Global Reachグローバル展開する企業を支援

MENU

お客様が抱える課題|Challenge

解説:カリフォルニア州消費者プライバシー法(CCPA)

 

※本内容は2019年10月の公開情報を参考にして作成し、記事中の各種情報は2020年6月現在のものです。

2020年1月1日からカリフォルニア州消費者プライバシー法(CCPA)が施行されました。

CCPAはカリフォルニア州法ですが、その対象企業に制限がないため、米国企業のみならず日本企業もCCPAの対象となり得ます。特にカリフォルニア州の消費者に対してリターゲティング広告を行っていたり、ソーシャルメディアのプラグインを埋め込んでいるWebサイトやモバイルアプリを提供している日本企業は、法律面、システム面の両面においてCCPA対応が必要になる可能性があります。

もっとも、CCPAの当局による取締りが開始されるのは2020年7月1日からと予想されていますので、CCPAの対象となる企業はこの期日に向けてCCPAの対応を進めることが重要です。

まずはCCPAとはどのような法律なのか、その概要について説明します。

1.CCPAの概要※1

(1) CCPAの施行日、今後の予定

施行日は2020年1月1日※2

州司法長官は2020年7月1日までに、本法の施行規則を制定しなければなりません※3
本法の施行規則の案は2019年10月10日に公表され※4パブリックコメントに付されました。今後このパブリックコメントを踏まえた案が州司法長官から再度公表されることが予想されています。

州司法長官は、最終規則公布の6ヶ月後、または2020年7月1日のいずれか早い期日までは、執行を行うことができません※5。従って、未だ最終規則が公布されていない現状からすると、CCPAの執行は2020年7月1日と予想されます。

(2) 対象となる事業者

カリフォルニア州居住者(消費者)の個人情報を取得する、カリフォルニア州で事業を行う事業者が対象となります。詳細は以下の通りです。

以下、1~4全てがYesの場合CCPA対象の事業者に該当します※6

  • (1)カリフォルニア州居住者(消費者)の「個人情報」を取得(外注業者が「個人情報」を取得する場合も含む)している
  • (2)消費者の「個人情報」の処理の目的と手段を決定している
  • (3)「カリフォルニア州で事業」を行っている
  • (4)以下のいずれかに該当する
    • a. 年間総売上高※7が、2,500万米ドルを超えている
    • b. 1年あたり、5万人、5万世帯、又は5万装置の個人情報を、単独または共同で購入し、売却し、「商業目的」で受領し、または「商業目的」で共有している
    • c. 「年間売上高」の50%以上を個人情報の売却から得ている

上記事業者を支配し、またはこれに支配される事業者であって、共通のブランドを共有する事業者も対象となります※8

なお、事業者の行う商業行為のうち、対象となる行為の全ての側面がカリフォルニア州外で行われている場合、具体的には以下の全てを満たす場合にはCCPA対象外となります※9

  • 消費者がカリフォルニア州の外にある間に事業者が個人情報を取得した
  • カリフォルニア州で消費者の個人情報を売却する行為の一部も行っていない
  • 当該消費者がカリフォルニア州内にある間に取得されたいかなる個人情報も売却されない

(3) 個人情報の定義※10

  • 直接的または間接的に、特定の消費者または家計を識別し、これらに関係し、これらと関連づけ得る、合理的にこれらと結びつけうる情報
  • 以下の情報等が個人情報として例示列挙されています
  • 実名、通称、住所、唯一個人識別子、オンライン識別子、IPアドレス、メールアドレス
  • 購入・取得・考慮した製品・サービスなどの履歴・傾向
  • 生体情報(虹彩、網膜、指紋、顔、手、掌、静脈模様および音声録音の画像でそれらから例えば肖像、指紋の特徴点、または声紋といった個人識別用テンプレートが導かれるもの、およびキー入力パターンまたはリズム、歩くパターンまたはリズム、および識別情報を含む睡眠、健康、又は行動データを含む)
  • インターネットの利用情報。例えば、閲覧履歴、検索履歴およびwebサイト、アプリまたは広告との関わり(閲覧、操作、インプレッション、クリック、コンバージョン)に関する情報など
  • 位置情報データ
  • 消費者の嗜好、特性、心理的傾向、性質、行動、態度、知性、能力、適性に関するプロファイルを作成するために他の個人情報から導き出された推論

