米国カリフォルニア州で施行されている、消費者のプライバシー権を保護する法律・CCPA（California Consumer Privacy Act）は2020年7月に施行されたばかりですが、早くもそのアップデート版である法案・CPRA（California Privacy Rights Act）が検討されています。CCPAよりもさらに厳しいと言われるCPRAがカリフォルニア州でのビジネスにもたらしそうな影響についてまとめました。

免責条項：このブログ記事はCPRAのような米国データプライバシー新法案に従うための法的助言ではありません。CPRAをよりよく理解するための背景情報を提供するものです。弁護士があなたの具体的な状況に応じて与える法的助言とは異なるため、記事内で扱っている情報やその正確さの解釈についての助言を望む場合は、弁護士にご相談ください。この記事を法的助言、あるいは特定の法的解釈をすすめるものとして頼らないでください。

CPRAはCCPAの強化版

CPRAは、その名の通り、カリフォルニア州住民のプライバシー権を保護するための法案です。CCPAを推進した活動団体が新たに提案しているもので、2020年11月のカリフォルニア州住民投票にかけられる見込みです。住民投票で採決されれば、2023年1月から実際に施行されることになります。

基本的に、CPRAはCCPAで定められた消費者のプライバシー権をさらに拡大するものです。企業にとっては、さらなる制約を課されることになります。

CCPAからの大きな変更点は？

CPRAには、CCPAと比較して重要な変更点がいくつかあります。

・「重要な個人情報」

CPRAでは、消費者の個人情報のうち特に取り扱いに注意が必要なすべきものが、「重要な個人情報」として他と区別されます。ソーシャル・セキュリティ・ナンバーや運転免許証の番号など政府発行の個人識別子や、アカウント認証情報、金融口座情報、精密な位置情報、人種や民族的出自、宗教上の信念、性的指向、Eメールなど特定のメッセージの内容、遺伝子情報、身体的特徴データなどがこれに含まれます。消費者は重要な個人情報の使用や開示を制限する権利を与えられ、企業には取扱い上の新たな義務が課せられます。

・個人情報を修正する権利

企業が収集した個人情報に誤りがあった場合、消費者は修正を要請することができます。

・情報流出の責任条項

CCPAのもとでは、企業がしかるべき情報保護に失敗して暗号化や編集のなされていない個人情報が流出した場合、消費者には訴訟を起こす権利が認められています。CPRAはこの権利を拡大し、メールアドレスとともにパスワードやセキュリティ質問とその答えが流出して、消費者のアカウントへの不正アクセスが可能になった場合を、新たに対象に含めます。

・子どものデータ

16歳以下の未成年者の個人情報データの取扱いに違反があった場合の罰金が、CPRAのもとではCCPAの3倍になります。

・執行機関

CCPAの執行機関はカリフォルニア州司法長官室でしたが、CPRAのもとではプライバシー保護を専門に扱う「カリフォルニア州プライバシー保護庁（California Privacy Protection Agency）」が新たに設置されます。この機関は、CPRAを施行し執行するための完全な権限、管轄権を持ちます。

企業にとって朗報となる項目も

企業にとって厳しい内容のCPRAですが、いくつかの項目は企業にとって有利に働くかもしれません。

・データの「販売」の定義が明確に

CCPAではデータの「販売」に関する規制がありますが、「販売」の定義が幅広く、あいまいでした。CPRAではデータの「販売」と第三者企業への「シェア」が区別されています。

・サードパーティーに関する責任の限定

消費者の個人情報を委託した第三者企業がCPRAに違反した場合に、企業が負うべき法的責任が限定されます。

・消去権やアクセス権に関する例外

多くの種類のデータが、例外的に消去権やアクセス権の対象外となります。このことは、企業の操業上、大きな意味があります。

・スモールビジネスが適用外に

CPRAでは、対象となる企業の条件がCCPAよりも狭められ、10万以上の個人または世帯を顧客とする企業のみが対象となります。これにより、より小規模な企業は法規制の対象外となります。

・従業員データに関する猶予期間の延長

CCPAでは、従業員のデータは少なくとも2021年1月まではカバーされないことになっています。CPRAはこの猶予期間を少なくとも2023年1月まで延長します。

その他に注意すべき項目

上記以外にも、企業が対応を迫られることになりそうな項目があります。たとえば、下記のような条項です。

・サービスプロバイダーの義務

企業がデータの取り扱いをサービスプロバイダーに委託した場合、サービスプロバイダーは企業がCPRAを遵守できるように協力する直接的義務を負います。

・データ保持期間の告知

企業は消費者に対し、各カテゴリーの個人情報を保持する期間を告知する必要があります。

まとめ

CPRAの内容はまだ定まっておらず、変更・修正の可能性が大いにあります。また、カリフォルニア州でのCPRA成立の可否が、他州や連邦のプライバシー保護法に大きな影響を与えるかもしれません。米国でのビジネスに重要な意味を持つCPRAの今後の動きに、注目を続けてください。

出所：BREAKING: Californians for Consumer Privacy Introduces California Privacy Rights Act for November 2020 Ballot
The California Privacy Rights Act (“CPRA”) Headed to the November 2020 Ballot
CPRA analysis: The ‘good’ and ‘bad’ news for CCPA-regulated ‘businesses’

著者: Hitomi.N

IT企業で４年間のプログラマーとしての経験を積み、その後6年間プロジェクトマネージャー業務を行ってきました。渡米後はEコマースマネージャーとして、日本企業のアメリカ進出を支援しています。日々アメリカEC関連の情報収集を行い、最新のデータと洞察をもとに、戦略の最適化や新しいアイディアを考案し、クライアント企業に競争力のあるソリューションを提供しています。