(本稿は2020年1月「SecurityDays」での講演「CaliforniaConsumerPrivacyAct-CCPA-要点と対応の勘所」をもとに再構成しています。)
2020年1月1日からカリフォルニア州のプライバシー規制法CCPA(CaliforniaConsumerPrivacyAct、以下CCPAと記載)が施行された。プライバシー規制法というと2018年5月(発行日は2016年5月)に適用が開始されたGDPR(GeneralDataProtectionRegulation)が日本では広く認知されているが、制定された目的をはじめ対象者の範囲や罰則などの規定がCCPAとは大きく異なる。アメリカをはじめとした北米圏でビジネスをしている方が注目すべき規制のように思われるが、日本企業はどの程度の対策を打つべきなのか。GDPRとの違いを交えながら、CCPA対策を実装するうえで気を付けるべきポイントを解説したい。
CCPAはカリフォルニア州に住民票を持つ約3,951万(2019年時点)が対象となる。一見すると当該情報を所有する日本企業は少なく感じるが、EC事業をはじめビジネスや観光で訪日したカルフォルニア住民などオンライン・オフラインを問わず彼らが顧客となり開示した情報が対象と考えると、対策を講じるべき事業者は北米を中心にビジネスを展開している企業だけでないことがわかる。また、同州の商圏規模は約2.7兆ドルでイギリスの国家予算2.6兆ドルを上回ることからもこの取り組みがアメリカ全土をはじめ世界的に影響を及ぼすことがうかがえる。