M&P Legal Note 2023 No.8-3
カリフォルニア州消費者プライバシー法(CCPA)の改正
2023年9月11日
松田綜合法律事務所
弁護士 加藤 奈緒
オセアナ法律事務所
代表弁護士 大山もにか
(カリフォルニア州・ニューヨーク州・イリノイ州弁護士)
1 CCPAの改正
2023年1月1日、カリフォルニア州プライバシー権法(California Privacy Rights Act:CPRA)と呼ばれる法律により、2020年1月から施行されていた、同州における個人情報保護に関する包括的な法律であるカリフォルニア州消費者プライバシー法(California Consumer Privacy Act:CCPA)が、消費者の権利を拡張・強化する方向で改正されました。
大きな変更点として、改正前のCCPAにおいては、役職員等の雇用関連個人情報と、B to Bにおける取引先担当者の個人情報については一部の規定の適用が猶予されていたところ、2023年1月1日をもって当該猶予が終了し、これらの情報についても改正後のCCPA/CPRAが全面的に適用されることになりました。したがって、B to B事業を営み、収集しているカリフォルニア州の住民の情報は従業員や取引先の個人情報のみという企業であっても、改正CCPA/CPRAの適用対象であれば、その全面的な遵守が必要となります。また、通常の個人情報よりも厳しい義務が課せられる個人情報のカテゴリーが新設され、加えて消費者の権利が拡大したことに伴い、対象事業者の義務や違反した場合のリスクも増加しました。
CPRAは、カリフォルニア州司法長官からCCPA/CPRAの執行を移譲された新当局として、カリフォルニア州プライバシー保護庁(California Privacy Protection Agency:CPPA)の創設についても規定しています。2023年3月29日に改正CCPA/CPRA の規則が最終化・発効し、2023年7月1日より、改正CCPA/CPRAに基づくCPPAによる執行(エンフォースメント)が開始されております。
そこで本稿では、カリフォルニア州弁護士である大山もにか弁護士の助言を得て、改正CCPA/CPRAの適用対象や、消費者の権利および遵守すべき義務についてまとめました。
2 改正CCPA/CPRAの適用対象
改正CCPA/CPRAの適用対象は以下のとおりです(下線は改正前CCPAからの変更点であり、【カテゴリー3】および【カテゴリー4】は新設になります)。
【カテゴリー1】
① 利益または金銭的便益のために組織または運営され、 ② 消費者(カリフォルニア州の住民)の個人情報を収集しまたは自己の代わりに個人情報が収集され、 ③ 単独でまたは他と共同で消費者の個人情報を処理する目的と手段を決定し、 ④ カリフォルニア州で事業を行い(※1)、かつ、 ⑤ 以下の基準の一つまたはそれ以上を満たす、個人事業体、パートナーシップ、有限責任会社、法人、団体またはその他の法的主体。 (i) 暦年の1月1日時点で、前暦年の年間総収入(annual gross revenues)が2,500万米ドルを超える(※2)。 (ii) 単独または組み合わせで、年間10万件以上の消費者または世帯の個人情報を、購入、販売し、または共有(※3)する。 (iii) 年間収入(annual revenues)の50%以上を消費者の個人情報の販売または共有から得ている。
【カテゴリー2】 ① 上記【カテゴリー1】に定める事業者を支配しまたはこれに支配され(※4)、 ② 当該事業者と共通のブランド(※5)を共有し、かつ ③ 当該事業者が消費者の個人情報を共有する主体。
【カテゴリー3】 各事業者が少なくとも40%の持分を有する事業者で構成されるジョイントベンチャーまたはパートナーシップ
【カテゴリー4】 カリフォルニア州で事業を行う者で、上記カテゴリー1~3の対象とならず、CCPAを遵守し、それに拘束されることに同意することを自主的にカリフォルニア州プライバシー保護局に証明した者
|
