はじめに:CCPAって聞いたことある?
インターネットを使っていると、「Cookie(クッキー)に同意しますか?」といった表示をよく見かけますよね🍪 これは、Webサイトがあなたの閲覧履歴などの情報を利用するためです。近年、このような「個人情報」をどう扱うかについて、世界中でルール作りが進んでいます。
その中でも特に注目されているのが、アメリカ・カリフォルニア州の法律であるCCPA(California Consumer Privacy Act:カリフォルニア州消費者プライバシー法)です。
「カリフォルニア州の法律なら、日本に住んでいる自分には関係ないのでは?」と思うかもしれません。しかし、日本の企業であっても、CCPAの対象となる可能性があるんです!
このブログでは、CCPAとは何か、どんなルールなのかを初心者の方にもわかりやすく解説していきます。
CCPAってどんな法律? 📜
CCPAは、カリフォルニア州に住んでいる人々の個人情報を守るための法律です。2018年6月に成立し、2020年1月1日から施行され、同年7月から効力が発生しました。
この法律の主な目的は、企業が人々の個人情報をどのように集め、利用しているのかを透明化し、消費者自身が自分の情報をコントロールできるようにすることです。
簡単に言うと、「自分の情報がどう使われているか知りたい」「勝手に売られたりするのは嫌だ」「不要なら消してほしい」といった、消費者の権利を保障するためのルールなのです。
ポイント💡 CCPAは、消費者のプライバシーを守り、企業による個人データの取り扱いに関する透明性を高めることを目指しています。
ちなみに、2020年にはCCPAをさらに改正・強化するCPRA(California Privacy Rights Act:カリフォルニア州プライバシー権法)という法律も可決され、2023年1月1日から施行されています。現在では、この改正後のCCPA/CPRAのルールが適用されています。
どんな企業がCCPAの対象になるの? 🏢
CCPA(改正後のCPRAを含む)は、カリフォルニア州で事業を行っている営利企業で、カリフォルニア州の住民(消費者)の個人情報を取り扱っている場合、以下のいずれかの条件に当てはまると適用対象となります。
- 📅 前年の1月1日時点での年間総収入が2,500万ドルを超えている。
- 📊 年間10万人以上の消費者または世帯の個人情報を購入、販売、または共有している。(改正前のCCPAでは5万人以上でした)
- 💰 年間収入の50%以上を、消費者の個人情報の販売または共有から得ている。
「カリフォルニア州で事業を行っている」とは、必ずしもカリフォルニア州に物理的な拠点(オフィスや店舗)があることを意味しません。例えば、日本の企業であっても、インターネットを通じてカリフォルニア州の住民向けに商品やサービスを提供し、上記の条件に該当すれば、CCPA/CPRAの対象となる可能性があります。
また、上記の条件に直接当てはまらなくても、これらの対象企業と特定の関係(親子会社関係でブランドを共有しているなど)にある企業も対象となる場合があります。
注意点🚨 日本の企業でも、アメリカ向けのWebサイトやサービスを運営している場合は、CCPA/CPRAの対象になるか確認が必要です。
CCPA/CPRAで消費者に認められる権利は? 🙋♀️🙋♂️
CCPA/CPRAは、カリフォルニア州の消費者にいくつかの重要な権利を与えています。主な権利を見てみましょう。
| 権利の種類 | 内容 |
|---|---|
| 知る権利 (Right to Know) | 企業が自分のどんな個人情報を集めているか、何のために使っているか、誰と共有・販売しているかを知る権利。 |
| 削除する権利 (Right to Delete) | 企業が持っている自分の個人情報を削除してもらうよう要求する権利。(一部例外あり) |
| オプトアウトする権利 (Right to Opt-Out) | 自分の個人情報を企業が販売したり、特定の広告目的(クロスコンテキスト行動広告)のために共有したりするのを拒否する権利。 |
| 訂正する権利 (Right to Correct) | 企業が持っている自分の不正確な個人情報を訂正してもらうよう要求する権利。(CPRAで追加) |
| センシティブ情報の利用制限の権利 (Right to Limit Use and Disclosure of Sensitive Personal Information) | 特定の機微な個人情報(人種、宗教、正確な位置情報、遺伝子情報など)の利用や開示を、サービスの提供に必要な範囲などに制限するよう要求する権利。(CPRAで追加) |
| 差別されない権利 (Right to Non-Discrimination) | これらの権利を行使したことを理由に、企業からサービス提供を拒否されたり、不利な価格設定をされたりといった差別的な扱いを受けない権利。 |
| (未成年者のための)オプトインの権利 (Right to Opt-In for Minors) | 16歳未満の未成年者の個人情報については、本人(13歳~16歳未満)または親権者(13歳未満)が積極的に同意(オプトイン)しない限り、企業は販売・共有してはならない。 |
ポイント💡 消費者は、自分のデータがどのように扱われるかについて、より多くのコントロールを持つことができます。
企業は何をしなければならないの? (事業者の義務) 📝