(4) 対象事業者の義務

以下の義務が規律されています。

  • 個人情報取得時までに、個人情報の種類・利用目的を通知(プライバシーノーティス)※11
  • サイトに個人情報収集に関する一定事項を記載したプライバシーポリシーを公開し、年1回更新※12
  • 消費者のアクセス権
    (最低2通り(フリーダイアルの電話番号とウェブを有する場合そのアドレス)の方法を準備しなければならない。ただし、専らオンラインにて業務を行い、個人情報を収集する、消費者と直接の関係を有する事業者は、アクセス権行使のためのeメールアドレスのみを提供することで足りるとされています。)、削除権、データポータビリティ権の行使に対応※13
  • 消費者の権利行使を理由とする差別禁止※14
  • 個人情報の取得、売却等に関してインセンティブを与える場合、消費者からオプトイン同意を取得※15

(個人情報「売却」事業者の義務)

上記義務に加えて以下の義務を負うとされています。
企業がブランドサイトで広告目的cookieを利用している場合が「売却」に当たるか現状不明確ですが、広告機会の獲得が「価値ある対価」 (valuable consideration※16)とされ、「売却」に該当する可能性があると考えられます。

※ CCPAにおける「売却」とは、事業者が他の事業者等に対して、金銭又は「価値ある対価」と引き換えに、個人情報を開示すること等を言います※17

  • プライバシーポリシーに、売却する個人情報の種類を開示※18
  • サイトに、個人情報売却のオプトアウトページ(「Do Not Sell My Personal Information」ページ)を公開する※19
  • 16歳以下の子供データに関しては、原則売却は禁止※20
    (13歳以上16歳未満の場合、子供の積極的同意が必要。13歳未満の場合、親権者又は保護者の積極的同意が必要)

(5) 重要な適用除外

  • 医療情報、健康情報、信用情報、金融情報、運転者情報、リコール等に関する修理のための自動車等情報に関して、適用除外が規定されています※21
  • 従業員情報の適用除外(2021年1月1日まで)※22
    事業者により、従業員等の地位に基づき収集・取扱われる個人情報については、CCPA上のほとんどの義務が除外されています(ただし、プライバシーノーティス(1798.100(b)及び私人の提起する民事訴訟の定め(1798.150)は除外されていません。)
  • B2Bの適用除外(2021年1月1日まで)※23
    企業間にて、企業の商品やサービスの提供/受領等に関して収集・取扱われる個人情報については、CCPA上のほとんどの義務が除外されています(ただし、個人情報の販売のオプトアウト(1798.120)、権利行使に関する差別禁止(1798/125)、私人の提起する民事訴訟の定め(1798.150)は除外されていません。)

(63 対象事業者とサービス提供者との契約(義務規定ではなく任意)

対象事業者がサービス提供者を用いる場合、当該サービス提供者との書面契約で以下の契約条項を含む場合、当該サービス提供者のCCPA違反について対象事業者が責任を問われないとされています。よって、以下の契約条項を含む書面契約を締結することが推奨されます。

  • 個人情報の売却の禁止
  • 契約に定められたサービス履行以外の商業目的での個人情報の保持利用又は開示の禁止
  • 事業者との直接のビジネス関係以外での個人情報の保持、利用又は開示の禁止
  • 上記を理解し、遵守することを保証(certification)していること

(7) CCPA違反、データブリーチによるリスク

  • 州司法長官が提起する訴訟において差止め又は民事罰(1件(ただし1件のカウント方法は不明)につき最大2,500米ドル、故意の場合最大7,500米ドル)を請求されうる
  • 消費者が提起する民事訴訟において、事業者が情報の性質にふさわしい情報保護手順により個人情報を保護する義務に違反した結果、「個人情報」(ただしCCPAの定義と異なる※24)が不正アクセス等にさらされた場合、1件(1名1事案ごとに1件)につき100ドル以上750ドル以下の法定損害又は実損の大きい額(クラスアクションも可能)等の損害賠償を請求することができる。

