カナダ PIPEDA コンプライアンス: デジタル ビジネス向けプライバシー ガイド

個人情報保護および電子文書法 (PIPEDA) に基づいて構築されたカナダの民間部門のプライバシー フレームワークは、2004 年の法律発効以来、最も重要な変革を迎えています。PIPEDA は引き続き連邦基準ですが、ケベック州法 25 (2021 ～ 2023 年に改正された民間部門における個人情報の保護を尊重する法律) は、カナダの州のプライバシーの新しいベンチマークを設定しました。提案されている連邦消費者プライバシー保護法 (CPPA) は、最終的に PIPEDA をより強力な GDPR の影響を受けたフレームワークに置き換えることになります。

カナダの現在の多層プライバシー フレームワーク (連邦 PIPEDA、ケベック州、アルバータ州、ブリティッシュ コロンビア州の州法、およびケベック州法 25 条) を理解することは、カナダで事業を行う、またはカナダの消費者にサービスを提供するデジタル ビジネスにとって不可欠です。

重要なポイント

• PIPEDA は、商業活動の過程で個人情報を収集、使用、または開示する民間部門の組織に適用されます (域外適用あり)
• ケベック州法 25 (2023 年 9 月に完全施行) は PIPEDA よりも厳格で、GDPR のような同意、権利、評価要件があります。
• 10 の公正な情報原則 (CAN/CSA 規格 Q830 より) が PIPEDA 準拠を管理します
• PIPEDA の義務的な違反通知では、OPC への報告と、「重大な危害の実際のリスク」を判断してから 72 時間以内の個人への通知が義務付けられています。
• 最終的には消費者プライバシー保護法 (CPPA) が PIPEDA に置き換わる — 制定を監視する
• プライバシー委員会 (OPC) は調査し、遵守を勧告することができますが、直接罰金を課すことはできません — 法案 C-27 はこれを変更することを提案しています
• ケベック州の情報委員会 (CAI) は、法律 25 に基づき、世界売上高の 4% または 2,500 万カナダドルまでの罰金を課す可能性があります。
• PIPEDA に基づく同意は意味のあるものでなければなりませんが、PIPEDA は適切な文脈において明示的および黙示的な同意の両方を認めます

---

カナダのプライバシー フレームワークの概要

連邦: ピペダ

PIPEDA (個人情報保護および電子文書法、2004 年) は、カナダの連邦民間部門プライバシー法です。以下に適用されます。

• 連邦規制産業の民間組織 (銀行、電気通信、州間交通、放送) - 州に関係なく
• 実質的に同様の州法が存在しないすべての州の民間組織 — 商業活動の過程で収集、使用、または開示される情報のため

免除される管轄区域: ケベック州、アルバータ州、およびブリティッシュ コロンビア州には、PIPEDA と実質的に類似しているとみなされる州法があります。これらの州では、PIPEDA が依然として連邦規制の活動および州を越えた/国境を越えた流れに適用されています。ケベック州法 25 では、さらに要件が追加されています。

州法

ケベック州 (民間部門における個人情報の保護に関する法律、法律 25): ケベック州で事業を行う過程で個人情報を収集する企業に適用されます。法律 25 の改革 (2022 年から 2023 年の段階で実施) により、PIPEDA を超えてケベック州の要件が大幅に強化されました。

アルバータ州 (個人情報保護法 - PIPA): PIPEDA と実質的に類似。アルバータ州に本拠を置く民間団体の地方活動に適用されます。

ブリティッシュコロンビア州 (個人情報保護法 - PIPA BC): 同様の枠組み。 BC州に拠点を置く民間団体の地方活動に適用されます。

オンタリオ州、マニトバ州、サスカチュワン州: 実質的に同様の州法はなく、PIPEDA が適用されます。

提案されている消費者プライバシー保護法 (CPPA)

法案 C-27 (法律案、2022 年 6 月に導入) は、消費者プライバシー保護法を制定し、PIPEDA を次のように置き換えます。

• GDPR の影響を受ける同意要件
• アルゴリズムの透明性と自動化された意思決定権
• データモビリティの権利
• 大幅に強化された罰金: 世界収益の最大 3% または 1,000 万カナダドル (Tier 1)。全世界収益の 5% または 2,500 万カナダドル (Tier 2)
• OPC の決定を裁定する独立したプライバシー法廷
• 子供のプライバシー保護を明示する

2026 年初頭の時点で、CPPA はまだ制定されていません。企業は立法の進捗状況を監視し、新しい枠組みが制定されたときに適応できるコンプライアンス プログラムを設計する必要があります。

