コンプライアンス

海外進出・海外展開:カリフォルニア州における強力なデータプライバシー法|2020年からの施行に向けて企業はウェブサイトやプライバシーポリシー等の対応が必要

by 弁護士 小野智博

はじめに

カリフォルニア州はすでに米国で最も強力なデータプライバシー法をいくつか制定しています。2020年1月からは「カリフォルニア州消費者プライバシー法(California Consumer Privacy Act :CCPA)」が施行され、カリフォルニア州民の権利として、①企業が収集している情報、その情報を収集する理由、およびその情報を誰と共有しているのかを知ること、②企業による情報の販売・共有を拒否すること、③企業に自分の個人情報を削除することを請求することが認められるようになります。

この度、カリフォルニア州ではデータプライバシー法をさらに強化する2つの法案として、SB 561とAB 1130が提案されました。前者はCCPAの改正に関わるものであり、後者は「個人情報」の定義を拡張するというものです。
ここでは、それぞれの法案の内容について紹介するとともに、カリフォルニア州のプライバシー法が企業側に与える影響、日本から海外進出した場合に気を付けるべきポイントについて考察します。

 

SB 561:カリフォルニア州消費者プライバシー法の改正

SB 561は、CCPA(2020年1月1日に施行予定)のいくつかの重要な要素を修正するものです。
現行のCCPA法では、一部を除きカリフォルニア州司法長官のみが訴訟を起こすことができます。そのため、個人で訴訟を起こしたいと望むカリフォルニアの州民にとっては、ハードルの高いものです。具体的には、企業側のセキュリティ対策の不備に起因するデータ漏洩についてのみ、個人による訴訟を起こすことが可能となっています。

さらに、個人訴訟を起こす前に消費者側は企業に対して違反の疑いを通告し、企業側には通告から30日間違反事項を解消する猶予が与えられています。
SB 561では、データ漏洩に限らず、すべてのCCPA違反に対して個人による訴訟を行う権利を付与しています。また、現行の内容では企業側に与えられている30日間猶予期間(消費者からの違反通告後、30日以内に問題を解消できれば訴訟は回避できるというもの)の削除も追加されました。さらに、より消費者側フレンドリーな内容となるよう、州司法長官が企業側に「一般的なガイダンス」を提供することで、企業側が司法長官から特定の意見を求めることを防ぐとしています。
SB 561法案が可決されれば、CCPAは企業側の訴訟リスクをさらに高めることになるでしょう。

 

AB 1130:「個人情報」の定義を拡張

消費者が企業側に提供した個人情報がもし万が一第三者に漏洩した場合、カリフォルニア州法の下では、社会保障番号、運転免許証番号、銀行情報、パスワード、医療および健康保険情報、および自動ナンバープレート認識システムを介して収集されたデータについては、漏洩の事実を消費者に通知する必要があります。 ただし、現行の規定では、パスポート番号およびバイオメトリックデータは個人情報の定義から除外されており、これらの情報が第三者に漏洩したとしても、そのことを消費者に通知する義務を企業側は負っていないのです。

そこで、AB 1130では「個人情報」の定義を拡張し、パスポート番号などの「その他の政府発行の識別番号」および指紋、網膜などの人体特性の測定または技術分析から生成された「バイオメトリックデータ」を追加することを提案しています。
実は、2018年9月に大手ホテルチェーンマリオットより500万件のパスポート番号の情報が盗まれたことを明らかになり、この法案はこのような事案に対応したものです。

パスポート番号についてはアラバマ州、フロリダ州、オレゴン州などで、バイオメトリックデータについてはアイオワ州やネブラスカ州で、漏洩の事実を消費者に通知することが既に義務化されています 。カリフォルニア州は他の州や政府、各国の規範となる側面もあるため、個人情報の定義を拡大することの意義は大きいといえます。

 

海外進出・海外展開への影響

カリフォルニア州の強力なプライバシー法(CCPA)が成立後も、関連法案の提出が続いており、同法及び関連法案に対する注目は依然高いといえます。2020年1月のCCPA発効日に向けて最新情報を引き続き追う必要があるでしょう。

この法律は、カリフォルニア州の居住者の個人情報を取り扱う際に対応が求められます。つまり、アメリカへと事業展開する企業には大きな影響を与えるといえます。対応に不備があれば訴訟問題にも発展しかねませんので、法律の最新情報に留意しつつ、対象企業十分な事前準備を行ってください。また、ウェブサイト上のプライバシーポリシーへの追記、変更など見直す必要があり、具体的な対応も必要です。

まず、日本企業がカリフォルニア州に拠点をおいてビジネスを行っている場合には、同法の適用可能性が高いです。また、拠点がカリフォルニアでなくとも、海外進出・海外展開した日本企業で、カリフォルニア州の居住者の個人情報を取り扱う場合にも、適用の可能性があります。

なお、本法の成立を契機として、カリフォルニア州以外への拡大や連邦法制定への動き予測されます。現時点では、連邦法はカリフォルニアよりも緩い規制となっていますが、今後の動向によっては、アメリカへと事業展開する企業により大きな影響を与えることになります。引き続き、最新情報に注意が必要です。

 

※本記事の記載内容は、執筆日現在の法令・情報等に基づいています。

 

 

弁護士法人
ファースト&タンデムスプリント法律事務所

代表弁護士 小野智博(東京弁護士会所属)

【電話】03-4405-4611
【メール】ono@tandemsprint.com