カリフォルニア州は、カリフォルニア州消費者プライバシ法(California Consumer Privacy Act of 2018 / CCPA)を、2020年1月1日より施行する。この法律により、企業が収集、保管、売買、共有する消費者情報に対して、消費者にいくつかの権利が与えられる。対象となる消費者は、カリフォルニア州に住居を置く“自然人(natural person)”だ。この種の法律としては、米国内で初めてのものとなる。
概要
消費者は企業に対して、企業が所有する自らの情報に関して、それを収集したソースのカテゴリ、収集ないし販売する目的、共有するサードパーティのカテゴリの開示を要求する権利を持つことになる。企業側には、消費者の確認要求に基づいて、個人情報を削除する義務がある。さらに消費者は、収集される情報の内容を事前に知る権利も有する。
一般的に、消費者は、データの収集をオプトアウトする必要がある。
法律では、このような要求を行う消費者に対する差別を禁止している。ここで言う差別とは、消費者のデータの価値に関わる場合を除く、商品ないしサービス品質の差異などである。情報提供と交換に無償サービスを提供する企業に対して、これがどのように適用されるかは明らかになっていない。
企業はプライバシポリシと、消費者情報の使用および販売に関する自社のポリシを明記しなければならない。企業が社内目的で情報を保持することは認められているが、法律ではその意味について定義していない。
個人情報の定義
CCPAでは個人情報を、一般的に機密情報あるいは財務情報と考えられるもの以上に広く定義している。““個人情報”とは、特定の個人あるいは家庭に対して、直接的ないし間接的に識別、関連、説明、結び付け、あるいは合理的にリンク可能な情報である。” これには以下のものが含まれるが、これらに限定されない。
- “実名、別名(alias)、住所、ユニークな個人識別情報、オンラインID、IPアドレス、Eメールアドレス、アカウント名、社会保障番号、運転免許番号、パスポート番号、その他の同様な識別情報。”
- 個人財産の記録、購入・取得・検討した製品やサービス、その他の購入ないし消費の履歴あるいは傾向といった商業的情報。
- バイオメトリック情報。
- “閲覧履歴、検索履歴、インターネットWebサイトやアプリケーションや広告とのインタラクションに関する情報を含むが、これらに限定されないインターネットその他の電子的ネットワーク上での行動情報。”
- 地理的情報。
- “音響、電子、視覚、熱、嗅覚、あるいは同様な情報”
- “専門ないし雇用関連の情報”
- “教育に関する情報”
- “消費者の消費嗜好や性格、心理的傾向、嗜好、体質、行動、考え方、知性、能力、適正を反映したプロファイルを作成するために、この細分で特定された情報から導出した推測。”
公的に入手可能な情報は含まれない。
許容される例外
中小企業や非営利団体は、一般的には例外と考えられるが、特定の情報収集活動に従事する場合は対象となる。所有する情報は、連邦、州、あるいは現地法、さらには法律および規制上の提出命令、召喚、ないし合理的な法執行調査に応じて提出する義務がある。
特定されていない情報、あるいは集約された情報については、企業が使用、保持、販売、ないし開示できる。
取引が全面的にカリフォルニア州外で行われる場合、企業は個人情報を収集あるいは販売することができる。ただし、消費者がカリフォルニア州内にいる間にデバイスに個人情報を保存し、カリフォルニア州外でそのデータを収集するということは許されない。
違反した場合の罰則
この法案では、カリフォルニア州司法長官による執行の他、消費者個人がデータ漏洩後に訴訟を起こすことを認めている。データ漏洩は、暗号化あるいは編集されていない情報の不正アクセス、盗難、開示の結果として、企業が合理的なセキュリティ手順を実施できなくなる状態、と定義されている。印刷データの紛失にも責任はある。司法長官は、法律の全規定を実施する権限を持つ。
法案では、司法長官の訴訟による受取金の分配方法も規定している。この法案では、法案の目的と執行を支援するために、議会による支出に基づいて、一般基金内に消費者プライバシ基金(Consumer Privacy Fund)を設立する予定である。罰金はこの基金の供託金として提供される。
