カリフォルニア州消費者プライバシー法 (CCPA) とは？GDPRとの違いとは？

2018年5月に施行された「GDPR（一般データ保護規則）」は、これまでの個人情報の取り扱いに関する一般常識を覆し、違反を起こした企業に莫大な制裁金の支払いが命じられるなど、全世界の企業に大きな影響を与えています。

そして、2020年1月、GDPRの米国版とも呼ばれている「CCPA（カリフォルニア州消費者プライバシー法）」が施行されました。

CCPAとはどのような法律なのでしょうか？

そこで本記事では、CCPAとは何か、注意すべき点やGDPRとの違いについて解説します。

カリフォルニア州民の個人情報を保護するための法律「CCPA」

2020年1月に施行されたCCPAとは、「California Consumer Privacy Act」のそれぞれの頭文字をとったもので、「カリフォルニア州消費者プライバシー法」と訳されます。

カリフォルニア州では、本人が気づかないうちに個人情報が第三者へ売り渡されていることが問題視されており、カリフォルニア州民の個人情報の守秘を徹底する目的で、CCPAが定められました。

EUには、すでにGDPR (一般データ保護規則) があり、CCPAは米国版のGDPRだと表現されることもあります。

CCPAで定められている権利は以下の4つです。

1. 収集・利用・共有・販売された個人情報がどのようなものであったかを知る権利
2. 事業者の所有する個人情報の削除を要求する権利
3. 自らの個人情報の販売を拒否する権利
4. CCPAの権利を実際に実行した際に不当に扱われない権利

権利があっても、行動を起こしにくい状況になっては意味がありません。安心してこの法律の権利を行使するためにも、権利実行後の扱いについて明文化されていることは、非常に重要です。

また、CCPAの要件は以下のようになっています。

• カリフォルニア州において営利目的で州民の個人情報の収集や処理を行っている事業者
• 「年間総売上が2500万ドル以上ある」「年間で5万件以上のカリフォルニア州民の個人情報収集や販売をしている」「カリフォルニア州民の個人情報の販売によって売上の5％以上を得ている」の3つのうち、いずれかをクリアしている。

GDPRと同様、カリフォルニア州で事業を展開していなくても、カリフォルニア州民の個人情報を扱っていれば対象になるので、日本企業にも注意が必要です。

CCPAにおける個人情報保護の対象となるのは、カリフォルニア州に在住している消費者や従業員です。また、企業が所有している従業員情報についても対象となります。従業員情報とは、従業員や求職者の緊急連絡先なども含まれています。さらに、名前や住所・電話番号以外にもウェブサイトの検索履歴や指紋などのバイオメトリクス情報・商品やサービスの購入履歴なども保護対象となります。

日本にも「個人情報保護法」がありますが、CCPAとの大きな違いとして、個人情報保護法では個人情報を「第三者へ提供」する際に本人の許可が必要です。しかし、CCPAではその必要はなく、あくまでも本人からの申し出があったときのみ第三者提供の停止が可能となります。

提供された個人情報を開示するためには、本人確認をしなければなりません。「どのような方法で本人確認を行うか」については各事業者に任せられており、確認の方法によっては偽造したものでも通る可能性があるので、間違いなく本人だと分かる証拠を提出してもらうことが重要となるでしょう。

CCPAとGDPRとの違いは？

EUで施行されたGDPRと米国カリフォルニア州で施行されたCCPAにはどのような違いがあるのでしょうか？

最も大きな違いとして、GDPRでは個人情報の取得・使用に関して必ず「オプトイン」を必要とするなど厳格な定義が存在しますが、CCPAでは企業が個人情報を取得・使用することは厳密に定義されていない点です。

CCPAでは、個人情報の取得や使用に関する取り決めではなく、消費者からの個人情報の開示や削除要求に応える点が主眼となっているため、消費者から要求があった際には迅速に対応できるよう整備された体制がCCPAではより求められるでしょう。

もう一つの大きな違いとして、違反した場合の制裁金のルールや金額の違いがあります。

制裁金の最大金額としてCCPAでは、「情報開示ができない場合、最大で１件あたり7,500ドル」と定義している一方、GDPRでは、「最大で2,000万ユーロもしくは全世界売上高の4%のいずれか高い方」と定義されています。

ゆえにGDPRの方が多額の制裁金が発生するケースが多いといわれています。しかし、違反件数によってはCCPAの制裁金の方が多額になるケースも出てきますので、注意が必要です。

CCPAで注意すべき制裁金と損害賠償請求について

前述のとおり、違反件数によっては多額の制裁金が命じられる可能性があるため、対象となる事業者側は違反しないように注意をしなければなりません。

CCPAでは、カリフォルニア州民から個人情報の開示や削除などを求められた際は、「45日以内」に対応する必要があります。

仮にこれに対応できない場合、事業者は州の司法長官から30日以内に違反を是正するよう通知を受ける可能性があり、さらに違反した場合は、州民からの要求1件に対し「最大2,500ドル」の制裁金の支払いを命じられます。もし、これが故意だと認定された場合は、「最大7,500ドル」が科せられる可能性もあるのです。

GDPRほどではありませんが、違反した件数が多ければ多いほど、多額の制裁金の支払いとなるリスクがあるといえるでしょう。

また、個人情報漏えい時の消費者からの損害賠償請求にも注意が必要です。

情報漏えいによって消費者側が事業者に損害賠償の請求ができる金額は、「1事案で1人100ドル以上750ドル以下」、もしくは「実損害で高いほうの損害賠償」と定められています。また、実損害がなかったとしても損害賠償は認められるため、事故発生時に多くの民事訴訟が発生することが予想されます。そのため漏えい件数によっては、多額の賠償金の支払いが発生するリスクがあるといえるでしょう。

このような有事の際の事前の対応策として、消費者から個人情報に関する要求があった際に対応できるよう記録を残し、あらかじめ決められた手順で迅速に対応できる「社内システムや社内プロセスの整備」と、情報漏えい事件を起こさないためにも「情報セキュリティ対策の徹底」がより重要となるでしょう。

まとめ

2020年1月、カリフォルニア州民の個人情報を守る法律「CCPA」が施行されました。

CCPAではGDPRのように個人情報の取得や使用に関しては厳密に定義されていないものの、消費者からの個人情報の開示や削除要求に主眼がおかれているため、要求には迅速に対応する必要があります。

CCPAでは、違反件数に応じた制裁金が科せられる、情報漏えい時の損害賠償請求が消費者に認められる点から、違反した件数や個人情報を漏えいした件数が多くなればなるほど、多額の制裁金や損害賠償の支払いにつながる可能性があり注意が必要です。

CCPAに対応するためにも、従業員へのコンプライアンス教育含めた社内システムや社内プロセスの整備、情報セキュリティ対策をしっかり行うことが求められています。