【コラム】カリフォルニア州 消費者プライバシー法(CCPA)の概要

NTTデータ先端技術(本社:東京都中央区、代表取締役社長:木谷強)から、カリフォルニア州 消費者プライバシー法(CCPA)に関する情報をご紹介します。

はじめに
GDPR(EU 一般データ保護規則)が2018年5月に施行され、欧州地域から国境を超えた個人データの取り扱いについて、世界各国が対応しなければならない時代となりました。
現在でも手探りの部分はあるかと思いますが、プライバシー保護の認識が世界中で高まり、自分の個人データは自分で管理するという基本原則が少しずつ広まっているように感じます。
一方で個人データの処理や転送を行う企業(組織)は、本人からの求めに応じた対応手段を整備し、キチンとした安全対策を行わなければ巨額の制裁金が課せられる、ある意味キビシイ時代になったとも言えます。
そんな中、2020年1月からCCPA(カリフォルニア州消費者プライバシー法)が米国カリフォルニア州で適用開始となっており、こちらについても他国への影響が避けられない内容となっています。世界中でプライバシー関連法の整備が進む中でも、特に注目したいCCPAの概要を説明したいと思います。
※なお、本内容は2020/1/15現在の公開情報を参考にして作成しており、条文改正などによる修正変更の可能性があることをご考慮ください。

CCPAとは何か?
CCPAとは「カリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)」の略称であり、米国カリフォルニア州で2020年1月から適用開始となるプライバシー法のことを言います。カリフォルニア州の住民(以下、「住民」と呼ぶ※1)に対するプライバシー保護を定めた州法であり、住民にプライバシーに関連する権利を与え、住民の個人情報を利用する事業者には適正管理の義務を定めたものになります。
※1 条文では「住民」ではなく「Consumer(消費者)」と表現されています。

<ざっくりポイント>
・対象となるのは米国カリフォルニア州の住民(世帯)の個人情報
・個人情報の定義が広い
・カリフォルニア州内に事業所が無くても住民の個人情報を取り扱っていれば対象となる
・義務違反の場合には民事罰として制裁金が課せられる可能性がある
 (1件当たりの違反ごとに最大2,500ドル(故意だと認定された場合は最大7,500ドル)
・制裁金以外にも住民からの民事訴訟による賠償金請求の可能性がある
・人権保護(人権擁護)のプライバシー権の保護という考えに基づいている
・GDPRに似ている部分もあるが違う部分もある


CCPAが注目される理由
カリフォルニア州はアメリカ西海岸地域の一つであり、米国の数ある州の中でも最も人口が多く(2018年度で約4000万人)、経済活動が活発な州であります。
州のGDPは2017年で2兆7470億ドルであり、単独の州でありながら先進国TOP5に入る経済規模を誇る州となっています。世界的に有名なIT業界が集約するシリコンバレーや映画産業のハリウッド、ディズニーランドでお馴染みのディズニー・カンパニーなど、優良企業が集まる強力打線になっています。
米国の中でも影響力をもった州であり、CCPAが施行されることによって、他の州も「ワイらもちゃんとやらなあかんな。。」といったように追随する可能性が高くなりそうです。このような動きに対して、連邦法としてプライバシー関連法を整備しようという動きもありますが、実現するかどうかは今のところわかりません。
ただ、GDPRが欧州地域の統括的なプライバシー法になったと同様に、CCPAが米国でのプライバシー法の礎となる可能性があることから、日本を含め他国でも対岸の火事とは言えず、GDPR施行時のように「えらいこっちゃで。。どないしよ。。」というように注目を集めている理由になっています。

個人情報の定義
個人情報の定義は第1798.140条(o)(1)に記載されています。幅広い情報を個人情報と定義しており、具体的事項も含めて細かく記載されていますが、「限定されるわけではない」、「これに限られない」などの表現もあるため、記載されている以外の情報も場合によっては個人情報として取り扱うことを意味しているようです。

