|
カリフォルニア州の消費者向けにビジネスを展開している場合には、CCPAへの対応が必要です。
カリフォルニア州では、消費者のプライバシーや個人情報を強く保護する法体制が整えられており、CCPAへの違反が発覚した場合には、事業者に対して厳しいペナルティが科されるからです。
本記事では、CCPAについて不安がある法務担当者や経営者の方のために、CCPAの規制内容や違反時のペナルティについてわかりやすく解説します。
アメリカ向けにサービスを展開している企業が弁護士に相談するメリットも紹介するので、ぜひ参考にしてください。
弁護士に問い合わせる
CCPAとはカリフォルニア州消費者プライバシー法のこと
CCPA(CaliforniaConsumerPrivacyAct)とは、2020年1月1日に施行されたカリフォルニア州消費者プライバシー法のことです。
カリフォルニア州の消費者のプライバシーを保護するために、消費者の権利や事業者の義務、違反時の罰則などについて厳格なルールが定められています。
カリフォルニア州でCCPAが制定された経緯は以下のとおりです。
|
2023年1月にCCPAから「CPRA」へと改正されている
2023年1月、2020年1月から施行されているCCPAが「CPRA(CaliforniaPrivacyRightsAct)」に改正されました。
CCPA時代よりも消費者側が有する権利が拡大され、また、事業者側に課される義務や罰則が重くなったことにより、消費者などのプライバシー権が今まで以上に保障されるに至っています。
CPRA(改正CCPA)について押さえておくべき4つの基本ポイント
ここからは、個人情報保護委員会のホームページを参考に、CPRA(改正CCPA)に規定されている基本事項について解説します。
1.カリフォルニア州の消費者の個人データを取り扱う際の規制である
CPRA(改正CCPA)は、カリフォルニア州における消費者の個人データを保護する目的で制定された法律です。
ここでの個人データとは、「特定の消費者または世帯を、識別し、関連し、叙述し、合理的に関連付けることができ、または、直接的にもしくは間接的に合理的にリンクさせることのできる情報」と定義されています。
CPRA(改正CCPA)に定義される個人データの具体例は、以下のとおりです。
| 項目 | 具体例 |
|---|---|
| 識別子 | ・実名 ・別名 ・郵便番号 ・住所 ・一意個人識別子(Cookieなど) ・オンライン識別子(インターネット・プロトコル・アドレス、IPアドレス) ・Eメールアドレス ・アカウントネーム ・社会保険番号 ・運転免許証番号 ・旅券番号 ・その他の類似の識別子 など |
| 個人情報 | ・実名 ・サイン ・郵便番号 ・住所 ・電話番号 ・身体的特徴に関する情報や記述 ・学歴 ・職歴 ・社会保険番号 ・旅券番号 ・運転免許証番号 ・州の識別カード番号 ・保険証券番号 ・銀行口座番号 ・クレジットカード番号 ・デビットカード番号 ・医療情報 ・健康保険情報 ・地理位置データ など |
| 商業的情報 | ・個人の財産の記録 ・購入、取得、検討した製品やサービスの記録 ・消費の履歴や傾向に関する情報 ・消費者について識別された情報から引き出された推定情報 など |
| 生体情報(バイオメトリック情報) | ・フェイスプリント ・指紋、手、手のひら ・顔 ・音声データ ・声紋のように識別テンプレートを抽出できる虹彩 ・網膜 ・血管パターン及び音声録音の像、並びに、識別情報を含むダンピングパターン、リズム ・歩行パターン、もしくは、リズム ・睡眠、健康、運動に関するデータ・特徴点登録情報 (マニューシャ・テンプレート) など |
| インターネットまたはその他電子的なネットワーク活動の情報 | ・Webサイトなどの閲覧履歴 ・検索履歴 ・ダウンロード履歴 ・Webサイトなどの滞在時間などに関する情報 ・インターネットサイトやアプリケーション、広告と消費者との間のやり取りに関する情報 など |