法令では、合理的なセキュリティ手段が何であるかを定義していないが、カリフォルニア州司法長官は以前、個人情報を取り扱う企業における最低限の情報セキュリティレベルの定義として、CIS(Center for Internet Security)の“Critical Security Controls”を引用している。
法律では、“消費者の権利放棄を無効とする”ことを規定しているが、拘束力のある仲裁同意書への署名を消費者に求める企業に対して、これが抑止力を持つかどうかは不明である。
法案では司法長官に、同法の適用に際して、法令に従って公衆の関与を要請することを求めている。また、企業やサービス提供者、または第三者に対して、規定の順守方法に関する司法長官の意見を求める権利を認めている。
立法までの経緯
この法案は1週間で知事によって再提出され、可決され、署名された。
これほどまでに急がれたのは、2018年11月の実施を目指している住民投票に先んじるためだ。住民投票の提案者は、カリフォルニア州消費者プライバシ法が6月29日までに可決し、知事が署名した場合は、投票提案を取り下げると明言していた。
進歩主義の時代(progressive era)から、カリフォルニア市民は、法案の住民投票を要求することが可能だった。これが可決すると、州議会による改正のできない州法となる。改正は別のイニシアティブによって行なわれなければならない。
影響
法的な保護が有効なのはカリフォルニア市民のみだが、実質的には米国の大部分が影響を受けることになる。カリフォルニア州は米国で最も人口の多い州であり、独立した国であるとすれば、英国やフランスを凌駕し、世界5番目の大国に相当する。従って、米国外の多くの企業にとって、プライバシポリシないしオプトアウト規定に関して、カリフォルニアとカリフォルニア以外の住民を別々に扱うというのは、煩雑に感じられるはずだ。理論上はカリフォルニア外のIPアドレスでも州の内部で使用できるし、カリフォルニアの居住者が一時的に州外でビジネスを行なうことも考えられるからだ。
EU一般データ保護規則との比較
表面上は似ているが、大きな違いがある。カリフォルニアの法律は、適用範囲がはるかに制限されているにも関わらず、一般データ保護規則(GDPR)に準拠したとしても、CCPAに自動的に準拠したことにはならない。
カリフォルニアの法律は、消費者のプライバシ権と情報開示に限定されているが、GDPRは消費者情報の開示を規制するだけでなく、データ破棄の手順、個人や規制当局への通知、データセキュリティの実施方法、さらには国境を越えたデータ転送に関する規則を備えている。さらに、修正する権利、自動的な意思決定に基づく判断の対象としない権利、場合によっては忘れられる権利を認めている。またGDPRでは、ユーザの積極的なオプトインによる同意が求められるのに対して、CCPAは一般的に、個人情報の使用をオプトアウトする権利のみを求めている。CCPAではフリーダイヤルを用意する必要があるが、GDPRではそれは求めていない。これら矛盾する要件を、企業がどのように遵守するのかは明らかではない。
GDPRは、データ同意のレベルに応じて異なる料金を設定することを禁じていないが、CCPAでは、データ収集に協力する顧客に対して、企業がどのような金銭的インセンティブを提供できるか、完全に明確にはなっていない。消費者情報の定義は、GDPRよりもCCPAの方がはるかに広い。開示と削除に関して認められる例外にも違いがある。
影響
この法律が効力を発するのは1年半後だ。法律が修正されるか、あるいはこのカリフォルニア州法を覆すような国内法が成立するには、十分な時間がある。 後者については、矛盾する州法がいくつも成立すれば、明確な可能性がある。業界としては、特に消費者訴訟を回避するという点に関して、より制限の少ない国内法が成立することを期待するかも知れない。業界団体と国会議員も、顧客が求めるものとビジネス上必要なものとの間で板挟みになっている。この種の法律でよくあるように、政府は新たな機関を設立するか、あるいは連邦取引委員会に新たな規則を作らせることになるだろう。
もうひとつの興味深い点は、大手テクノロジ企業が、時間や資金やリソースの面で、自分たちのような大手企業でなければ実施できないような複雑かつ詳細な規則を求める可能性のあることだ。これにより、競合他社に対する参入障壁が生じることになる。GDPRがあまりに煩雑であるため、欧州の中小企業が閉鎖に追い込まれているという報告もある。
この記事を評価
- 編集者評
- 編集長アクション