2018年5月にEU一般データ保護規則(GDPR)が施行され、大手プラットフォーム事業者等へ巨額制裁金が課されるなど、個人に関するデータの保護が話題を集めています。そのような中、米国においてもカリフォルニア州で2020年1月より新たに消費者プライバシー法(CCPA)の施行が予定されており、米国版GDPRとして大きな注目を集めています。
今回はCCPAの概要について、GDPR・日本の個人情報保護法との違いや、日本企業への影響の点を踏まえ、解説したいと思います。
CCPA(California Consumer Privacy Act)とは?
カリフォルニア消費者プライバシー法(CCPA:California Consumer Privacy Act)とは、カリフォルニア州民の個人情報を保護するための法律で、2020年1月より施行が予定されています。カリフォルニア州民の個人情報が本人の知らないところで第三者に販売されているという現状を踏まえ、カリフォルニア州民のプライバシーを適切にコントロールするために制定されました。
CCPAではカリフォルニアの消費者の権利として、以下を定めています。
- どのような個人情報が収集、利用、共有、販売されたのかを知る権利
- 事業者が収集した自らの個人情報の削除を要求する権利
- 自らの個人情報の販売をオプトアウト(拒否)する権利
- CCPAで規定されるプライバシー権を行使した際に不当な扱いをされない権利
(出典:CALIFORNIA DEPARTMENT OF JUSTICE,California Consumer Privacy Act (CCPA) FACT SHEETより)
カリフォルニアに在住している消費者および従業員がCCPAの保護対象であり、事業者が持つ従業員の情報(求職者の情報、従業員の緊急連絡先等)も保護対象となります。
但し、2019年9月に可決、10月に成立した修正法案(AB-25, AB-1355)で、雇用関係情報(従業員、求職者データ等)やB to Bの活動で得た他企業の役職員に関する個人情報は、一部を除き最初の1年間は適用除外となります。
保護対象となる個人情報
CCPAは、「個人情報」について、「特定の消費者又は世帯を、識別し、関連し、叙述し、関連付けることができ、又は直接的に若しくは間接的に合理的にリンクさせることのできる情報」と規定し、
以下の情報が例示として挙げられています。
- 実名、別名、メールアドレス、IPアドレス、住所、電話番号、郵便番号、ソーシャルセキュリティナンバー、運転免許証番号、パスポート番号、銀行口座番号、クレジットカード番号、学歴、職歴、商品・サービスの購入履歴、ウェブサイトの検索履歴、指紋等のバイオメトリクス情報、位置情報など
日本の個人情報保護法とGDPRとの違い
日本の個人情報保護法との主な違い
日本の個人情報保護法との違いとしては、主に以下の点が挙げられます。
- 「個人」だけでなく、「世帯」の情報も対象となっている。
(GDPRでも世帯は対象となっていない) - 個人を「識別」できる情報だけでなく、関連、説明、関係する可能性がある、
合理的に結び付けられる可能性がある情報も含まれるため、対象範囲が広くなっている。
(例 ウェブサイトの検索履歴など) - 個人情報保護法では第三者への提供は本人の事前の同意(オプトイン)が必要だが、
CCPAでは第三者への提供については、消費者から停止の求め(オプトアウト)があった場合に提供停止等の対応をすることが求められている。
GDPRとの主な違い
2018年5月に施行されたGDPR(EU一般データ保護規則)との違いとしては、主に以下の点が挙げられます。
- GDPRの方が違反時の罰金が非常に高額になり得る恐れがある。
- CCPAは「消費者が個人情報の開示・削除を要求すること」について定めている一方、
GDPRは「個人情報の使用の禁止」について定めている。CCPAは個人情報の使用自体は
禁止していない点がポイント。 - 前述の通り、CCPAは「消費者が個人情報の開示・削除を要求すること」について
主眼が置かれているため、消費者からの情報開示・第三者への共有停止・削除の要求に対し、
スムーズな対応ができるよう体制・仕組みの整備が必要。尚、GDPRでも削除を要求する権利が認められている。
事業者に求められる対応
CCPAの対象事業者
ここで特に注意すべきポイントとしては以下2点挙げられます。
1.カリフォルニアに拠点がなくてもカリフォルニア州民の個人情報を取り扱っている場合は
対象となる
2.法人化(Incorporated)されていない場合、日本の親会社含めて総売上$2,500万ドル以上
であれば対象となる
CCPAの対象事業者数として、米国内でおよそ50万以上の事業者がCCPAの影響を受けると言われています。
[CCPAの対象となる日本企業の例]
- B to C向けのEコマース等で、年間50,000件以上のカリフォルニア州の消費者の個人情報を
収集・処理している企業 - カリフォルニア州に在住する従業員や顧客情報(B to B)を持つ、年間の総売上が2,500万ドル以上の企業
違反した場合は?