| 機微な個人情報(センシティブ情報/SensitivePersonalInformation)※ | ・社会保障番号(ソーシャル・セキュリティ番号) ・運転免許証番号 ・州の身分証明書番号(州IDカード番号) ・パスポート番号 ・アカウントへのアクセスを許可する任意のセキュリティコード、パスワード、アクセスコード、または、認証情報と組み合わせられたアカウントログイン情報、金融機関口座情報、デビットカード情報、クレジットカード情報 ・正確な地理位置情報 ・人種的起源、民族的起源、宗教上の信念、哲学上の信念、労働組合への加入状況 ・郵便物、電子メール、テキストメッセージの内容 ・遺伝データ ・個人を一意に識別する目的で処理された生体情報 ・健康に関して収集・分析された生体情報 ・性生活または性的指向に関して収集・分析された生体情報 |
※「機微な個人情報」は、CPRA(改正CCPA)で新設されたカテゴリー
2.一定規模の事業をおこなっている場合はCPRAの適用対象となる
CPRA(改正CCPA)の規制が適用されるのは、以下の各カテゴリーのいずれかの要件を満たす事業者です。
| カテゴリー1 | 利益または金銭的便益のために組織・運営され、カリフォルニア州の住民・消費者の個人情報を収集し、または、自己の代わりに個人情報が収集され、単独またはほかと共同で消費者の個人情報を処理する目的と手段を決定し、カリフォルニア州で事業をおこない、かつ、以下の基準のひとつまたはそれ以上を満たす、個人事業体、パートナーシップ、有限責任会社、法人、団体、または、その他の法的主体。 ・暦年の1月1日時点で、前暦年の年間総収入が2,500万米ドルを超えること ・単独または組み合わせで、年間10万件以上の消費者または世帯の個人情報を購入、販売、または共有していること ・年間収入の50%以上を消費者の個人情報の販売または共有から得ていること |
|---|---|
| カテゴリー2 | カテゴリー1に定める事業者を支配し、または、これに支配され、その事業者と共通のブランドを共有し、かつ、その事業者が消費者の個人情報を共有する主体。 ※支配とは、「発行済議決権付株式の50%超を所有し、または、議決権を有していること」「取締役の過半数の選任につき支配していること」「経営について支配的な影響力を行使する権限を有していること」のいずれかの要件を満たす状態のことです。 ※共有のブランドとは、一般的な消費者が2つ以上の事業者が共通して所有していると認識できるような共通の名称・サービスマーク・商標などのことです。 |
| カテゴリー3 | 各事業者が少なくとも40%の持分を有する事業者で構成されるジョイントベンチャーまたはパートナーシップ |
| カテゴリー4 | カリフォルニア州で事業をおこなう者で、カテゴリー123のいずれにも該当せず、CCPAを遵守し、それに拘束されることに同意することを自主的にカリフォルニア州プライバシー保護局に証明した者 |
なお、「カリフォルニア州で事業をおこなっている」という要件への該当性についてCPRA(改正CCPA)では厳格な要件が定められていません。
たとえば、日本企業がカリフォルニア州に子会社を設立して事業活動を展開している場合でも、親子関係や事業実態など次第では、CPRA(改正CCPA)が適用される可能性があります。
そして、CPRA(改正CCPA)の適用を受けると判断されると、事業者側には消費者の個人データについて厳格な義務を負担させられて、違反時には非常に重いペナルティが科されます。
そのため、カリフォルニア州において一定の影響力がある事業活動を展開している場合は、自社内で個人データの管理などについて明確なルール設計をする必要があるでしょう。
3.対象事業者は消費者への通知義務など一定の対応をする必要がある
CPRA(改正CCPA)では、消費者の個人データに関して、消費者の権利及び事業者の義務を詳細に規定しています。