---

PIPEDA のフェア情報 10 原則

PIPEDA は、カナダ規格協会の個人情報保護モデル コード (CAN/CSA Q830) の 10 原則に基づいて構築されています。

PIPEDA に基づく同意: 原則 3 では、意味のある同意が必要です。個人は、自分が何に同意しているのかを理解する必要があります。同意は、明示的（明示的、書面、または口頭）または黙示的（目的が明白であり、個人がそれを合理的に期待する場合）の場合があります。暗黙の同意は、機密性の低い情報やリスクの低い用途に適しています。機密情報や個人が予期しない用途については、明示的な同意が必要です。

OPC は、「一括同意」(複数の目的に 1 つのチェックボックスをオン) および「みなし同意」(データ慣行を高密度の契約条件に埋め込む) は意味のある同意を構成しないことを一貫して発見してきました。

---

ケベック州法 25: より強力な要件

ケベック州法第 25 号 (個人情報の保護に関する立法規定を近代化する法律) は、カナダで最も重要な州のプライバシー改革です。 3 つのフェーズで実装されます。

フェーズ 1 (2022 年 9 月): 必須の侵害通知、ガバナンス要件、プライバシー責任者の指定、保持スケジュール ポリシー

フェーズ 2 (2023 年 9 月): プライバシー影響評価、新しい個人の権利 (アクセス、修正、ポータビリティ、プロファイリングへの異議)、同意基準、自動化された意思決定のための透明性要件

フェーズ 3 (2023 年 9 月、継続): データポータビリティ権、インデックス解除権 (忘却の権利)、国境を越えた移転保護の影響評価

PIPEDA を超える重要な法律 25 の要件

プライバシー影響評価 (PIA): 個人情報の収集、使用、通信を伴うプロジェクトの前に必要です。高リスクプロジェクトの場合は、PIA を CAI に通知する必要があります。

国境を越えた転送 PIA: 企業はケベック州外に個人情報を伝達する前に、CAI が設定した基準を使用してプライバシー保護の影響評価を実施する必要があります。これには、情報の機密性、宛先管轄区域における法的保護、および情報を保護するために適用される措置を考慮する必要があります。

インデックスを解除する権利 (忘却の権利): 個人は、情報がもはや正確でなくなった場合、その人が未成年である場合、またはインデックスを作成する正当な理由がない場合、個人情報を広める自分の名前に付けられたハイパーリンクの削除を要求できます。

自動意思決定の透明性: 個人情報の自動処理のみに基づく決定が法的または重大な影響を伴う場合、個人は通知され、人間による審査を要求する権利を有さなければなりません。

同意基準: 同意は明確で、自由に与えられ、十分な情報が与えられたものでなければなりません。特定の目的ごとにリクエストする必要があります。ケベック州では通常、暗黙の同意だけでは不十分であり、明示的な積極的行動が必要です。

罰金: CAI は、法律 25 の重大な違反に対して、最大 2,500 万カナダドルまたは世界売上高の 4% (いずれか高い方) の罰金を課すことができます。CAI は執行を開始し、最初の罰則決定を出しました。

---

PIPEDA に基づく違反報告の義務化

PIPEDA に基づく義務的な違反報告要件 (2018 年 11 月 1 日から施行) は、セキュリティ保護措置の違反によって個人に「重大な危害が生じる実際のリスク」が生じた場合に適用されます。

重大な損害には、身体への危害、屈辱、評判の毀損、雇用、ビジネスまたは職業上の機会の損失、経済的損失、個人情報の盗難、信用記録への悪影響、人間関係の損傷または信頼の喪失が含まれます。

報告要件:

1. OPC への報告: 重大な危害の実際のリスクを判断したら、できるだけ早く。 OPC のデータ侵害報告フォームを使用します。

2. 影響を受ける個人に通知: OPC 報告と同時に、または可能な限り早く。通知は次のことを行う必要があります。

• 侵害の状況を説明する
• どのような個人情報が含まれているかを特定する
• 侵害に対処するために講じた手順の説明
• 影響を受けた人が自分自身を守るために何ができるかを説明する
• 組織の連絡先情報を提供する

3. 他の組織に通知: 別の組織が危害のリスクを軽減できる可能性がある場合 (信用調査機関、法執行機関など)、その組織に通知します。

記録保持: すべての侵害の記録を 24 か月間保持します (重大な損害の実際のリスクが判断されたかどうかにかかわらず)。 OPC はこれらのレコードを要求できます。

ケベック法第 25 条違反要件: ケベック州独自の通知要件がケベック州の企業に適用されます。第 25 条では、損害の危険性がある個人情報に関する機密保持事件を認識してから 72 時間以内に CAI 所定の書式を使用して CAI に通知することが義務付けられています。

---

データ転送と説明責任

PIPEDA の責任原則 (原則 1) は、第三者のデータ処理にも適用されます。組織は、処理のために第三者に転送される場合を含め、保管中の個人情報に対して責任を負います。処理者との契約では、同等の保護を提供する必要があります。

