 | Cookie ID、閲覧履歴 | 同意等が問題 | 同意管理に従う | 広告事業者 | あり | 高 |
| 採用選考 | 採用判断 | 履歴書、面接評価 | 採用手続上の必要性等 | 採用後または不採用後一定期間 | 採用管理SaaS | あり | 中〜高 |
次の比較は、同意と本人権利の位置づけを表します。重要なのは、三法とも同意が重要な場面はありますが、同意が万能の解決策ではないことです。各項目では、どの場面で同意、通知、オプトアウト、本人請求対応が中心になるかを読み取れます。
同意は法的根拠の一つです。契約履行、法的義務、生命に関する利益、公共の利益、正当利益などとの整合性を確認します。
処理記録撤回管理販売・共有のオプトアウト、未成年者、機微情報、金銭的インセンティブが重要です。収集時通知と消費者請求対応を設計します。
通知選択権要配慮個人情報取得、目的外利用、第三者提供、外国第三者提供などで同意が重要になります。利用目的の特定と公表も基礎です。
利用目的提供記録広告、SaaS、クラウド、委託、共同利用では、法域別の契約と証跡が必要です。
次の表は、日本法上のデータ提供の整理を中心に、三法対応でも見落としやすい提供形態をまとめたものです。重要なのは、委託、共同利用、事業承継、第三者提供、外国第三者提供を混同しないことです。各行を読むと、契約と表示で何を確認するかが分かります。
| データ提供の態様 | 日本法上の主な整理 | 典型例 | 注意点 |
|---|---|---|---|
| 委託 | 第三者提供に該当しないが、委託先監督が必要です。 | クラウド、配送、給与計算、コールセンター | 委託範囲、再委託、監査、削除返却を確認します。 |
| 共同利用 | 公表等の要件を満たせば、第三者提供同意なしで可能な場合があります。 | グループ会社CRM、共同ポイント | 共同利用者範囲、利用目的、管理責任者を明確にします。 |
| 事業承継 | 合併、会社分割、事業譲渡等で問題になります。 | M&A、グループ再編 | 承継前目的の範囲、DD時の情報開示を確認します。 |
| 第三者提供 | 原則本人同意が問題になります。 | データ販売、提携先提供 | 同意、記録、確認義務を整理します。 |
| 外国第三者提供 | 追加的な情報提供・同意等が必要になる場合があります。 | 海外SaaS、海外親会社、海外委託先 | 外国制度、相当措置、継続的確認を行います。 |
次の一覧は、安全管理と漏えい対応で重なりやすい確認項目を表します。重要なのは、GDPRの72時間通知、CCPAの合理的セキュリティと私的訴権、日本法の安全管理措置・従業者監督・委託先監督・漏えい等報告を、インシデント初動で法域判定できるようにすることです。横棒の長さは、複数部門での即時連携が必要になりやすい度合いを表します。
DPIA、DPO、リスク評価、内部統制、制裁の見方を実務に落とします。
次の一覧は、三法対応で求められるガバナンス要素を表します。重要なのは、GDPRのDPIA・DPO・処理記録、CCPAのリスク評価・サイバー監査・ADMT規制、日本法の安全管理・委託先監督・PPC対応を、別々の文書ではなく内部統制の一部として運用することです。各項目を見ると、法務、セキュリティ、内部監査の接点が分かります。
DPIA、DPO、処理記録、Privacy by Design、Privacy by Default、EU代理人、SCCやBCRの管理を確認します。
リスク評価、サイバーセキュリティ監査、ADMT、オプトアウト・プリファレンス・シグナル、サービスプロバイダー契約を確認します。
DPO・DPIAの一般的義務はありませんが、安全管理、委託先監督、漏えい等報告、本人請求、PPC対応を支える責任者と評価プロセスが実務上重要です。
