カリフォルニア州プライバシー権法(CPRA)の概要(1)~CCPAを改正する提議 Proposition 24 が可決~
企業概況 発行日:
Jweekly 発行日:
2020年11月3日、カリフォルニア州で、カリフォルニア州プライバシー権法(California Privacy Rights Act、以下「CPRA」)が住民投票で可決された。この法律は、2023年1月1日に発効し、2020年1月1日に施行されたばかりのカリフォルニア消費者プライバシー法(California Consumer Privacy Act、以下「CCPA」)を改正し、それに優先する。今回の改正でカリフォルニア州で事業を行う企業に関係するものとしては、①改正に伴う即時変更、②「センシティブな個人情報」を新しく定義、③対象となる「事業者」の定義と範囲の変更、④消費者の権利の拡大、⑤サービス提供者及び請負人の追加の義務、がある。今回は①から③について説明する。
(1) 改正に伴う即時変更
CPRA全体は、2023年1月1日まで発効せず、2022年1月1日以降に収集された情報にのみ適用される。また、プライバシーの監視機関であるカリフォルニア州個人情報保護局(California Privacy Protection Agency、以下「CPPA」)が即日設立される。当局による執行は2023年7月1日からとなる見込みであるが、CCPAで適用猶予対象となっていた従業員関連情報とB-to-Bデータについては、2023年1月1日まで適用猶予が延期される。
(2)「センシティブな個人情報」を新しく定義
CPRAは、CCPAの11の個人情報区分を維持するが、それに加えて、「センシティブな個人情報」(Sensitive Personal Information)として、(1)ソーシャルセキュリティ番号、運転免許証番号、州ID番号、パスポート番号、(2)パスワード付きのアカウントログイン情報、(3)消費者の正確な位置情報、(4)人種的または民族的出身、宗教的信念または組合加入情報、(5)事業者が受取人として意図されている場合を除き、消費者の郵便、電子メール、またはテキストメッセージの内容、(6)消費者の遺伝情報、(7)消費者を特定するための生体情報の処理、(8)消費者の健康に関して分析された個人情報、(9)消費者の性的生活または性的指向に関連して分析された個人情報、を新しく定義した。
(3) 対象となる「事業者」の定義と範囲の変更
CPRAは、消費者の個人情報を収集する「事業者」の要件を以下へ変更する。
- 総収入: 2,500万ドルの年間総収入は、前年の1月1日時点で判定されることが明記された。
- 処理量: 事業者が商業目的で個人情報を毎年購入、販売、または共有する「消費者」または「世帯」の数を5万件から10万件に増やし、「デバイス」については今後含まない。
- 販売および共有からの収益:消費者の個人情報の販売から、年間収入の50%以上を得ているかどうか判断する際に、個人情報の「販売」および「共有」の両方を年間収入に含める必要がある。
さらに、CPRAはその他の事業体も適用対象となることを明確にした。
- 共通の管理下にある事業体:事業者とブランドを共有しており、一般的な消費者から見て同じ事業者と認識される場合で、それらが消費者の個人情報を共有している事業者に適用される。
- ジョイントベンチャー:事業者が少なくとも40%の株式を持つジョイントベンチャーまたはパートナーシップに義務を拡大する。
- 自主的申請:カリフォルニアで事業を行っており、CPPAに対して、CPRAを遵守し拘束されることに自主的に同意する事業体に適用される。
考察 CPRA が施行される2023年1月1日までは、現行のCCPAが継続して適用されることになるが、CPRAの施行にむけて、カリフォルニア州内に拠点を置く子会社・事業者や日本本社のみならず、ジョイントベンチャーの当事者も、既存のプライバシーポリシーやセンシティブな個人情報の処理方法に関するシステムの見直しをすることによって、さらにリスクを抑えることができるだろう。早い段階から専門家にアドバイスを仰ぎながらコンプライアンスのために適切な手続きを行うことをお勧めする。
ここで扱う内容は、一般的事実であり、特定の状況に対する法的アドバイスではなくそれを意図したものでもない。
企業概況ニュース・U.S. JAPAN PUBLICATION N.Y. INC.・https://ujpdb.com/
J weekly・ https://jweeklyusa.com/
#YorozuLawGroup #国際法律事務所 #CCPA #Proposition24 #CPRA #カリフォルニア州プライバシー権法