インターネットを通して消費者・ユーザーの個人情報を収集する企業は、すでにウエブサイトにプライバシー・ポリシーの導入を掲載しているだろう。今回は、米国のデータ・プライバシーを保護する州の法律の中で最も包括的で厳しいといわれている「カリフォルニア州消費者プライバシー法」（CCPA＝California Consumer Privacy Act）の概要に焦点をあてたい。CCPAの施行日は2020年1月1日であるが、去年6月に同法が制定されて以来、カリフォルニア州司法長官室は各地で7回の公聴会を開催し、そこでの意見を反映して、州議会は条文の詳細を詰めているところである。州司法長官による執行手続きは2020年の7月から開始されるが、今からコンプライアンスの体制を整えることが重要である。

CCPAの概要

CCPAは、カリフォルニア州居住者のプライバシー権を広範囲に保護するための州法である。同法は、カリフォルニア州に物理的拠点がなくても、経済的ネクサスがあり、かつ、州内住民の個人情報を直接的・間接的に収集・入手し、その情報を第三者に売却、譲渡、あるいは共有する企業に適用される。従って、消費者と全く接触のないデータ・ブローカーや分析会社もCCPAの適用を受けることになる。

さらに、CCPAの対象企業は、年間の総収入金額が25百万ドル以上、5万人以上のカリフォルニア州住民の個人情報を扱っている、あるいは、年間の総収入金額の少なくとも半分をカリフォルニア州住民の個人情報の売却により得ている企業である。もし、米子会社と日本本社間で、個人情報を共有していたり、共通のブランドで事業をしている場合は、日本本社もCCPAの適用を受ける可能性がある。よって、対象となる企業は、自社のプライバシー・ポリシーやプライバシー通知の内容をCCPAに遵守するように見直す必要がある。

また、個人情報を第三者へ売却している企業の場合には、消費者の要請により個人情報の売却を拒否するオプトアウト権やその他の追加のコンプライアンス義務が課される。

CCPAの違反行為が立証されれば、罰金や事業差し止めなどの制裁もある。

「個人情報」の更なる広義解釈

個人情報（PI＝Personal Information）とは、一般的に特定の個人（消費者）を識別することのできる情報を指すが、CCPAは、これまでPIとはされていなかった情報をもPIの定義に含め、保護される情報の範囲を広げた。例えば、CCPAでは、特定の消費者に限らず、世帯（households）を識別、あるいは関連付けることのできる情報や、オンラインでのアイデンティティ、地理的位置を示すデータ、IPアドレス、インターネット上でのブラウジング履歴や検索履歴、アプリやオンライン広告とのインタラクション、消費者による購入履歴や購入志向履歴やそれらを分析した推測情報、そして、音声、電子、ビジュアル、熱量（温度）、嗅覚やそれに類似する情報なども、PIの定義に含まれる。

他州・連邦議会の動きについて一言

CCPAの影響を受け、ニューヨーク、ワシントン、マサチューセッツ州を含む12の州においても類似のプライバシーとデータセキュリティ保護法の法案が提出されている。現時点ではカリフォルニア州以外の法案は成立していないが、それらが立法化されるのは時間の問題であり、今後もその数が増えることは確実だ。一方で、米国連邦政府レベルでの包括的な法律はまだ存在しない。CCPAに促されて連邦議会にも包括的な法案が提出されているものの、採択される見通しはまだない。

考察

CCPAの遵守にあたり、カリフォルニア州内に拠点を置く企業のみならず、州外法人や日本本社であっても、既存のプライバシーポリシーの見直しを勧める。加えて、データの処理方法（個人情報の種類、情報源、自社内での情報の使用目的、そして情報の売却先や共有相手に関する情報など）やデータ・マッピング（情報の保存場所）のシステムの構築や文書・契約書の作成を確立させることによって、さらにリスクを抑えることができるだろう。

ここで扱う内容は、一般的事実であり、特定の状況に対する法的アドバイスではなくそれを意図したものでもない。

企業概況ニュース・U.S. JAPAN PUBLICATION N.Y. INC.・https://ujpdb.com/
J weekly https://jweeklyusa.com/