<個人情報の定義(第1798.140条(o)(1))>
「個人情報」とは、特定の消費者又は世帯を、識別し、関連し、叙述し、関連付けることができ、又は直接的に若しくは間接的に合理的にリンクさせることのできる情報を意味する。個人情報には、以下に限定されるわけではないが、特定の消費者又は世帯を識別し、関連し、叙述し、関係付けることができ、又は直接的に若しくは間接的に合理的にリンクさせることのできるものであれば、以下が含まれる。

(A)識別子。例えば、 実名、別名、郵便住所、一意個人識別子、オンライン識別子であるインターネット・プロトコル・アドレス、eメールアドレス、アカウント・ネーム、社会保険番号、運転免許証番号、旅券番号、またはその他の類似の識別子。

(B)第1798.80条(e)※2で述べる個人情報のカテゴリー。
※2 第1798.80条(e) 「個人情報」とは、特定の個人を、識別し、関連し、叙述し、又は関連付けることができるいかなる情報を意味する。個人情報には、以下に限定されるわけではないが、当該個人の名前、サイン、社会保険番号、身体的特徴若しくは記述、アドレス、電話番号、旅券番号、運転免許証番号若しくは州の識別カード番号、保険証券番号、教育、雇用、雇用履歴、銀行口座番号、クレジットカード番号、デビットカード番号、又は、その他の財務情報、医療情報若しくは健康保険情報、を含む。「個人情報」には、連邦、州又は地域の政府の記録から適法に一般公衆に対して利用可能となっている、公に利用可能な情報を含まない。

(C)カリフォルニア州法又は連邦法のもとでの保護された分類の特性。

(D)商業的情報。個人の財産の記録、購入、取得、検討した製品又はサービスの記録、その他の購入又は消費の履歴又は傾向についての記録を含む。

(E)バイオメトリック情報。※3(第1798.140条(b)に定義されている。)
※3 「バイオメトリック情報」とは、単独で又は互いの若しくは他の識別データとの組み合わせで、個々の ID を確立する、個々人のデオキシリボ核酸(DNA)を含む生理学的、生物学的又は行動的な特性を意味する。バイオメトリック情報には、以下に限定されないが、フェイスプリント、マニューシャ・テンプレート、声紋のような識別テンプレートを抽出できる虹彩、網膜、指紋、顔、手、手のひら、血管パターン、及び音声録音の像、並びに、識別情報を含むタイピング・パターン若しくはリズム、歩行パターン若しくはリズム、睡眠、健康、又は運動データが含まれる。
可能となっている、公に利用可能な情報を含まない。

(F)インターネット又はその他の電子的なネットワーク活動の情報。閲覧履歴、検索履歴、及び、インターネット・ウェブサイト、アプリケーション又は広告との消費者のやりとりの情報を含むが、これに限られない。

(G)地理位置データ。

(H)音声、電子、視覚、温度、嗅覚又は類似の情報。

(I)職業又は雇用に関する情報。

(J)家族教育権とプライバシー法(20 U.S.C. section 1232g, 34 C.F.R. Part 99)に定める公に利用可能な個人識別情報でないと定義される教育上の情報。

(K)消費者についての選好、性格、心理的傾向、性質、行動、態度、インテリジェンス、能力及び素質を反映する消費者のプロファイルを作成するために本項で識別された情報から引き出された推定。


CCPAの適用対象
CCPAの適用対象については第1798.140条のあたりに記載されています。条文を読むと大きく3つほどのカテゴリーがあると思われますが、住民の個人情報提供関係や契約によって、この他にも適用対象に含まれるエンティティ(entities)があるようです。

CCPAの適用対象(事業者)その1
事業者(Business)の説明としては、第1798.140条(c)に記載があります。
CCPA対応のキモになる箇所なので原文の日本語訳をまず記載します。