ここでは、CPRA(改正CCPA)で規定されている消費者の権利と事業者の義務について、詳しく見ていきましょう。
CPRA(改正CCPA)で認められている消費者の権利
CPRA(改正CCPA)では、消費者の権利として、以下のものを定めています。
| 消費者プライバシー権利の種類 | 内容 |
|---|---|
| 知る権利(開示請求) | 事業者が収集・販売・共有する自分の個人情報の内容や類型について知ることができる |
| 削除請求権 | 事業者が保有する自己の個人情報を削除するように請求できる |
| 訂正請求権 | 事業者が保有する自己の個人情報に誤りがある場合に訂正するように請求できる |
| 個人情報の販売または共有に関するオプトアウト権 | 事業者による自己の個人情報の販売・共有を拒否できる |
| センシティブ情報の開示・利用の制限権 | 自己のセンシティブ情報について、事業者の利用及び開示の制限を請求できる |
| 未成年者のオプトイン権 | 16歳未満の未成年者の個人情報の販売・共有についてオプトインの手続きを請求できる |
| 権利行使を理由として差別されない権利 | 消費者プライバシー権を行使することで不当な取り扱いや差別をされないように求めることができる |
CPRA(改正CCPA)で定められている事業者の義務
CPRA(改正CCPA)では、事業者に課される義務として、以下のものを定めています。
| 事業者に課される義務 | 内容 |
|---|---|
| 通知義務 | ・個人データを収集する事業者は、事前に消費者が読みやすく理解できる形で収集する個人データの種類・目的を通知しなければいけない。 ・個人データを収集する事業者は、事前に通知した利用目的以外の用途で個人データを利用してはいけない。 ・個人データを販売・共有する事業者は、個人情報の販売・共有についてオプトアウトする権利があることを消費者に通知しなければいけない。 ・事業者が個人データの保持・販売について消費者に金銭的なインセンティブを提供する場合には、そのインセンティブの内容やサービス面で生じる差異について通知しなければいけない。 ・消費者の個人データを扱う事業者は、プライバシーポリシーを開示し、少なくとも12ヵ月に1回はその情報をアップデートしなければいけない。 |
| 対応義務 | ・消費者から開示請求がおこなわれた場合には、原則として45日以内に対応しなければいけない。 ・開示請求に対しては、事業者が過去12ヵ月以内に収集した個人データの種類・収集源、個人データを開示・販売・共有した相手・開示などをした個人データの種類・目的を開示しなければいけない。 ・消費者からの削除請求がおこなわれた場合には、原則として45日以内に対応しなければいけない。 ・削除請求への可否を通知し、削除請求に応じる場合には個人データの完全削除や非差別化などの対応を徹底しなければいけない。 ・消費者からの訂正請求がおこなわれた場合には、原則として45日以内に対応しなければいけない。 ・消費者からのオプトアウトの要求がおこなわれた場合には、原則として15日以内に対応しなければいけない。 ・消費者からオプトアウト要求がなされたときには、90日以内に個人データを販売・共有した全て の第三者に対して通知をおこない、この通知を受けた第三者は個人データの販売・共有を停止しなければいけない。 ・消費者からのセンシティブ情報の利用・開示の制限要求がおこな割れた場合には、その情報の利用をサービスの提供に必要は範囲に制限しなければいけない。 |
| 検証義務(本人確認) | ・事業者は、消費者プライバシー権を行使する消費者が本人であることを検証するための合理的な方法をあらかじめ決定し、文書化して遵守しなければいけない。・なりすましや偽装によって消費者プライバシー権が行使された結果、本人の権利侵害が生じるおそれがあるときには、厳格な本人確認方法を再構築しなければいけない。 |
