Global Reachグローバル展開する企業を支援

MENU

お客様が抱える課題|Challenge

【カリフォルニア州新プライバシー法(CCPA)】すぐわかるIT対応のポイント

 

※本内容は2019年10月の公開情報を参考にして作成し、記事中の各種情報は2019年12月現在のものです。

2020年7月1日からカリフォルニア州消費者保護法(CCPA)の当局による取締りが開始されます。

米国企業だけでなく、日本企業もCCPAの対象となり得ます。特にカリフォルニア州の消費者に対してリターゲティング広告を行っていたり、ソーシャルメディアのプラグインを埋め込んでいるWebサイトやモバイルアプリを提供している日本企業は、法律面、システム面の両面においてCCPA対応が必要になる可能性があります。

ここでは、特に「ITシステム面でどのようにCCPA対応すべきか」について、ポイントを解説します。

1.はじめに

(1) CCPAについて

CCPAは、2018年6月にカリフォルニア州で成立した、米国で初めての包括的なプライバシー保護法と言われています。

これまで米国では、業法(金融、医療、信用情報、運転者等)やセンシティブデータ(13歳未満の子供、医療情報等)ごとにプライバシー保護法が制定されていました。対してCCPA、はカリフォルニア州住人の個人情報(cookieやインターネット閲覧履歴、生体情報(キー入力パターンも含む)など、位置情報も含む広い定義)を対象にしており、またカリフォルニア州以外の会社(日本企業も含む)にも業態を問わず適用される包括的な条文となっている点が特徴です。

CCPAのその他の特徴として、

  • 違反の際の罰金の上限の定めがないこと(1件最大2500ドル、故意の場合最大7500ドル)
  • データ漏えいの際カリフォルニア州住人から集団訴訟が予想されること(損害賠償額が1人1事案ごとに最低100ドル~750ドルと定められている)

というコンプライアンスリスクが高いことも挙げられます。

2020年7月1日と予想されています。CCPAの解説については「解説:カリフォルニア州新プライバシー法(CCPA)」をご覧ください。

(2) CCPA規則について

現在、CCPAの施行が間近に迫っているにもかかわらず、CCPAを遵守するために必要な事項を詳細に定めた規則は未だ正式に制定されていません(2019年12月10日現在)。

CCPA規則の第1次案は2019年10月10日にカリフォルニア州司法長官により公表されましたが、パブリックコメント(2019年12月6日まで)を経た後、再度の改訂、再度のパブリックコメントが予定されていることから、正式な規則制定までにはまだ日にちがあると予想されます。

この最初に公表されたCCPA規則案によると、CCPAの対象となる企業は多くの法定文書の作成とともに、多くのシステム上の対応もしなければならないことが明らかになってきています。また、CCPA規則違反もCCPA違反とされ、当局の是正措置の対象となるとされています(999.300条)

従って、CCPA対応には時間がかかると予想されることから、CCPAの取り締まりが開始される2020年7月1日に向けて、米国企業のみならず、日本企業においても急いでCCPA対応を進める企業が増えてきている状況です。

2. CCPA規則により要求されるシステム要件

CCPA規則案では、法定文書やシステムにおける消費者への通知要件、消費者要求への事業者の対応要件、消費者要求における本人確認要件、子供に関する個人情報の販売時の要件、消費者の無差別取扱いに関する要件が細かく規定されており、CCPA等(Cal Civ Code 1798.150条、1798.81.5条)では合理的なITセキュリティを確保する義務が規定されています。

このうち、システム上の対応(特にCookieの取扱い)の要求される、「(1)消費者への通知要件」「(2)消費者要求への事業者の対応要件」「(3)消費者要求における本人確認要件」「(4)子供に関する個人情報の販売時の要件」「(5)合理的なITセキュリティ確保義務」について概説します。

3. 消費者への通知

CCPA規則案では、「プライバシーノーティス(個人情報収集時通知)」「個人情報販売のオプトアウト権通知」「個人情報収集時の金銭的インセンティブ通知」「プライバシーポリシー通知」に関して、通知の内容や方法について詳細に規定がなされています。ここでは、このうちシステム上要求される主要な対応として、以下3点について解説します。

  • (1)プライバシーノーティス
  • (2)Cookieノーティス
  • (3)オプトアウト権の通知

これらの消費者への通知は、技術的・法律用語を避けた平易な言葉で、注意を惹く形式で行わなければならないと定められています(CCPA規則案※1999.305(a)(2)a,b, 999.306(a)(2)a,b。以下条文番号のみの場合CCPA規則案の条文をさします。)。また、障がいを持つ消費者がどのように他の形式で通知にアクセスできるのか、情報提供しなければならないとされています(999.305(a)(2)d,999.306(a)(2)d)ので、例えば視覚障害の方であれば音声サービスの提供、拡大表示、色彩変更機能の提供等が必要と解されます。