国境を越えた転送: PIPEDA は国境を越えたデータ転送を禁止していませんが、個人情報を海外に転送する場合は組織に責任を負わせるよう求めています。契約上の取り決めを利用して、同等の保護を確保します。 OPC のガイドラインでは、データの転送先となる国を文書化することが推奨されています。

ケベック州法 25 の国境を越えた制限: ケベック州では、州外への転送の前に、宛先の保護、情報の機密性、および適用される保護措置を考慮して、文書化されたプライバシー影響評価を義務付ける、より厳格な国境を越えた転送フレームワークを課しています。

---

プライバシー管理プログラム

OPC ガイドラインでは、PIPEDA コンプライアンスの基盤として包括的なプライバシー管理プログラムを導入することを推奨しています。

1.プライバシー ガバナンス:

• 適切な権限と専門知識を持つプライバシー責任者を任命します
• プライバシーポリシーと手順を開発および実装する
• 明確な責任を伴うプライバシー ガバナンス構造を構築する

2.リスク管理:

• 新規または変更されたプログラム、システム、活動に対してプライバシー影響評価 (PIA) を実施する
• プライバシー リスクのリスク登録を維持する
• プライバシー レビューを製品開発および IT 変更管理に統合します

3.政策枠組み:

• プライバシー ポリシー (一般向け)
• データの保持と破棄のポリシー
• 違反対応手順
• サードパーティベンダー管理ポリシー
• 従業員プライバシーポリシー

4.トレーニングと意識:

• 全従業員を対象とした年次プライバシー研修 ・日常的に個人情報を取り扱う者を対象とした役割別研修
• 新入社員の入社時研修

5.監視と検証:

• 定期的なプライバシー監査
• PIA の定期的なレビューと更新
• プライバシーポリシーの年次見直し
• OPC、CAI、および州のプライバシー委員会からの規制指導の監視

---

OPC の施行と苦情処理

OPC (カナダプライバシー委員会事務局) は主に PIPEDA の下でオンブズマンとして活動しており、苦情を調査し​​、勧告を行っていますが、直接罰金を課すことはできません。現在の PIPEDA では、OPC 勧告の遵守は法的に強制されていませんが、OPC はその結果を執行する裁判所命令を連邦裁判所に申請することができます。

苦情処理:

1. 個人が組織に苦情を提出する (推奨される最初のステップ)
2. 個人が OPC に苦情を提出します (事前の組織への連絡は必要ありません)
3. OPC は早期解決を試みます。失敗した場合は正式な調査に進む
4. OPC は調査結果と推奨事項を公表します
5. OPC は遵守を要求する命令を連邦裁判所に申請できる

裁判所命令には、慣行の変更、情報の破棄、通知の発行、損害賠償の支払いなどの要件が含まれる場合があります。

CPPA 案に基づく拡大権限を OPC に与える: 法案 C-27 は、OPC に、プライバシー裁判所を通じて執行可能な課徴金を直接課す権限を与えるものです。罰金は2500万ドル、または世界収益の5％に達することになる。

---

PIPEDA/法 25 準拠チェックリスト

• 連邦適用性の決定 (PIPEDA 対、分野および州に基づく州法)
• ケベック州法 25 の適用性を評価 (ケベック州で事業の過程で PI を収集する企業)
• プライバシー責任者が任命され権限を与えられる
• プライバシー ポリシーが公開され、最新でアクセス可能です
• 収集は合理的に必要なものに限定される (原則 4)
• 同意を得ました: 機密情報については明示します。非機密性に対して意味のある暗黙の意味
• 同意記録が維持される
• 新しいプロジェクトに対して実施される PIA (法律 25 は必須、OPC は PIPEDA に推奨)
• 国境を越えた移転の評価完了 (法律 25: 州外移転の前に PIA が必要)
• プロセッサ/ベンダー契約には同等の保護要件が含まれています
• データ保持スケジュールを文書化して実装する
• アクセス要求手順を文書化 (30 日間の応答)
• 訂正要求手順を文書化
• 侵害対応手順を文書化 (OPC レポート + 個別通知)
• 侵害記録の維持 (24 か月)
• ケベック州の事業における CAI 違反通知手順 (72 時間の予備)
• 従業員トレーニングが完了し文書化されている
• 自動化された意思決定の透明性が実装されました (法律 25)

---

よくある質問

PIPEDA はカナダの顧客にサービスを提供する米国の会社に適用されますか?

