はじめに
本記事では2020年1月に適用開始となった、CCPA(カリフォルニア州消費者プライバシー法:California Consumer Privacy Act)について解説します。
テクノロジーが進化するなか、企業が個人情報を利用する際のプライバシー問題が顕在化し、世界中でプライバシー保護の動きが活発になりました。
また、2018年5月にEUでGDPR(一般データ保護規則)が定められ、個人データの取り扱いについて厳しい規則が設けられています。
アメリカ・カリフォルニア州でもCCPAが定められ、州民(以下、条文に則り「消費者」とする)にプライバシーに関する権利を与え、消費者の個人情報を扱う企業について適切な管理をするように求められました。
アメリカで最も人口が多く、IT産業の中心地であるカリフォルニアでプライバシーに関する規則が設けられたことにより、アメリカだけでなく、世界各国へ大きな影響を与えるだろうと考えられています。
本記事では以下の3点に着目し、解説します。
- CCPAが作られた背景
- CCPAの特筆すべき点
- GDPRとCCPAの違い
CCPAが作られた背景
1972年、カリフォルニア州では全ての人々に対する「不可侵の権利」の中にプライバシーの権利を含めるよう求め、州憲法が改正されました。
加えて、全ての消費者に法的かつ強制力のあるプライバシーの権利が確立され、その後も消費者のプライバシーを守るための様々なメカニズムが採用されました。
(オンラインプライバシー保護法、Shine the Light法など)
しかし、テクノロジーの発展に伴い、個人情報の取り扱いが急増したため、消費者が企業と共有する個人情報の量が増えてしまいました。
企業による個人情報の収集・使用など、個人のプライバシーに与える影響力が増す一方、当時のカリフォルニアの州法ではこのような個人情報の取り扱いに対応することができませんでした。
2018年3月、「Cambridge Analytica」というデータマイニング企業によって、Facebookを利用する数千万人の個人データが悪用されたことがわかりました。
ユーザーの趣味や、支持する政治政策・政党などのデータを様々な観点から分析し、米大統領選挙や英EU離脱の際の政治広告に活用していたことが発覚したのです。
このことにより、GAFA(Google、Apple、Facebook、Amazon)をはじめとする大企業がユーザーのデータを集め、利用していたことが一般に知られるようになり、より一層プライバシー保護の需要が高まりました。
そして、カリフォルニア州は消費者が個人情報を管理する必要があると考え、企業は消費者のプライバシーを尊重しつつ、ビジネスを行う際に高レベルの透明性を提供することが必要だと考えました。
CCPAとは?
CCPAとは、カリフォルニア州消費者プライバシー法(California Consumer Privacy Act)の頭文字をとった略称です。
アメリカ・カリフォルニア州の住民を対象としたプライバシー保護を定めた法律であり、2020年1月に施行されました。
CCPAの特筆すべき点のみ抜粋して以下で解説します。
対象
本法律はカリフォルニア州の居住者を対象とします。なお、一時的にカリフォルニア州を離れている場合でも、カリフォルニア州に住民票を持つ人は対象となります。
カリフォルニアで事業を行う営利事業者も、以下のいずれかに該当する場合、CCPAは適用されます。
- 年間総収入が2500万ドル(日本円で約28億円)を超えている
- 50,000人以上のカリフォルニア州の居住者、世帯、またはデバイスの個人情報を購入、受信、または販売している
- カリフォルニア州の住民の個人情報を販売することによって、年間収益の50%以上を得ている
個人情報の定義
CCPAにおいて個人情報は次のように定義されています。
個人情報とは、特定の消費者または世帯を特定、関連、説明、関連付けることができる、または直接的または間接的に合理的にリンクできる情報のことである。
具体的には、以下のような情報が含まれます。
- 直接的な識別子:実名、別名、住所、電話番号、社会保障番号、運転免許証番号、パスポート番号など
- 間接的な識別子:IPアドレス、電子メールアドレス、アカウント名、Cookie情報など
- 生体認証情報:声紋、指紋など
- インターネットアクティビティ:閲覧履歴、検索履歴、インターネットWebサイト、アプリケーションなど
- ジオロケーションデータ(位置情報のデータ)
- 生体データ:音声、電子、視覚など
- 雇用・教育・財務・医療などの情報
また、CCPAが対象とする個人情報はこれらに限定されないと、明記されています。
つまり、場合によっては条文に記載されていない情報も、CCPAが対象とする個人情報として扱われる可能性もあります。
知る権利
CCPAでは、企業が収集・使用・共有・販売した個人情報と、その情報を収集・使用・共有・販売した理由を開示するように、消費者が要求することができます。
具体的には、企業に以下の開示を要求することができます。
- 収集される個人情報のカテゴリー
- 収集された特定の個人情報
- 企業が個人情報を収集したソースのカテゴリー
- 企業が個人情報を利用する目的
- 企業が個人情報を共有する第三者のカテゴリー
- 企業が第三者に販売または開示する情報のカテゴリー
削除する権利
消費者は、企業が収集した個人情報を削除するように要求し、サービスプロバイダー(サービスを提供する組織)にも個人情報の削除を要求することができます。
ただし、企業による消費者の個人情報の保持が許可されることもあり、以下のような場合、削除する権利の例外となります。