※1)https://www.oag.ca.gov/sites/all/files/agweb/pdfs/privacy/ccpa-proposed-regs.pdf

(1) プライバシーノーティス(個人情報収集時通知)

個人情報が収集される前に消費者が見ることができるような、見やすくアクセス可能な場所で通知しなければなりません(999.305(a)(2)e)。通知内容は以下を含まなければなりません(999.305(b))。

  • 収集する個人情報の種類のリスト
  • 個人情報利用の目的
  • 個人情報を販売※2する場合「Do Not Sell My Personal Information」または「Do Not Sell My Info」ページのリンク(紙フォームで通知する場合はWebのURLの明示)
  • プライバシーポリシーのリンク(紙フォームで通知する場合はWebのURLの明示)

※2)CCPAにおける「販売」とは、事業者が他の事業者等に対して、金銭又は「価値ある対価」と引き換えに、個人情報を開示すること等を言う広い概念です。企業がブランドサイトで広告目的cookieを利用している場合が「販売」に当たる可能性があります。

オンラインで個人情報を収集する場合は、上記内容を含むプライバシーポリシーへのリンクだけでもよいとされています(999.305(c))。

(2) Cookieノーティス

CCPAでは、Cookieやモバイル広告識別子等(以下単に「Cookie」と言います。)も個人情報に該当するとされています(Unique personal identifier Cal.Civ.Code 1798.140(x)(o))ので、Cookieを収集する前に通知(Cookieノーティス)が必要となります。

通知の内容や方法は、上記(1)のプライバシーノーティスと同様、Cookieが収集される前に消費者が見ることができるような、見やすくアクセス可能な場所で通知しなければならず(999.305(a)(2)e)、通知内容は以下を含まなければなりません(999.305(b))。

  • 収集する個人情報の種類のリスト
  • 個人情報利用の目的
  • 個人情報を販売する場合「Do Not Sell My Personal Information」または「Do Not Sell My Info」ページのリンク(紙フォームで通知する場合はWebのURLの明示)
  • プライバシーポリシーのリンク(紙フォームで通知する場合はWebのURLの明示)

従って、Cookie取得前に見やすくアクセス可能な通知を行うためには、Cookieバナーを用いて行う方法が望ましいと思われます。

(3) オプトアウト権の通知

Tracking CookieやGoogle AnalyticsやSNSプラグインを用いている場合には、CCPA上Cookie等の個人情報を販売していると考えられるため、「Do Not Sell My Personal Information」または「Do Not Sell My Info」というタイトルのオプトアウト権通知ページを作成した上で、webのホームページまたはモバイルアプリケーションのダウンロード/ランディングページに同ページへの明示的なリンクを提供しなければなりません(999.306(b), CCPA1798.135)。オプトアウト権通知ページの内容は、以下の内容を含まなければなりません(999.306(c))。

  • オプトアウト権の説明
  • オプトアウト権提出のためのwebフォーム
  • オプトアウト権提出の他の方法
  • 代理人を用いる場合の説明URL等
  • プライバシーポリシーのリンク

なお、今後CCPA規則の改定において、オプトアウトボタンまたはロゴが規定される予定です(999.306(e))。

4. 消費者からの要求への事業者の対応

CCPA規則案では、消費者の要求に対する対応として「(1)知る要求への対応」「(2)削除要求への対応」「(3)オプトアウト要求への対応」が規定されていますので、簡単に概要を説明します。

なお、本概要説明はCCPA規則案に記載されているものの一部であるため、CCPA規則案に基づいた社内規定で詳細を定めておく必要があり、消費者要求に対応する従業員に対する教育や実施訓練を行っておく必要があると考えられます。

消費者要求への対応は、以下の2つまたはそれ以上の方式で要求受付を行うとされています。

  • Webフォーム / モバイルアプリでのフォーム
  • 無料電話
  • E-mail
  • 紙のフォーム(手渡し)
  • 紙のフォーム(郵送)等

ただし、知る要求、削除要求に関しては、専らオンラインのみで業務を行う場合E-mailのみの受付で足りるとされています(CCPA 1798.130(a)(1)(A))

また、消費者要求および応答は24か月保持しなければならない、と定められています(999.317(b))ので、注意が必要です

(1) 知る要求への対応

10日以内に消費者に要求の取扱い方針の情報を提供し、45日以内に応答しなければならない(1回45日更に延長可)とされています(999.313(a)(b))。

開示は以下の場合に拒否することができます(999.313(c)(2)(3))。

  • 本人(代理人)からの本当の要求であることが確認できない場合
  • システムまたはネットワークのセキュリティにリスクを引き起こす情報の場合

社会保障番号、運転免許番号、その他政府関連ID番号、口座番号、健康保険または医療ID番号、アカウントパスワード、セキュリティの質問と回答は“絶対に”開示してはならないとされています(999.313(c)(4))。

