2σ Guide

GDPR・CCPAと日本法の
主な違い

GDPR、CCPA、日本法は、同じ個人データ保護の話に見えても、制度思想、適用範囲、同意、本人権利、越境移転、制裁の見方が異なります。企業法務で最初に分けるべき論点を比較し、実務のチェック順に整理します。

3法 制度思想を分ける
72時間 GDPR漏えい通知の目安
4% GDPR制裁金の上限例
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

GDPR・CCPAと日本法の 主な違い

GDPR、CCPA、日本法は、同じ個人データ保護の話に見えても、制度思想、適用範囲、同意、本人権利、越境移転、制裁の見方が異なります。

動画を読み込み中…
2σ GUIDE ・ VIDEO
GDPR・CCPAと日本法の 主な違い
GDPR、CCPA、日本法は、同じ個人データ保護の話に見えても、制度思想、適用範囲、同意、本人権利、越境移転、制裁の見方が異なります。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • GDPR・CCPAと日本法の 主な違い
  • GDPR、CCPA、日本法は、同じ個人データ保護の話に見えても、制度思想、適用範囲、同意、本人権利、越境移転、制裁の見方が異なります。

POINT 1

  • GDPR・CCPAと日本法の主な違いを一望する
  • 三法は同じ個人データ保護法ではなく、制度思想と実務対応の起点が異なります。
  • 基本権型・包括規制
  • 消費者選択権型
  • 利用目的・提供規制型

POINT 2

  • GDPR・CCPAと日本法の比較表で最初に見る論点
  • 適用対象、概念、同意、本人権利、越境移転、制裁を横並びで確認します。
  • 行ごとに読むと、同じ社内規程で処理せず、法域別に管理項目を分ける理由が分かります。

POINT 3

  • GDPR・CCPAと日本法の適用範囲とデータ概念
  • 1. 本人の所在と属性を確認:EU域内の人、カリフォルニア消費者、日本国内の本人、従業員、求職者、取引先担当者を分けます。
  • 2. サービス提供・広告配信地域を確認:言語、通貨、配送先、広告配信地域、販売実績、アプリ配信地域を見ます。
  • 3. データの種類を確認:Cookie ID、広告ID、IPアドレス、位置情報、健康情報、従業員データ、AI評価などを分類します。
  • 4. 法域別の対応へ進みます:GDPR、CCPA、日本法の管理項目を分け、越境移転と契約を確認します。
  • 5. 日本法対応を基礎にします:利用目的、第三者提供、委託、共同利用、外国提供、漏えい等報告を確認します。

POINT 4

  • GDPR・CCPAと日本法の法的根拠・同意・本人権利
  • GDPRは処理ごとの法的根拠、CCPAは通知と選択権、日本法は利用目的と同意が必要な局面を見ます。
  • 行ごとに読むと、同じ顧客データでも処理活動ごとに根拠とリスクが変わることが分かります。
  • 次の比較は、同意と本人権利の位置づけを表します。
  • 重要なのは、三法とも同意が重要な場面はありますが、同意が万能の解決策ではないことです。

POINT 5

  • GDPR・CCPAと日本法の第三者提供・越境移転・安全管理
  • 広告、SaaS、クラウド、委託、共同利用では、法域別の契約と証跡が必要です。
  • 重要なのは、委託、共同利用、事業承継、第三者提供、外国第三者提供を混同しないことです。
  • 各行を読むと、契約と表示で何を確認するかが分かります。
  • 横棒の長さは、複数部門での即時連携が必要になりやすい度合いを表します。

POINT 6

  • GDPR・CCPAと日本法のガバナンス・制裁リスク
  • GDPR
  • CCPA/CPRA

POINT 7

  • GDPR・CCPAと日本法の実務ケースとよくある誤解
  • EC、SaaS、広告、従業員データ、M&Aでは、三法の焦点が大きく分かれます。
  • グローバルEC
  • SaaS・クラウド
  • 広告・Cookie・SDK

