はじめに
2020年11月3日、カリフォルニア州で住民投票が行なわれ、カリフォルニア州プライバシー権利法(California Privacy Rights Act:CPRA)(以下「CPRA」)が可決されました。
これはカリフォルニア州消費者プライバシー法(California Consumer Privacy Act:CCPA)(以下「CCPA」)を拡大および強化することを目的とするもので、「CCPA2.0」と呼ばれることもあります。実際、CPRAの冒頭では、本法は「CCPAの目的と意図に一致し、さらにそれを促進する」ための改正案であると記載されています。
本稿では、CPRAとCCPAを比較しながら、新たに拡張された部分について紹介します。そして、企業として、CPRAに準拠するために、どのような対応を、いつまでにする必要があるのか説明します。
CPRAは企業がカリフォルニア州を拠点としているかどうかは関係なく、カリフォルニア州の住民の個人情報を扱っている企業であれば、適用されることがあるものです。海外進出を考えている日本企業は、カリフォルニア州の住民の個人情報を扱う可能性も高いと考えられますので、本稿の内容を参考にして、法を遵守した海外進出の手がかりにしていただけますと幸いです。
タイムスケジュール
2020年11月に可決されたCPRAですが、今後は以下の順序で整備が進められていき、最終的に2023年1月1日から施行予定です。
- 2021年1月1日:CPRAが有効となり、その後に矛盾するプライバシー法が提出された場合にはCPRAを根拠に否定することが可能になります
- 2021年7月1日頃 :ルール作成プロセスが開始されます
- 2022年1月1日 :ルックバック期間が始まり、2022年1月1日以降に収集したデータすべてがCPRAの対象となります
- 2022年7月1日 :CPPAが最終規則を採用する期限
- 2023年1月1日 :CPRAが施行可能となります
企業としては、2022年1月1日以降に収集したデータすべてがCPRAの対象となることが重要で、このときまでにCPRAへの準拠を進めていく必要があるのです。
CCPAとCPRAとの比較
対象となる「ビジネス」の定義
CCPA | CRPA |
以下のいずれかを満たす場合、規制対象となる
(1)年間収益が2500万ドル以上ある (2)商業目的で、50,000人以上の消費者、家庭、または デバイスの個人情報を売買、または受領または共有する (3)年間収益の少なくとも50%を消費者個人情報の販売から得ている |
以下のいずれかを満たす場合、規制対象となる
(1)年間収益が2500万ドル以上ある (2)10万人以上の消費者、家庭の個人情報を売買、または受領または共有する (3)年間収益の少なくとも50%を消費者個人情報の販売または共有から得ている |
「機密性の高い個人情報」の新しいカテゴリ
CPRAは、新しく規制対象とするデータセットとして「機密性の高い個人情報」の枠組みを導入しています。 これは、下記で説明する開示および目的制限要件の対象と関連するもので、消費者は、企業による機密性の高い個人情報の使用を制限できる権利を持っています。
CCPA | CRPA |
機密性の高い個人情報に対して、個別の要件や禁止事項を設けてはいません | 機密性の高い個人情報に対して、以下の通り、個別の要件や禁止事項を設けています
|
新設および拡張された消費者のプライバシー権
CPRAでは新しい権利を新設するとともに、既存の権利に修正を加えています。
CCPA | CRPA |
|
|
クロスコンテキスト行動広告のPIの共有を直接規制します
CCPA | CRPA |
オプトアウト権では、金銭またはその他の価値あるものとの対価と引き換えにした、広告目的での個人情報の共有のみを制限しています。 | オプトアウト権は、クロスコンテキスト行動広告に使用される個人情報にも明示的に拡張されています。金銭またはその他の価値あるものとの対価と引き換えにするかどうかは問いません。 |
企業の対応
以上のように、CPRAではCCPAよりも消費者の権利を拡大しています。つまり、企業にとっては、CPRA準拠のためのハードルが高くなったともいえるのです。ここでは、企業がCPRAに準拠するために行なうべき具体的な対応策について解説します。
「個人情報」の定義に新しい例外が適用されるかどうかを特定する
CCPAでは、公に入手可能な情報(政府の記録を通じて入手できる情報)は個人情報とはみなされないものとされていました。一方、CPRAでは、消費者が公に入手できる情報だけでなく、広く配布されているメディアからの情報も含むことになっています。
そこで、企業はデータマップを綿密に確認し、特定の情報がCPRAの適用範囲か否かを検討する必要があります。このようなデータマップの作成は、機密性の高い個人情報に適用される新しい要件など、CPRAの他のコンプライアンス義務の遵守にも役立ちます。
個人情報の転送が「共有」と見なされるかどうかを特定する
CPRAは、情報の「共有」という新しい概念を導入しています。これは、対価が交換されるかどうかに関係なく、クロスコンテキスト行動広告のために第三者に個人情報を開示することと定義されます。
なお、ここでいう共有は「サービスプロバイダー」や「請負業者」への転送は含まれません。企業は個人情報の開示が「共有」と見なされるかどうかを評価し、共有となる場合には適切なオプトアウト措置(「個人情報を共有しない」というページを表示し、消費者に共有をオプトアウトする機会を提供する)を実施する必要があります。
「機密性の高い個人情報」のすべての使用を特定して評価する
CPRAはまた、新しい定義として「機密性の高い個人情報」を導入しています。具体的に、CPRAが定義する機密性の高い個人情報は以下のとおりです。
- 社会保障番号、運転免許証番号、州ID、パスポート番号
- 金融アカウントなどへのアクセスを可能にするアクセスコード、パスワード、または資格情報の組み合わせ
- 正確な位置情報
- 人種的または民族的起源、宗教的または哲学的信念、または所属組織