また、会員制サイトを運用している場合は、個人の設定や購入履歴などを確認できるパーソナルページ内に収集している個人情報を開示するページを設けることで、「知る要求」にこたえることができるとされています(999.313(c)(7))

(2) 削除要求への対応

10日以内に消費者に要求の取扱い方針の情報を提供し、45日以内に応答しなければならない(1回45日更に延長可)とされています(999.313(a)(b))。

本人(代理人)からの削除要求は二段階プロセス(まず、消費者が明確に削除要求を提出すること、次にその要求が本当のものか事業者が確認すること。)で確認しなければなりません(999.312(d))。

本人確認ができない場合、削除要求を拒絶できますが、その場合、要求者に対し、本人同一性を確認できないこと、代わりに要求を販売のオプトアウト要求として扱うことを通知しなければならないとされています(999.313(d)(1))。

削除対応は以下のいずれかの方法によることとなり、どの方法で削除したか消費者に応答しなければなりません(999.313(2)(4))。

  • アーカイブおよびバックアップを除き個人情報を永久削除
  • 個人情報を匿名化する
  • 個人情報を集合化する(統計情報に丸める)

①のアーカイブおよびバックアップは次に取り扱われるまで削除遵守要求を遅らせてもよいとされています(999.313(3))。

(3) オプトアウト要求(「Do Not Sell My Personal Information」)への対応

要求受領後少なくとも15日以内に着手、90日以内に個人情報を販売した全ての第三者に通知しなければならないとされています(999.315(e)(f))。

なお、契約履行の条件として、当該契約で個人情報の販売を要求する場合には、個人情報の販売をオプトアウトした消費者に再度オプトインする方法を通知する必要があるとされています(999.316(b))。オプトインは2段階の手続き(①消費者が明確にオプトインを要求する画面を提供する、②要求を受けて、オプトインを選択してSubmitする画面を提供する。)が必要とされています(999.316(a))。

この2段階のオプトインは後述(6-2)の13歳以上16歳未満の場合の手続きと同じものですので、同種部品を用いることができると考えられます。

5. 消費者からの要求における本人確認

CCPA規則案では、消費者から要求を受けた際、当該消費者が個人情報を収集した消費者であるかを合理的に確認する方法を文書で定めておくことを要求しています(999.323(a))。

この本人確認は、システム上で「(1)ID/Passwordを発行している場合」と、「(2)発行していない場合」で要件が異なるとされていますので、以下概説します。なお本概要説明はCCPA規則案に記載されているものの一部であるため、CCPA規則案に基づいた社内規定で詳細を定める必要があり、消費者要求に対応する従業員に対する教育や実施訓練を行っておく必要があると考えられます。

(1) ID/Passwordを発行している場合

ID/Passwordでのログイン認証をもって本人確認とすることができるとされています。但し、いきなり情報開示や削除をするのではなく、消費者への再認証を求めなければならないとされています(999.324(a))。例えば、登録されているe-mailや電話番号等に本当にその要求をしたのか確認をすることが考えられます。

本人確認が疑わしい場合は「知る要求」や「削除要求」の要求に従ってはならず、さらに消費者の本人確認を行うために、次の(2)ID/Passwordを発行していない場合の方法で消費者の本人確認をすることができるとされています(999.324(b))

(2) ID/Passwordを発行していない場合

「①個人情報の種類の問合せ」「②個人情報の特定内容の問合せ」「③削除要求」で確認の度合いが異なるとされています。

①個人情報の種類の問合せの場合 消費者から2つのデータ要素を提示してもらい、それが事業者側が保有するデータ要素と一致していることが必要です(999.325(b))。
②個人情報の特定内容の問合せの場合 消費者から3つのデータ要素を提示してもらい、それが事業者側が保有するデータ要素と一致していること、および偽証罪の罰則が適用される消費者が本人である旨の署名つき宣言が必要です(999.325(c))。
③削除要求の場合 慎重に本人確認を行う必要があります。その基準は情報のセンシティブさや、仮に不正削除が行われた場合の個人へのダメージ(リスク)に応じて事業者側で設けられる必要があります(999.325(d))。