POINT 8

  • GDPR・CCPAと日本法のチェックリストと導入ロードマップ
  • 1. データマッピング
  • 2. 法域別ギャップ分析
  • 3. ポリシー・契約・画面実装
  • 4. インシデント対応と訓練
  • 5. 内部監査・継続改善

まとめ

  • GDPR・CCPAと日本法の 主な違い
  • GDPR・CCPAと日本法の主な違いを一望する:三法は同じ個人データ保護法ではなく、制度思想と実務対応の起点が異なります。
  • GDPR・CCPAと日本法の比較表で最初に見る論点:適用対象、概念、同意、本人権利、越境移転、制裁を横並びで確認します。
  • GDPR・CCPAと日本法の適用範囲とデータ概念:域外適用、対象企業、個人データ概念を、事業の実態から確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

GDPR・CCPAと日本法の主な違いを一望する

三法は同じ個人データ保護法ではなく、制度思想と実務対応の起点が異なります。

GDPR・CCPAと日本法は、いずれも個人に関するデータを扱いますが、制度設計の発想は大きく異なります。GDPRは基本権保護と説明責任を軸に、個人データの処理ごとの適法性を問います。CCPAはカリフォルニア消費者に対する通知、販売・共有のオプトアウト、機微情報利用制限を重視します。日本法は利用目的、第三者提供、外国第三者提供、安全管理、漏えい等報告を中心に運用します。

このページでは、2026年6月7日時点で確認できる公的資料・一次情報を中心に、企業法務、プライバシー法務、コンプライアンス、内部監査、IT・データ法務の実務観点から整理します。個別案件では、対象者の居住地、サービス提供地域、Cookie・広告・AI・従業員データ・越境移転の有無により結論が変わる可能性があります。

結論一つのプライバシーポリシーだけで三法対応を済ませるのは危険です。データマッピングを起点に、GDPR用の法的根拠・処理記録・DPIA・越境移転、CCPA用の通知・販売/共有・オプトアウト・機微情報制限、日本法用の利用目的・第三者提供・外国提供・委託先監督・漏えい等報告を、別モジュールとして管理する設計が実務的です。

次の3つの項目は、三法の制度思想を表します。重要なのは、同じ「個人情報保護」という表現でも、何を証明し、誰にどの選択権を与え、どの社内証跡を残すかが異なる点です。各項目を見ると、最初に作るべき管理表が法域ごとに違うことが分かります。

GDPR

基本権型・包括規制

処理ごとに法的根拠、透明性、データ最小化、安全管理、越境移転、説明責任を示す必要があります。

CCPA

消費者選択権型

収集時通知、販売・共有、オプトアウト、機微情報利用制限、消費者請求が中心です。

日本法

利用目的・提供規制型

利用目的の特定、目的外利用制限、第三者提供、外国第三者提供、安全管理、漏えい等報告を軸にします。

Section 01

GDPR・CCPAと日本法の比較表で最初に見る論点

適用対象、概念、同意、本人権利、越境移転、制裁を横並びで確認します。

次の比較表は、三法で最初に見るべき論点を表します。重要なのは、用語を直訳せず、GDPR、CCPA、日本法それぞれで、対象者、対象企業、権利、提供、越境移転、制裁の設計が異なる点です。行ごとに読むと、同じ社内規程で処理せず、法域別に管理項目を分ける理由が分かります。