次の比較は、制裁・執行リスクの見方を表します。重要なのは、金額だけでなく、処理停止、データ削除、集団的救済、クラスアクション、報道、取引停止、M&A評価への影響を含めて評価することです。各行を読むと、経営層へ説明すべきリスクの種類が分かります。
| 法域 | 主な制裁・執行 | 実務上の評価 |
|---|---|---|
| GDPR | 最大1,000万ユーロまたは全世界年間売上高2%、重大類型では最大2,000万ユーロまたは4%などです。 | 監督機関調査、是正命令、処理停止、データ削除、報道、契約違反も重く見ます。 |
| CCPA/CPRA | 一般違反は最大2,500ドル、故意違反や16歳未満の消費者に関する一定違反は最大7,500ドルなどです。 | 多数消費者に同じ不備があると違反数が累積し得ます。一定のセキュリティ侵害では私的訴権も問題になります。 |
| 日本法 | 報告徴収・立入検査、指導・助言、勧告・命令、命令違反等の刑事罰・法人罰があります。 | 2026年改正法案では課徴金制度等が議論対象です。成立、施行、規則、ガイドラインを継続確認します。 |
EC、SaaS、広告、従業員データ、M&Aでは、三法の焦点が大きく分かれます。
次の5つのケースは、三法の違いが実務で表れやすい場面を表します。重要なのは、同じデータ利用でも、GDPRでは法的根拠や越境移転、CCPAでは販売・共有やオプトアウト、日本法では利用目的や第三者提供が中心になる点です。各項目から、自社の事業に近い場面の確認軸を読み取れます。
EU向け販売、カリフォルニア消費者への通知、日本法の配送・決済・広告事業者への提供を分けます。
管理者・処理者、サービスプロバイダー、委託先、共同利用者の地位を契約で明確にします。
GDPRでは同意や透明性、CCPAでは販売・共有、日本法では個人関連情報提供規制や外部送信規律を確認します。
GDPRの同意の自由性、CCPAの従業員データ、日本法の要配慮個人情報や監視の相当性を確認します。
処理記録、DPIA、SCC、Cookie同意、販売・共有、第三者提供記録、漏えい履歴を確認します。
一般的には誤りとされています。GDPRでは同意は一つの法的根拠であり、CCPAでは販売・共有のオプトアウトが中心になる場合があり、日本法では同意が重要な局面が限定的に設計されています。
一般的には危険な整理です。EU向けサービス、EUユーザーの行動監視、カリフォルニア消費者向けサービス、米国広告配信、海外子会社、人事データ、海外クラウド利用によって海外法が問題になる可能性があります。
一般的には不十分です。CCPAの販売は金銭対価に限られず、共有はクロスコンテキスト行動広告のための開示を含みます。広告タグ、SDK、Cookie同期、類似オーディエンス、リターゲティングは慎重に確認します。
一般的には不十分です。日本法では外国第三者提供の該当性、相当措置、委託先所在国、再委託先、外国アクセスを確認します。GDPRではSCC、BCR、十分性認定、再移転、政府アクセスリスクが問題になります。
一般的には不十分です。三法対応は、データマッピング、処理記録、同意管理、オプトアウト、契約、ベンダー管理、セキュリティ、漏えい対応、本人請求、社内教育、内部監査まで含むガバナンス課題です。
初期診断から監査まで、法域別の不足を段階的に埋めます。
次の一覧は、三法対応の初期診断と法域別チェック項目をまとめたものです。重要なのは、まず本人の所在、サービス提供地域、Cookie・SDK・海外クラウド・高リスクデータを把握し、その後にGDPR、CCPA、日本法の不足を分けて確認することです。各行の項目を読むと、どの台帳や手順が必要かが分かります。
| 区分 | 主な確認項目 |
|---|---|
| 初期診断 | EU居住者、カリフォルニア消費者、日本国内本人のデータ、提供地域、Cookie・SDK、医療・金融・子ども・従業員・AI評価、海外クラウド、過去の漏えいを確認します。 |
