世界のプライバシー保護規制対応を支援するサイト

カリフォルニア州、CCPAを強化するCPRAを住民投票で可決


住民投票によりCCPAを強化

米国の多くのメディアが報じるところによると、カリフォルニア州で11月3日、大統領選挙、連邦議会選挙などとともに実施された住民提案に対する投票により、カリフォルニア州消費者プライバシー法(CCPA)を強化し、カリフォルニア州プライバシー権利法(California Privacy Rights Act: CPRA)に改変する法案が、投票総数の約56%の賛成多数で可決された。今後、州務長官が投票結果を認証した後、正式に法律として発効する。

CCPAの従業員、B2Bへの適用猶予を延長

今年9月には、CCPAのうち従業員情報および企業間取引における適用の猶予を2022年1月1日まで延長する法案(以下「AB1281」)が成立しているが、CPRA発効により、これらの規定は2023年1月1日までさらに適用猶予されることになる。

CPRAによる追加規制の概要

CPRAによりCCPAに追加される新たな規制の概要は以下の通り。これらは2022年1月1日から収集された個人データに適用され、2023年1月に施行される。

1. センシティブな個人データの処理に対する加重規制
センシティブな個人データには、様々な個人識別子(identifier)、ログイン認証情報、金融口座情報、正確な位置情報、一定の種類のメッセージ、遺伝子情報、人種、信仰、生体情報、健康情報、性生活、性的指向に関する情報が含まれる。消費者は、これらのセンシティブな個人データの用途をサービス提供や事業者の法的義務の履行に必要な範囲など一定の範囲に制限することを事業者に指示することが認められる。事業者は、消費者から指示があった場合にはそのような利用を中止しなければならない。一言で言うと、センシティブな個人データについて、本来の目的のために必要な用途以外の利用について消費者にオプトアウト権(事後的拒否権)を認める規制である。

2. 法執行機関の設立
CPRAを執行する行政機関としてCalifornia Privacy Protection Agency(カリフォルニア州プライバシー保護庁、CPPA)を設立する。CPPAは文書提出や監査を命じる権限、法違反について1件あたり最大2,500ドル(故意による場合は最大7,500ドル)の制裁金を賦課する権限、州司法長官に代わってCPRA施行規則を制定する権限が与えられる。

3. データ侵害に対する私的訴権の対象拡大
CCPAでは、私的訴権(private right of action、民事訴訟により損害賠償、差止などの救済を求める権利)の対象は、適切なデータ保護対策を講じていなかったために暗号化していない生の個人データが漏洩し、盗難され、又は開示された場合に限られていた。CPRAはこれを拡大し、オンラインサービスなどのアカウントにアクセスするためのeメールアドレス、パスワード、秘密の問と答などの認証情報の組み合わせが漏洩した場合にも私的訴権を認める。

(IIJ補足:オンラインサービスにおけるこのような漏洩事故の頻度を考えると、裁判による救済を求め得る事故の範囲がかなり拡張されることになる。また、このような私的訴権の拡大は、実損額の正確な立証を要しない法定損害賠償が規定されていることと相まって、データ漏洩事故に伴う集団訴訟(class action)のリスクをさらに拡大させるので、事業者は十分警戒する必要がある。)

4. リスク評価実施義務
プライバシーへのリスクが高い個人データ処理を行う事業者に対して、州司法長官または新設されるCPPAが定める施行規則により、定期的な監査、リスク評価、これらに関する報告書の提出の義務を課することができる。義務を課する基準として、事業の規模、個人データ処理の内容、影響範囲などを考慮することとされる。GDPRのDPIA(データ保護影響評価)実施義務に類似する規定である。GDPRの場合、系統的かつ大規模な自動的処理、大規模なセンシティブデータの処理、公衆の場所の大規模な監視についてDPIAが義務づけられている。

5. 自動的意思決定、プロファイリングの規制
CPRAは、プロファイリングを、個人データの自動処理によって、職場での成績、経済状況、健康状況、趣味嗜好、興味、扶養関係、行動、位置・移動などを予想することと定義する。CPRAは、このようなプロファイリングを行う場合、情報提供およびオプトアウト権(事後的拒否権)の付与を義務づける。GDPRにおける自動的意思決定の規制に関する規定と規制内容は類似している。

6. 年少者の個人データに関する規制
個人データが16歳未満の年少者に関するものであることを実際に知っていた場合、CPRAに違反する行為について、7,500ドル以下の制裁金が課される。年少者以外の場合の制裁金の上限の3倍に相当する重い制裁金が課せられることになる。

7. 個人データの共有に対するオプトアウト権
CCPAは、個人データを販売(おおむね、経済的なメリットのために委託先以外の者に開示する行為)に対するオプトアウト権を認めているが、CPRAはこれを一歩進め、個人データの共有(share)についても消費者のオプトアウト権を認める。16歳未満の消費者がオプトアウト権を行使した場合、その後12ヶ月間、または当該消費者が16歳に達するまでは、再度、同意を求めてはならない。

8. 個人データ保持期間の制限
CCPAの情報提供義務に加え、事業者が個人データを保持する期間または保持し続ける条件を明示することを義務づけ、さらに、開示した処理目的の達成に必要な期間を超えて個人データを保持してはならないことを義務づける。GDPR第5条の例にならった規制である。

9. 従業員データへの法適用猶予期間の延長
適用対象事業者の従業員、役員、取引先従業員等、求職者など、事業者との一定の関係において個人データが処理される対象者について、CPRAの適用は、2023年1月1日まで猶予される。

10. 委託先、サービス提供者に関する規制
事業者と委託先等との間の契約においては、委託先は事業者によるCPRA遵守状況の監視を受忍しなければならないこと、委託事務を再委託する場合、事業者に通知しなければならないことを規定しなければならない。事業者が第三者、委託先等に個人データを開示する場合、開示先に対してCPRAを遵守する契約的義務を課さなければならない。さらに、CPRAは、委託先等に対する直接の法的義務として、消費者による権利行使への協力義務を課する。これらの規定は、GDPR第28条の管理者と処理者との関係を律する規制に類似している。

 

Proposition24の結果を報じるLos Angeles Times記事
https://www.latimes.com/business/story/2020-11-03/2020-california-election-tracking-prop-24

カリフォルニア州政府によるProposition24の説明:
https://voterguide.sos.ca.gov/propositions/24/

CPRAドラフトを含む住民提案の全文:
https://oag.ca.gov/system/files/initiatives/pdfs/19-0021A1%20%28Consumer%20Privacy%20-%20Version%203%29_1.pdf

関連するブログ

関連記事