カリフォルニア州プライバシー権法(CPRA)の概要(2)~2023年1月1日の施行に向けて~
企業概況 発行日:
Jweekly 発行日:
2020年11月3日、カリフォルニア州プライバシー権法(California Privacy Rights Act、以下「CPRA」)が住民投票で可決された。前回では、①改正に伴う即時変更、②「センシティブな個人情報」を新しく定義、③対象となる「事業者」の定義と範囲の変更、について説明したが、今回は④消費者の権利の拡大、⑤サービス提供者及び請負人の追加の義務、について説明する。
④消費者の権利の拡大
- センシティブな個人情報の使用制限 CPRAは事業者に対し、センシティブな個人情報の使用を「一般的な消費者が、サービスの実行や商品の提供に必要であると合理的に予測する範囲に制限する」としている。事業者は、消費者が個人情報の販売や共有を簡単に拒否(オプトアウト)したり、センシティブな個人情報の使用を制限できるように明確にラベル付けされたリンクをホームページ上に作る必要がある。
- 情報の修正 CPRAは、消費者が不正確な個人情報を修正する権利を新しく付与する。事業者は、消費者から要求があった場合は、個人情報を消費者に開示し、商業的に合理的な努力(commercially reasonable efforts)をもって当該個人情報を修正しなければならない。
- オプトアウトの権利および広告 CPRAは、既存のオプトアウト権を、個人情報の販売だけでなく、「共有」も含むとしている。共有とは、金銭的またはその他の対価性があるかどうかを問わず、事業者が広告活動のために第三者に消費者の個人情報を移転または提供可能とすることをいう。現在、行動広告技術についてオプトアウト権を提供していない事業者は、そのような技術の使用をオプトアウトできるよう調整し、”Do Not Sell or Share My Personal Information.” というリンクを実装する必要がある。
- 削除の権利 事業者は、消費者から要求を受けた場合、個人情報を販売または共有したサービス提供者、請負人、全ての第三者に通知し、当該個人情報を削除しなければならない。
⑤サービス提供者及び請負人の追加の義務
CPRAは、書面による契約に従い、事業者がビジネス目的で消費者の個人情報を利用することができる人として「請負人」を新しく定義した。請負人は、受領した個人情報を販売または共有すること、契約書に記載されている業務目的以外の目的で個人情報を使用または開示すること、一部の例外を除き、受領または収集したデータと個人情報を組み合わせることが禁止されている。CPRAは、個人情報を「サービス提供者」、「請負人」、及び 「第三者」に販売、共有、または開示する事業者に対して、より広範な契約条件を課している。 契約には、(1)事業者が販売または開示する情報が限定された特定の目的のみであることを明記すること、(2)第三者、サービス提供者、または請負人はCPRAを遵守し、CPRAが要求するレベルのプライバシー保護を提供する義務を負うこと、(3)第三者、サービス提供者、または請負人が、CPRAの義務を遵守できない場合は事業者に通知すること、(4)事業者は個人情報の不正使用を停止および是正するための合理的かつ適切な措置を講じること、および個人情報の受領企業がCPRAに基づく事業者の義務と一致する方法で個人情報を使用すること、を含めることが必要となる。
考察
CCPA用に作成したプライバシーポリシーの改訂や、サービス提供者、請負人、第三者との契約の締結及び改訂、センシティブな個人情報の利用制限に対応したリンクをホームページ上に設けるなど、2023年1月1日の施行に向けて様々な対応が必要となる。プライバシー対応については、早めに準備を進めることで、コンプライアンスが容易になるため、早い段階から専門家にアドバイスを仰ぎながら適切な手続きを行うことをお勧めする。
ここで扱う内容は、一般的事実であり、特定の状況に対する法的アドバイスではなくそれを意図したものでもない。
企業概況ニュース・U.S. JAPAN PUBLICATION N.Y. INC.・https://ujpdb.com/
J weekly・ https://jweeklyusa.com/
#YorozuLawGroup #国際法律事務所 #CCPA #Proposition24 #CPRA #カリフォルニア州プライバシー権法