「California Consumer Privacy Act -CCPA- 要点と対応の勘所」

 

(本稿は2020年1月「Security Days」での講演「California Consumer Privacy Act -CCPA- 要点と対応の勘所」をもとに再構成しています。)

 2020年1月1日からカリフォルニア州のプライバシー規制法CCPA(California Consumer Privacy Act、以下CCPAと記載)が施行された。プライバシー規制法というと2018年5月(発行日は2016年5月)に適用が開始されたGDPR(General Data Protection Regulation)が日本では広く認知されているが、制定された目的をはじめ対象者の範囲や罰則などの規定がCCPAとは大きく異なる。アメリカをはじめとした北米圏でビジネスをしている方が注目すべき規制のように思われるが、日本企業はどの程度の対策を打つべきなのか。GDPRとの違いを交えながら、CCPA対策を実装するうえで気を付けるべきポイントを解説したい。

 CCPAはカリフォルニア州に住民票を持つ約3,951万(2019年時点)が対象となる。一見すると当該情報を所有する日本企業は少なく感じるが、EC事業をはじめビジネスや観光で訪日したカルフォルニア住民などオンライン・オフラインを問わず彼らが顧客となり開示した情報が対象と考えると、対策を講じるべき事業者は北米を中心にビジネスを展開している企業だけでないことがわかる。また、同州の商圏規模は約2.7兆ドルでイギリスの国家予算2.6兆ドルを上回ることからもこの取り組みがアメリカ全土をはじめ世界的に影響を及ぼすことがうかがえる。

GDPRとの特筆すべき違い

 GPDRとCCPAでは規制の対象者(地域)をはじめ、規制や罰則は異なる。その中でも特筆すべき違いとしては、制定の目的と個人情報の定義の透明性であろう。

GDPR 主な比較事項 CCPA
EU域内に拠点を有する事業者
EU向けにサービスを提供している事業者
対象者 カリフォルニア州に住民票を持つ
約3,951万人(2019年時点)
個人情報とプライバシー保護の強化 制定の目的 各人が自身の個人情報を制御する
識別された自然人に関するすべての情報 個人情報の定義 「名」または「名のイニシャルと姓」

個人が特定できる情報10種類いずれかの組み合わせ
オプトイン データの
第三者提供
オプトアウト
(16歳以下のこどもはオプトイン)
なし 差別に関する規定 あり
(個人情報に関する販売の拒否権、削除権などを行使した人に対して、商品の提供を拒否したり、ディスカウントを得られないといった差別を受けない権利)
最大2,000万ユーロまたは
全世界年間売上高の6%の制裁金
罰則 1件につき2,500~7,502ドル
(集団訴訟の可能性あり)

GDPRは個人情報の漏洩を防ぎ、データの保護を主な目的とすることであるのに対して、CCPAは消費者が自分の情報を自身のコントロール下におくために制定された。これは、2018年に大手ソーシャルネットワーキング企業が大統領選挙に関する意向を分析するにあたり、個人情報を意図しない用途へ転用した事件がきっかけとなり、消費者は個人情報を自身でコントロールしたいという動きが起きたことが制定の背景にある。

個人情報の透明性については、「識別された、自然人に関する全ての情報」を対象としているGDPRと比較して、CCPAでは「名(ファーストネーム)」または「名イニシャルと姓(ラストネーム)」に、以下の10種いずれかが組み合わされた情報を個人情報として定義している。GDPRと比較して定義が明確であることから今後の判例を待たずに対策が可能だ。

【CCPAにおいての個人情報の定義】
「名(ファーストネーム)」または「名イニシャルと姓(ラストネーム)」+以下の情報

①ソーシャルセキュリティ番号 ②運転免許証番号 ③州のID ④銀行口座番号 ⑤クレジット等のカード番号
⑥ 健康保険番号 ⑦納税者番号 ⑧パスポート番号 ⑨軍用識別番号 ⑩政府文書の認識番号

参考:CCPAにおける消費者の権利と企業が果たすべき義務

事業者は、消費者から個人情報の開示や販売拒否・削除の請求があった場合に適切に対応・通知することに加えて、第三者からみて事業者の責任が十分な対応・対策であったことを証明できるように実装しておくことが必要である。

