<2020年1月施行CCPA【2】> プライバシー保護の新しい法律「CCPA(カリフォルニア州消費者プライバシー法)」の保護・法規制対象と日本のビジネスとのかかわり

CCPAは、EUで制定されたGDPRに続く、新たなプライバシー保護法で、2020年1月からスタートしています。「カリフォルニア州消費者プライバシー法」という名の通り、CCPAは、カリフォルニア州民の個人情報を守るための法令ですが、具体的にはどのようなことが「罰則対象」となり、どのようなことが「個人情報」に当たるのでしょうか?また、CCPAは日本企業へ影響を与えるのでしょうか?CCPAの保護対象や法規制対象などと一緒に、ご紹介します。

 

CCPAで法規制される対象とは?

CCPAの保護対象は、「カリフォルニア州所得税賦課対象となる住民」とされています。一方で、CCPAの法規制対象となる企業は、基本的にカリフォルニア州民(消費者)の個人情報を収集・共有・販売する営利団体で、以下の条件を満たす企業となります。

・年間の総収入が2,500万ドル以上であること
・5万人以上のカリフォルニア州民の個人情報を所有・処理
・カリフォルニア州民の個人情報を売却することで年間の収入の50%を得ている

保護の対象は、「カリフォルニア州民」ですが、必ずしもカリフォルニア州でビジネスを行っている企業と定義されていません。関連の法的基準を満たすことにより、カリフォルニア以外も対象となるため、必ずしもカリフォルニアでの業務や従業員を抱えていることが、条件のすべてではありません。例えば、日本に親会社があり、米国に子会社がある場合、子会社が上記基準を満たしていなくても、日本の親会社に2,500万ドル以上の総収入があるか、カリフォルニア州民5万人の個人情報を取り扱っていれば、CCPAの対象となります。

さらに、米国法人が取得した個人情報を、日本の親会社のデーターベースへ転送して取り扱う場合、米国法人自身が、その時に5万人分の個人情報を保有していなくても、米国法人が親会社のデーターベースにアクセスができる状態ならば、同じくCCPAの対象と見られます。こうしたことから、カリフォルニア州の消費者を守るための法令であっても、条件次第では日本の法人も関わる可能性あるのです。

 

CCPAでの罰金リスクについて

CCPAの罰則規定は、以下のとおりとなっています。

■州司法長官の提訴による民事罰
・消費者から情報開示請求があった場合、企業は45日以内に開示することが求められるが、対応できない場合は州司法長官から30日以内に違反是正の通知を受ける可能性がある

・州司法長官からの通知後も是正されない場合は、消費者から請求1件あたりの違反ごとに、最大2,500ドル(故意だと認定される場合は最大7,500ドル)の罰金が課せられる

■消費者による集団提訴
CCPAでは、消費者による集団提訴(1事案ごとに最低100ドル~750ドル)も、認められています。特にアメリカは、訴訟が盛んな国であり、これまでの民事訴訟においても、法律事務所や各種団体がテレビCMやWeb広告を通じて、事案に対する訴訟に同意する人を募り、企業に対して集団提訴することは珍しいことではありません。一件一件は少額でも、千人単位、万人単位となると、莫大な罰金リスクを抱えることになります。

 

CCPAで「個人情報」とみなされるもの

CCPAの定める個人情報は、

「カリフォルニア州民または世帯について識別し、関連し、結び付け、直接または間接的に合理的にたどることができたあらゆる情報を指す」

と広く定義されています。

例えば、一般的に「個人情報」といえば、以下のような項目が挙げられます。

  • 実名・仮名
  • 電話番号・IPアドレス・メールアドレス
  • 口座番号・社会保障番号
  • 運転免許証・パスポート
  • 商品・サービスの購入履歴
  • 虹彩・網膜・指紋・掌紋・顔・声・DNAなどの身体・生体情報
  • ウェブサイトの閲覧・検索履歴・位置情報データ
  • 職歴・学歴

例えば、メールアドレスは、それ単体ではカリフォルニア州民の情報とは特定できませんが、IPアドレスと一緒にトラッキングをすると、接続元で判明することが可能です。

 

CCPA施行で日本企業は実務でどう対応するか

CCPAの施行により、日本でも対応に追われる企業は少なくありません。CCPAの法規制対象企業でも説明しましたが、条件によっては、カリフォルニア州と関係のある日本企業も、CCPAの対象内となります。では、CCPAの施行に伴い、対象となる日本企業は、どのように対応したら良いでしょうか。

まずカリフォルニア州にて実際に提訴されてしまった場合、米国拠点のみでコンプライアンス対応を行うには膨大なコストがかかるため、対応が困難になる日本企業も多いのでは、という懸念があります。そのため、日本企業のCCPA対策は、米国拠点だけの対応だけでなく、日本の本社での対応を視野にいれた対策が必要です。特にCCPA規則案では、社内の体制整備やシステムの要件が詳細に定められているので、以下のステップに沿った体制づくりが重要となります。

(1)現状の把握
(2)リスクベースでの対策の決定
(3)実行及び適切性のチェック
(4)定期的な監査

体制を整えたら、CCPAの実務に慣れるためにも、トレーニングを積むことが推奨されています。また、専門家の協力を仰いで、体制づくりをすることも有効です。

 

CCPAについて詳しく学ぶならセミナーで!

CCPAとうまく付き合うには、「知識」が必要です。米国では提訴だけでなく、禁固刑を科せられることもあるため、「知らなかった」では済まされません。企業を守るため、ビジネスの強みとするためにも、新しい個人情報法であるCCPAを学びましょう!

————————

【お薦めWEBセミナー】
2020年2月10日公表のCCPA規則修正案に対応
日経2019年弁護士ランキング「データ関連分野」第5位 田中浩之 弁護士登壇!

「カリフォルニア州消費者プライバシー法(CCPA)の実務対応と米国データ保護法の概要」
講師:弁護士 田中浩之 氏
主催:森・濱田松本法律事務所 日本国及び米国ニューヨーク州 パートナー
>>>詳しい内容&申込はこちらから

————————

>>>最新のビジネスセミナーを探すなら『ビジネスクラス・セミナー』
※サイトにアクセスしたら、「CCPA」でフリーワード検索してください。

>>>WEBセミナーで受講したい方なら『Deliveru(デリバル)』
※サイトにアクセスしたら、「CCPA」でフリーワード検索してください。

 

【参考サイト】
怠惰な努力家
>>>日本企業も知るべきCCPA(California Consumer Privacy Act)について

Microsoft
>>>CCPAの対象とその要件

日本経済団体連合会
>>>カリフォルニア州消費者プライバシー法の実務対応