カリフォルニア州消費者プライバシー法(CCPA)を読み解く ~日本の個人情報保護法やGDPRとの違いは何か~

掲載:2020年08月14日

執筆者:コンサルタント 杉浦 広明

ガイドライン

昨今、DXに代表されるデータ利活用が加速していることを受け、個人データの適切な管理が重要視されるようになり、世界中のプライバシー法規制が厳格化されてきています。その中で注目されているのが、2020年1月に施行され、同年7月より執行されたカリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)です。

CCPAとはカリフォルニア州民の個人情報の取り扱いについて定めた法規制です。CCPAについても、GDPR(EU一般データ保護規則)同様に日本企業にも対応が求められる場合があります。

本記事では、このCCPAについて詳細を見ていきます。

         

CCPAの概要

CCPAでは、消費者(カリフォルニア州の住民)に8つのプライバシーの権利を与え、当該消費者の個人情報を処理する事業者に8つの義務を定めています。

【図表1:CCPAでの消費者権利と事業者の義務】
消費者の権利 事業者の義務
  • 略式開示請求権
  • 拡張開示請求権
  • アクセス及びポータビリティの権利
  • 事業目的で個人情報の販売又は開示を行う事業者に対する情報請求権
  • 個人情報の販売に関するオプトアウト権
  • 子供のためのオプトイン権
  • 削除権
  • CCPA上の消費者の権利の行使を理由として差別されない権利
  • 消費者への通知義務
  • 消費者要求への対応のビジネスプラクティスに関する義務
  • 研修義務
  • 記録管理義務
  • 要求の検証義務
  • 未成年者に関する特則の義務
  • 差別の禁止
  • 個人情報の性質に照らして合理的なセキュリティの手続と慣行を実装する義務

 

ここで挙げられている消費者の権利は現在のプライバシー関連法規制で一般的になっているものもありますが、一部に他より更に厳格な内容が含まれます。具体的には、業者が第三者に対して情報を販売することを止めるよう命令できる権利(個人情報の販売に関するオプトアウト権)がそれに当たります。

なお、ここでいう消費者とは、カリフォルニア州の住民を指しており、事業者は下記条件を全て満たすものが対象となります。

 

【図表2:CCPAにおける事業者の定義】
1
  1. カリフォルニア州で営利目的の事業を行っている
  2. カリフォルニア州民の個人情報を収集または処理している
  3. 以下の基準の一つ以上に該当する
    1. 年間の総売上が2,500万ドル以上
    2. 年間50,000件以上のカリフォルニア州の消費者のデータを購入、取得、販売している
    3. カリフォルニア州の消費者のデータを販売することで売り上げの50%以上を得ている
2 上記 1 に定める事業者を支配し又はこれに支配され、かつ当該事業者と共通のブランドを共有する主体

 

つまり、カリフォルニア州民の個人情報を収集している場合には、日本企業であってもCCPAで言う事業者に該当する可能性が考えられます。また、その企業のグループ企業も上図の定義2の要件により事業者と認識される可能性があります。

個人情報について、CCPAでは「特定の消費者又は世帯を、識別し、関連し、叙述し、関連付けることができ、又は直接的にもしくは間接的に合理的にリンクさせることのできる情報」と幅広く規定しています。

 

【図表3:CCPAにおける個人情報例】
一般的な個人情報 実名、仮名、電話番号、口座、社会保障番号、運転免許証、パスポート、職歴・学歴
オンライン識別子 IPアドレス、メールアドレス、商品・サービスの購入履歴、ウェブサイトの閲覧・検索履歴、位置情報データ
身体的な特徴 虹彩・網膜・指紋・掌紋・顔・声・DNAなどの身体的・生体的特徴を含む生体情報

 

日本では、会員情報等と紐付けられる場合のみIPアドレスが個人情報扱いになっていますが、CCPAではIPアドレスのみでも個人情報と扱われるため、より厳格です。

また、CCPAに違反した場合、事業者は違反1件につき最大2,500ドル(故意による違反の場合、最大7,500ドル)の罰金が科せられます。

CCPAと他プライバシー法規制の比較

次に、CCPAとGDPR、日本の個人情報保護法を比較していきます。

三者を比較した場合、部分的にはCCPAがより厳格なものの、その制裁金の大きさから言っても、全体的にはGDPRが最も厳格で、次にCCPA、個人情報保護法が続きます。

