カリフォルニア州消費者プライバシー法(CCPA)を読み解く ~日本の個人情報保護法やGDPRとの違いは何か~
掲載:2020年08月14日
ガイドライン
昨今、DXに代表されるデータ利活用が加速していることを受け、個人データの適切な管理が重要視されるようになり、世界中のプライバシー法規制が厳格化されてきています。その中で注目されているのが、2020年1月に施行され、同年7月より執行されたカリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)です。
CCPAとはカリフォルニア州民の個人情報の取り扱いについて定めた法規制です。CCPAについても、GDPR(EU一般データ保護規則)同様に日本企業にも対応が求められる場合があります。
本記事では、このCCPAについて詳細を見ていきます。
CCPAの概要
CCPAでは、消費者(カリフォルニア州の住民)に8つのプライバシーの権利を与え、当該消費者の個人情報を処理する事業者に8つの義務を定めています。
| 消費者の権利 | 事業者の義務 |
|---|---|
|
|
ここで挙げられている消費者の権利は現在のプライバシー関連法規制で一般的になっているものもありますが、一部に他より更に厳格な内容が含まれます。具体的には、業者が第三者に対して情報を販売することを止めるよう命令できる権利(個人情報の販売に関するオプトアウト権)がそれに当たります。
なお、ここでいう消費者とは、カリフォルニア州の住民を指しており、事業者は下記条件を全て満たすものが対象となります。
| 1 |
|
|---|---|
| 2 | 上記 1 に定める事業者を支配し又はこれに支配され、かつ当該事業者と共通のブランドを共有する主体 |
つまり、カリフォルニア州民の個人情報を収集している場合には、日本企業であってもCCPAで言う事業者に該当する可能性が考えられます。また、その企業のグループ企業も上図の定義2の要件により事業者と認識される可能性があります。
個人情報について、CCPAでは「特定の消費者又は世帯を、識別し、関連し、叙述し、関連付けることができ、又は直接的にもしくは間接的に合理的にリンクさせることのできる情報」と幅広く規定しています。
| 一般的な個人情報 | 実名、仮名、電話番号、口座、社会保障番号、運転免許証、パスポート、職歴・学歴 |
|---|---|
| オンライン識別子 | IPアドレス、メールアドレス、商品・サービスの購入履歴、ウェブサイトの閲覧・検索履歴、位置情報データ |
| 身体的な特徴 | 虹彩・網膜・指紋・掌紋・顔・声・DNAなどの身体的・生体的特徴を含む生体情報 |
日本では、会員情報等と紐付けられる場合のみIPアドレスが個人情報扱いになっていますが、CCPAではIPアドレスのみでも個人情報と扱われるため、より厳格です。
また、CCPAに違反した場合、事業者は違反1件につき最大2,500ドル(故意による違反の場合、最大7,500ドル)の罰金が科せられます。
CCPAと他プライバシー法規制の比較
次に、CCPAとGDPR、日本の個人情報保護法を比較していきます。
三者を比較した場合、部分的にはCCPAがより厳格なものの、その制裁金の大きさから言っても、全体的にはGDPRが最も厳格で、次にCCPA、個人情報保護法が続きます。
| 項目 | CCPA (米国カリフォルニア州) |
GDPR (EU) |
個人情報保護法 (日本) |
|---|---|---|---|
| 対象組織 | カリフォルニア州でビジネス展開をしており、個人情報を収集、処理する事業者 | EEA(ヨーロッパ経済域)でビジネス展開をしており、個人情報を収集、処理する事業者 | 日本で個人情報を取り扱うすべての組織、団体 |
| 個人データの定義 | カリフォルニア州民やその世帯を識別、関連付けできるなど、個人を識別できる情報 ※ 世帯情報も個人情報となっている点が厳格 |
識別された又は識別され得る自然人に関するあらゆる情報 | 氏名その他により特定の個人を識別できるものや個人識別符号を含むもの |
| 個人データの移転 | 対価獲得のために行われる移転は販売とみなされる その場合、販売行為に対する義務を果たす必要がある ※ 同意があれば移転、販売は違法ではないが、義務が伴う |
EEA域外への個人データの移転は原則違法で、十分性認定がない場合はSCC(標準契約条項)、BCR(拘束的企業準則)によるデータ移転規則遵守が必要 | 本人の同意が有れば外国の第三者に提供可能 外国の第三者がPMS同等管理体制保持で、同意なく提供可能 |
| 罰則、制裁金 | 違反1件あたり最大2,500ドル 故意の場合最大7,500ドル |
全世界年間売上高の4%、 または2,000万ユーロ(23億円)のいずれか高い方 |
2年以下の懲役、 または最大100万円 (2020年に最大1億円に法改正され、7月現在は未施行) |
個人情報の定義として、GDPRとCCPAでは、単体で個人を直接識別できない情報(クッキー情報やIPアドレス)であっても、何らかの追加情報(例えば会員情報)と組み合わせて個人特定ができる場合は個人情報扱いになるのに対し、日本では個人情報と容易に照合できる場合のみ個人情報扱いになります。
データ移転では、CCPAは個人データを持つ本人との同意は不要なものの、金銭やその他価値のある対価のために行われるデータ移転は販売とみなされ、事業者が対応する義務が発生します。GDPRは個人データの移転は原則違法、個人情報保護法に関しては同意を取得していれば、データ移転が可能となっています。
また、罰則、制裁金の観点で見ると、GDPRはCCPA、日本の個人情報保護法と比較して、罰則金が圧倒的に高く、やはりGDPRには特に留意する必要があります。
最後に
前述しているように、現在カリフォルニア州に住む消費者の個人情報を処理している企業は、ある程度以上のビジネス規模であれば、日本企業であってもCCPA適用対象になり得ます。
CCPAの適用対象か曖昧な場合にも、CCPA適用対象と見なされる可能性はあるとして、それに備えた準備を進めることが望ましく、適用対象外と判断する場合には、その根拠を整理し、説明できるようにしておくことが重要です。
また、プライバシー法規制の厳格化という意味において、GDPRもCCPAも同じ方向性ではあるものの、個人情報の定義等、主要な要件では異なる部分が多々あるため、GDPRに準拠しているからと言って、そのままCCPAにもその運用が通用する訳ではない、という点にも注意が必要です。
個々の法律に一つ一つ対応していくのは相当な負荷がかかりますが、GDPR などを含む世界各国のプライバシー法規制に対応できる包括的な運用体制・仕組みをカバーした認証基準として、ISO27701:2019も発行されており、これに対応する企業も今後増加することが見込まれます。
いずれにしろ、企業としてはこのようなプライバシー法を軽視することなく、自社にどのような影響があるのかをしっかりと把握した上で、法規制に対応していくことが求められるでしょう。
参考文献
- 出典:日本貿易振興機構・サンフランシスコ事務所発行「カリフォルニア州 消費者プライバシー法(CCPA)実務 ハンドブック」
