CCPAの施行間近!準備のために必ず知っておきたいこと

CCPAの施行間近!準備のために必ず知っておきたいこと

米国カリフォルニア州で、消費者の個人情報保護に関する法律CCPA(California Consumer Privacy Act)の施行が迫っています。カリフォルニア州に実店舗がある企業だけでなく、同地に顧客を持つEコマースにも適応されるこの法律。違反には多額の罰金が課せられます。

この記事では、CCPAとはどんな法律なのか、知らずに違反しないためにEコマースのマーケターとしてどのような準備が必要なのかを解説します。

免責条項:このブログ記事はCCPAのような米国データプライバシー法に従うための法的助言ではありません。CCPAをよりよく理解するための背景情報を提供するものです。弁護士があなたの具体的な状況に応じて与える法的助言とは異なるため、記事内で扱っている情報やその正確さの解釈についての助言を望む場合は、弁護士にご相談ください。この記事を法的助言、あるいは特定の法的解釈をすすめるものとして頼らないでください。

CCPAとはどんな法律?

CCPAとは、カリフォルニア州に住む消費者の個人情報を保護し、データプライバシー権を守るための法律です。2018年に成立し、2020年1月に発効。2020年6月にカリフォルニア行政法局に提出され、施行が間近に迫っています。

米国ではこれまでも個人情報保護のためのさまざまな法律が施行されてきましたが、CCPAはその中でもっとも適応範囲の広い法律となります。

CCPAが適用される企業の条件は?

CCPAが適用されるのは、カリフォルニア州で事業を行なう企業のうち、下記の条件に一つでも当てはまる企業です。
1. 年間の収益が2,500万ドル以上ある
2. 年間に5万以上の消費者個人または世帯またはデバイスから個人情報を取得している
3. 年間収益の50%以上を個人情報の販売により得ている

実店舗や支社がカリフォルニア州になくても、カリフォルニア州在住の消費者から個人情報を取得している企業には、この法律の対象となります。消費者の個人情報を使ってキャンペーンを行なったり、個人情報を第三者に販売したりしている場合は、CCPAに違反しないよう注意が必要です。

 

CCPAが保護する消費者の権利

CCPAが保護する個人情報とは、カリフォルニア州民やその世帯を直接的、間接的に特定したり、関連付けて識別したりできるデータです。CCPAのもとで、カリフォルニア州民は下記のような権利を保証されます。

1. 知る権利
……消費者は、企業が自分自身についてどんなデータを集め、どのように使用し、販売しているかを知ることができます。

2. 消去する権利
……消費者は企業に自分の個人情報の消去を求めることができます。 ただし、個人情報が契約の履行や取引の完了に必要な場合など、この消去権には例外もあります。

3. オプトアウトする権利
……消費者は第三者への個人情報販売を停止するよう求める(オプトアウト)ことができます。 企業は、CCPAのもとで保証されるプライバシー権を制限する契約書にサインするよう消費者に求めることはできません。

企業に求められる対応

したがって、CCAPが適用される企業は、これらの権利を保証できるように体制を整える必要があります。具体的には、下記のような対応が必要です。

1. 情報を開示する
……消費者の権利とその実行方法について、企業は消費者に知らせる義務があります。また、集めた個人情報の用途を消費者に説明しなければなりません。

2. 消費者の要求に対応する
……消費者から個人情報の開示や消去を要求された場合、それに応じなくてはなりません。要求が行われた日からさかのぼって12ヶ月前までに収集された個人情報が対象です。

3. 個人情報に関する要求をしやすくする
……無料の電話回線やウェブサイト上のリンクを準備するなど、消費者が個人情報に関する要求を簡単にできるようにしなければなりません。 また、企業は消費者から個人情報に関する要求を受けてから45日以内に応答しなければなりません。

4. 個人情報を消去する
……消費者から要求があった場合、その人の個人情報を消去しなければなりません。ただし、取引の完了やセキュリティのためにその情報が必要な場合は例外となります。

5. オプトアウトに応じる
……企業は個人情報の第三者への販売について、消費者に開示せねばなりません。また、「オプトアウトする」という選択肢へのリンクをプライバシーポリシーと企業HPに掲載する必要があります。消費者がオプトアウトしても、これまでと同様の価格で同様のサービスを提供し続けなければなりません。

これらの義務を怠ってCCPAに違反した場合、行政によって一件(違反に影響される消費者一人)につき2,500ドルの罰金が課せられる可能性があります。故意の違反の場合、一件につき7,500ドルです。また、行政による処罰に加えて、消費者による訴訟にさらされる可能性もあります。

さらに詳しく知りたい方はこちらから資料をダウンロードすることができます。

まとめ

消費者の個人情報を上手に利用することは、企業側だけでなく消費者にとっても大きなメリットがあります。今後も消費者データを活用し続けるために、最新情報に基づいてCCPAへの対応を進めましょう。

著者: Hitomi.N

IT企業で4年間のプログラマーとしての経験を積み、その後6年間プロジェクトマネージャー業務を行ってきました。渡米後はEコマースマネージャーとして、日本企業のアメリカ進出を支援しています。日々アメリカEC関連の情報収集を行い、最新のデータと洞察をもとに、戦略の最適化や新しいアイディアを考案し、クライアント企業に競争力のあるソリューションを提供しています。

Back to blog