セキュリティ・コンプライアンス

カナダ個人情報保護電子文書法

PIPEDA (Personal Information Protection and Electronic Documents Act)

カナダの個人データ保護法。民間企業によるデータ処理を規制し、個人の情報開示権と削除権を保障します。

PIPEDA カナダ 個人情報保護 データ規制 プライバシー法
作成日: 2025年3月1日 更新日: 2026年4月2日

PIPEDA(カナダ個人情報保護電子文書法)とは

PIPEDAは、カナダの個人情報保護法(Personal Information Protection and Electronic Documents Act)で、民間企業による個人データの収集・使用・開示を規制しています。 1年以上にわたって年間売上100万ドル以上の商業活動を行う民間企業が対象です。カナダは2021年に「PIPEDA改正」を行い、プライバシー権をさらに強化しました。これによって、個人は「自分のデータを削除させる権利(忘れられる権利)」がより強く保障されるようになりました。

ひとことで言うと: カナダ版の個人情報保護法。カナダ国内の消費者データを扱う企業は、個人の同意を取り、データを安全に管理し、個人からの「私のデータを教えて」「削除して」の要求に応じる必要があります。

ポイントまとめ:

  • 適用対象: カナダで商業活動を行う民間企業(年間売上100万ドル以上)
  • 主な要求: 個人の知情権、アクセス権、修正権、削除要求への対応
  • 罰則: 行政罰で最大1000万ドル(約10億円)、または違反ごとに最大10万ドル

適用範囲

PIPEDAは以下の企業・活動に適用されます。

  1. カナダに拠点を持つ民間企業 — 企業の国籍を問わず、カナダ領土内で商業活動を行う企業が対象
  2. オンラインで個人データを収集する企業 — Eコマース企業、SaaS企業、SNS企業など、インターネット経由でカナダ国民のデータを処理する場合
  3. カナダの個人データを第三国に転送する企業 — ブラジルやEUへのデータ移転も、転移元でのPIPEDA遵守が必要

ただし、以下のケースは適用除外です。政治団体の個人データ処理(政党は規制外)、家族内での個人情報交換、公開されている情報(企業の組織図など)。

主な要件

PIPEDAで企業に課せられる主要な要件は以下の通りです。

個人の知情権 — 企業がどのような個人データを収集・保有しているかについて、個人は企業に対して開示請求ができます。企業は30日以内に、情報を提供する義務があります。

個人の同意取得 — 原則として、個人データの処理に本人の同意が必須です。ただし、ビジネス関係の維持に必要な情報(請求書送付先アドレスなど)は、同意なしに処理できます。

セキュリティ対策の実装 — データ暗号化、アクセス制限、従業員教育など、個人情報を守るための組織的・技術的な対策が必須です。

個人の削除要求への対応 — 個人が「自分のデータを削除してほしい」と要求した場合、原則としてそれに応じるべきです。ただし、法的な保存義務がある場合(税務記録など)は例外です。

プライバシーブリーチ通知 — セキュリティ侵害によってカナダ国民のデータが漏洩した場合、当該個人と規制当局への通知が必須です。

違反した場合

PIPEDAに違反した企業には以下の処分が課せられます。

行政罰 — カナダの個人情報保護委員会(Office of the Privacy Commissioner)から行政罰が課されます。軽度の違反で数万ドル、重度の違反で最大1000万ドルの罰金が課される可能性があります。違反ごと(複数の個人の削除要求に応じなかった場合、複数回とカウント)に最大10万ドル。

民事訴訟 — データ漏洩による個人の損害について、集団訴訟が提起される可能性があります。カナダでは個人情報損害に対する集団訴訟が増加傾向で、企業の賠償額は数百万ドルに上ることもあります。

公開謝罪勧告 — 規制当局は違反企業に対して公開謝罪を勧告することもあります。企業イメージへの打撃は大きいです。

なぜ重要か

カナダは北米で個人情報保護を最も厳格に規制している国の一つです。GDPRLGPDほどの知名度はありませんが、実務的には同等の厳しさを持ちます。さらに、カナダはアメリカと密接な経済関係があるため、北米市場でビジネスを展開する企業にとっては必須のコンプライアンス対象です。

また、2021年改正により「忘れられる権利」がより明示的になり、個人のプライバシー権が大幅に強化されました。これにより、企業のデータ保有ポリシーの見直しが迫られています。

実際の活用シーン

日本の大手ファッション通販がカナダで営業 カナダ国民の購買履歴、配送住所、支払い情報を保有。PIPEDA遵守のため、個人に対する開示請求への対応体制を構築。顧客データベースの暗号化、従業員の個人情報取扱教育も実施。カナダ国民からの削除要求に対応するプロセスも整備。

アメリカ発祥のSaaS企業がカナダ進出 キャンペーン管理ツールをカナダ企業に提供。エンドユーザーデータ(メールアドレスなど)の処理がPIPEDA対象。顧客企業に対して「PIPEDA準拠のデータ処理契約」を提示し、契約締結前にPIPEDA対応を説明。

Eコマース企業のセキュリティ侵害 カナダ国民の決済情報がサイバー攻撃で漏洩。企業は規制当局に報告し、漏洩個人への通知を実施。その後、個人情報保護委員会による調査を受け、セキュリティ対策の強化を勧告されました。

メリットと注意点

PIPEDA対応による企業メリットは「カナダ市場でのビジネス信頼」です。PIPEDAに準拠していることをアピールすれば、カナダ国民や企業は「この企業はプライバシーを真摯に扱う」と評価します。特に、GDPRやLGPD対応と並行してPIPEDA準拠を示すことで、グローバル企業としての信用が高まります。

注意点としては「複数国規制の同時対応」です。GDPR、LGPD、PIPEDAなど各国の規制は細部が異なり、企業の負担は膨大です。グローバル企業は「最も厳しい規制に統一」する戦略を採ることが多いですが、これでもなお複雑性が高いです。

また、PIPEDA改正による「削除権」の強化により、企業のデータ保持期間が短くなり、分析価値が低下するリスクもあります。例えば、顧客の過去数年の購買パターン分析をしようとしても、古いデータが削除されていて実施できない状況が生まれます。

関連用語

よくある質問

Q: PIPEDAはアメリカの個人情報保護法よりも厳しいですか? A: はい。アメリカは統一的な連邦個人情報保護法を持たず、業界ごと・州ごとに異なる規制があります。一方、PIPEDAはカナダ全土で統一された規制で、かつGDPRに近い厳しさを持ちます。

Q: カナダにお客さんが数人しかいない場合、PIPEDA対応は必須ですか? A: はい。PIPEDAは「カナダ国民のデータを処理する企業」すべてが対象で、企業規模や顧客数は関係ありません。ただし、実務的には「故意の大規模違反」と「小規模な誤りの違反」では、規制当局の対応が異なる可能性はあります。

Q: PIPEDA改正により「削除権」がより強くなったとのことですが、企業はどう対応していますか? A: 企業は、データ保持期間の最小化、削除システムの自動化、個人データの最小化ポリシーの見直しなどを行っています。また、「完全削除」ではなく「匿名化」による代替も検討されています。

関連用語

用語集に戻る
×
お問い合わせ Contact