CCPAにおける消費者の8つの権利
①略式開示請求権 ②拡張開示請求権 ③アクセスおよびポータビリティの権利 ④情報請求権(個人情報の販売または開示を行う事業者に対する)
⑤削除権 ⑥個人情報の販売に関する拒否権(オプトアウト) ⑦子どもの個人情報の販売を許可する権利(オプトイン) ⑧差別を受けない権利
CCPAにおける企業の8つの義務
①消費者への通知義務 ②差別の禁止 ③研修義務
④記録管理義務 ⑤要求の検証と回答義務 ⑥こどもに関する配慮の義務
⑦消費者要求への対応に関する義務 ⑧個人情報に応じた合理的対策の実装義務

企業がとるべき具体的な措置・実装

企業は、消費者から請求があった場合、本人に対して45日以内に情報の開示、削除または個人情報の売却を停止する義務がある(直近12カ月の期間に収集、販売、処理された情報が対象)。これを適切かつ迅速に回答・通知するためには、保有している個人情報の資産やそれらの入手経路、入手方法に関する情報を精査し、管理・保管できる体制を整える必要がある。

具体的な措置として、下記2点を取り上げる。

① 情報資産の把握(個人情報の精査・ラベルつけ)

② 消費者が収集・販売される個人情報について知る権利を担保する手段を整備
(アクセシビリティとポータビリティ)

① 情報資産の把握(個人情報の精査・ラベルつけ)
まずは、企業が保有している情報資産の詳細を把握する。これは消費者への対応のためだけではなく、万が一、企業が訴追を受けた場合に正しい情報を速やかに提示し大きな損害を受けないための守りの対応でもある。

ステップ1:
前述のCCPAにおける個人情報「名、姓およびクレジットカードやパスポート番号などの情報分類10種のうちいずれか1つ以上」に該当する情報を有しているか否かを判別する。

ステップ2:
それらの個人情報の入手方法やどのような目的で誰に向けてその情報を開示したのか、また削除やオプトアウトの請求があった場合の履歴をはじめとする詳細をラベルつけて管理・保管する。

一見すると、これらは「誰が」「いつ」「どの商品を」「どこで」「いくつ購入した」といった事業目的と直接関連しない情報であるため見落としがちなので気を付けたい。

個人情報を取り扱う事業者がラベルつけ(精査・管理)すべき情報
名、姓および情報分類10種の該否
目的 事業者区分 日時(作成/変更)
入手経路 入手方法 権利行使(開示・削除)履歴
オプトアウト オプトイン(16歳以下の個人情報利用許可)

②消費者が収集・販売される個人情報について知る権利を担保する手段を整備
(アクセシビリティとポータビリティ)
どのような状況、環境に置かれた消費者も自身の個人情報の使われ方について容易にアクセス・権利行使できるよう配慮をした上での仕組化も必要である。

アクセシビリティ:
消費者が個人情報の ①利用の目的、②オプトアウト、③(個人情報を提供することで受けられる) インセンティブ、④プライバシーポリシーに無償で速やかにアクセス可能である状態にしておく必要がある。具体的には、消費者が企業に問合せをする際のフォームが適切に設置されているか、プライバシーポリシーを知りたい場合に検索エンジンで容易に調べることが可能であるかといった確認の手段が整備されているかをチェックする。

ポータビリティ:
消費者が郵便・電子メールなどのあらゆる手段で情報の提供を受けて保持することができ、必要に応じて法的機関へ連携が可能な仕組みを設けなければならない。

①②は一度、情報の精査や体制を整えたから対策完了ではなく、請求に対する開示・削除・販売停止などの手順や管理方法が適切に運用されているかを確認し、定期的な更新が必要だ。顧客情報の管理・運用方法についての意識を全社員が統一して持つことも重要である。

まとめ

 目まぐるしく変化する社会や加速するグローバル化に伴い、現在CCPAの対象となる顧客がいない場合でも、M&Aによる合併などで企業の立場や商圏の拡大が突然起こる可能性がある。
日本においてはGDPRと比較するとCCPAに関する議論は少ない印象だが、執行猶予期間の明けた2020年7月1日に向けてその対策は待ったなしの状況である。大よそ半年で顧客情報の精査とラベルつけ、アクセシビリティやポータビリティの整備、これらすべての対策を完遂することは容易ではない。監査法人からの指摘や州司法長官からの是正命令に迅速に対応できる体制に整えるため、必要に応じて専門家へ支援を依頼しCCPA対策の着手を一刻も早く進めることが望ましいだろう。

 

 

page top