2018年5月にEU一般データ保護規則(GDPR)が施行され、大手プラットフォーム事業者等へ巨額制裁金が課されるなど、個人に関するデータの保護が話題を集めています。そのような中、米国においてもカリフォルニア州で2020年1月より新たに消費者プライバシー法(CCPA)の施行が予定されており、米国版GDPRとして大きな注目を集めています。
今回はCCPAの概要について、GDPR・日本の個人情報保護法との違いや、日本企業への影響の点を踏まえ、解説したいと思います。
カリフォルニア消費者プライバシー法(CCPA:California Consumer Privacy Act)とは、カリフォルニア州民の個人情報を保護するための法律で、2020年1月より施行が予定されています。カリフォルニア州民の個人情報が本人の知らないところで第三者に販売されているという現状を踏まえ、カリフォルニア州民のプライバシーを適切にコントロールするために制定されました。
CCPAではカリフォルニアの消費者の権利として、以下を定めています。
(出典:CALIFORNIA DEPARTMENT OF JUSTICE,California Consumer Privacy Act (CCPA) FACT SHEETより)
カリフォルニアに在住している消費者および従業員がCCPAの保護対象であり、事業者が持つ従業員の情報(求職者の情報、従業員の緊急連絡先等)も保護対象となります。
但し、2019年9月に可決、10月に成立した修正法案(AB-25, AB-1355)で、雇用関係情報(従業員、求職者データ等)やB to Bの活動で得た他企業の役職員に関する個人情報は、一部を除き最初の1年間は適用除外となります。
CCPAは、「個人情報」について、「特定の消費者又は世帯を、識別し、関連し、叙述し、関連付けることができ、又は直接的に若しくは間接的に合理的にリンクさせることのできる情報」と規定し、
以下の情報が例示として挙げられています。
日本の個人情報保護法との主な違い
日本の個人情報保護法との違いとしては、主に以下の点が挙げられます。
GDPRとの主な違い
2018年5月に施行されたGDPR(EU一般データ保護規則)との違いとしては、主に以下の点が挙げられます。
ここで特に注意すべきポイントとしては以下2点挙げられます。
1.カリフォルニアに拠点がなくてもカリフォルニア州民の個人情報を取り扱っている場合は
対象となる
2.法人化(Incorporated)されていない場合、日本の親会社含めて総売上$2,500万ドル以上
であれば対象となる
CCPAの対象事業者数として、米国内でおよそ50万以上の事業者がCCPAの影響を受けると言われています。
[CCPAの対象となる日本企業の例]
事業者は、消費者からの開示・削除等の問い合わせがあった場合(直近12カ月の期間に収集、販売、処理された情報が対象)、45日以内に対応することが求められています。
違反があった場合、消費者からの請求1件あたり、最大2,500ドル(故意による違反の場合、最大7,500ドル)の罰金が科せられる恐れがあります。従業員がCCPAを知らずに消費者からの開示要求を無視してしまった場合も違反となってしまうため、従業員教育も重要な要素となります。
また、違反により情報漏洩が発生した場合、消費者は1事故1個人あたり100-750ドル、または実損害のいずれか高い方の損害賠償を請求することができます。
実損害がなくても、損害賠償が認められるため、訴訟大国のアメリカでは事故発生時には多くの民事訴訟が起きることが予想されます。
対策としては、以下のような例が挙げられます。
尚、開示等の要求の際に、本人確認が必要となりますが、どのような情報をどのように確認することで妥当な本人確認をしたといえるかは弁護士等に相談した上で、決定する必要があると考えます。
必要以上に本人確認書類等を求めることは望ましくない一方、第三者による不当な開示要求等に適切に対応するためには本人確認は重要なプロセスといえます。
尚、在カリフォルニアの日系企業十数社に確認したところ、現時点では2020年1月施行以降にどれだけインパクトがあるかわからないため、現時点ではシステム投資等はせず、当面は手作業で対応し、様子を見るという企業が多い印象でした。
米国では日本の個人情報保護法に相当するような連邦法はなく、各分野毎にデータ保護に関するルールが存在します。
このように個別の保護分野の法律に基づき対応することが求められています。そして、この各分野毎の連邦レベルのプライバシー関連法制とは別に、各州が独自のデータ保護法制を有しており、さらに各州のデータ保護法制も各分野毎にデータ保護に関するルールが存在しているという、非常に複雑なパッチワークの状態になっています。
今回のCCPAはこのうちカリフォルニア州のプライバシー関連法制を統一化しようとする取組であり、CCPAの設立を受けて、カリフォルニア州以外の州においても、同様の包括的なプライバシー法を整備する動きがでています。
例えば、2019年10月にはネバダ州でThe Nevada Privacy of Information Collected on the Internet from Consumers Act (NPICICA)の修正法 (SB220)として、Webサイトやオンラインサービスの事業者に対し、消費者が収集された個人情報の販売停止を求める(オプトアウト)ためのオンライン上の仕組み、もしくは発信側が通話料を負担しなくて良い電話番号の設置等が義務付けられました。
このような州レベルでの包括的なプライバシー法が制定される動きと並行して、連邦プライバシー法を求める声も高まってきています。
既に数多くの消費者プライバシー関連法案が連邦議会に提出されており、直近では、11月5日にカリフォルニア州選出の民主党の下院議員が「オンラインプライバシー法」を提案し、アメリカ人の個人情報を保護し、企業がデータを用いて差別的な取り扱いを禁止することができる「デジタルプライバシー機関」の設立を求めるなど[1]、連邦プライバシー法の導入の機運も高まっています。
仮に連邦プライバシー法が成立した場合は、日本企業の米国拠点に大きな影響があるため、米国連邦プライバシー法案の立法動向についても注しておく必要があります。
日本企業の米国内拠点は上述したようなCCPAが求める様々なコンプライアンス対応が必要となり、この対応には高い専門性が求められます。
グローバルでビジネスを展開する日本企業の多くはGPDRへのコンプライアンス対応を既に実施済みのため、CCPAの対応においてもこれら対応事例が参考になりますが、主要な定義やプライバシーポリシーの内容等の要件に相違がある点もあり、GPDR対応をそのままCCPA対応に当てはめるだけではCCPAコンプライアンス違反となってしまう可能性もあります。
特にCCPAに違反した場合は、州の司法長官による執行のみならず、消費者による民事訴訟が提起される恐れもあり、その民事訴訟への対応によっては膨大なコストがかかる恐れもあることから、対象となる可能性がある企業は、十分な期間・リソースをかけてコンプライアンス対応をすることが望まれます。
脚注・参考
[1] Congresswoman Anna G.Eshoo Calihornia's 18th COngressional DIstrict:
Eshoo&Lofgren Introduce the Online Privacy Act
https://eshoo.house.gov/news-stories/press-releases/eshoo-lofgren-introduce-the-online-privacy-act/