論点GDPRCCPA/CPRA日本法実務上の意味
制度思想基本権保護、包括的データ保護、説明責任です。消費者プライバシー、通知、選択権、販売・共有規制です。個人の権利利益保護と有用性の調和です。三法別に管理項目を分けます。
適用対象者EU域内のデータ主体、またはEU向け提供・行動監視に関係する個人です。カリフォルニア州居住者である消費者です。生存する個人に関する個人情報です。居住地、行動地、サービス提供先を把握します。
適用企業管理者・処理者で、EU域外企業にも域外適用があります。カリフォルニアで事業を行う一定規模等の営利事業者が中心です。個人情報データベース等を事業に用いる事業者です。CCPAは対象企業要件があるため、範囲が異なります。
中核概念personal data、processing、controller、processorです。personal information、business、service provider、contractor、sale、shareです。個人情報、個人データ、保有個人データ、要配慮個人情報、個人関連情報です。社内データ分類を法域別に作ります。
適法化各処理に法的根拠が必要です。GDPR型の法的根拠を処理ごとに要求する構造ではありません。利用目的特定、目的外利用制限、同意が必要な局面、第三者提供規制等です。同意だけで単純化しない設計が必要です。
本人権利アクセス、訂正、削除、制限、ポータビリティ、異議、自動化決定への権利等です。知る権利、アクセス、削除、訂正、販売・共有オプトアウト、機微情報利用制限等です。開示、訂正等、利用停止等、第三者提供停止、記録開示等です。受付窓口、本人確認、期限管理、例外判断を法域別にします。
越境移転十分性認定、SCC、BCR等が中心です。GDPR型の一般的な越境移転規制はありません。外国第三者提供の同意・情報提供・相当措置等が中心です。グローバルSaaS・クラウド利用時の確認項目が異なります。
制裁最大2,000万ユーロまたは全世界年間売上高4%などです。原則1違反ごとに2,500ドルまたは7,500ドルなどです。命令違反等の刑事罰・法人罰があり、2026年改正法案では課徴金制度が議論対象です。金額だけでなく、差止め、集団訴訟、信用毀損を評価します。
Section 02

GDPR・CCPAと日本法の適用範囲とデータ概念

域外適用、対象企業、個人データ概念を、事業の実態から確認します。

次の判断の流れは、三法の対象性を初期診断するためのものです。重要なのは、日本企業かどうかだけで判断せず、EU向け提供、EUユーザーの行動監視、カリフォルニア消費者向けサービス、海外クラウド、日本国内本人へのサービス提供を確認することです。分岐を順に追うと、どの法域の検討が必要かを洗い出せます。

適用法を見落とさない判断の流れ

本人の所在と属性を確認

EU域内の人、カリフォルニア消費者、日本国内の本人、従業員、求職者、取引先担当者を分けます。

サービス提供・広告配信地域を確認

言語、通貨、配送先、広告配信地域、販売実績、アプリ配信地域を見ます。

データの種類を確認

Cookie ID、広告ID、IPアドレス、位置情報、健康情報、従業員データ、AI評価などを分類します。

海外要素があります
法域別の対応へ進みます

GDPR、CCPA、日本法の管理項目を分け、越境移転と契約を確認します。

国内中心です
日本法対応を基礎にします

利用目的、第三者提供、委託、共同利用、外国提供、漏えい等報告を確認します。

データ概念にも差があります。GDPRのpersonal dataは、識別された、または識別可能な自然人に関するあらゆる情報を広く含みます。CCPAのpersonal informationは、消費者または世帯に合理的にリンク可能な情報を含みます。日本法では、個人情報、個人データ、保有個人データ、個人関連情報を分けて考えます。

この違いにより、IPアドレス、Cookie ID、広告ID、端末ID、ログ、位置情報、オンライン行動履歴、推定属性、プロファイル情報は、法域によって扱いが変わる可能性があります。匿名化、非識別化、集計情報と扱う場合でも、再識別可能性や他データとの突合可能性を確認します。

Section 04

GDPR・CCPAと日本法の第三者提供・越境移転・安全管理

広告、SaaS、クラウド、委託、共同利用では、法域別の契約と証跡が必要です。

次の表は、日本法上のデータ提供の整理を中心に、三法対応でも見落としやすい提供形態をまとめたものです。重要なのは、委託、共同利用、事業承継、第三者提供、外国第三者提供を混同しないことです。各行を読むと、契約と表示で何を確認するかが分かります。

