CCPA本格始動、企業への影響は?

企業に厳しい個人情報保護を義務付けるCCPA(カリフォルニア州消費者プライバシー法)が2020年7月1日に本格的に始動しました。CCPAはカリフォルニア州内に住む人に対して、企業が保有する個人情報の開示や消去、第三者への販売禁止などを請求できる権利を与えることを目的に制定された新しい法律です。法律自体は2020年1月に施行されていましたが、7月1日に司法長官による執行が開始され、同法の規定に違反した場合は、制裁金などの罰則が課されるようになります。日本企業も対象になる可能性があることから、十分な対策を講じておく必要があります。今回のブログでは、CCPAのポイントと注意点、そして今後の動きについて確認していきましょう。

CCPAの規制対象は?

CCPAの規制対象となるのは、カリフォルニア州の住民の個人情報を扱う企業のうち、年間売上高が2500万ドル(約27億円)を超える企業、もしくは5万人分以上の個人情報を扱う企業。同州に拠点を持っていなくても、これらの条件に該当する企業は規制対象になるため、日本企業でもカリフォルニア州で事業を行う企業は規制対象となります。

ターゲティング広告への影響は?

CCPAでは、カリフォルニア州の住民に対して企業が収集する個人情報の開示・削除の請求ができる権利、第三者への売却を止める権利を与え、同州の住民のデータを収集する企業には収集するデータに関する通知義務を定めています。規制対象となる企業がこれらの規制に違反した場合、1件あたり最大7500ドルの制裁金が科されます。また、データ侵害(情報漏洩)があった場合は、1人あたり100~750ドルの法的損害賠償が求められる可能性もあります。

ただし、2020年7月20日現在、CCPAの施行規則(執行に関する細かいルール)は公表されていないため、例えばCookieを使ったターゲティング広告の活用が同法で規制する「個人情報の売却」に当たるかどうかについては、見解が明らかにされていません。逆にいうと、ターゲティング広告の活用が「個人情報の売却」とみなされ、罰則が科される可能性があるということです。したがって、企業はターゲティング広告を活用する場合、Cookieを使う旨を消費者に通知したり、自社ホームページ内に個人情報を売却しないよう消費者から企業に請求できる特設サイトを設置するなど、何らかの対策をとっておく必要があります。言うまでもなく、これまで以上に厳密なセキュリティ対策も求められます。

より厳しい保護規制も

なお、カリフォルニア州では、企業にCCPAよりも厳しい個人情報保護規制を課そうとする動きもあります。「CPRA(カリフォルニア州プライバシー権利法)」の成立を求める州内の住民団体が、2020年6月、住民投票に必要な署名数を獲得、同年11月に住民投票が行われることが決まっています。CPRAはCCPAを一部改正してEUのGDPRに準じた厳しい規制を設けることを趣旨としており、違反行為を取り締まる専門機関「カリフォルニアプライバシー保護局」の設置を求めています。住民投票の結果、同法の成立が可決された場合、2023年には施行されると言われています。さらにアメリカではカリフォルニア州のみならず、個人情報保護に関する連邦法制定に向けた取り組みも。新型コロナウイルス感染拡大の影響で、オンラインでの取引やコミュニケーションの機会が増え、消費者の個人情報保護に関する意識が高まっていることもあり、企業には今後ますます厳格な個人情報保護対策が求められることになりそうです。