<2020年1月施行CCPA【1】> プライバシー保護の新しい法律「CCPA(カリフォルニア州消費者プライバシー法)」のポイントを解説!

2020年1月に、プライバシー保護の新しい法律「CCPA」が施行しました。カリフォルニア州の住民と企業を対象としたCCPAは、先にEUで施行されているGDPRと同様に、個人情報保護に関する新しい法令として世界中が注目しています。CCPAはどのような法律なのでしょうか?GDPRとの違いなどについて解説いたします。

 

CCPA(カリフォルニア州消費者プライバシー法)とは?

CCPAとは、「California Consumer Privacy Act」の略で、日本語では「カリフォルニア州消費者プライバシー法」と称します。その名の通り、「アメリカのカリフォルニア州の住人」のプライバシー権と消費者保護を強化するために定められた法律で、保護の対象はカリフォルニア州に住む住民(所得税の賦課対象者含む)で、対象となる消費者には、プライバシーを守るための5つの権利が付与されます。CCPAの規制対象となっているのは、営利を目的としてカリフォルニア州で事業を展開する企業で、保護対象の消費者より、情報の開示、削除、複製、オプトアウトなどを求められた場合、即座にそれに応じる義務が生じます。CCPAは、2020年1月から施行されますが、2020年7月1日までは司法長官による執行はありません。

 

CCPAの「5つの権利」について

CCPAの保護対象者に付与される「5つの権利」について、解説します。

(1)知る権利
消費者は、過去12か月の間に企業が収集した情報の情報源、情報の用途、情報の開示先、その運用などを「知る権利」があります。企業は消費者から情報開示の請求があった場合、45日以内に本人確認をした上で回答をしなければなりません。

(2)複製を受取る権利
消費者は、過去12か月の間に、対象である消費者について収集された個人情報の複製(コピー)を、受け取る権利があります。企業は、消費者に複製を渡す義務がありますが、過去12か月の間に、2回応じればよいとされています。

(3)オプトアウトする権利
消費者は、消費者の個人情報が売却されることを、拒否する権利があります。企業は、消費者が一度売却を拒否した場合は、以後、消費者から許可が下りない限り、個人情報を売却できないことになります。また、16歳以下の子供に関しては、売却する前に保護者の許可を得る必要があります。これを「オプトイン」と言います。

(4)削除する権利
消費者は、企業が所有する個人情報の削除を依頼する権利があります。企業は、消費者の本人確認後、個人情報の削除を実施しなければなりません。

(5)CCPAの権利を行使しても差別を受けない権利
消費者は、(1)~(4)までの権利を行使したとしても、企業からこれまで通りの同日のサービスを受ける権利があります。企業は、(1)~(4)までの権利を行使した消費者に対して、決して差別はせず、これまで通りのサービスを提供する義務があります。

 

「CCPA」と「GDPR」はどう違うのか?

CCPAと同じように語られる法令で、EUのGDPR(EU一般データ保護規制)があります。CCPAとGDPRには、どのような違いがあるのでしょうか?

●罰金の違い
CCPAでは、違反により情報漏洩が発生した場合、消費者は1事故1個人あたり100~750ドル、または実損害のいずれか高い方の損害賠償を、企業に対して請求することができますが、GDPRの場合は、非常に厳しい「制裁金」が発生する罰金制度が設けられています。例えば、データ管理者の義務違反の場合、「1,000万ユーロと全世界年間売上高最大2%までずれかの大きい方を上限とする」とされており、日本円にすると約13億円の支払いが命じられます。

●個人情報開示条件についての違い
CCPAでは、「消費者が企業に個人情報の開示・削除を要求できる」とされていますが、GDPRでは、「個人情報の使用の禁止」について、定めています。CCPAでは、企業が個人情報を使用することについては禁じていませんが、GDPRでは、個人情報の使用そのものを禁止している点で違いがあります。

●オプトアウトとプライバシーポリシーついての違い
CCPAとGDPRの大きな違いは、「オプトアウト」にも見てとれます。CCPAでは、消費者が企業に対しオプトアウトを求めない限り、個人情報は第三者に提供されてしまいますが、GDPRでは、そもそもオプトアウトを認めておらず、個人情報を取得する際に、「明示的な同意」を取得した上で利用する「オプトイン」を採用しています。

「情報を収集した目的」「用途」「個人の有する権利及びかかる権利を行使する方法」を、企業のプライバシーポリシーに記載することはCCPAもGDPRも同じですが、CCPAでは、企業が個人データの売却を行っているかどうかと、売却先の第三者カテゴリーをプライバシーポリシーに記載しており、消費者がオプトアウトする際に、判断材料としての役割を担っています。このためCCPAは、12か月ごとのプライバシーポリシー更新や、オプトアウトの権利を行使するためのリンクなどを用意しなければならず、今後スムーズな対応ができる体制や仕組みの整備が必要と言われています。

●差別禁止及び執行の違い
CCPAでは、権利を行使した消費者に対して、企業はこれまで通りのサービスを提供し、差別的対応を禁じています。他方、GDPRでは、CCPAのように権利を行使した消費者に対して、保護する仕組みを明確に定めていません。

 

セミナーでCCPAのトレンドを先取り!

施行されたばかりのCCPAは、「知る人ぞ知る個人情報保護法」として、まだまだこれからの広がりに可能性を見せています。より早くビジネスへ生かすためにも、セミナーの受講がお薦めです。話題のCCPAをWebセミナーで学び、いち早く吸収し、トレンドを先取りしましょう!

————————

【お薦めWEBセミナー】
2020年2月10日公表のCCPA規則修正案に対応
日経2019年弁護士ランキング「データ関連分野」第5位 田中浩之 弁護士登壇!

「カリフォルニア州消費者プライバシー法(CCPA)の実務対応と米国データ保護法の概要」
講師:弁護士 田中浩之 氏
主催:森・濱田松本法律事務所 日本国及び米国ニューヨーク州 パートナー
>>>詳しい内容&申込はこちらから

————————

>>>最新のビジネスセミナーを探すなら『ビジネスクラス・セミナー』
※サイトにアクセスしたら、「CCPA」でフリーワード検索してください。

>>>WEBセミナーで受講したい方なら『Deliveru(デリバル)』
※サイトにアクセスしたら、「CCPA」でフリーワード検索してください。

 

【参照情報】
TechCrunch
>>>カリフォルニア州消費者プライバシー法が1月1日に発効

Legal Wire
>>>カリフォルニア州消費者プライバシー法施行へのカウントダウン CCPAとGDPRのコンプライアンスは似て非なるもの

デジタルマーケティングジャーナル
>>>新たなプライバシー法、CCPA施行まで残すところ1カ月!今すぐ理解しておきたい3つのポイント