CCPA規則案では、本人確認の例として、ECサイトの場合、本人の名義の確認+クレジットカードセキュリティコード+購入履歴の突合せなど本人しか知りえない情報の確認を行う例が記載されています(999.325(e)(1))。
なお、確認目的で収集された新たな個人情報は、消費者要求の対応後、可能な限り早く削除しなければならないとされています(ただし消費者要求、およびその応答を記録するための保存を除く)ので注意が必要です(999.323(c))。

6. 子供(16歳未満)に関する個人情報の販売時の要件

CCPA規則案では、「(1) 13歳未満の場合」「(2) 13歳以上16歳未満の場合」でシステム上の要件が異なります。従って、子供に関する個人情報を販売する場合(例えばTracking CookieやGoogle AnalyticsやSNSプラグインを用いている場合)には、webページやアプリケーション上で、子供の年齢を聞くage gateの実装をした上で、子供の年齢に応じたオプトイン手続きを実装することが必要になります。

(1) 13歳未満の子供の個人情報の販売の場合

COPPA(Child Online Privacy Protection Act:連邦法)と同旨の、親権者の同意が必要とされています。具体的な確認手段は、

  • 偽証罪の罰則の付された親の署名のある同意フォームの受領(FAX, 郵便、電子スキャン))
  • 親のクレジット/デビットカードでの少額決済
  • 無料電話番号への親からの連絡確認
  • ビデオ会議での親からの連絡確認
  • 窓口での親との対面確認
  • 情報データベースに対して政府の発行したIDフォームのチェック(この場合確認後速やかに記録を削除する)
という方法が記載されています(999.330(a)(2))。
この場合、親の同意後、オプトアウト権利および手続きを親権者に通知しなければなりません(999.330(b))。

(2) 13歳以上16歳未満の場合

オプトイン手続きを取る必要があります。この場合のオプトインは2段階の手続き(①消費者が明確にオプトインを要求する画面を提供する、②要求を受けて、オプトインを選択してSubmitする画面を提供する。)が必要とされています(999.331,999.316(a))。
そして、オプトイン同意を受領した場合は、オプトアウトの権利およびその手続きを当該子供に通知しなければなりません(999.331(b))。

7. CCPAで要求されるITセキュリティ

CCPA 1798.150条(消費者による提訴権)の定めは、企業が「情報の性質に適切な妥当なセキュリティ手続きとプラクティスを実施し維持する義務」を有しているとしています。そして、この「セキュリティ手続とプラクティスの実施・維持義務」(セキュリティ義務)に違反した企業が、個人情報※3を漏えい等した場合には、1人1違反あたり最低100ドルから750ドルの損害賠償請求が認められています。

※3)この条文における個人情報とは、(双方暗号化等されていない)氏名及び以下の情報の組み合わせを言います。
①ソーシャルセキュリティナンバー、②運転免許の番号や州のIDの番号等の政府発行識別番号、③銀行口座番号、クレジットカード・デビットカード番号とセキュリティコード・パスワード等の組み合わせ、④医療情報、⑤健康保険情報、⑥生体データ(例えば指紋、網膜、虹彩等。写真は含まないが、顔認証目的に用いられる写真は含む。)

従って、このセキュリティ義務とはどのような義務かが問題になります。
これについて参考となる事実としては、2019年のカリフォルニア州議会で議論されていたCCPA修正案AB 1035ではThe framework for improving critical infrastructure cybersecurity (NIST)もしくはNIST-SP800-171の準拠を求めていましたが、議論の最中で、当該記述が削除された上、結局、当該修正案自体も議会を通過しませんでした。

また、カリフォルニア州司法長官が2016年に2月に出したCalifornia Data Breach Report※4での推奨策としてはCenter of Internet Security (CIS)のCritical Security Controls(CSC)の20の管理策を最低限の実装として推奨しています。

※4)https://oag.ca.gov/sites/all/files/agweb/pdfs/dbr/2016-data-breach-report.pdf

従って、少なくとも、CCPAで要求されるITセキュリティとしては、CISのCSCは最低限の実装として対策を取っておく必要があると言えるでしょう。

まずはこのCISのCSCに対する現状把握(ITセキュリティアセスメント)を行い、足りていない部分の対策をとり、やらなければいけないことが明確になれば、あとは予算を確保して対策を実施していくことが必要です。

8. まとめ

CCPAやCCPA規則に要求されているシステム上の対応として、(1)消費者への通知要件、(2)消費者要求への事業者の対応要件、(3)消費者要求における本人確認要件、(4)子供に関する個人情報の販売時の要件、(5)CCPAで要求されるITセキュリティ等を見てきましたが、意外と多くの変更が必要になる可能性があります。

まずは、2020年7月1日のCCPAの取締り開始をターゲットに、当局やカリフォルニア州住民から目に見える部分を中心に確実に対応していく必要があります。

Cookie規制対応のガイドブック無料で差し上げます