データ提供の態様日本法上の主な整理典型例注意点
委託第三者提供に該当しないが、委託先監督が必要です。クラウド、配送、給与計算、コールセンター委託範囲、再委託、監査、削除返却を確認します。
共同利用公表等の要件を満たせば、第三者提供同意なしで可能な場合があります。グループ会社CRM、共同ポイント共同利用者範囲、利用目的、管理責任者を明確にします。
事業承継合併、会社分割、事業譲渡等で問題になります。M&A、グループ再編承継前目的の範囲、DD時の情報開示を確認します。
第三者提供原則本人同意が問題になります。データ販売、提携先提供同意、記録、確認義務を整理します。
外国第三者提供追加的な情報提供・同意等が必要になる場合があります。海外SaaS、海外親会社、海外委託先外国制度、相当措置、継続的確認を行います。

次の一覧は、安全管理と漏えい対応で重なりやすい確認項目を表します。重要なのは、GDPRの72時間通知、CCPAの合理的セキュリティと私的訴権、日本法の安全管理措置・従業者監督・委託先監督・漏えい等報告を、インシデント初動で法域判定できるようにすることです。横棒の長さは、複数部門での即時連携が必要になりやすい度合いを表します。

漏えい初動
越境移転
委託先管理
中高
広告タグ
中高
保存期間
これは制度横断の管理負荷を示す実務整理です。実際の優先度は、データの種類、本人の所在、契約、侵害規模、悪用可能性によって変わります。
Section 05

GDPR・CCPAと日本法のガバナンス・制裁リスク

DPIA、DPO、リスク評価、内部統制、制裁の見方を実務に落とします。

次の一覧は、三法対応で求められるガバナンス要素を表します。重要なのは、GDPRのDPIA・DPO・処理記録、CCPAのリスク評価・サイバー監査・ADMT規制、日本法の安全管理・委託先監督・PPC対応を、別々の文書ではなく内部統制の一部として運用することです。各項目を見ると、法務、セキュリティ、内部監査の接点が分かります。

GDPR

DPIA、DPO、処理記録、Privacy by Design、Privacy by Default、EU代理人、SCCやBCRの管理を確認します。

CCPA/CPRA

リスク評価、サイバーセキュリティ監査、ADMT、オプトアウト・プリファレンス・シグナル、サービスプロバイダー契約を確認します。

日本法

DPO・DPIAの一般的義務はありませんが、安全管理、委託先監督、漏えい等報告、本人請求、PPC対応を支える責任者と評価プロセスが実務上重要です。

次の比較は、制裁・執行リスクの見方を表します。重要なのは、金額だけでなく、処理停止、データ削除、集団的救済、クラスアクション、報道、取引停止、M&A評価への影響を含めて評価することです。各行を読むと、経営層へ説明すべきリスクの種類が分かります。

法域主な制裁・執行実務上の評価
GDPR最大1,000万ユーロまたは全世界年間売上高2%、重大類型では最大2,000万ユーロまたは4%などです。監督機関調査、是正命令、処理停止、データ削除、報道、契約違反も重く見ます。
CCPA/CPRA一般違反は最大2,500ドル、故意違反や16歳未満の消費者に関する一定違反は最大7,500ドルなどです。多数消費者に同じ不備があると違反数が累積し得ます。一定のセキュリティ侵害では私的訴権も問題になります。
日本法報告徴収・立入検査、指導・助言、勧告・命令、命令違反等の刑事罰・法人罰があります。2026年改正法案では課徴金制度等が議論対象です。成立、施行、規則、ガイドラインを継続確認します。
Section 06

GDPR・CCPAと日本法の実務ケースとよくある誤解

EC、SaaS、広告、従業員データ、M&Aでは、三法の焦点が大きく分かれます。

次の5つのケースは、三法の違いが実務で表れやすい場面を表します。重要なのは、同じデータ利用でも、GDPRでは法的根拠や越境移転、CCPAでは販売・共有やオプトアウト、日本法では利用目的や第三者提供が中心になる点です。各項目から、自社の事業に近い場面の確認軸を読み取れます。