| GDPR対応 | 法的根拠、管理者・処理者、処理記録、DPA、SCC、DPIA、DPOまたはEU代理人、72時間通知、Cookie同意、本人権利請求を確認します。 |
| CCPA対応 | business該当性、収集時通知、プライバシーポリシー、販売・共有、Do Not Sell or Share、機微情報利用制限、オプトアウト・プリファレンス・シグナル、消費者請求、リスク評価、ADMTを確認します。 |
| 日本法対応 | 利用目的、目的外利用、要配慮個人情報、第三者提供、委託、共同利用、外国第三者提供、安全管理、漏えい等報告、保有個人データ請求、2026年改正法案を確認します。 |
次の日程は、実務導入の順番を表します。重要なのは、データマッピングから始め、ギャップ分析、契約・画面実装、インシデント訓練、内部監査へ進むことです。時系列で読むと、法務文書だけでなくシステム実装と運用証跡が必要なことが分かります。
データ項目、本人カテゴリー、取得元、利用目的、保存場所、アクセス権限、委託先、第三者提供、外国移転、保存期間、削除方法、セキュリティ措置を整理します。
GDPR、CCPA、日本法ごとに、法的根拠、通知、販売・共有、第三者提供、外国提供、本人請求、漏えい対応の不足を洗い出します。
Cookieバナー、同意管理、オプトアウトリンク、請求フォーム、本人確認、ログ保存、削除・訂正機能、DPA、SCC、委託契約を整えます。
発覚時刻、影響本人、データ項目、暗号化、悪用可能性、委託先起因、監督機関・本人・取引先への連絡要否を確認する訓練を行います。
年1回以上、データマップ、新規タグ、本人請求期限、オプトアウト反映、削除対応、SCCや外国提供情報、漏えい訓練、改正法反映を監査します。
経営、法務、プライバシー、セキュリティ、事業部門で継続運用します。
次の表は、三法対応で必要な役割分担を表します。重要なのは、プライバシー対応を法務文書だけの作業ではなく、データを使って事業を行うための内部統制として扱うことです。各行を読むと、どの担当がどの証跡を持つべきかが分かります。
| 役割 | 主な担当 |
|---|---|
| 弁護士・外部弁護士 | 法令解釈、域外適用、当局対応、契約、訴訟・紛争、M&A、重大インシデントを確認します。 |
| 企業内弁護士・法務担当 | 社内規程、契約審査、事業部相談、本人請求、越境移転、リスク判断を担います。 |
| 個人情報保護・プライバシー担当 | データマッピング、プライバシーポリシー、同意管理、漏えい対応、PPC対応を担います。 |
| 情報システム・セキュリティ担当 | アクセス制御、ログ、暗号化、脆弱性管理、インシデント対応を担います。 |
| 内部監査担当 | 運用状況の監査、証跡確認、改善勧告を担います。 |
| 経営層・取締役会 | 重要リスクの許容、予算、人員、危機対応、ガバナンスを判断します。 |
| マーケティング担当 | Cookie、広告タグ、オプトアウト、同意管理、表示文言を管理します。 |
| 人事・労務担当 | 従業員データ、採用、健康情報、モニタリング、労務紛争を管理します。 |
次の一覧は、中小企業・スタートアップが優先して着手する順番を表します。重要なのは、完璧な体制を一度に作るよりも、対象法域、プライバシーポリシー、Cookie・広告タグ、委託先、第三者提供、本人請求、漏えい初動を先に押さえることです。番号順に進めると、最低限の説明可能性を作りやすくなります。
どの国・地域の本人データを扱っているか、商品・サービス・広告の提供地域を確認します。
Cookie、広告タグ、SDK、広告ID、オプトアウト、同意管理の棚卸しを行います。
クラウド、SaaS、海外委託先、海外親会社、グローバルCRMの一覧を作ります。
本人請求窓口、本人確認、削除・訂正、漏えい時の初動連絡表を整えます。
重要委託先契約、高リスク処理の簡易評価、法改正、ガイドライン、当局動向を定期的に見直します。
公的資料と中立的な一次情報を、URLなしで整理します。