2. 今後の見通し・まとめ

米国の個人データ保護法制につき、今後以下の動きが予想されます。

  • (1)CCPAの修正(今年度カリフォルニア州議会で従業員やB2Bに関する個人情報の取扱いが議論されることが予想されています。またCCPAを改正する新たな法案(California Privacy Rights Act, “CPRA”※25)も議論されることが予想されます。)
  • (2)CCPAの正式な施行規則の公表
  • (3)カリフォルニア以外の州法の制定(現在、ネバダ州、メイン州、イリノイ州で新たなプライバシー法が制定済みであり、今後他の州においても議論が予想されます)
  • (4)連邦法の議論

日本企業としては、米国の個人データ保護法制の動向を継続して注視するとともに、現状のCCPAが2020年7月1日から執行される見込みであることを鑑み、以下の検討を進めておかれることが推奨されます。

  • 業務内容を整理し、データマッピングを実施する
  • 個人情報を「売却」する業務の有無を整理し、当該業務がある場合は、オプトアウトシステム(未成年のオプトインシステム)の検討をする
  • サービス提供者との契約内容の整理、修正案の検討をはじめる
  • CCPA等に準拠したプライバシーポリシーのためのwebサイト改修の検討を開始する
  • データ主体の権利行使、データブリーチの際の対応計画、組織の構築等の検討を開始する
  • 業務システムのITセキュリティの調査を検討する

具体的には、CCPAの「【カリフォルニア州新プライバシー法(CCPA)】すぐわかるIT対応のポイント」にまとめておりますので、合わせてご活用ください。
CCPA対応に関して、お困りの際はご気軽にご相談ください。

※1)本資料は以下、2019年10月11日にカリフォルニア州知事により署名されたCCPA修正について概説します。
https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB1121
※2)Cal. Civ. Code 1798.198
※3)Cal. Civ. Code 1798.185(a)
※4)https://www.oag.ca.gov/sites/all/files/agweb/pdfs/privacy/ccpa-proposed-regs.pdf
※5)Cal. Civ. Code 1798.185(c)
※6)Cal. Civ. Code 1798.140(c)(1)
※7)年間総売上高について、カリフォルニア州内のみの売上か、企業全売上か、CCPA上明記されていません。今後明確化されることが期待されます。
※8)Cal. Civ. Code 1798.140(c)(2)
※9)Cal. Civ. Code 1798.145(a)(6)
※10)Cal. Civ. Code 1798.140(o)
※11)Cal. Civ. Code 1798.100(b)
※12)Cal. Civ. Code 1798.110,1798.130
※13)Cal. Civ. Code 1798.100,105,110,130
※14)Cal. Civ. Code 1798.125
※15)Cal. Civ. Code 1798.125
※16)“Consideration”のカリフォルニア契約法上の定義はCal. Civ. Code 1605にあり、約束者への誘引として約束者が何らかの利益を受けることまたは、契約相手方などの他人が何らかの不利益を受けることは、約束の十分な約因(good consideration)であるとされています。企業がcookieを広告代理店に開示することにより、効果的な媒体への広告期待という利益を受ける(すなわち売却に該当する)と解釈される可能性があると思われます。
※17)Cal. Civ. Code 1798.140(t)
※18)Cal. Civ. Code 1798.115, 130, 135
※19)Cal. Civ. Code 1798.135
※20)Cal. Civ. Code 1798.120
※21)Cal. Civ. Code 1798.145
※22)Cal. Civ. Code 1798.145(h)
※23)Cal. Civ. Code 1798.145(n)
※24)個人情報の定義を拡大して生体データ等を含む修正案が州議会で審議中です。
※25)https://oag.ca.gov/system/files/initiatives/pdfs/Title%20and%20Summary%20%2819-0021A1%29.pdf