※1:「カリフォルニア州で事業を行っている」という要件について、何がその定義に含まれ、何が含まれないか、最終化された規則によっても明確になっていません。例えば、日本企業がカリフォルニア州に子会社を有する場合に、その子会社がカリフォルニア州で事業活動を行っていることだけをもって、当該日本企業が「カリフォルニア州で事業を行っている」という条件を充足するわけではないものの、親子間で何らかのつながり(重複した事業、収益分配など)があれば該当する可能性があるというのが現時点での理解のようです。もっとも、そのつながりの具体的内容も不明確であるため、カリフォルニア州に子会社を有する日本企業は、子会社が【カテゴリー1】、自身が【カテゴリー2】に該当することにより改正CCPA/CPRAの適用があるかについても検討する必要があります。
※2:年間総収入は、事業者ごとに、単体で、全世界ベースで検証すべきとされています。
※3:「共有(Share)」は、CPRAにおいて新たに定義された概念であり、金銭その他の対価の有無にかかわらず、「クロスコンテキスト行動広告(cross-context behavioral advertising)」の目的で、消費者の個人情報を第三者に対し共有、開示、移転その他伝達することを意味します。ここでの「クロスコンテキスト行動広告」とは、複数の事業者、ブランドサイト、アプリケーションまたはサービス(消費者が自らの意思でアクセスするものを除く)における消費者の行動から得られた個人情報に基づいて、消費者に対して行われるターゲティング広告を意味します。
※4:「支配」とは、(i) 発行済の議決権付株式の50%超を所有しまたは議決権を有していること、(ii) 取締役の過半数(または同様の機能を果たす個人)の選任につき支配していること、(iii) 経営について支配的な影響力を行使する権限を有していること、のいずれかに該当することを意味します。
※5:「共通のブランド」とは、一般的な消費者が2つ以上の事業者が共通して所有されていると理解できるような、共通の名称、サービスマーク、商標を意味します。
3 改正CCPA/CPRAの義務内容
改正CCPA/CPRAにおいて消費者に与えられている権利および、事業者に対して課されている義務は、大要以下のとおりです(下線は改正前CCPAからの変更点)。
消費者の権利 | 事業者の義務 |
① 収集、開示、販売、共有される個人情報について知る権利
② 削除請求権 ③ 訂正請求権 ④ 個人情報の販売または共有(※1)に関するオプトアウト権 ⑤ センシティブ個人情報の利用・開示の制限権 ⑥ 未成年者のオプトイン権 ⑦ 権利行使を理由として差別されない権利 |
① 消費者への通知義務
② 消費者からの各請求への対応義務 ③ 研修義務 ④ 記録管理義務 ⑤ 販売先・共有先である第三者、個人情報の開示先であるサービスプロバイダとの間の契約締結義務 ⑥ 未成年者に関するオプトイン手続義務 ⑦ 差別の禁止 ⑧ 個人情報の性質に照らして合理的なセキュリティの手続と慣行を実装する義務 ⑨ データ保護影響評価の実行義務(個人情報の処理が消費者のプライバシーやセキュリティに重大なリスクをもたらす事業者) |
※1:改正CCPA/CPRAにおいては、個人情報の「販売(Sell)」に加えて、「共有(Share)」もオプトアウト権の対象となりました。したがって、個人情報を販売または共有している場合は、「Do Not Sell or Share My Personal Information」というタイトルのオプトアウト権行使のためのリンクを事業者のウェブサイトに設置することが求められます。
4 「センシティブ個人情報」の新設
改正CCPA/CPRAにおいては、「センシティブ個人情報」と呼ばれるカテゴリーが追加されました。具体的には、以下のとおりです。
【センシティブ個人情報】
・ソーシャルセキュリティ番号、運転免許証番号、州IDカード番号、パスポート番号 ・アカウントへのアクセスを可能とするセキュリティ・コード若しくはアクセス・コード、パスワード、または認証情報と組み合わせられた、アカウント・ログイン情報、金融機関口座情報、デビットカード情報、クレジットカード情報 ・正確な位置情報 ・人種的または民族的起源、宗教または哲学上の信念、労働組合への加入状況 ・郵便・電子メール・テキストメッセージの内容(事業者がこれらの通信の受信者として意図されている場合を除く) ・遺伝データ ・消費者を一意的に識別することを目的として処理される生体情報 ・消費者の健康に関連して収集および分析された個人情報 ・消費者の性生活や性的指向に関連して収集および分析された個人情報
