CCPA（カリフォルニア州消費者プライバシー法）への対応のポイントを解説

2018年施行のGDPRに続き、カリフォルニア州で2020年に施行されたCCPAについてはご存知でしょうか？カリフォルニア州民に限る法律であるため、日本企業においては関係がないと勘違いされがちですが、実は日本企業でも十分にCCPAの影響を受ける可能性があります。

今回は、企業がCCPAへ対応する際のポイントを解説いたします。

1.CCPA（カリフォルニア州消費者プライバシー法）の概要

CCPA（カリフォルニア州消費者プライバシー法：California Consumer Privacy Act）とは、2020年7月に施行された個人データを守るための法律です。その名称からも想像できる通り、カリフォルニア州に住民票を置く者が保護の対象となります。

「罰金対象が全世界に及ぶこと」「制裁金が数十億円単位と高額なこと」が、GDPR（EU一般データ保護規則：General Data Protection Regulation）と共通しており、日本企業であっても把握しておく必要があります。

CCPAの取り締まりの対象はカリフォルニアに拠点のある企業のみではなく、日本の企業にも適用される可能性があります。

詳細は、「CCPA(カリフォルニア州 消費者プライバシー法)とは？GDPRとの違いも解説」にて説明してありますが、特に「カリフォルニア州で事業を行う」という条件は注目に値します。カリフォルニア州外の事業者（例えば、日本企業）が、カリフォルニア州の住民の個人情報を取り扱う場合にも法の適用範囲内となるからです。

加えて、コンプライアンスリスクが非常に高いこともCCPAの特徴です。

• 違反した場合の罰金が、1件につき最大2500ドル、故意の場合最大7500ドル
• 事業者の落ち度で個人情報漏えい事故が起こってしまった場合、消費者は1事故あたり「100～750ドル」あるいは「被害額」の高い方を損害賠償請求できる

▼CCPA（カリフォルニア州消費者プライバシー法）の解説記事はこちら
「CCPA(カリフォルニア州 消費者プライバシー法)とは？GDPRとの違いも解説」

1-1.CCPAが注目される理由

CCPAが注目される理由としては、カリフォルニア州はアメリカの中でも大きな影響力を持つ地域であることが挙げられます。

具体的には、カリフォルニア州はアメリカの州の中でも最も人口が多く（2020年で約4000万人）、州のGDPは3兆183億ドルで全米第1位となるなど、経済規模が非常に大きいです。 世界的に有名なIT業界が集約されたシリコンバレーや、映画産業のハリウッドなど、皆さんもよく知る優良企業が集まっています。

こうしたアメリカでも大きな影響力を持った州で消費者のプライバシーを保護する法律が成立したことで、その他の州も追従してプライバシー保護に舵を切る可能性も高くなるため、アメリカ国内のみならず、海外との取引のある多くの企業が注目をしているのです。

1-2.CCPAで定められた消費者の権利

CCPAで定められた消費者の権利としては、以下8項目があります。

• 略式開示請求権
• 拡張開示請求権
• アクセス及びポータビリティの権利
• 事業目的 で個人情報の販売（中略）又は開示を行う事業者に対する情報請求権
• 削除権
• 個人情報の販売に関するオプトアウト権
• 子供のためのオプトインの権利
• 差別されない権利

出典：日本貿易振興機構（ジェトロ）「カリフォルニア州消費者プライバシー法（CCPA）実務ハンドブック」より抜粋

1-3.CCPAで定められた事業者の義務

一方、事業者側の義務としては以下8項目が定められています。

• 消費者への通知義務
• 消費者要求への対応のビジネスプラクティスに関する義務
• 研修義務
• 記録管理義務
• 要求の検証義務
• 未成年者に関する特則の義務
• 差別の禁止
• 個人情報の性質に照らして合理的なセキュリティの手続と慣行を実装する義務

出典：日本貿易振興機構（ジェトロ）「カリフォルニア州消費者プライバシー法（CCPA）実務ハンドブック」より抜粋

▼CCPAで定められた「消費者の権利」と「事業者の義務」については、こちらの記事で詳細をまとめています。是非ご覧ください。
「CCPA(カリフォルニア州 消費者プライバシー法)とは？GDPRとの違いも解説」

2.CCPA（カリフォルニア州消費者プライバシー法）に対して企業がとるべき対応

CCPAにおいて事業者は、消費者からの開示・削除等の問い合わせがあった場合、45日以内に対応することが求められています。

※ただし、対象となるのは「直近12カ月の期間に収集、販売、処理された情報」に限ります。

具体的には、以下のような対策が例として挙げられます。

• Webサイトへプライバシーポリシーを掲示
• 専用の問い合わせ窓口（電話番号、Web上の問い合わせフォーム等）を設置
• 情報の開示や削除についての問い合わせがあった際の対応方法を手順化、従業員に周知

2-1.Webサイトへプライバシーポリシーを掲示

CCPAでは「個人情報が収集される前に、収集する個人情報の種類や利用目的等を、消費者にとって見やすい、かつアクセスしやすい場所で通知すること」が求められています。

上記対策の一つとして、オンライン上での個人情報収集であれば、必要項目を記載したプライバシーポリシーへのリンクを設置することで対応が可能です。

必要項目は下記4つが定められています。

• 収集する個人情報の種類のリスト
• 個人情報利用の目的
• 個人情報を販売する場合「Do Not Sell My Personal Information」ページのリンク
  ※紙フォームで通知する場合はWebのURLの明示
• プライバシーポリシーのリンク
  ※紙フォームで通知する場合はWebのURLの明示

また、CCPAでは過去12ヶ月間に収集した個人情報について利用目的や共有先等を記載しなければならないため、少なくとも年に一度はプライバシーポリシーの見直しを行う必要があります。

2-2.専用の問い合わせ窓口を設置

CCPAでは、情報の開示や削除依頼など消費者からの要求に対応しなければなりません

ですので、消費者が企業に問合せをする際の専用窓口を設置しておきましょう。窓口の数としては、以下から2つ以上設置するように定められています。

• Web／モバイルアプリでのフォーム
• 無料電話
• E-mail
• 紙のフォーム（手渡し）
• 紙のフォーム（郵送）等

必ずしも専用でなくても問題はないですが、消費者からの問合せの確認漏れを防止する策として分けておくというのも一つの手です。

2-3.　情報の開示や削除についての問い合わせがあった際の対応方法を手順化、従業員に周知

問い合わせ窓口のみを設置していても、その後の手順が確立されていなければいざとなった時に混乱します。

そのため、情報の開示・削除請求があった際の本人確認の手法、請求内容の対応等を手順化し、従業員に周知しておきましょう。

また、そもそも、消費者からの請求に対してスムーズに対応するためには、あらかじめ自社が保有している個人の情報を適切に管理・運用しておく必要があります。

まずは、

(1)CCPAにおける個人情報に該当する情報を有しているか否かの確認
　（CCPAにおける個人情報の範疇は広いため保有していないという可能性は少ない）
(2)その個人情報の入手方法や利用目的、共有先等を整理すること

から始めましょう。

まとめ

この記事では、企業がCCPAに対応するためのポイントについて解説しました。

グローバルに事業を展開する企業や一定数の海外顧客がある企業等においては、国内法のみでなく、海外法へも目を向けて対策することが求められます。

ご紹介した内容を参考に、各国法律への対応を進めましょう。

とは言っても、どこから手をつけて良いのかわからない、そもそも自社が各国法律の規制対象になるのかどうかもわからないという方は、弊社コンサルティングサービスの活用もご検討ください。

＞＞Priv Techの「プライバシーコンサルティング」はこちら

公開日：2022年8月3日