- 事業者向けに送られたものは除く、消費者のメール、電子メール、およびテキストメッセージの内容
- 遺伝データ
- 消費者を一意に識別する目的で処理された生体認証データ
- 消費者の健康に関する個人情報
- 消費者の性生活または性的指向に関する個人情報
CPRAでは、機密性の高い個人情報の使用についてアクセス権の要求に応じて開示することを企業に要求しています。具体的には、企業は「機密性の高い個人情報の使用を制限する」リンクを公開する必要があるのです。消費者がこの権利を行使する場合、企業は機密性の高い個人情報の使用を以下の範囲に制限する必要があります。
- サービスの実行または商品の提供に必要なもの
- 法令および今後の規制で指定されるもの
- 業務上必要なもの(製品の改善とセキュリティ目的など)
公開通知とオプトアウトリンクを更新する
個人情報を「共有」したり、機密性の高い個人情報を収集して特定の方法で使用したりする企業は、それらの慣行について「共有」をオプトアウトするためのリンクや機密性の高い個人情報の使用を「制限」するためのリンクを追加する必要があります。
サードパーティ、サービスプロバイダー、請負業者との契約を確認・更新する
CPRAでは、個人情報のすべての販売、共有、および開示がビジネス目的である場合には、契約を締結することを義務付けています。これには、ビジネスパートナーやアフィリエイト、およびその他のサードパーティへの販売または共有も含みます。また、サービスプロバイダーや請負業者への開示も該当します。
このCPRA条項に準拠するために、企業は次のことを行う必要があります。
- 契約締結に備えて、必要な契約資料を作成する
- 個人情報のすべての転送について、どの受信者にどの規定が必要かを特定する
- 必要に応じて、契約を更新する
これらの関係業者との各種契約書の新法を遵守した改訂とレビューは、高度に専門的であり、また他の契約内容との整合性も問題になりますので、弁護士にご相談することをお勧めします。
個人の権利手続きと対応資料を更新する
CPRAは、訂正の権利、機密性の高い個人情報の使用を制限する権利、共有をオプトアウトする権利など、企業内の運用の変更を必要とする新しい消費者の権利を導入しています。そのため、企業は、新しいCPRAの権利を履行するために必要な技術的または運用上の変更を実装し、個々の権利対応ポリシーと手順を更新する必要があります。
個人情報の収集と保持に関連する社内ルールを確認する
CPRAの下では、個人情報の収集、使用、保持、および共有は、収集の目的を達成するために合理的に必要である必要があります。したがって、企業は必要以上の個人情報を収集してはならず、開示された目的のために合理的に必要な期間を超えて個人情報を保持してはならないこととされています。
これまで個人情報の収集と保持に関連する社内ルールが整備されていなかった場合、これには、情報の収集、保存、匿名化または仮名化、および削除の社内慣行に関して、運用上または文化上の大幅な変更が必要になる場合があります。
海外進出・海外展開への影響
CPRAではカリフォルニア州の住民の個人情報を利用している企業が対象となります。さらに、日本の親会社や関連企業も規制の対象となることには注意が必要です。例えば、日本から海外進出した場合、現地企業がカリフォルニア州の住民の個人情報を利用している場合には、現地企業のみならず、現地企業の親会社や子会社、グループ企業もCPRAに準拠する必要があるのです。
本稿で紹介したCPRAでは消費者の権利が日本の法令よりも幅広く規定されており、日本から海外進出する際には、CPRAへの対応が大きな負担となる企業も出てくることでしょう。2022年1月1日以降に取得した情報が対象となるため、対象となる企業は準拠のための仕組みを早急に整備し、専門の弁護士にリーガルチェックを依頼すると良いでしょう。
弁護士法人ファースト&タンデムスプリント法律事務所は、海外進出・海外展開に関する法務には特に高い知見と経験を有しています。
特に日本からアメリカへの進出を目指す企業様が多数、当法律事務所の顧問契約サービスを利用されています。
企業の皆様は、ビジネスのリスクは何なのか、リスクが発生する可能性はどれくらいあるのか、リスクを無くしたり減らしたりする方法はないのか、結局会社としてどうすれば良いのか、どの方法が一番お勧めなのか、そこまで踏み込んだアドバイスを、弁護士に求めています。当法律事務所は、できない理由を探すのではなく、できる方法を考えます。クライアントのビジネスを加速させるために、知恵を絞り、責任をもってアドバイスをします。
CCPA2.0及びCPRAに関しても、多数の企業様が、日本の親会社からのコンプライアンス構築と同法に基づき必要とされる各種契約書類の改訂などにあたり当事務所を活用されていますので、いつでもご相談ください。
※本稿の内容は、2021年2月現在の法令・情報等に基づいています。
本稿は一般的な情報提供であり、法的助言ではありません。正確な情報を掲載するよう努めておりますが、内容について保証するものではありません。
執筆者:弁護士小野智博
弁護士法人ファースト&タンデムスプリント法律事務所 代表弁護士
企業の海外展開支援を得意とし、日本語・英語の契約審査サービス「契約審査ダイレクト」を提供している。
また、ECビジネス・Web 通販事業の法務を強みとし、EC事業立上げ・利用規約等作成・規制対応・販売促進・越境ECなどを一貫して支援する「EC・通販法務サービス」を運営している。
著書「60分でわかる!ECビジネスのための法律 超入門」
当事務所のご支援事例
業種で探す | ウェブ通販・越境EC | IT・AI | メーカー・商社 | 小売業 |
---|
サービスで探す | 販路開拓 | 不動産 | 契約支援 | 現地法人運営 | 海外コンプライアンス |
---|
ご相談のご予約はこちら
弁護士法人ファースト&タンデムスプリント法律事務所
(代表弁護士 小野智博 東京弁護士会所属)
03-4405-4611
*受付時間 9:00~18:00