|
センシティブ個人情報を収集している事業者は、その種類、利用目的、その情報が販売または共有されるか否かを消費者に通知する義務があります。消費者は、センシティブ個人情報を収集している事業者に対して、その利用・開示を一定の場合に制限するように請求する権利を有しており、事業者は、当該センシティブ個人情報の利用・開示の制限権を行使可能とするため、「Limit the Use of My Sensitive Personal Information」というタイトルのリンクを事業者のウェブサイトに載せる必要があります。
5 改正CCPA/CPRA違反の効果
改正CCPA/CPRAに違反した場合の効果としては、以下のとおり定められています。
(1) カリフォルニア州司法長官によるエンフォースメント
「最大2,500米ドル(16歳未満の未成年者の個人情報に関して故意で違反した場合だと最大7,500米ドル)×違反件数」の民事制裁金が課される可能性があります。なお、改正前CCPAでは州司法長官による違反の通知後30日間の治癒期間が規定されていましたが、改正後は当該期間が法律上保証されないことになりました。
(2) 消費者によるエンフォースメント
一定の個人情報が漏洩等した場合、消費者に、①法定損害(100ドル~750ドル×人数×違反件数)または実損害の賠償請求、②差止命令・確認判決、③その他の救済措置を求める提訴権が生じます。なお、このうち①についてはクラスアクションも可能とされています。
なお、情報漏洩が生じた場合の当局に対する通知義務は、CCPA/CPRAではなく、データ侵害通知法という別の州法で規定されています。カリフォルニア州のデータ侵害通知法では、消費者への通知義務に加え、500名を超える消費者の個人情報が漏洩した場合の州司法長官への通知義務が定められています。
6 実務上の対応
以上のとおり、改正CCPA/CPRAでは消費者の権利・事業者の義務内容が拡張され、改正前に存在した従業員情報・B to Bの担当者情報に関する適用猶予もなくなりました。したがって、米国、特にカリフォルニア州に子会社を有する日本企業は、当該子会社が改正CCPA/CPRAに対応しているかを早急に確認する必要があります。
また、日本企業自体がカリフォルニア州住民の個人情報を取得・利用している場合は、改正CCPA/CPRAの適用対象となる可能性があるため、適用の可否や対応の必要性について再度検証すべきと思われます。対応が必要となった場合、上記3記載のとおり事業者の義務は多岐にわたりますが、実務上、以下の作業を順次進めることが推奨されます。
- データマッピング(従業員データ・取引先担当者データを含む)の作成または改訂
- プライバシーポリシーの作成または改訂(個人情報の販売または共有に関するオプトアウト権、センシティブ個人情報の利用・開示の制限権に関するリンクの作成含む)
- 販売先・共有先である第三者、開示先であるサービスプロバイダとの間の契約見直し
- データセキュリティプランの作成または改訂
- 社内ルール(データの保管期間に関するルールや、消費者からの各請求への対応マニュアルの作成)
- 研修義務・記録保持義務への対応
- データ保護影響評価の実行(適用ある場合)
【オセアナ法律事務所代表 大山もにか弁護士(カリフォルニア州・ニューヨーク州・イリノイ州弁護士)のプロフィール】
10年に渡って日系企業の米国進出・事業拡大の支援をしてきました。コーポレート、M&A、知的財産、データプライバシー、商取引など企業が米国で事業を行うに当たって必要となる企業法務も幅広く取り扱っております。
このリーガルノートに関連する法務
お問い合わせ
この記事に関するお問い合わせ、ご照会は以下の連絡先までご連絡ください。
松田綜合法律事務所
弁護士 加藤 奈緒
info@jmatsuda-law.com
この記事に記載されている情報は、依頼者及び関係当事者のための一般的な情報として作成されたものであり、教養及び参考情報の提供のみを目的とします。いかなる場合も当該情報について法律アドバイスとして依拠し又はそのように解釈されないよう、また、個別な事実関係に基づく日本法または現地法弁護士の具体的な法律アドバイスなしに行為されないようご留意下さい。