カリフォルニア州プライバシー権法CPRA(改正CCPA)とは?2023年の改正内容やGDPRとの違い
CCPA、CPRAとは?
CCPAとは、2020年1月1日から施行されているカリフォルニア州消費者プライバシー法(California Consumer Privacy Act of 2018)を指します。名前の通り、カリフォルニア州の消費者のプライバシーを保護するための法律であり、消費者の権利や事業者の義務を規定しています。
CPRAとは、カリフォルニア州プライバシー権法(California Privacy Rights Act of 2020)を指します。CPRAは、CCPAを改正しより厳格にプライバシーの保護を求める法律で、2023年1月1日から施行されています。
CCPAは、日本の企業でもカリフォルニア州で事業を営むのであれば無視できない法律です。CPRAの施行により事業体の対象も広がったため、注意が必要です。
なお、CCPAの条文は、個人情報保護委員会が翻訳し公開しています。
仮日本語訳 カリフォルニア州消費者プライバシー法(2018年) |個人情報保護委員会
CPRAの対象となる事業
CPRAの対象となるのは、カリフォルニア州で事業を行う営利企業・団体で、カリフォルニア州の消費者の個人情報を取得・販売・共有し、以下のいずれかの条件に当てはまる事業者です。
- 1月1日時点で前年の年間総収入が2500万ドルを超えていること
- 10万件以上の消費者または世帯の個人情報を購入、販売または共有していること
- 年間収入の50%以上を消費者の個人情報の販売または共有から得ていること
また、CPRAの改正により、こうした事業者と以下のような関係である事業者も対象となっています。
- 上記に該当する事業者を支配し、または支配されており、かつその事業者と共通のブランドを有し、その事業者と個人情報を共有する事業者
- その事業者が少なくとも40%の持分を有する事業者で構成されるジョイントベンチャーやパートナーシップ
加えて、カリフォルニア州で事業を行う事業者は、上記に該当しなくても、CPRAに準拠・拘束されることを自主的にカリフォルニア州プライバシー保護局に証明することもできます。
この対象範囲を考えると、例えば日本企業がカリフォルニア州を含むアメリカのユーザーに対し、オンラインで積極的に商品やサービスを提供する場合や、日本と同じブランドでカリフォルニア州の子会社を保有する場合などにも、CPRAの適用を受ける可能性があるため注意が必要です。
CCPA/CPRAで定義される「個人情報」
CCPAでは、以下のように個人情報が定義されています。
「個人情報」とは、特定の消費者又は世帯を、識別し、関連し、叙述し、合理的に関連付けることができ、又は直接的に若しくは間接的に合理的にリンクさせることのできる情報を意味する。
— JETRO 「カリフォルニア州消費者プライバシー法(CCPA)実務ハンドブック」
具体的には、例えば以下のような情報が個人情報にあたるとされています。
- 識別子: 実名、別名、郵便住所、一意個人識別子、オンライン識別子であるインターネット・プロトコル・アドレス(IPアドレス)、E メールアドレス、アカウント・ネーム、社会保険番号、運転免許証番号、旅券番号、その他の類似の識別子など
- 個人情報: 当該個人の名前、サイン、社会保険番号、身体的特徴若しくは記述、住所、電話番号、旅券番号、運転免許証番号、州の識別カード番号、保険証券番号、学歴、雇用、雇用履歴、銀行口座番号、クレジットカード番号、デビットカード番号、その他の財務情報、医療情報、健康保険情報など
- 商業的情報: 個人の財産の記録、購入、取得、検討した製品又はサービスの記録、その他の購入又は消費の履歴又は傾向についての記録など
- 生体情報: フェイスプリント、マニューシャ・テンプレート(特徴点登録情報)、声紋のような識別テンプレートを抽出できる虹彩、網膜、指紋、顔、手、手のひら、血管パターン及び音声録音の像並びに識別情報を含むタイピング・パターン若しくはリズム、歩行パターン若しくはリズム、睡眠、健康、又は運動データなど
- インターネット又はその他の電子的なネットワーク活動の情報: 閲覧履歴、検索履歴、インターネット・ウェブサイト、アプリケーション又は広告との消費者のやりとりの情報など
- その他、地理位置データ、音声データ、職業又は雇用に関する情報、消費者について識別された情報から引き出された推定情報など
CPRAでは、個人情報の中でも、さらに「機微な個人情報(Sensitive Personal Information)」についての規定が新たに設けられており、以下のような情報が該当します。
- 社会保障番号、運転免許証、州の身分証明書、またはパスポート番号
- アカウントへのアクセスを許可する任意のセキュリティコード、パスワード、または資格情報と組み合わせた、消費者のアカウントログイン、金融アカウント、デビットカード、またはクレジットカード番号
- 正確な地理位置
- 人種または民族の起源、宗教または哲学的信念、または組合員資格
- 郵便物、メール、テキストメッセージの内容
- 遺伝データ
- 生体情報(個人を一意に識別する目的で処理されたもの、健康に関して収集および分析されたもの、性生活または性的指向に関して収集および分析されたものが対象)
CPRAにおける消費者の権利
CPRAでは、消費者の権利について以下の7つが説明されています。
- 知る権利: 事業者が収集、販売または共有される自身の個人情報について知る権利
- 削除する権利: 事業者が取得した自身の個人情報の削除を請求する権利
- 個人情報の販売または共有に関するオプトアウトの権利: 事業者による自身の個人情報の販売・共有をオプトアウトする権利
- 未成年者のためのオプトインの権利: 特に未成年者(16歳未満)の個人情報の販売・共有に関して、オプトインの手続が必要とする権利
- 訂正する権利: 事業者が保有する誤った個人情報の訂正を請求する権利