EC

グローバルEC

EU向け販売、カリフォルニア消費者への通知、日本法の配送・決済・広告事業者への提供を分けます。

SaaS

SaaS・クラウド

管理者・処理者、サービスプロバイダー、委託先、共同利用者の地位を契約で明確にします。

AD

広告・Cookie・SDK

GDPRでは同意や透明性、CCPAでは販売・共有、日本法では個人関連情報提供規制や外部送信規律を確認します。

HR

従業員データ・HRテック

GDPRの同意の自由性、CCPAの従業員データ、日本法の要配慮個人情報や監視の相当性を確認します。

M&A

M&A・デューデリジェンス

処理記録、DPIA、SCC、Cookie同意、販売・共有、第三者提供記録、漏えい履歴を確認します。

よくある誤解

誤解1. 三法は全部、同意を取ればよい

一般的には誤りとされています。GDPRでは同意は一つの法的根拠であり、CCPAでは販売・共有のオプトアウトが中心になる場合があり、日本法では同意が重要な局面が限定的に設計されています。

誤解2. 日本企業だからGDPR・CCPAは関係ありません

一般的には危険な整理です。EU向けサービス、EUユーザーの行動監視、カリフォルニア消費者向けサービス、米国広告配信、海外子会社、人事データ、海外クラウド利用によって海外法が問題になる可能性があります。

誤解3. CCPAはデータを売っていなければ関係ありません

一般的には不十分です。CCPAの販売は金銭対価に限られず、共有はクロスコンテキスト行動広告のための開示を含みます。広告タグ、SDK、Cookie同期、類似オーディエンス、リターゲティングは慎重に確認します。

誤解4. 海外クラウドは委託だから越境移転規制は不要です

一般的には不十分です。日本法では外国第三者提供の該当性、相当措置、委託先所在国、再委託先、外国アクセスを確認します。GDPRではSCC、BCR、十分性認定、再移転、政府アクセスリスクが問題になります。

誤解5. プライバシーポリシーを更新すれば十分です

一般的には不十分です。三法対応は、データマッピング、処理記録、同意管理、オプトアウト、契約、ベンダー管理、セキュリティ、漏えい対応、本人請求、社内教育、内部監査まで含むガバナンス課題です。

Section 07

GDPR・CCPAと日本法のチェックリストと導入ロードマップ

初期診断から監査まで、法域別の不足を段階的に埋めます。

次の一覧は、三法対応の初期診断と法域別チェック項目をまとめたものです。重要なのは、まず本人の所在、サービス提供地域、Cookie・SDK・海外クラウド・高リスクデータを把握し、その後にGDPR、CCPA、日本法の不足を分けて確認することです。各行の項目を読むと、どの台帳や手順が必要かが分かります。

区分主な確認項目
初期診断EU居住者、カリフォルニア消費者、日本国内本人のデータ、提供地域、Cookie・SDK、医療・金融・子ども・従業員・AI評価、海外クラウド、過去の漏えいを確認します。
GDPR対応法的根拠、管理者・処理者、処理記録、DPA、SCC、DPIA、DPOまたはEU代理人、72時間通知、Cookie同意、本人権利請求を確認します。
CCPA対応business該当性、収集時通知、プライバシーポリシー、販売・共有、Do Not Sell or Share、機微情報利用制限、オプトアウト・プリファレンス・シグナル、消費者請求、リスク評価、ADMTを確認します。
日本法対応利用目的、目的外利用、要配慮個人情報、第三者提供、委託、共同利用、外国第三者提供、安全管理、漏えい等報告、保有個人データ請求、2026年改正法案を確認します。

次の日程は、実務導入の順番を表します。重要なのは、データマッピングから始め、ギャップ分析、契約・画面実装、インシデント訓練、内部監査へ進むことです。時系列で読むと、法務文書だけでなくシステム実装と運用証跡が必要なことが分かります。