<事業者基準(第1798.140条(c))>
(1) 自己の株主若しくはその他の所有者の利益又は金銭的便益のために組織又は運営され、消費者の個人情報を集め又は自己の代わりに個人情報が集められ単独で又は他と共同で消費者の個人情報を処理する目的と手段を決定し、カリフォルニア州で事業を行い、かつ、以下の基準の一つ又はそれ以上を満たす、個人事業体、パートナーシップ、有限責任会社、法人、団体又はその他の法的主体を意味する。

i. 第1798.185条第(a)項(5)により調整された年間の総収入(annual gross revenues)が 2,500万米ドル($25,000,000)を超える。
ii. 単独又は組み合わせで5万件以上の消費者、世帯又はデバイスの個人情報を、年間ベースで、単独又は組み合わせで購入し、事業者の商業目的で受け取り、販売し、又は商業目的で共有する。
iii. 消費者の個人情報の販売から年間収入の50%以上を得ている。

(2) 第(1)項に定める事業者を支配し、又はこれに支配され、かつ当該事業者と共通のブランドを共有する主体。「支配する」又は「支配される」とは、事業者の議決権のある種類の株式について発行済み株式の 50%超を保有し又は議決権を有すること、役員の過半数を選任若しくは役員と類似した職務を果たす個人の選任を何らかの方法でコントロールすること、又は、事業者のマネジメントについて支配的な影響を行使する権限があることを意味する。「共通のブランド」とは、共通の名称、サービス・マーク又は商標を意味する。


CCPAの適用対象(事業者)その2
事業者(Business)の説明をもう少し分かりやすくすると以下のようになります。
一見すると条件が厳しく、影響があまり無いように感じますが、いくつか注意点があります。



CCPAの適用対象(サービス提供者)
サービス提供者(Service Provider)の説明としては、第1798.140条(v)以外にも、執行規則案(§999.314. Service Providers)にも記述があります。
GDPRの「Processor」の役割に近く、事業者との契約に基づき住民の個人情報の「処理(Processing)」を実施する営利目的のエンティティとして理解すればいいと思います。

<事業者基準(第1798.140条(v))>
「サービス提供者」とは、事業者に代わって情報を処理し、かつ、事業目的のために書面の契約により事業者から消費者の個人情報を開示される、株主又はその他の所有者の利益と金銭的便益のために組織され又は運営される個人事業体、パートナーシップ、有限責任会社、法人、団体、その他の法的主体を意味する。ただし、事業者との契約により、個人情報を受領する法的主体が、当該契約で特定されたサービスを行う特定の目的又はその他本巻で認められたもの以外の目的のために、個人情報を保持し、使用し又は開示すること(事業者との契約によって特定されたサービス提供以外の商業的な目的のために個人情報を保持し、利用し又は開示することを含む。)を禁止する場合をいう。

<§999.314. Service Providers の主な内容(超訳)>
・いろいろあるけど第1798.140条(v)を満たせばサービス提供者とみなすよ。
・例外あるけど基本的に住民の個人情報を目的外利用しちゃダメだよ。
・住民から個人情報の開示、削除を求められ、その要求に対応出来ない場合、キチンと説明して可能ならば事業者の連絡先を通知すること。
・サービス提供者の役割を超えた住民の個人情報の収集、保持、販売をする場合でも、CCPAと本規則を遵守しないとダメだよ。








CCPAの適用対象(第三者)
第三者(Third party)の説明としては、第1798.140条(w)以外にも、個人情報を住民から直接収集しないエンティティとして執行規則案(§999.301(e))にも記述があります。
具体的なエンティティの記載例がありますが、これらに限らないという点に注意が必要です。
また、住民の個人情報を保持しているが営利目的でない場合(非営利団体等)でも、CCPAを無視した住民の個人情報販売、目的外使用等は禁止されているため、違反していないことをカクジツにするための確認作業が必要になると考えられます。


<第三者(Third party)の基本原則>
第1798.140条(w)の概略
・直接的に住民の個人情報を収集する事業を行っていない。
・住民の個人情報の販売を行っていない。
・目的以外の住民の個人情報の保持、使用、開示を行っていない。

