環境保護や消費者保護、労働基準など、あらゆる法律分野で連邦政府や他州に先んじて、法制度のフロンティアを切り開いてきたカリフォルニア州は、この度、消費者の個人データ保護において新たな基準を設定した。2018年6月28日、「California Consumer Privacy Act of 2018（訳：2018年カリフォルニア州消費者プライバシー法）」は、Jerry Brown州知事の署名により立法化され、2020年1月1日から施行となる。既に、カリフォルニア州では、消費者の個人情報を直接収集する会社は、California Online Protection Act of 2003（CalCOPPA）やShine the Light法などの適用を受けるが、今回の新法は、消費者データを直接収集しないデータブローカーも対象とされており、消費者がデータ共有を拒否（オプトアウト）した場合のコンプライアンス義務も課せられている。以下に、同法の背景や概要についてご説明しよう。

＜背景＞

今年の3月、イギリスの政治コンサルティング会社である、ケンブリッジ・アナリティカ社が、過去数年に亘り8千700万人ものFacebook利用者のデータを不正収集したと報道されて以来、消費者のデータ・プライバシー強化を望む世論が高まる中、欧州連合は、5月25日にGDPR（EU一般データ保護規則）を施行した。

カリフォルニア州では、いくつかの連邦、州による関連法が適用されているものの、実質的なデータ漏えいの防止には繋がっていないため、かつてより懸念を示していたサンフランシスコの不動産デベロッパーであるAlastair Mactaggart氏が、300万ドルもの自己資金を投じて60万人の住民署名を集め、消費者のデータ・プライバシーを保護する法案を、今年の11月の中間選挙時の住民投票として提出することに成功した。これに危機を感じた、カリフォルニア州議会は、急遽短期間で代替え法案を作成、下院、上院を全員一致で可決するという異例な結束力を見せた。この背景には、11月の住民投票の対象となる法案が、消費者による提訴権などインターネット業界が反発する内容が多く含まれているため、同業界のロビー活動の結果、州議会は、代替え法を立法することにより、実質的に11月の住民投票用の法案を阻止することに成功した訳である。

＜法の概要＞

同法は、少なくとも年間売上が25百万ドル以上の企業、少なくとも5万人以上のカリフォルニア州住民を顧客として持つ企業、又は事業収入の少なくとも半分をデータの売却により得ている企業を対象としている。従って、インターネット業界やデータ・ブローカー業界のみならず、個人情報を入手する企業であれば、小売業やメーカーを問わず適用される。対象企業は、消費者の要請に応じて、どのような個人情報を収集し、誰と共有しているかを通知しなければならない。更に消費者は、自らの選択により個人情報の提供や共有を拒否する（オプトアウト）ことが可能であり、企業に対し個人情報の削除を要請できる。オプトアウトした消費者に対し、企業は、差別的なサービスを行ってはならないが、データ保護のための追加の料金を課金することはできる。更に、同法は、16歳未満の子供の情報を共有、販売することに一定の制限を設けている。

消費者団体からは、同法が、データ漏えいを防ぐための十分な抑止力に欠けとの非難があり、更に、プライバシーは、そもそもカリフォルニア州憲法で保護されているにもかかわらず、オプトアウトした消費者が追加料金を課されるのは間違いであるとの非難もある。しかしながら、同法は、GDPRと同様に実質的な消費者データ保護を試みた、米国では最も厳しいデータプライバシー法となるため、今後、連邦法や他州へどのような影響を及ぼすかが注目されている。

今後、2020年1月1日の施行に向けて、州議会は、同法の条文の詳細を詰める予定である。

＜考察＞

今回立法化された新法の最終版が出版された時点で、専門家のアドバイスを仰ぎながらコンプライアンスのために適切な手続きを行うことをお勧めする。

ここで扱う内容は、一般的事実であり、特定の状況に対する法的アドバイスではなくそれを意図したものでもない。

企業概況ニュース・U.S. JAPAN PUBLICATION N.Y. INC.・https://ujpdb.com/
J weekly https://jweeklyusa.com/