 

【図表4:CCPA、GDPR、個人情報保護法の比較表】
項目 CCPA
(米国カリフォルニア州)
GDPR
(EU)
個人情報保護法
(日本)
対象組織 カリフォルニア州でビジネス展開をしており、個人情報を収集、処理する事業者 EEA(ヨーロッパ経済域)でビジネス展開をしており、個人情報を収集、処理する事業者 日本で個人情報を取り扱うすべての組織、団体
個人データの定義 カリフォルニア州民やその世帯を識別、関連付けできるなど、個人を識別できる情報

※ 世帯情報も個人情報となっている点が厳格
識別された又は識別され得る自然人に関するあらゆる情報 氏名その他により特定の個人を識別できるものや個人識別符号を含むもの
個人データの移転 対価獲得のために行われる移転は販売とみなされる
その場合、販売行為に対する義務を果たす必要がある

※ 同意があれば移転、販売は違法ではないが、義務が伴う
EEA域外への個人データの移転は原則違法で、十分性認定がない場合はSCC(標準契約条項)、BCR(拘束的企業準則)によるデータ移転規則遵守が必要 本人の同意が有れば外国の第三者に提供可能
外国の第三者がPMS同等管理体制保持で、同意なく提供可能
罰則、制裁金 違反1件あたり最大2,500ドル
故意の場合最大7,500ドル
全世界年間売上高の4%、
または2,000万ユーロ(23億円)のいずれか高い方
2年以下の懲役、
または最大100万円
(2020年に最大1億円に法改正され、7月現在は未施行)

 

個人情報の定義として、GDPRとCCPAでは、単体で個人を直接識別できない情報(クッキー情報やIPアドレス)であっても、何らかの追加情報(例えば会員情報)と組み合わせて個人特定ができる場合は個人情報扱いになるのに対し、日本では個人情報と容易に照合できる場合のみ個人情報扱いになります。

データ移転では、CCPAは個人データを持つ本人との同意は不要なものの、金銭やその他価値のある対価のために行われるデータ移転は販売とみなされ、事業者が対応する義務が発生します。GDPRは個人データの移転は原則違法、個人情報保護法に関しては同意を取得していれば、データ移転が可能となっています。

また、罰則、制裁金の観点で見ると、GDPRはCCPA、日本の個人情報保護法と比較して、罰則金が圧倒的に高く、やはりGDPRには特に留意する必要があります。

最後に

前述しているように、現在カリフォルニア州に住む消費者の個人情報を処理している企業は、ある程度以上のビジネス規模であれば、日本企業であってもCCPA適用対象になり得ます。

CCPAの適用対象か曖昧な場合にも、CCPA適用対象と見なされる可能性はあるとして、それに備えた準備を進めることが望ましく、適用対象外と判断する場合には、その根拠を整理し、説明できるようにしておくことが重要です。

また、プライバシー法規制の厳格化という意味において、GDPRもCCPAも同じ方向性ではあるものの、個人情報の定義等、主要な要件では異なる部分が多々あるため、GDPRに準拠しているからと言って、そのままCCPAにもその運用が通用する訳ではない、という点にも注意が必要です。

個々の法律に一つ一つ対応していくのは相当な負荷がかかりますが、GDPR などを含む世界各国のプライバシー法規制に対応できる包括的な運用体制・仕組みをカバーした認証基準として、ISO27701:2019も発行されており、これに対応する企業も今後増加することが見込まれます。

いずれにしろ、企業としてはこのようなプライバシー法を軽視することなく、自社にどのような影響があるのかをしっかりと把握した上で、法規制に対応していくことが求められるでしょう。

 

参考文献
  • 出典:日本貿易振興機構・サンフランシスコ事務所発行「カリフォルニア州 消費者プライバシー法(CCPA)実務 ハンドブック」

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる