日本企業も知るべきCCPA (California Consumer Privacy Act)について
はじめに
CCPAとは、カリフォルニア版のGDPRだと言われているカリフォルニア州法です。
GDPRが呼び水となって、昨今のプライバシー情報への関心の高まりから、カリフォルニアでも消費者のプライバシーに関する法律が制定されました。
2020年1月に有効にされるが、GDPR同様にカリフォルニア州内の事業者のみに適用されるわけではなく、カリフォルニアの居住者にサービス提供する事業者に適用される法律です。つまり、CCPAは日本企業にも適用されます。
本稿では、CCPAについて簡単にご紹介したいと思います。
- そもそもCCPAってなに?
- 保護対象の情報はなに?
- 規制を受ける対象はなに?
- タイムラインは?
- GDPRとの違いは?
- おまけ(成立の経緯)
そもそもCCPAってなに?
California Consumer Privacy Act (CCPA)とは、消費者に自身の個人情報の取り扱いをコントロールする権利を与えるための法律です。
2018年の6月にカリフォルニア州政府によりカリフォルニア市民からの要望を受け*、法律として制定され、2020年1月より有効にされます。
*おまけをご覧ください。
CCPAは、消費者に大きく以下4つの権利を与えます。
- 知る権利
- オプトアウトする権利(消費者の情報を第三者に売却することをとめる権利)
- 削除する権利
- 消費者情報提供によらず同一のサービスを受ける権利
知る権利
消費者は、事業者がどのような個人情報を収集し、どう利用されているか知る権利。具体的に下記の通りです。
- 収集された個人情報の種類とその内容
個人情報の収集時に、収集する個人情報の種類とその利用目的を消費者に提示する必要があります。 - より詳細な個人情報の内容
どこから収集されたか、個人情報の収集/売却の目的、第三者への提供と提供先の種類、具体的に収集された個人情報の内容 - 個人情報の売却
過去12ヶ月間に売却または提供された個人情報の種類およびその目的
1,2については、事業者は無料で提供する義務がありますが、12ヶ月の間に2回まで対応すればよいとされています。
また、消費者からリクエストを受けてから45日以内に回答をする必要があります。(加えて、本人確認をする必要があります)
オプトアウトする権利
消費者の個人情報を事業者が売却することを、消費者が拒否する権利。
一度消費者が拒否した場合は、今後消費者から許可がない限りは、個人情報の売却はできません。さらに、少なくとも12ヶ月は、消費者に売却の許可を求めてはいけないことになっています。
また、子供(16歳以下)に関しては、そもそも売却する前に許可を取る必要があります。(オプトアウトではなくオプトイン)
削除する権利
事業者のもつ個人情報の削除を依頼する権利。
本人確認後実施する必要があります。
消費者情報提供によらず同一のサービスを受ける権利
上記の3つの権利を行使したとしても、変わらず同一のサービスを受ける権利。
保護対象の情報はなに?
CCPAでは、個人情報(Personal Information)を保護対象としていますが、一般的にいう個人情報とは様相が異なります。一般的な個人情報は、個人の特定が可能な情報(PII)としてることが多いが、CCPAでは「特定の個人あるいは家庭に対して、直接的ないし間接的に識別、関連、説明、結び付け、あるいは合理的にリンク可能な情報」と定義しています。CCPAでは個人情報に、家庭を識別する情報も含まれていることが大きな特徴といえます。
また、条文中に個人情報の例が列挙されているが、非常に広範な情報を対象としているとみることができます。デバイスの識別情報やオンライントラッキング情報、さらには統計的に個人や家庭を特定する"Probabilistic Identifiers"も対象としています。
一方で、個人を特定不可能にすることについての定義も記載されており、それに従った情報は個人情報でないとすることができます。
規制を受ける対象はなに?
CCPAは、カリフォルニアの居住者の情報を収集・管理する、営利事業者のうち、以下のいずれかを満たすものを対象としています。
a) $25 million 以上の年間売上がある
b) 年間50,000件以上の個人情報をやり取りする
c) 売上の50%が、個人情報の売買によるものである
さらに、同一ブランドで事業を行っている企業の子会社・親会社も規制対象となります。
たとえば、XYZ株式会社という会社が上記の条件を満たす場合、その子会社であるXYZ Systems株式会社も、本規制を受けるということです。逆もまた然りであり、子会社が上記条件を満たす場合は、親会社も本規制を受けます。
このため、海外展開している企業はCCPAに準拠する必要があるか気をつける必要があるといえます。
タイムラインは?
2020年1月に有効にされ、2020年7月までには強制化されるといわれています。現段階では、修正を加えている状況であり、またカリフォルニア州政府からより明確な指針がでるとされています。
GDPRとの違いは?
カリフォルニアのGDPRといわれるものの、共通点は大きく以下二つです。
- 消費者に自身の情報をコントロールする権利を与えるという考え方
- 域外の事業者を対象とする点
それ以外は、共通点はほとんどなく、GDPRのほうが、情報漏えいの場合の通知やセキュリティ対策、情報の域外転送について等様々な領域をカバーしている、
消費者に与える権利についても異なっており、GDPRのほうがより詳細に様々な権利を与えています。(どのように情報を消費者に公開するか、忘れられる権利、修正する権利等)
GDPRがより広い範囲を対象にしているが、GDPRに準拠したからといってCCPAに準拠できているとは限らない点も、注意が必要であす。(オプトアウトの仕組みなど)
おまけ(成立の経緯)
CCPAの成立の背景は興味深いので、簡単に紹介します。
CCPAは、法案が提出されたからわずか数日で、サインがされ通った法律です。
この背景として、カリフォルニアの「市民が法律を作成できる仕組み」(Ballot Initiative)があります。CCPAと同種の法案が2018年11月に、このBallot Initiativeにより提出されようとしていました。63万人もの市民の署名が集められており、法律として成立するものと見られていました。しかし、Ballot Initiativeによって、法律が制定された場合、その修正のハードルが非常に高いものとなります。(州政府が修正を独自に加えられず、別のBallot Initativeによってしか変更できない)。Ballot Initiativeのスポンサーが、州政府に対して、もしJune29までにCCPAをサインしたら、Ballot Initiativeであげている法案は取り下げることを提言され、州政府はそれに従った形です。
このような背景から、早急な法案成立がなされました。