個人データを、ビジネスを守る、IIJ

【論説】カリフォルニア州消費者プライバシー法(CCPA)の実務対応(田中 浩之 弁護士)


カリフォルニア州消費者プライバシー法(CCPA)は、2018年6月28日に制定されたカリフォルニア州の包括的な個人情報保護規制です。2020年1月1日に施行され、州司法長官による執行も、7月1日から実際に開始されています。8月14日には、州司法長官の規則についても効力が発生しました。 本稿では、CCPA上の義務、適用場面、TO DO、違反の効果を整理すると共に、執行・訴訟の最新動向や2020年11月に住民投票にかけられることとなっている、CPRA(CCPA2.0)の状況についても解説します。

【目次】
はじめに
CCPA上の義務(GDPRとの対比)
CCPAの適用
CCPA対応のTO DO
CCPA違反の効果
CCPAの執行動向とその対策
CCPAに関する訴訟の動向とその対策
CPRA(CCPA2.0)の動向

【本文サンプル】

はじめに
カリフォルニア州消費者プライバシー法(CCPA)は、2018年6月28日に制定されたカリフォルニア州の包括的な個人情報保護規制です。2020年1月1日に施行され、州司法長官による執行も、7月1日から実際に開始されています。8月14日には、州司法長官の規則についても効力が発生しました。
本稿では、CCPA上の義務、適用場面、TO DO、違反の効果を整理すると共に、執行・訴訟の最新動向や2020年11月に住民投票にかけられることとなっている、CPRA(CCPA2.0)の状況についても解説します。

CCPA上の義務(GDPRとの対比)
CCPA上の義務を簡潔に整理すると下表のとおりとなります。参考のため、GDPRとの対比をしていますが、GDPRに比べると、規定されている項目は比較的少ないとは言えます。しかし、CCPAとGDPRは異なる規制を課しており、CCPAの方が厳しいところもありますので、GDPR対応をしていれば、そのままCCPA対応もできていることにはなりませんので注意が必要です。

CCPAの適用
(1) CCPAが適用される事業者
CCPAが適用される“Business”(「事業者」)は、以下の①及び②の両方の条件を充足する者を指します(1798.140(c))。

①消費者(=カリフォルニア州の居住者)の個人情報を取得し(第三者を通じて取得する場合や第三者と共同して取得する場合を含む)、その処理の目的と手段を決定する営利目的の事業者であり、カリフォルニア州で「事業」を行っている(州内に拠点があることは要件ではないと解されます)

②以下の(a)から(c)までのいずれか一つの条件を充足する
(a)年間総収益(annual gross revenues)が2,500万米ドルを超えている(カリフォルニア州における収益やカリフォルニア州居住者からの収益には限られないことが、パブリックコメントへの回答により明らかになっています。)
(b)1年あたりで、合計で5万以上の消費者(=カリフォルニア州の居住者)、(カリフォルニア州の居住者に結びつく)世帯、デバイスの個人情報を商業目的で購入、受領、販売、又は共有している
(c)年間収益額の50%以上を消費者(=カリフォルニア州の居住者)の個人情報の「販売」から得ている

また、事業者を支配し、またはこれに支配される事業者であり、かつ、共通のブランドを有する事業者も「事業者」に含まれます。典型的には、カリフォルニア州にある子会社が上記の①及び②の基準を充足し、CCPAの適用を受ける場合に、共通のブランドを有する親会社もCCPAの適用を受けることになります。

(2)「事業者」以外の名宛人
なお、「事業者」に加えて、CCPAは、「サービス提供者」、「責任引受者」、「第三者」をも名宛人としており、「事業者」に該当しない場合であっても、CCPAを遵守しなければならない場合があり得ることに注意が必要です(1798.155参照)。

(3)適用除外
CCPAにはいくつかの適用除外があります。
まず、対象となる行為の全ての側面がカリフォルニア州外で行われている場合には適用がありません(1798.145(a)(6))。具体的には、以下をいずれも充足する場合に、対象となる行為の全ての側面がカリフォルニア州外で行われているものとされます。

(a) 消費者がカリフォルニア州外に居る時に事業者が個人情報を取得した
(b) カリフォルニア州で消費者の個人情報を販売する行為が一部でも行われていない
(c) 消費者がカリフォルニア州に居た時に収集された個人情報を販売していない

また、他の法律で規律される個人情報についての適用除外もあります(1798.145(c)から(g))。たとえば、Gramm-Leach-Bliley Act又はCalifornia Financial Information Privacy Actに従って取得、処理、販売、開示された個人情報については、CCPAは適用されません。
さらに、役職員・求職者等関連の個人情報の時限的な部分的適用除外(1798.145(h))とB to B関係の個人情報の時限的な部分的適用除外(1798.145(n))があります。これらの適用除外の留意点は、①時限的なものであること、②役職員・求職者・B to B関係の個人情報にあたりさえすれば常に適用除外となる訳ではなく、限られた局面でのみ適用除外となること、③一部の義務については適用除外とならないことです。
これらの適用除外は、CCPA上、現状は、2021年1月1日までの1年間に限られています。ただし、改正法案AB1281により2022年1月1日まで延期される可能性があり、また、後述するCPRA(CCPA2.0)が成立すれば、2023年1月1日まで延長されることになります。

役職員・求職者等関連の個人情報の適用除外については、求職者、従業員、オーナー、役員、オフィサー、医療スタッフメンバーあるいは契約者(事業者のために書面による契約でサービスを提供する自然人を指します)の個人情報等、役職員等の緊急連絡先情報、及び役職員の福利厚生のために必要な情報については、当該役職で事業者に関わる/緊急に連絡をとる/福利厚生を給付する局面でのみ行われる限りにおいて、1798.100(b)の個人情報の目的とカテゴリーに関する通知義務及び1798.150の私人提訴権以外の規定の適用が除外されます。

B to B関係の個人情報の適用除外については、企業等の役職員等の個人情報については、事業者と企業等の役職員等のコミュニケーション又は取引が、企業等のデュー・ディリジェンス、企業等の商品又はサービスの提供 / 受領の局面でのみ行われる限りにおいて、1798.120の個人情報の販売に関するオプトアウト権、1798.125のカリフォルニア州の居住者の権利行使による差別禁止、1798.150の私人提訴権以外の規定の適用が除外されます。

続きは有料会員様にご覧いただけます

ログイン 有料会員登録情報を見る

関連記事