- 法的義務を遵守する、法的請求または権利を行使する、または法的請求を擁護する場合
- 特定のビジネスセキュリティの慣行
- 個人情報が、特定の医療情報・消費者信用調査情報・CCPAから免除されるその他の種類の情報である場合
オプトアウトする権利
オプトアウトとは、個人情報の第三者提供に関して、個人データの第三者への提供を本人の求めに応じて停止すること、とされています。
一方、オプトインは個人情報の提供について肯定的な承認をすることとされています。
(参考:https://www.pi-pe.co.jp/miteshiru/word/optout/)
CCPAでは、個人情報の所有者からの要求に応じて、個人情報の販売を停止する必要がある、とされています。
つまり、消費者は企業に対してオプトアウトする権利があるのです。
また、13歳未満の子どもは親または保護者からのオプトインが必要であり、13〜16歳の子どもは本人によるオプトインを得た場合のみ、個人情報を販売できます。
未成年者の場合、児童オンラインプライバシー保護法(COPPA)についても遵守する必要があります。
通知の義務
消費者の個人情報を収集する企業は、収集時点またはその前に、収集する個人情報のカテゴリーと個人情報のカテゴリーを使用する目的について消費者に通知する必要があります。
企業が消費者に通知せずに、追加のカテゴリの個人情報を収集したり、追加の目的で収集した個人情報を使用することは禁止されています。
また、通知には以下を含めなければなりません。
- 企業のプライバシーポリシーのリンクを載せる
- 個人情報を販売する場合、「販売禁止(DO NOT SELL MY PERSONAL INFORMATION)」のリンクを載せる(オプトアウトする権利)
差別の禁止
消費者がCCPAに基づく権利を行使したことによって、企業が差別をすることは禁じられています。
具体的には、オプトアウトなどの権利を行使した消費者に対して、以下のような差別行為をすることが禁止されています。
- 権利を行使した消費者に対し、企業側が商品やサービスの提供を取りやめること
- 権利を行使した消費者に対し、それらの権利を行使しなかった消費者とは異なる価格で商品、サービスの提供を行うこと
- 権利を行使した消費者に対し、そうでない消費者に対するものと異なるレベルや品質のサービス、商品を提供すること
罰則規定
請求1件に対して最大2,500ドル、故意であると判定された場合最大7,500ドルの罰則です。
また、データが漏洩したことによって消費者から集団訴訟も予想されるそうです。
GDPRとCCPAの違いは?
GDPRとCCPAにはいくつかの違いがあります。
また、GDPRについては以下の記事で詳しく解説しています。
対象
GDPRはEU域内に拠点を持つ企業・EU向けにサービスを行う企業が対象となります。
CCPAでは企業がどこを拠点としていても、カリフォルニア州の居住者の個人情報を取り扱う場合には対象となります。
目的
GDPRは個人情報とプライバシー保護の強化を目的としているのに対し、CCPAはカリフォルニア州の居住者が、自身の個人情報を保護・管理することを目的としています。
そのため、CCPAでは企業に義務を課すだけでなく、消費者に権利を与えることで自らプライバシーを保護することを可能にしているのです。
個人データ・個人情報
GDPRでは個人データ(personal data)について、CCPAでは個人情報(personal information)について定義しています。
GDPRの個人データは、直接的または間接的に識別できる個人に関連する情報を指します。
一方、CCPAの個人情報は、特定の消費者または世帯(家族)を特定・関連付けることができる情報、直接的または間接的に合理的に関連付けできる情報を指します。
CCPAでは消費者個人だけでなく、家族の情報も含まれます。
オプトイン・オプトアウト
GDPRではオプトイン、つまり個人データを収集する際にデータの利用についての承諾を得る必要があります。
一方、CCPAでは先述のように、消費者が企業に対してオプトアウトする権利を持ちます。
つまり企業は、GDPRにおいては事前に同意を得る必要があり、CCPAにおいては消費者の要求に応じて個人情報の販売を停止する義務があります。
言い換えると、CCPAでは消費者がオプトアウトしない限り、企業はデータを利用して良いのです。
まとめ
- EUにおけるGDPRなど、世界各国でのプライバシー保護の流れを受け、2020年1月にCCPAが施行された。
- カリフォルニア州の住民を対象としており、特定の条件を満たす企業に適用される。
- 消費者に権利を与え、企業に対して義務を課すことで、消費者が自らのプライバシーを保護・管理できるようにすることを目的としている。
- 消費者は、「個人情報がどのように利用されているのか知る権利」・「個人情報の削除を要請する権利」・「個人情報をオプトアウトする権利」などを持ち、企業はこれらの要求に応じる必要がある。
- 企業は、「個人情報がどのように利用するのか通知する義務」・「CCPAの権利を行使した消費者に対する差別の禁止」など、消費者のプライバシーを守るための義務が課せられている。
- GDPRでは企業がデータを利用する際には事前の同意を得る必要があるが、CCPAでは消費者が企業に対してオプトアウトする権利を持つ。
- アメリカで最も人口が多く、IT産業の最先端地域であるカリフォルニアでプライバシーに関する厳しい規則が設けられたことで、他の州や他の国も追随すると考えられている。
