カリフォルニアの新データ保護法『CCPA』とは？

今年もあと1ヶ月と少しで終わりですね。年明けの2020年1月1日から、アメリカでは新しい法律が施行されます。

 

CCPAとは？

CCPAとは正式名称を『California Consumer Privacy Act – カリフォルニア州消費者プライバシー法』と言い、2018年の6月に成立、2020年1月1日より施行になるカリフォルニアの新しい州法です。CCPAはカリフォルニア州の消費者の個人情報およびプライバシー権の保護を主な目的としており、州内の住民に大きく７つのプライバシー権を与えるものとしています。

 

７つのプライバシー権

１．企業が収集した個人情報のコピーを取得する権利

２．企業が収集した個人情報の使用用途・運用方法の開示を請求する権利

３．企業が収集した個人情報の販売先・譲渡先の開示を請求する権利

４．本人の個人情報を削除させる権利

５．オプトアウトする権利（第3者に個人情報を販売しないよう請求する権利）

６．13歳未満の消費者のオプトイン権

７．CCPAの権利を行使したことによって消費者が差別されない権利

 

CCPAの対象となる企業とは？

CCPAの適用対象企業は上記の７つの消費者の権利に対応する義務が発生します。カリフォルニアで事業を行いかつカリフォルニア州民の個人情報を収集している企業で、以下の１つでもあてはまればCCPAの適用対象企業となります。

１．年間の売上総利益が$25,000,000を超える

２．単独または組み合わせで年間5万件以上のカリフォルニア州住民の個人情報を処理している

３．消費者の個人情報の販売によって年間収入の50%以上を得ている

“カリフォルニアで事業を行い”についての定義はCCPAの中では明示されておらず、カリフォルニアに事業所があるかどうかに関わらず、州外または国内の企業であってもカリフォルニア州民の個人情報を取得している場合は法律の適用対象と考えられます。

 

Webサイトへの実装

先立って適用がスタートしたヨーロッパのGDPRにより、Cookie Policyに関するバナーを見たことがある方は多いと思います。CCPA対象企業は同様に、ウェブサイト上に“消費者への通知”（主にバナー表示）を実装する必要があります。通知する内容は大きく以下の通りです。

・情報収集に関する通知（Cookieを含む）

・オプトアウト権の通知

・プライバシーポリシーの通知

これらを大きな文字で分かりやすく設置する必要があります。

 

CCPAに違反した場合はどうなる？

CCPA違反の通知を受け取った場合、当該企業はカリフォルニア州司法長官より30日間の是正期間が与えられます。その期間内に対応ができなかった場合は1件当たり最大$2,500ドル（故意と見なされた場合は最大$7,500）の罰金となります。GDPRに比べると安価にも思われますが、これはあくまで1件当たりの額なので違反した個人情報が1,000件あった場合は最大$2,500,000となり、処理する個人情報が多いほどCCPAに準拠する重要性が高まります。

CCPAの詳細部分は理解することがとても難解な上、現在も細かな修正作業が続いています。自社がCCPAの適用対象となるかどうかを安易に判断することは大変危険なので、顧問弁護士またはプライバシー法に詳しい弁護士に一度相談することをお勧めします。