| 研修義務 | ・消費者の個人データやプライバシー情報を取り扱う担当者、CPRA(改正CCPA)遵守について消費者からの問い合わせ窓口に着任する担当者は、全員がCPRA(改正CCPA)で規定されている権利義務の内容や消費者の権利行使に関する案内方法の知識を有さなければいけない。 |
| 記録管理義務 | ・事業者は、CPRA(改正CCPA)に基づく消費者の請求と事業者がどのような対応をしたのかについて、少なくとも24ヵ月間その記録を保持しなければいけない。 |
| 差別の禁止 | ・事業者は、消費者プライバシー権の行使を理由に消費者を差別してはいけない(サービス提供の拒否、ペナルティの請求、サービスの質の低下、報復行為や、これらを示唆することなど)。 |
| 合理的なセキュリティの手続きと慣行を実装する義務 | ・違法アクセス、違法利用、破壊、改変、漏えいなどのリスクを回避するために、個人データの性質に照らして合理的なセキュリティ対策を実施しなければいけない。 |
| データ保護影響評価の実行義務 | ・消費者のプライバシーまたはセキュリティに重大なリスクを生じさせるおそれがある個人データの処理をおこなう事業者は、毎年サイバーセキュリティ監査を実施しなければいけない。 ・カリフォルニアプライバシー保護庁に対して、定期的に個人データの処理に関するリスク評価を提出しなければいけない。 |
| 未成年者の個人データ取り扱いなどに関する義務 | ・13歳未満の消費者の個人データを収集・保持する事業者は、13歳未満の消費者の個人データの販売・共有を認める者が親権者・監護者であることを判定するための方法を定めて、文書化し、遵守しなければいけない。 ・消費者が13歳未満の場合には親権者・監護者が、13歳以上16歳未満の場合には本人が、積極的に個人データの販売・共有を認めていない限りは、個人データを販売・共有してはいけない。 |
| 契約締結義務 | ・消費者の個人データを販売・共有する場合には、販売先・共有先である第三者、及び、個人データの開示先であるサービスプロバイダとの間で、個人データの取り扱いに関する契約を締結しなければいけない。 |
以上を踏まえると、事業者側としては、CPRA(改正CCPA)に対応するために、以下のポイントに留意するべきと考えられます。
|
4.違反すると制裁金が課されたり訴訟を起こされたりする可能性がある
CPRA(改正CCPA)に違反した場合、事業者には以下のペナルティが科される可能性があります。
|
CPRA(改正CCPA)違反や消費者の個人データ大規模漏えい事件などが発生すると、事業者は裁判手続きへの対応だけではなく、非常に高額の賠償責任の負担を強いられかねません。
日本のプライバシー侵害とは異なり、アメリカのカリフォルニア州ではプライバシー権侵害に対する事業者の法的責任を極めて重く捉えています。
日本を主戦場に事業活動を展開している事業者においては、日本と同様の運用をしてしまったがゆえに想像以上のペナルティが生じるリスクがあるでしょう。
そのため、CPRA(改正CCPA)の適用を受ける可能性があるなら、できるだけ早いタイミングで消費者の個人データ取り扱いに関する環境を整備するべきです。
弁護士に問い合わせる
CPRA(改正CCPA)への対応を検討したほうがよい企業のパターン
「日本企業にカリフォルニア州のCPRA(改正CCPA)は関係ないのでは?」と安易に判断するのはハイリスクです。
なぜなら、事業活動の状況・内容次第では、カリフォルニア州司法長官の判断でCPRA(改正CCPA)が適用される可能性があるからです。
CPRA(改正CCPA)の適用を受ける事業者に該当する可能性がある場合は、CPRA(改正CCPA)への対応を検討するべきでしょう。
ここでは、CPRA(改正CCPA)への対応を検討するべき企業のパターンについて解説します。
1.カリフォルニア州の現地企業を有している企業
CPRA(改正CCPA)が適用されるのは、カリフォルニア州に本店を構えている企業だけではありません。