<第三者(Third party)のエンティティ例>
§999.301(e)の概略
・広告ネットワーク(アドネットワーク)
・インターネットサービスプロバイダー
・データ分析プロバイダー
・政府機関
・オペレーティングシステムとプラットフォーム
・ソーシャルネットワーク
・消費者データ販売業者
・その他(非営利団体等)

CCPAの主な内容(プライバシーの権利)
CCPAの目的の一つ住民のプライバシーの権利の概要は主に以下のようになります。
自身の個人情報に関する開示請求、削除、販売停止などの権利があることが定められています。



CCPAの主な内容(事業者の義務)
CCPAの目的の一つ事業者の義務の概要は主に以下のようになります。
事業者の義務は条文の他にも執行規則案の遵守も必要になるため、適用対象となりえそうな場合はこちらも理解しておく必要があります。(24ヶ月間の記録の保管など条文で記載の無い事項もあります。)
ボリュームが多いため、今回は条文の主要な箇所を目次レベルで紹介します。



民事制裁金と民事訴訟
CCPAの義務違反を行った場合、カリフォルニア州司法長官提訴による民事制裁金と住民による民事訴訟による賠償金請求の可能性があります。
なお、住民による民事訴訟で対象となる個人情報の定義は別途定められており、よりセンシティブな個人情報を対象としています。



合理的なセキュリティ対策とは?
第1798.150条ではセキュリティ対策についても少し記載があり、住民の個人情報へのアクセスコントロール、暗号化対応などが求められているようです。



また、 執行規則案でも「合理的なセキュリティ対策を実施する」などの記載がいくつかあり、セキュリティ対策が必要なことは記載していますが、具体的に「どこまで何をやれ」ということは記載されていません。
NIST、ISO/IEC、CIS、などさまざまな機関、団体からセキュリティ基準が発行されていますが、カリフォルニア州司法長官が過去(2016年)に公表したデータブリーチレポートでは、CIS(Center For Internet Security)の「CIS Controls」を推しているようです。
より具体的な内容はガイドライン待ちかとも思いますが、適用対象になる可能性がある場合は、最低限のセキュリティ対策として「CIS Controls」を目安としたセキュリティコントロールのチェックから始めてみるといいのではないでしょうか。

【参考】 CIS Controls ver7 (Control 1 ~ Control 20)



主な参考情報
個人情報保護委員会
 「カリフォルニア州消費者プライバシー法 2018年 条文 (2019年8月29日時点) 」
JETRO
 「施行が迫る「カリフォルニア州消費者プライバシー法」(米国)」
 「カリフォルニア州消費者プライバシー法(CCPA)実務ハンドブック」
California Legislative Information
 「TITLE 1.81.5. California Consumer Privacy Act of 2018[1798.100-1798.199] 」
California Attorney General
 「California Consumer Privacy Act (CCPA) FACT SHEET」
 「Text of Proposed Regulations - California Consumer Privacy Act(CCPA)」
 「California Data Breach Report February 2016」
CIS
 「CIS Controls version 7」


※本文書中の翻訳文書は、NTTデータ先端技術株式会社により情報提供されています。
これは、本項「主な参考文献」にて公開される文章の、非公式の翻訳を含みます。
英文が公式版であるとみなされ、翻訳文と英文においての曖昧さや不明瞭さについては、英文が優先されます。
NTTデータ先端技術株式会社は、本翻訳文書に含まれる過失に対する責任を負いません。

この企業の関連リリース

この企業の情報

組織名
NTTデータ先端技術株式会社
ホームページ
https://www.intellilink.co.jp/
代表者
木谷 強
資本金
10,000 万円
上場
非上場
所在地
〒104-0052 東京都中央区月島1-15-7パシフィックマークス月島7F
連絡先
03-5843-6800

検索

人気の記事

カテゴリ

アクセスランキング

  • 週間
  • 月間
  • 機能と特徴
  • Twitter
  • デジタルPR研究所