PIPEDA は、商業活動の過程で個人情報を収集、使用、または開示する組織に適用されます。あなたの米国の会社がカナダの消費者にサービスを提供する Web サイトを持っており、その個人情報を収集している場合、特にその情報の収集と使用に関して PIPEDA が適用される可能性があります。ケベック州法第 25 条は、「ケベック州で事業を行う」企業に適用され、商業目的でケベック州住民がアクセスできる Web サイトを維持することが含まれる場合があります。 OPCは、カナダ居住者のデータに関わるPIPEDA違反についてカナダ以外の企業を調査した。

PIPEDA と Quebec Law 25 の違いは何ですか?

ケベック州法 25 は一般に、いくつかの重要な分野で PIPEDA よりも厳格です。 (1) 同意: 法律 25 は、ほとんどの処理について明示的で具体的な同意を要求します。PIPEDA は、非機密情報については暗黙の同意を認めています。 (2) 国境を越えた移転: 法律 25 により、州外への移転前に正式なプライバシー影響評価が義務付けられています。 PIPEDA は説明責任を要求しますが、規定された評価形式はありません。 (3) 権利: 法律 25 には、インデックス解除、移植性、およびプロファイリングに対する異議の権利が含まれています。PIPEDA の権利はさらに制限されています。 (4) 施行: 法律 25 により、CAI は最大 2,500 万ドルまたは世界売上高の 4% までの罰金を課すことができます。 PIPEDA の OPC は裁判所命令のみを求めることができる。 (5) プライバシー影響評価: 新しいプロジェクトには法律 25 に基づいて義務付けられています。 PIPEDA では推奨されていますが、必須ではありません。

PIPEDA では電子メール マーケティングの同意はどのように機能しますか?

電子メール マーケティングに対する PIPEDA の同意は、PIPEDA と並行して運用されるカナダのスパム対策法 (CASL) によっても管理されます。 CASL では、例外が適用される場合を除き、商用電子メッセージを送信する前に明示的な同意を必要とします (既存のビジネス関係、事前の明示的な同意)。明示的な同意はオプトインする必要があります (事前にチェックボックスをオンにすることはできません)。既存のビジネス関係では、取引後 2 年間 CASL に基づく暗黙の同意が生じます。 PIPEDA 原則 3 に基づき、マーケティングに対する有意義な同意には目的を明確に特定する必要があります。 CASL の商用電子メールに関する特定の要件は、矛盾が生じた場合に PIPEDA を無効にします。CASL への準拠は、通常、電子メール マーケティング目的での PIPEDA の同意要件を満たします。

プライバシー影響評価 (PIA) はどのような場合に必要ですか?

PIPEDA の下では、個人情報を含む新しいプログラムやシステムについては OPC によって PIA が強く推奨されていますが、法的には義務付けられていません。ケベック州法 25 に基づき、個人情報の収集、通信、または使用を伴うプロジェクトを実行する前、および個人情報をケベック州外に通信する前に PIA が義務付けられています。 CAI は PIA ガイドラインを発行し、テンプレートを提供します。連邦政府各省庁は、カナダ人の個人情報を使用するプログラムに対して PIA を実施することも義務付けられています。実際には、PIA は、重要な個人データの収集を伴う新しい製品、機能、またはビジネス プロセスの標準的な慣行である必要があります。

ケベック法第 25 条に基づく「忘れられる権利」とは何ですか?

ケベック法第 25 号には、インデックスを削除する権利が含まれています。これは、忘れられる権利または忘却の権利とも呼ばれます。個人は、次のような場合、企業に対し、個人情報の配布を中止するか、自分の名前に添付されているハイパーリンクのインデックスを解除するよう要求できます。過度であるか、関連性がないか、または違法な収集の対象となっている。収集された目的とはもはや関係がありません。またはその人が未成年者である場合。これは GDPR の消去の権利とは異なります。基礎となるデータの削除だけでなく、ハイパーリンクのインデックス解除を特に対象としています。

---

次のステップ

カナダのプライバシー状況は外から見るよりも複雑です。連邦 PIPEDA、ケベック州法 25、州の PIPA 法、および提案されている CPPA 改革により、多層的なコンプライアンス環境が形成されています。カナダで事業を展開しているデジタル企業やユーザーにとって、ベースラインとして PIPEDA を満たし、最高の基準として法律 25 を満たす包括的なプライバシー プログラムを構築することが最も効率的なアプローチです。

ECOSIRE のチームは、企業がカナダのプライバシー要件に対処し、プライバシー バイ デザインのデジタル プラットフォームを設計し、PIPEDA とケベック州法 25 の両方の要件を満たす同意管理システムを導入するのを支援します。

詳細: ECOSIRE サービス

免責事項: このガイドは情報提供のみを目的としており、法的アドバイスを構成するものではありません。カナダのプライバシー法は、連邦法とケベック州法 25 の施行を通じて進化しています。あなたの組織に特有のアドバイスについては、資格のあるカナダの法律顧問に相談してください。