カリフォルニア州の個人情報保護に新たな動き! プライバシー保護の新法案CPRAとは?

カリフォルニア州の個人情報保護に新たな動き! プライバシー保護の新資金CPRAとは?

アメリカカリフォルニア州で施行されている、消費者のプライバシー権を保護する法律・CCPA(California Consumer Privacy Act)は2020年7月に施行されたのみですが、早くもそのアップデート版である・CPRA(Californiaプライバシー権法)が検討されています。CCPAよりもさらに厳しいと言われるCPRAがカリフォルニア州でのビジネスにもたらしそうな影響についてまとめました。

免責条項:このブログ記事は CPRA のような米国データプライバシー新しい観点のための法的勧告ではありません。CPRA をよりよく理解するための背景情報を提供するものです。 弁護士があなたの具体的な状況に応じて賢明なアドバイスとは異なるため、記事内で扱っている情報やその正確さの解釈についてのアドバイスを望む場合は、弁護士にご相談ください。解釈を覚悟したものとして頼らないでください。

CPRAはCCPAの強化版

CPRAは、その名の通り、カリフォルニア州住民のプライバシー権を保護するための資金です。CCPAを推進した活動団体が新たに提案しているもので、2020年11月のカリフォルニア州住民投票される自信住民投票で採決されれば、2023年1月から実際に実施されることになります。

基本的に、CPRAはCCPAで定められた消費者のプライバシー権をさらに拡大するものです。企業にとっては、今後を課されることになります。

CCPAからの大きな変更点は?

CPRAには、CCPAと比較して重要な変更点がいくつかあります。

・「重要な個人情報」

CPRAでは、消費者の個人情報のうち特に取り扱いに注意が必要な方が、「重要な個人情報」として他と区別されます。 ソーシャル・セキュリティ・ナンバー運転や免許証の番号など政府発行の個人識別子や、アカウント認証情報、金融情報、精密な位置情報、犯罪者や民族の出自、宗教上の信仰、性的指向、電子メールなど特定のメッセージの内容、遺伝子情報、身体の特徴データなどこれには含まれます。消費者は重要な個人情報の使用や開示を制限する権利が与えられ、企業には許可上の新たな義務が課されます。

・個人情報を修正する権利

企業が収集した個人情報に誤りがあった場合、消費者は修正を要求することができます。

・情報流出の責任条項

CCPAのもとでは、企業がしかるべき情報保護に失敗して暗号化や編集のない個人情報が流出した場合、消費者には適当に権利が認められています。CPRAはこの権利を拡大し、メールアドレスとともにパスワードやセキュリティ質問とその答えが流れて、消費者のアカウントへの不正アクセスが可能になった場合を、新たに対象に含めます。

・子どものデータ

16歳以下の未成年者の個人情報データの許可に禁止があった場合の罰金が、CPRAのもとではCCPAの3倍になります。

・実行機関

CCPAの執行機関はカリフォルニア州司法長官室でしたが、CPRA以下ではプライバシー保護を専門に扱う「カリフォルニア州プライバシー保護庁(California Privacy Protection Agency)」が新たに設置されます。を執行するための全面的な権限、管轄権を持ちます。

企業にとって朗報となる項目も

企業にとって厳しい内容の CPRA ですが、いくつかの項目は企業にとって有利に機能しない可能性があります。

・データの「販売」の定義が明確に

CCPAではデータの「販売」に関する規制がありますが、「販売」の定義が幅広く、あいまいでした。CPRAではデータの「販売」と第三者企業への「シェア」が区別されています。

・サードパーティーに関する責任の限定

消費者の個人情報を委託した第三者企業がCPRAに禁止した場合には、企業が負うべき法的責任が限定されます。

・消去権およびアクセス権に関する例外

多くの種類のデータが、例外的に消去権やアクセス権の対象外となります。このことは、企業の運営上、大きな意味があります。

・スモールビジネスが適用外に

CPRAでは、対象となる企業の条件がCCPAよりも狭められ、10万以上の個人またはお客様を顧客とする企業のみが対象となります。これにより、より小規模な企業は法規制の対象外となります。

・従業員データに関する猶予期間の延長

CCPAでは、従業員のデータは2021年1月まではカバーされないことになっています。CPRAはこの猶予期間を2023年1月まで延長します。

その他に注意すべき項目

上記以外にも、企業が対応を迫られることになりそうな項目があります。

・サービスプロバイダーの義務

企業がデータの取り扱いをサービスプロバイダーに委託した場合、サービスプロバイダーは企業がCPRAを遵守できるように協力する義務を負います。

・データ保持期間のお知らせ

企業は消費者に対して、各カテゴリーの個人情報を保持する期間を公表する必要があります。

まとめ

CPRAの内容はまだ決まっておらず、変更・修正の可能性が大いにあります。また、カリフォルニア州でのCPRA成立の可否が、他州や連邦のプライバシー保護法に大きな影響を与える可能性はありません。米国でのビジネスにとって重要な意味を持つCPRAの今後の動きに、注目を続けてください。

著者:hitomi.N

IT企業で4年間のプログラマーとしての経験を積み、その後6年間のプロジェクトマネージャー業務を行ってきました。渡米後はEコマースマネージャーとして、日本企業のアメリカ進出を支援しています。収集を行い、最新のデータと洞察をもとに、戦略の最適化や新しいアイデアを考案し、クライアント企業に競争力のあるソリューションを提供しています。

ブログに戻る