たとえば、日本に本店を構える事業者であったとしても、カリフォルニア州に子会社を設立している場合や、カリフォルニア州の現地会社の株式を相当数保有している場合には、CPRA(改正CCPA)が規定する事業者カテゴリー2が適用される可能性があります。
この場合には、現地子会社などの年間売上額や個人データの販売・共有などの件数・売上に占める割合、現地子会社の株主構成や経営判断への影響度合いなどがポイントになるでしょう。
2.アメリカ向けにオンラインサービスを提供している企業
カリフォルニア州の現地に法人などを構えていなかったとしても、カリフォルニア州の消費者向けにオンラインでサービスや商品を提供している場合には、CPRA(改正CCPA)に規定される事業者カテゴリー1が直接適用される可能性があります。
売上額はそこまで高額ではなかったとしても、市場分析や経営戦略決定のためにカリフォルニア州の消費者情報を大量に取得している場合、CPRA(改正CCPA)が適用され得るので、必ずアメリカの個人情報法制に詳しい弁護士のリーガルチェックを受けるようにしてください。
CPRA(改正CCPA)への対応が心配な場合は弁護士に相談しよう
国際的に事業活動を展開する際には、日本国内の法制度だけではなくターゲットになる国の諸規制も遵守する必要があります。
しかし、そもそも企業法務は専門性の高いジャンルですし、そこに渉外的な側面が絡んでくると、自社の法務部門の判断だけで全てのリーガルチェックを適切に実施するのは容易ではありません。
そのため、CPRA(改正CCPA)に対応するべきか、対応するとしてどのような施策をおこなうべきかなどについて不安を抱いたときには、企業法務や国際取引を得意とする弁護士へ相談することが大切です。
ここでは、CPRA(改正CCPA)について相談できる弁護士を見つける方法を紹介します。
1.企業法務弁護士ナビ|国際取引の相談ができる弁護士を探せる
企業法務弁護士ナビは、企業法務を得意とする法律事務所・弁護士を紹介する総合法律ポータルサイトです。
契約書のチェックなどの基本的な法務サービスから、M&A・法務DD・ファイナンス・著作権問題・IPO・企業間紛争・会社設立・従業員による横領事件などの専門性の高い企業法務に至るまで、さまざまな企業法務トラブルに対応できる弁護士を紹介しています。
相談内容や法律事務所のエリアから24時間無料で弁護士を検索できるので、CPRA(改正CCPA)について少しでも疑問がある場合は、ぜひ活用してください。
企業法務が得意な弁護士を都道府県から探す
2.ベンナビIT|IT法務やネット法務の相談ができる弁護士を探せる
ベンナビITは、インターネット関係の法律問題、企業のIT化などを得意とする弁護士を紹介する総合法律ポータルサイトです。
たとえば、カリフォルニア州の消費者向けにWebでサービスなどを提供しているような場合には、海外用のインターネット契約書を用意したり、消費者トラブルに対応する体制を整えたりする必要があります。
ベンナビITでは、Web取引関係のリーガルチェックやインターネット紛争発生時の対応に慣れた弁護士を多数紹介しているので、海外取引についても安心して相談できるでしょう。
さいごに|CCPA/CPRAの対応事項を整理して、必要な対策をおこなおう!
本記事では、CPRA(改正CCPA)の概要や適用される条件、違反した際のリスクなどについて詳しく解説しました。
CPRA(改正CCPA)が適用される可能性があるなら、できるだけ早いタイミングで国際取引に強い弁護士に相談・依頼をして、消費者の個人データなどを管理する体制を整えましょう。
CPRA(改正CCPA)への対応が遅れてカリフォルニア司法当局から摘発されると、重い法的責任を追求されるだけではなく、事業活動自体に支障が生じかねないからです。
企業法務弁護士ナビやベンナビITでは、CRPA(改正CCPA)などの高度な国際的な法的論点に詳しい弁護士を多数紹介中です。
そのほか、国際取引やIT法務に関するコラムも随時更新中なので、この機会にぜひ活用してください。
弁護士に問い合わせる