- 機微な個人情報の開示・利用を制限する権利: 自身に関わる機微な個人情報について、事業者によるその利用および開示の制限を請求する権利
- 権利行使を理由として差別されない権利: 消費者プライバシー権を行使する場合に差別をされない権利
CPRAの改正により、また、訂正する権利、機微な個人情報の開示・利用を制限する権利が追加となりました。また、知る権利やオプトアウトの権利の対象に「共有される個人情報」が追加となっています。
CPRAにおける事業者の義務
CPRAでは、消費者の権利に対応する形で、事業者の義務が規定されています。
消費者への通知義務
・個人情報を収集する事業者は、収集される個人情報の種類やその目的について、情報を収集する前に、消費者にとって読みやすく理解できる形で消費者に通知しなければなりません。また、その利用目的以外での個人情報の利用は認められません。
・個人情報を販売・共有する事業者は、その個人情報の販売・共有をオプトアウトする権利があることを消費者に通知しなければなりません。
・事業者は、個人情報の保持・販売について、消費者に金銭的なインセンティブを補償として提供できますが、そのインセンティブの内容やサービスの差異について通知しなければなりません。
・事業者は、プライバシーポリシーを開示し、少なくとも12ヶ月に1回その情報をアップデートしなければなりません。
消費者要求への対応義務
・事業者は、消費者からの「知る要求(開示請求)」に対し原則45日以内に対応しなければなりません。事業者が過去12ヶ月以内に収集した個人情報の種類や収集源、個人情報を開示・販売・共有した際の相手や個人情報の種類・その目的などを開示する必要があります。
・事業者は、消費者からの「削除の要求(削除請求)」に対し原則45日以内に対応しなければなりません。事業者は削除請求に対しその対応の可否を消費者に知らせ、個人情報を削除する場合には個人情報を完全に削除するか非識別化する等の対応をしなければなりません。
・事業者は、消費者からの「訂正の要求(訂正請求)」に対し原則45日以内に対応しなければなりません。個人情報の訂正は商業的に合理的な努力によってなされなければなりません。
・事業者は、消費者からの「オプトアウトの要求」に対し、原則15日以内に対応しなければなりません。さらに、90日以内に個人情報を販売・共有したすべての第三者に対して通知し、通知された事業者は個人情報の販売・共有を停止しなければなりません。
・事業者は、消費者からの「機微な個人情報の利用・開示の制限要求」があった場合、その情報の利用をサービスの提供に必要な範囲内に制限しなければなりません。
本人確認(請求の検証義務)
・事業者は、権利に基づく要求を行う消費者が対象の個人であることを検証する合理的な方法を定め、文書化し、遵守しなければなりません。
・事業者が身元を検証する方法は、悪意のあるなりすましや偽装の要求から保護されているものでなくてはなりません。また、より消費者の機微な情報へのアクセス、情報の削除による危害のおそれが大きい場合には、より厳格な検証方法が選択されなければなりません。
未成年者に関する特則の義務
・13歳未満の消費者の個人情報を収集・保持する事業者は、その消費者の個人情報の販売・共有を積極的に認める者がその消費者の親権者または監護者であることを判定する方法を定め、文書化し、遵守しなければなりません。
・事業者は、消費者が16歳未満であることを認識している場合、13歳未満であればその消費者の親権者または監護者が、13歳から16歳までであれば本人が、積極的に自身の個人情報の販売・共有を認めていない限りは、個人情報を販売・共有してはなりません。
研修義務
・事業者の中で、プライバシーに関する取り扱いの担当者全員、またはCPRA遵守に関して消費者からの問い合わせを担当する者全員は、CPRAが定める事業者の義務や消費者による権利の行使についての案内方法について知識を持っておかなければなりません。
記録管理義務
・事業者は、CPRAによる消費者の請求と事業者がどのように対応したかについての記録を少なくとも24ヶ月間保持しなければなりません。
差別の禁止
・事業者は、消費者による権利の行使を理由に消費者を差別してはなりません。差別の内容には、サービス提供の拒否、ペナルティの請求、異なった質のサービスの提供、従業員等への報復行為などがあり、それらを示唆することも含まれます。
合理的なセキュリティを実装する義務
・事業者は、個人情報の違法なアクセス、利用、破壊、改変、漏洩から個人情報を守るために、合理的なセキュリティ対策を実施しなければなりません。
・特に消費者のプライバシーまたはセキュリティに重大なリスクを生じさせ得る個人情報の処理を行う事業者は、サイバーセキュリティ監査を毎年実施し、カリフォルニアプライバシー保護庁に対し、定期的に個人情報の処理に関するリスク評価を提出しなければなりません。
CPRA/CCPAとGDPRとの違い
前提として、GDPRには、EU域外での個人情報の保護レベルがGDPRと同等程度であることを認める十分性認定というものがあり、十分性認定がある場合にはその国への個人データの移転が特別な条件なしに認められます。2023年の現時点では、CPRAの施行されているカリフォルニア州を含むアメリカ合衆国はGDPRの十分性認定を受けていないため、GDPRとCPRAについて対象の事業者となる場合にはそれぞれ対応する必要があります。
個人情報に対する考え方という面では、GDPRでは消費者の事前の同意なしに個人情報を収集・処理することを禁止しており、より厳格なプライバシー保護施策と言えます。CPRAでは個人情報の収集・処理自体は禁止しておらず、消費者自身の権利を規定し、その権利の行使を約束することによって消費者のプライバシーを保護しています。
事業者の義務については、例えば消費者に対する通知に際して用意すべき文書の構成や、消費者の要求への対応方法などはCPRAの方がより詳細です。CPRAでは、GDPRと比べてより具体的な義務が規定されている場合があり、GDPRの対応のみではCPRAの対応には不十分だと言えるでしょう。
