AIサービスのグローバル進出、GDPR-CCPA対策法完全まとめ

by

AIサービスの準備中なら、海外の個人情報保護法、特にGDPR(欧州)とCCPA(米国カリフォルニア州)は絶対に無視できません。「韓国で開発したのに海外の法律まで気にする必要があるの?」と思うかもしれませんが、GDPRとCCPAは現地ユーザーを基準に法適用されます。本記事ではGDPR・CCPAの適用基準、罰金、対策戦略まで一挙に確認しましょう。

💥 知っておくと役立つTIP

AIサービスは国籍ではなく、ユーザーの所在地基準で法が適用されます。欧州・米国のユーザーが1人でもいれば、GDPR・CCPAの対象となる可能性があります。

  • 問題:初期準備を怠ると、後で修正しようとした際に開発・法務・マーケティング費用が爆発的に増加します。
  • 解決策:最初からGDPR・CCPA対応チェックリストで準備しましょう。この記事で核心内容を扱っているので最後まで読んでみてください!

🇺🇸 CCPA (California Consumer Privacy Act, カリフォルニア州消費者プライバシー法)

CCPAは2020年1月から施行された米国カリフォルニア州の個人情報保護法です。米国内では最も強力な個人情報保護法とされ、グローバルサービスを運営する企業が必ず対応すべき規制です。

CCPA適用基準

  • 年間売上高2,500万ドル(約340億ウォン)以上:全世界の売上高基準。韓国、米国、日本いずれにおいても年間売上高2,500万ドル以上であれば対象。
  • ただし、以下の追加条件のいずれかを満たす場合に最終適用:
    • カリフォルニア州住民のデータ5万件以上を保有
    • データ販売による売上高が全体の50%以上

適用基準は、グローバル年間売上高2,500万ドル(約340億ウォン)以上、カリフォルニア州住民データ5万件以上保有、またはデータ販売売上が総売上の50%以上の場合です。このうちいずれか一つでも該当すればCCPAの対象となります。

CCPA適用例

  • 韓国SaaS、グローバル売上高3,000万ドル、カリフォルニア州ユーザー5万人 → ✅ CCPA適用
  • 同じ売上、カリフォルニア州ユーザー10名 → ❌ CCPA非適用

単に売上高が高いだけでは適用されず、カリフォルニア州住民とのデータ接続性が重要です。CCPAの特徴は「オプトアウト」方式であり、消費者はデータ販売を拒否する権利、収集・共有履歴の閲覧権、削除請求権を有します。

🌍 GDPR (General Data Protection Regulation, 欧州一般データ保護規則)

GDPRは2018年5月から施行された欧州連合(EU)および欧州経済領域(EEA)の個人情報保護法です。この法律は世界で最も強力な個人情報保護規制の一つであり、「ユーザーの同意」と「個人データの主権」を中核としています。

GDPR適用基準

  • 売上基準なし!
    重要なのは:
    • EU・EEA居住者向けサービス
    • EU域内での「商品・サービスの提供」または「行動追跡」

特徴として、売上規模に関係なく、EUユーザーがサービスを利用したり、EU域内でユーザーの行動を追跡したりする場合、無条件に適用されます。例えば、韓国で開発されたAIアプリが欧州ユーザーにダウンロード・利用された場合、GDPRの適用対象となります。

  • 韓国スタートアップ、欧州人1名登録 → ✅ GDPR適用
  • 韓国のインフルエンサーがEUのファン1人にDM → ✅ GDPR適用可能性あり

欧州ユーザー1名でも登録または行動分析すれば適用されます。小規模スタートアップ、売上高0ウォンでも例外なく適用されます。

GDPR・CCPA違反時の罰金

🌍 GDPR罰金

GDPRが恐ろしい理由は罰金の規模です。違反時には最大2,000万ユーロ(約290億ウォン)または全世界年間売上高の4%のうち、より大きな金額が科されます。

  • 最大2,000万ユーロ(約290億ウォン)
  • または全世界売上高の4% → いずれか大きい方を選択
  • GDPR罰金例:
    • 年間売上高100億ウォン → 100億×4% = 4億 → 最大4億ウォンの罰金
    • 年間売上高1兆ウォン → 1兆 × 4% = 400億 → 上限2,000万ユーロ(290億)に制限

小規模スタートアップから大企業まで一律に適用され、売上高が大きいほど罰金も幾何級数的に膨れ上がります。特にユーザーデータの閲覧・削除・移動権、忘れられる権利といった強力なユーザー権利を保証し、同意なしにデータを処理すると深刻な法的リスクが発生する可能性があります。

売上高が大きいほど罰金も高くなります。

🇺🇸 CCPA罰金

  • 違反1件あたり$2,500(約340万ウォン)→一般違反
  • 故意の違反の場合 $7,500(約1,020万ウォン)
  • 個人・集団訴訟が可能 → 件数が積み重なると破産寸前

違反1件あたり約340万ウォンが発生し、故意の違反時には約1,020万ウォンの罰金が積み上がり、個人および集団訴訟が積み重なるほど訴訟金額が幾何級数的に増加します。

  • CCPA罰金例:
  • 個人情報漏洩1,000件、故意違反 → 1,000 × $7,500 = $7.5M(約102億ウォン)

罰金は違反1件あたり最大$2,500(約340万ウォン)、故意の違反時は$7,500(約1,020万ウォン)であり、違反件数が積み重なると集団訴訟につながる可能性があり、相当なリスクを伴います。 例えば個人情報1,000件漏洩時、故意違反であれば総罰金が約102億ウォンまで跳ね上がる可能性があります。

👉 CCPAは「件数」が脅威で、GDPRは「売上高」が脅威です。

GDPR vs CCPA 核心比較

項目GDPRCCPA
適用基準売上高に関係なく、EU・EEAのユーザーを対象全世界売上高2500万ドル以上 + カリフォルニア州住民との関連性が必要
ユーザーの権利データ閲覧・削除・移動権、忘れられる権利データ閲覧・削除・販売拒否権
罰金最大2,000万ユーロまたは売上高の4%(いずれか大きい方)違反1件あたり2,500ドル(通常)、7,500ドル(故意)
恐ろしい点売上高が大きいほど罰金爆弾件数が積み重なると訴訟+罰金爆弾

GDPRは「売上高に関係なく、ユーザー基準」で恐ろしく、CCPAは「大企業+カリフォルニア州住民のデータ」が恐ろしいポイントです。

まとめ

  • GDPR:欧州ユーザーが一人でもいれば準備しよう!
  • CCPA:グローバル大企業+カリフォルニア州ユーザーデータに注視!

数万人規模で問題が起これば、罰金は「想像を超える」レベルで科されます。初期から備えれば、後々のリスク・コストを1/100に抑えられます。

コメントする

목차
목차