CCPA/CPRAの対象となる企業には、消費者の権利を守るためにいくつかの義務が課せられています。
- 通知義務: 個人情報を収集する前に、収集する情報の種類や利用目的などを消費者に通知する必要があります。プライバシーポリシーをWebサイトなどで公開し、少なくとも1年に1回更新することも求められます。
- 権利行使への対応: 消費者からの「知りたい」「削除してほしい」「販売・共有を止めてほしい」といった要求に応えるための体制を整え、適切に対応する必要があります。特にオプトアウト要求には原則15日以内に対応する必要があります。
- オプトアウト手段の提供: Webサイトに「私の個人情報を販売または共有しない (Do Not Sell or Share My Personal Information)」というリンクを目立つように表示するなど、消費者が簡単にオプトアウトできる手段を提供する必要があります。センシティブ情報の利用制限についても同様のリンクが求められます。
- データ保護措置: 収集した個人情報を保護するための合理的なセキュリティ対策を講じる必要があります。
- 従業員研修: 消費者からの問い合わせに対応する担当者などが、CCPA/CPRAの内容や対応方法について十分な知識を持つように研修を行う必要があります。
- 未成年者への配慮: 16歳未満の未成年者の個人情報の販売・共有については、オプトイン(積極的な同意)を得る特別な手続きが必要です。
ポイント💡 企業は、プライバシーポリシーの整備、消費者からの要求に対応する仕組みの構築、セキュリティ対策などが求められます。
もし違反したらどうなるの? (罰則) 😨
CCPA/CPRAに違反した場合、企業には厳しい罰則が科される可能性があります。
- 行政からの制裁金: カリフォルニア州プライバシー保護庁(CPPA)などの当局から、意図的でない違反1件あたり最大2,500ドル、意図的な違反や16歳未満の未成年者に関する違反1件あたり最大7,500ドルの制裁金が科される可能性があります。
- 消費者からの訴訟: データ侵害(情報漏洩)が発生した場合、消費者は企業に対して損害賠償を求める訴訟を起こすことができます。1件のインシデントあたり、消費者1人につき100ドルから750ドル、または実損害額のいずれか高い方の賠償が認められる可能性があります。
以前は違反通知後に30日間の是正期間がありましたが、CPRAではこの猶予期間が基本的に廃止されました(ただし、執行については裁判所の判断で延期されるケースもあります)。
実際に、2022年8月には、大手化粧品小売業者のセフォラが、消費者に個人情報の販売を開示していなかったことなどを理由に、カリフォルニア州司法長官から120万ドルの支払いを命じられる和解事例も出ています。
ポイント🚨 違反した場合のリスクは非常に高いため、企業はCCPA/CPRAの遵守を徹底する必要があります。
GDPRとの違いは? 🤔
CCPAと似た法律として、ヨーロッパのGDPR(一般データ保護規則)があります。どちらも個人のデータ保護を目的としていますが、いくつか違いがあります。
| 項目 | CCPA/CPRA | GDPR |
|---|---|---|
| 適用対象地域 | カリフォルニア州の住民の個人情報 | EU域内の個人の個人データ |
| 対象事業者 | カリフォルニア州で事業を行い、一定の基準を満たす営利企業 | EU域内の個人データを処理するほぼ全ての事業者(管理者・処理者) |
| 主な権利 | 知る権利、削除権、販売・共有のオプトアウト権、訂正権、利用制限権、差別禁止権など | アクセス権、訂正権、消去権(忘れられる権利)、処理制限権、データポータビリティ権、異議申し立て権など |
| 同意の基本 | オプトアウト(拒否する機会を与える)が中心。 (未成年者やセンシティブ情報はオプトイン) | オプトイン(明確な同意を得る)が基本。 |
| 個人情報の定義 | 個人に加え、世帯に関連付けられる情報も含む場合がある。定義は広範。 | 識別された、または識別されうる自然人に関するあらゆる情報。 |
| 罰則(制裁金) | 違反1件あたり最大7,500ドル。データ侵害時の民事訴訟あり。 | 最大で全世界年間売上高の4%または2,000万ユーロのいずれか高い方。 |
ポイント💡 CCPA/CPRAは特に「個人情報の販売・共有のオプトアウト」に重点を置いていますが、GDPRはより厳格な「オプトイン(事前同意)」を基本としています。罰金の額もGDPRの方が高額になる可能性があります。
まとめ ✨
CCPA(および改正後のCPRA)は、カリフォルニア州の住民の個人情報を保護するための重要な法律です。
✅ カリフォルニア州住民の個人情報保護が目的。
✅ 消費者には「知る権利」「削除権」「オプトアウト権」などが認められている。
✅ 日本企業でも、カリフォルニア州住民の個人情報を扱っていれば対象になる可能性がある。
✅ 企業には、プライバシーポリシーの整備や消費者からの要求への対応などが義務付けられている。
✅ 違反すると高額な制裁金や訴訟のリスクがある。
インターネットが国境を越えて利用される現代において、海外のプライバシーに関する法律も無視できません。特にアメリカ市場を視野に入れている企業にとっては、CCPA/CPRAへの対応は必須と言えるでしょう。
個人としても、自分の情報がどのように扱われているかに関心を持つきっかけになるかもしれませんね! 🤔
コメント