本記事に記載されている情報は法律上の助言には該当せず、またこれらの情報は弁護士と依頼人の関係の構築を意図するものではありません。必要に応じて、専門家による法的なアドバイスを受けてください。
2020年1月1日、プライバシー保護に関する重要な規制「カリフォルニア州消費者プライバシー法(CCPA)」が米国で施行されました。CCPAはカリフォルニア州民の個人情報の管理権限の強化を目的に施行されたものですが、企業のプライバシー保護の全国標準として採用される可能性があるため、全国規模での影響が予想されます。
グローバル企業であるCriteoは、2016年に可決され、2018年に施行となったEU一般データ保護規則(GDPR)を、提供するすべてのサービスにおいて世界標準として採用しています。つまり、Criteoはユーザーの権利を扱うプロセスを導入しており、CCPAが要求する以上のベストプラクティスのデータ保護原則を採用して、プライバシー保護を徹底しているのです。
CCPAの扱う個人情報の定義は広範にわたり、透明性に関する要件の規定もあります。ここでは、事業者なら誰もが知っておくべきCCPAに関する情報をご紹介します。
CCPAにおける個人情報の定義とは?
CCPAでは、「オンラインID」「IPアドレス」「閲覧履歴」「ウェブサイト、アプリケーション、広告に関する消費者のインタラクション」「位置情報」といったデータが直接的または間接的に特定の消費者や世帯に関連付けられている場合は、それらのデータが規制の対象となることを明示しています。
Criteoでは個人を特定できるような姓名や住所、さらにはプレーンテキストのEメールアドレスなどのデータを収集することはありませんが、Criteoのテクノロジーを使うとユーザーデバイスやブラウザを特定できるので、CCPAではこれらのデータも「個人情報」の範疇とみなされます。
したがって、Criteoの収集するデータの大部分はすでにGDPRにおいて個人データとみなされており、CCPAにおいても個人情報とみなされることになります。
CCPAが消費者に保障する権利とは?
CCPAの扱う個人情報の定義は広範にわたり、透明性に関する要件の規定もあります。CCPAはカリフォルニア州内の消費者の権利を守るために、次に挙げる権利の保護を求めています。
- 知る権利:ユーザーは、「事業者がそのユーザーについて収集した特定の個人情報」にアクセスすることができる。
- 削除する権利:ユーザーは企業が消費者から収集した個人情報の一部または全部を削除するよう企業に依頼することができる。
- オプトアウトする権利:ユーザーは自身の個人情報をサードパーティに「売却」しないよう企業に指示することができる。
CCPAに備えるべき企業は?
CCPAの適用範囲・対象領域は複雑なため、法的アドバイスを求めることが重要です。
カリフォルニア州に商品を発送する広告主や小売業者、およびカリフォルニア州民を対象にしたウェブサイトやアプリを運営するパブリッシャーは、以下のいずれかの条件を満たす場合、CCPAに規定される「事業者」の定義に含まれる可能性があります。
-
年間売上総利益が2,500万ドル以上
-
カリフォルニア州からのユニーク訪問者が5万人以上
-
Criteoのディスプレイ広告による年間収益の50%以上を、カリフォルニア州民のユーザーに配信して得ている場合
上記の定義に該当する企業の関連会社や支社などにも、少なくともある程度はCCPAが適用されることになります。
CCPAにおけるCriteoの立ち位置は?
Criteoは、「消費者の個人情報の処理の目的および手段を決定する」ものの、ユーザーと直接やり取りすることはないため、Criteoは「事業者」と「第三者」の両方とみなされることが予想されます。
Criteoテクノロジーの中核を成すのはAIドリブンのアルゴリズムとショッパーグラフであり、いずれも「ネットワーク効果」によって顧客とパートナーに共有価値がもたらされます。サービスプロバイダーとして活動した場合、これらのテクノロジーの運用能力が制限されてしまうため、Criteoはサービスプロバイダーとして見なされることを理想としません。
広告主とパブリッシャーが取るべき次のステップ
- CPPAがどの程度まで適用されるかについて明らかにし、必要な場合は法的アドバイスを求める
- 個人情報保護方針の更新に備え、選択メカニズムを導入する
Criteoではプライバシー保護を第一に考え、最高レベルのデータ保護と業界のベストプラクティスを実践しています。CriteoはCCPAの施行について、透明性とコントロールを促し、企業と消費者の信頼関係を高める前向きな動きであると捉えています。厳格なEUの基準に適応してきたグローバル企業として、Criteoはクライアントやパブリッシャーパートナーの皆様が新しいプライバシー保護規則にスムーズに対応し、顧客とこれまで以上に強固な信頼関係を構築できるようサポートしていきたいと考えています。
詳細については、CCPAに関するレポートをダウンロードしてご確認ください。
免責事項本資料はCPPAの求める主な要件の概要であり、詳細を完全に網羅するものではありません。クライアントおよびパブリッシャーパートナーの皆様には実務面でのコンプライアンス確保に向け、法律顧問に助言を求めることが推奨されます。
メタディスクリプション:このブログでは、カリフォルニア州消費者プライバシー法(CCPA)について、事業者なら誰もが知っておくべき情報をご紹介します。