フェーズ1

データマッピング

データ項目、本人カテゴリー、取得元、利用目的、保存場所、アクセス権限、委託先、第三者提供、外国移転、保存期間、削除方法、セキュリティ措置を整理します。

フェーズ2

法域別ギャップ分析

GDPR、CCPA、日本法ごとに、法的根拠、通知、販売・共有、第三者提供、外国提供、本人請求、漏えい対応の不足を洗い出します。

フェーズ3

ポリシー・契約・画面実装

Cookieバナー、同意管理、オプトアウトリンク、請求フォーム、本人確認、ログ保存、削除・訂正機能、DPA、SCC、委託契約を整えます。

フェーズ4

インシデント対応と訓練

発覚時刻、影響本人、データ項目、暗号化、悪用可能性、委託先起因、監督機関・本人・取引先への連絡要否を確認する訓練を行います。

フェーズ5

内部監査・継続改善

年1回以上、データマップ、新規タグ、本人請求期限、オプトアウト反映、削除対応、SCCや外国提供情報、漏えい訓練、改正法反映を監査します。

Section 08

GDPR・CCPAと日本法の社内体制と優先順位

経営、法務、プライバシー、セキュリティ、事業部門で継続運用します。

次の表は、三法対応で必要な役割分担を表します。重要なのは、プライバシー対応を法務文書だけの作業ではなく、データを使って事業を行うための内部統制として扱うことです。各行を読むと、どの担当がどの証跡を持つべきかが分かります。

役割主な担当
弁護士・外部弁護士法令解釈、域外適用、当局対応、契約、訴訟・紛争、M&A、重大インシデントを確認します。
企業内弁護士・法務担当社内規程、契約審査、事業部相談、本人請求、越境移転、リスク判断を担います。
個人情報保護・プライバシー担当データマッピング、プライバシーポリシー、同意管理、漏えい対応、PPC対応を担います。
情報システム・セキュリティ担当アクセス制御、ログ、暗号化、脆弱性管理、インシデント対応を担います。
内部監査担当運用状況の監査、証跡確認、改善勧告を担います。
経営層・取締役会重要リスクの許容、予算、人員、危機対応、ガバナンスを判断します。
マーケティング担当Cookie、広告タグ、オプトアウト、同意管理、表示文言を管理します。
人事・労務担当従業員データ、採用、健康情報、モニタリング、労務紛争を管理します。

次の一覧は、中小企業・スタートアップが優先して着手する順番を表します。重要なのは、完璧な体制を一度に作るよりも、対象法域、プライバシーポリシー、Cookie・広告タグ、委託先、第三者提供、本人請求、漏えい初動を先に押さえることです。番号順に進めると、最低限の説明可能性を作りやすくなります。

1

対象地域の確認

どの国・地域の本人データを扱っているか、商品・サービス・広告の提供地域を確認します。

2

ポリシーと利用目的

プライバシーポリシーと利用目的を最新化し、取得する個人情報の項目を漏れなく特定します。

3

Cookie・広告タグ

Cookie、広告タグ、SDK、広告ID、オプトアウト、同意管理の棚卸しを行います。

4

委託先・海外ツール

クラウド、SaaS、海外委託先、海外親会社、グローバルCRMの一覧を作ります。

5

請求・漏えい対応

本人請求窓口、本人確認、削除・訂正、漏えい時の初動連絡表を整えます。

6

年1回の見直し

重要委託先契約、高リスク処理の簡易評価、法改正、ガイドライン、当局動向を定期的に見直します。

Reference

GDPR・CCPAと日本法の参考資料

公的資料と中立的な一次情報を、URLなしで整理します。

海外法の一次情報

  • General Data Protection Regulation
  • European Data Protection Board のガイドラインおよび勧告
  • California Consumer Privacy Act および California Privacy Rights Act 関連規則
  • California Privacy Protection Agency の公表資料

日本法の公的資料

  • 個人情報の保護に関する法律
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのQ&A」
  • 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案」に関する公表資料

実務上参照される資料

  • 越境移転、Cookie、広告ID、同意管理、オプトアウトに関する中立的な実務資料
  • 情報セキュリティ、インシデント対応、内部統制、委託先管理に関する実務資料