California Privacy Rights Act (CCPA 2.0)について
はじめに
CCPA対応も済んでいない企業もいるなかで、CPRAが住民投票により採択されました。罰金額が3倍の$7,500になるなどCCPAより厳しい内容になっています。
本記事では簡単に採択にいたるまでの背景とCCPAとの差を中心にご説明いたします。
CRPA採択の背景
CPRAは、市民による立法プロセスを経て法律として制定されました。CCPAの紹介記事でもご説明したように、カリフォルニアには「市民が法律を作成できる仕組み」があります。CCPAのもととなる法律も元々はこの仕組みで法律化されるところを、カリフォルニア州政府が自ら類似の法律を通すことで市民立法を避けました。市民立法で制定された法律は容易に変更できないという特徴があり、これを避けたかったためです。
しかし、CCPAを提起したグループは、CCPAに満足しておらず(カリフォルニア州政府によって規制が弱められたと考えている)、今回のCPRAの立法に至りました。
タイムライン
CPRAのほとんどの項目は2023年1月まで有効になりません。また、2023年7月に強制化される予定です。
ただし、「知る権利」については、2022年1月以降に収集された個人情報も対象になります。
なお、B-to-Bでビジネスを行っている事業者については、CCPA同様に2023年1月まで猶予されています。
CCPAからの主な変更点
対象企業の変更
CCPAでは主に個人情報を事業に用いて収益を上げていた企業を対象にしていたところを、個人情報を何らかの形で共有するだけでも対象になりました。その一方で、個人情報の件数の制限は緩められ、50,000件→100,000件へ変更となりました。
権利の追加・拡張
以下の新しい権利が追加・拡張されました。
| 権利名 | 拡張 | 説明 |
|---|---|---|
| 個人情報を修正する権利 | 追加 | 事業者の持っている情報を修正する権利 |
| プロファイリングや自動化された意思決定に関する権利 | 追加 | GDPRでも規定されている権利。プロファイリングや自動化された意思決定に関してオプトアウトやどのような情報の使われ方がされているか知る権利 |
| センシティブな個人情報を制限する権利 | 追加 | 第三者提供の禁止など2次的な目的での利用を制限できる権利 |
| 削除する権利 | 拡張 | 削除要求を受けた事業者は、その個人情報を提供した第三者へ削除を要求する必要性が追加されました。 |
| データの移行性の権利 | 拡張 | 個人情報を他事業者に受け渡し可能な形で提供を受けることのできる権利 |
監査の義務化
CPRAでは、個人情報の取り扱いに関するリスク評価および情報セキュリティ監査を実施することが求められます。また、リスク評価の結果は定期的にCPPA (California Privacy Protection Agency) に提出する必要があります。(CPPAは、CRPAにより設置される組織)
CPPAの設置
現在CCPAでは、California Office of the Attorney General(OAG)によって施行されていますが、CPRAではCCPAという機関を新たに設置し必要な権限を与えています。GDPRは、各国でPrivacy専門の法的機関によって運営されているが、カリフォルニアにはそのような専門の組織がなく今回設置されることになったと考えられます。
GDPRの原則の取り込み
GDPRで存在する以下の3つの原則が取り込まれました。
- データの最小化原則
必要のある情報だけを収集するようにするという原則です。
- 目的の限定原則
目的外利用の禁止の原則です。初めに開示した利用目的以外の目的で利用する場合は、必ず再度本人に通知する必要があります。
- 保管制限の原則
適切な保管期間を定めそれを超えたら速やかに削除することをもとめる原則です。
業務委託事業者への義務の追加
以下の義務が委託事業者に課されました。
- 再委託の通知義務および同様の要件の再委託契約への盛り込み義務
- 委託事業者がプライバシー権の対応を支援する義務
- 委託事業者へ個人情報を渡す場合に、委託事業者がその他の情報と組み合わせて使わないことを契約に盛り込む義務
センシティブ情報の概念の追加
センシティブな個人情報とは、以下のような情報とされています。
- ソーシャルセキュリティ番号
- 免許証番号
- 銀行口座情報
- 位置情報
- 人種、信仰
- 公開されていないコミュニケーション(メールやテキスト等)
- 生体に関する情報
- 性的嗜好
まとめ
全体的にGDPRに近い内容の個人情報保護に関する法律となっていると思われます。
CCPAの本来の意図をくみ取って対応していた場合はそこまで大きな変更にはならないかもしれません。今後ルールが整備されてきますのでCRPA対象事業者は状況を定期的に確認することをお勧めします。
おまけ(CRPAは容易に変更できない)
悪名高いともいわれる市民による立法プロセス、これは主に以下によって容易に変更できないことによります。
これは、基本的に変更にあたって市民による投票が再度必要となるためです。法律上はカリフォルニア州政府も変更可能ではあるようですが、いかなる変更もその法律本来の意図に沿ったものでないといけないという制約があります。これにより、仮にプライバシーにより配慮する変更を加える場合であっても住民からカリフォルニア州政府が訴えられかねないというリスクがあり、州政府が変更を加えることが難しくなっています。
