コンプライアンス

海外進出・海外展開:カリフォルニア消費者プライバシー法(CCPA)の施行日と適用開始時の間に企業が注意すべきこと

by 弁護士 小野智博

はじめに

2018年6月、カリフォルニア消費者プライバシー法(California Consumer Privacy Act:CCPA)が成立しました※1。CCPA は、カリフォルニア州の住民の個人情報の保護を目的とした法律であり、カリフォルニア州に住所を持つ消費者の個人情報を収集している企業においては企業自身の本拠地に関係なくCCPAの対象となります。

つまり、CCPAはカリフォルニア州の州法であるものの、カリフォルニア州に住所を置く企業以外にも影響を及ぼすため注意が必要です。CCPAは、カリフォルニアの消費者の個人データを収集、共有、または販売するカリフォルニアで事業を行う場合に適用され、アメリカに現地法人を持っていない場合にも対象となり得ます。

具体的な個人情報としては、実名、別名、メールアドレス、IPアドレス、住所、電話番号、郵便番号、社会保障番号、運転免許証番号、パスポート番号、銀行口座番号、クレジットカード番号、学歴、職歴、商品・サービスの購入履歴、ウェブページの検索履歴、バイオメトリクス情報、位置情報などが含まれます。
CCPAは2020年1月1日より施行されていますが、CCPA を遵守のための具体的なガイドラインを規定する規則(California Consumer Privacy Act Regulations)の確定は2020年7月1日の見込みです。つまり、カリフォルニア州司法長官が実際に執行手続を取りうる(法律を違反事案に適用する)最も早い日は、2020年7月1日ということです。

このようにCCPAの施行と適用には半年の差があるため、対応にはまだ猶予があると考えている企業もあるのではないでしょうか。しかし、実際にはすでに施行開始されており、遡及的適用が可能であることから未対策の企業への訴訟リスクは非常に高いものです。

ここでは具体的にどのような訴訟が考えられるのか、カテゴリーごとに紹介します。

適用と施行の違い

ある法律について、「施行」とは「法律の効力を発生させること」をいいます。一方「適用」とは、「法律の規定を実際の事案にあてはめて使うこと」をいいます。施行を遡ることはできませんが、適用は過去に遡らせることは可能です。これを「遡及的適用」といいます。

CCPAでは、カリフォルニア州司法長官が執行権限を持った2020年7月1日以降、この遡及的適用に注意する必要があります。

カテゴリーごとにみた企業への訴訟

 

消費者からの個人情報関連の権利要求:2020年1月1日から

カリフォルニア州の消費者は、対象企業が収集する個人情報をより詳細に管理できるようになります。 具体的には、企業が過去12か月間に収集した個人情報のコピーを入手する権利、個人情報の販売を拒否する権利、および/または個人情報の削除を要求する権利を消費者は有します。対象企業はこれらの消費者の要求にタイムリーに応じる必要があります。 個人情報を第三者に「販売」する事業者は、ウェブサイトで「個人情報を販売しない」選択肢を選べるリンクを消費者に提供し、個人情報の販売を望まない消費者の要求を尊重する必要があります。

 

個人が原告となる私的請求権(Private Right of Action):2020年1月1日から

CCPAの下で、消費者は個人情報の不正開示を行った企業に対して、損害賠償を求めることができます。 法定の損害賠償額は、1案件ごとに消費者あたり100ドルから750ドルの範囲です。 ただし、損害賠償の訴訟を開始する前に消費者は違反通知を送る必要があり、企業側には違反の嫌疑を解決するために30日間の猶予が与えられます。企業側がこの猶予期間内に、違反がないことを証明できれば、消費者への損害賠償責任は免れます。

 

都市および郡など自治体が原告となる訴訟:2020年1月1日から

近年、都市や郡など自治体が原告となって、プライバシー侵害についての訴訟を企業を相手方として提起する傾向が全国的に高まっています。個人の原告とは異なり都市および郡は、CCPAの前提となる法律であるカリフォルニア不正競争防止法(California’s Unfair Competition Law :UCL)に基づく請求の主張が認められる可能性があります。 カリフォルニア不正競争防止法では、違反ごとに最大2500ドルの罰則を規定しています。

 

カリフォルニア州司法長官の行政手続によって課される民事制裁金(Civil Penalties): 2020年7月1日から

2020年7月1日から、カリフォルニア州の司法長官は、CCPAの違反(遡及的に、2020年1月1日以降の違反を含む)について、対象事業に対して執行措置をとる権限を持ちます。 CCPAに基づく制裁金は、故意ではない違反に対しては最大2500ドル、意図的な悪質な違反に対しては最大7500ドルの範囲です。

海外進出・海外展開への影響

CCPA にはカリフォルニア州の司法長官によって CCPA の規則が制定されるまで司法長官による執行はできないと明記されています。CCPAの規則の確定期限は2020年7月1日と少し先ですが、現時点でも油断は禁物です。なぜなら、CCPA の規則案は2019年中にすでに公表されており、カリフォルニア州司法長官は「本規則案に違反した場合は CCPA違反に該当する」としているのです。

よって、2020年1月から2020年7月の期間内にCCPAの規則案に違反していたことが明らかになった場合、遡及的適用によって、7月以降に州の司法長官の執行対象になるリスクがあります。また、消費者による個人の民事訴訟も可能で、それは規則の制定前にも可能なのです。

違反による情報漏洩に対しての損害賠償は、100ドル〜750ドル(1案件・1個人につき)となっており、民事訴訟の規模によっては膨大なコストがかかる恐れもあります。

CCPA への対応を先送りしていた対象企業には早急にコンプライアンス遵守のための行動を起こす必要があるでしょう。

 

※本記事の記載内容は、2020年3月現在の法令・情報等に基づいています。

 

 

当事務所のご支援事例

業種で探す ウェブ通販・越境EC  IT・AI  メーカー・商社  小売業 
サービスで探す 販路開拓  不動産  契約支援  現地法人運営  海外コンプライアンス 

ご相談のご予約はこちら

弁護士法人ファースト&タンデムスプリント法律事務所 ロゴ

弁護士法人ファースト&タンデムスプリント法律事務所
(代表弁護士 小野智博 東京弁護士会所属)
 03-4405-4611
*受付時間 9:00~18:00