目次
はじめに
2018年6月、カリフォルニア消費者プライバシー法(California Consumer Privacy Act:CCPA)が成立しました※1。CCPA は、カリフォルニア州の住民の個人情報の保護を目的とした法律であり、カリフォルニア州に住所を持つ消費者の個人情報を収集している企業においては企業自身の本拠地に関係なくCCPAの対象となります。
つまり、CCPAはカリフォルニア州の州法であるものの、カリフォルニア州に住所を置く企業以外にも影響を及ぼすため注意が必要です。CCPAは、カリフォルニアの消費者の個人データを収集、共有、または販売するカリフォルニアで事業を行う場合に適用され、アメリカに現地法人を持っていない場合にも対象となり得ます。
具体的な個人情報としては、実名、別名、メールアドレス、IPアドレス、住所、電話番号、郵便番号、社会保障番号、運転免許証番号、パスポート番号、銀行口座番号、クレジットカード番号、学歴、職歴、商品・サービスの購入履歴、ウェブページの検索履歴、バイオメトリクス情報、位置情報などが含まれます。
CCPAは2020年1月1日より施行されていますが、CCPA を遵守のための具体的なガイドラインを規定する規則(California Consumer Privacy Act Regulations)の確定は2020年7月1日の見込みです。つまり、カリフォルニア州司法長官が実際に執行手続を取りうる(法律を違反事案に適用する)最も早い日は、2020年7月1日ということです。
このようにCCPAの施行と適用には半年の差があるため、対応にはまだ猶予があると考えている企業もあるのではないでしょうか。しかし、実際にはすでに施行開始されており、遡及的適用が可能であることから未対策の企業への訴訟リスクは非常に高いものです。
ここでは具体的にどのような訴訟が考えられるのか、カテゴリーごとに紹介します。
適用と施行の違い
ある法律について、「施行」とは「法律の効力を発生させること」をいいます。一方「適用」とは、「法律の規定を実際の事案にあてはめて使うこと」をいいます。施行を遡ることはできませんが、適用は過去に遡らせることは可能です。これを「遡及的適用」といいます。
CCPAでは、カリフォルニア州司法長官が執行権限を持った2020年7月1日以降、この遡及的適用に注意する必要があります。
カテゴリーごとにみた企業への訴訟
消費者からの個人情報関連の権利要求:2020年1月1日から
カリフォルニア州の消費者は、対象企業が収集する個人情報をより詳細に管理できるようになります。 具体的には、企業が過去12か月間に収集した個人情報のコピーを入手する権利、個人情報の販売を拒否する権利、および/または個人情報の削除を要求する権利を消費者は有します。対象企業はこれらの消費者の要求にタイムリーに応じる必要があります。 個人情報を第三者に「販売」する事業者は、ウェブサイトで「個人情報を販売しない」選択肢を選べるリンクを消費者に提供し、個人情報の販売を望まない消費者の要求を尊重する必要があります。
個人が原告となる私的請求権(Private Right of Action):2020年1月1日から
CCPAの下で、消費者は個人情報の不正開示を行った企業に対して、損害賠償を求めることができます。 法定の損害賠償額は、1案件ごとに消費者あたり100ドルから750ドルの範囲です。 ただし、損害賠償の訴訟を開始する前に消費者は違反通知を送る必要があり、企業側には違反の嫌疑を解決するために30日間の猶予が与えられます。企業側がこの猶予期間内に、違反がないことを証明できれば、消費者への損害賠償責任は免れます。
都市および郡など自治体が原告となる訴訟:2020年1月1日から
近年、都市や郡など自治体が原告となって、プライバシー侵害についての訴訟を企業を相手方として提起する傾向が全国的に高まっています。個人の原告とは異なり都市および郡は、CCPAの前提となる法律であるカリフォルニア不正競争防止法(California’s Unfair Competition Law :UCL)に基づく請求の主張が認められる可能性があります。 カリフォルニア不正競争防止法では、違反ごとに最大2500ドルの罰則を規定しています。
カリフォルニア州司法長官の行政手続によって課される民事制裁金(Civil Penalties): 2020年7月1日から
2020年7月1日から、カリフォルニア州の司法長官は、CCPAの違反(遡及的に、2020年1月1日以降の違反を含む)について、対象事業に対して執行措置をとる権限を持ちます。 CCPAに基づく制裁金は、故意ではない違反に対しては最大2500ドル、意図的な悪質な違反に対しては最大7500ドルの範囲です。
海外進出・海外展開への影響
CCPA にはカリフォルニア州の司法長官によって CCPA の規則が制定されるまで司法長官による執行はできないと明記されています。CCPAの規則の確定期限は2020年7月1日と少し先ですが、現時点でも油断は禁物です。なぜなら、CCPA の規則案は2019年中にすでに公表されており、カリフォルニア州司法長官は「本規則案に違反した場合は CCPA違反に該当する」としているのです。
よって、2020年1月から2020年7月の期間内にCCPAの規則案に違反していたことが明らかになった場合、遡及的適用によって、7月以降に州の司法長官の執行対象になるリスクがあります。また、消費者による個人の民事訴訟も可能で、それは規則の制定前にも可能なのです。
違反による情報漏洩に対しての損害賠償は、100ドル〜750ドル(1案件・1個人につき)となっており、民事訴訟の規模によっては膨大なコストがかかる恐れもあります。
CCPA への対応を先送りしていた対象企業には早急にコンプライアンス遵守のための行動を起こす必要があるでしょう。
※本記事の記載内容は、2020年3月現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。
執筆者:弁護士小野智博
弁護士法人ファースト&タンデムスプリント法律事務所 代表弁護士
企業の海外展開支援を得意とし、日本語・英語の契約審査サービス「契約審査ダイレクト」を提供している。
また、ECビジネス・Web 通販事業の法務を強みとし、EC事業立上げ・利用規約等作成・規制対応・販売促進・越境ECなどを一貫して支援する「EC・通販法務サービス」を運営している。
著書「60分でわかる!ECビジネスのための法律 超入門」
当事務所のご支援事例
| 業種で探す | ウェブ通販・越境EC | IT・AI | メーカー・商社 | 小売業 |
|---|
| サービスで探す | 販路開拓 | 不動産 | 契約支援 | 現地法人運営 | 海外コンプライアンス |
|---|
ご相談のご予約はこちら
弁護士法人ファースト&タンデムスプリント法律事務所
(代表弁護士 小野智博 東京弁護士会所属)
03-4405-4611
*受付時間 9:00~18:00