事業者は、消費者からの開示・削除等の問い合わせがあった場合(直近12カ月の期間に収集、販売、処理された情報が対象)、45日以内に対応することが求められています。
違反があった場合、消費者からの請求1件あたり、最大2,500ドル(故意による違反の場合、最大7,500ドル)の罰金が科せられる恐れがあります。従業員がCCPAを知らずに消費者からの開示要求を無視してしまった場合も違反となってしまうため、従業員教育も重要な要素となります。
また、違反により情報漏洩が発生した場合、消費者は1事故1個人あたり100-750ドル、または実損害のいずれか高い方の損害賠償を請求することができます。
実損害がなくても、損害賠償が認められるため、訴訟大国のアメリカでは事故発生時には多くの民事訴訟が起きることが予想されます。
事業者が対応すべきことは?
対策としては、以下のような例が挙げられます。
- Webサイト等でプライバシーポリシー掲載すると共に、消費者が情報の販売禁止の意思を伝えるためのページ等を準備する
- 専用の問い合わせ窓口(電話番号、Web上の問い合わせフォーム等)を設置する
- 情報の開示や削除についての問い合わせがあった際の対応方法を手順化し、従業員に周知する
- 消費者から問い合わせがあった場合に対応の記録を残す
尚、開示等の要求の際に、本人確認が必要となりますが、どのような情報をどのように確認することで妥当な本人確認をしたといえるかは弁護士等に相談した上で、決定する必要があると考えます。
必要以上に本人確認書類等を求めることは望ましくない一方、第三者による不当な開示要求等に適切に対応するためには本人確認は重要なプロセスといえます。
尚、在カリフォルニアの日系企業十数社に確認したところ、現時点では2020年1月施行以降にどれだけインパクトがあるかわからないため、現時点ではシステム投資等はせず、当面は手作業で対応し、様子を見るという企業が多い印象でした。
米国プライバシー法制の全体像
米国では日本の個人情報保護法に相当するような連邦法はなく、各分野毎にデータ保護に関するルールが存在します。
- 金融分野のグラム・リーチ・ブライリー法
- 医療分野における医療保険の相互運用性および責任に関する法律(HIPAA)
- 児童における児童オンラインプライバシー保護法(COPPA)等
このように個別の保護分野の法律に基づき対応することが求められています。そして、この各分野毎の連邦レベルのプライバシー関連法制とは別に、各州が独自のデータ保護法制を有しており、さらに各州のデータ保護法制も各分野毎にデータ保護に関するルールが存在しているという、非常に複雑なパッチワークの状態になっています。
今回のCCPAはこのうちカリフォルニア州のプライバシー関連法制を統一化しようとする取組であり、CCPAの設立を受けて、カリフォルニア州以外の州においても、同様の包括的なプライバシー法を整備する動きがでています。
例えば、2019年10月にはネバダ州でThe Nevada Privacy of Information Collected on the Internet from Consumers Act (NPICICA)の修正法 (SB220)として、Webサイトやオンラインサービスの事業者に対し、消費者が収集された個人情報の販売停止を求める(オプトアウト)ためのオンライン上の仕組み、もしくは発信側が通話料を負担しなくて良い電話番号の設置等が義務付けられました。
このような州レベルでの包括的なプライバシー法が制定される動きと並行して、連邦プライバシー法を求める声も高まってきています。
既に数多くの消費者プライバシー関連法案が連邦議会に提出されており、直近では、11月5日にカリフォルニア州選出の民主党の下院議員が「オンラインプライバシー法」を提案し、アメリカ人の個人情報を保護し、企業がデータを用いて差別的な取り扱いを禁止することができる「デジタルプライバシー機関」の設立を求めるなど[1]、連邦プライバシー法の導入の機運も高まっています。
仮に連邦プライバシー法が成立した場合は、日本企業の米国拠点に大きな影響があるため、米国連邦プライバシー法案の立法動向についても注しておく必要があります。
まとめ
日本企業の米国内拠点は上述したようなCCPAが求める様々なコンプライアンス対応が必要となり、この対応には高い専門性が求められます。
グローバルでビジネスを展開する日本企業の多くはGPDRへのコンプライアンス対応を既に実施済みのため、CCPAの対応においてもこれら対応事例が参考になりますが、主要な定義やプライバシーポリシーの内容等の要件に相違がある点もあり、GPDR対応をそのままCCPA対応に当てはめるだけではCCPAコンプライアンス違反となってしまう可能性もあります。
特にCCPAに違反した場合は、州の司法長官による執行のみならず、消費者による民事訴訟が提起される恐れもあり、その民事訴訟への対応によっては膨大なコストがかかる恐れもあることから、対象となる可能性がある企業は、十分な期間・リソースをかけてコンプライアンス対応をすることが望まれます。
脚注・参考
[1] Congresswoman Anna G.Eshoo Calihornia's 18th COngressional DIstrict:
Eshoo&Lofgren Introduce the Online Privacy Act
https://eshoo.house.gov/news-stories/press-releases/eshoo-lofgren-introduce-the-online-privacy-act/