CCPA(カリフォルニア州 消費者プライバシー法)とは？GDPRとの違いも解説

2020年にアメリカで誕生したプライバシー保護関連の法律「CCPA」をご存知でしょうか？　GDPRや改正個人情報保護法にばかり注目が集まりがちですが、実はCCPAも日本企業に適用の可能性がある法律です。罰金が数十億円と高額になる可能性もあることから、企業には今すぐの対策が求められています。

この記事では、CCPAの概要から詳細、企業に求められる対策まで一挙に解説します。

1.CCPAとは

まずは、CCPAの概要と制定の背景、GDPRや個人情報保護法との違いをご紹介します。

CCPA（カリフォルニア州消費者プライバシー法）の概要

CCPA（カリフォルニア州消費者プライバシー法：California Consumer Privacy Act）は、カリフォルニア州民の個人データを守るための法律です。2020年1月に施行され、2020年7月から効力が発生しています。

2018年5月に施行されたGDPR（EU一般データ保護規則：General Data Protection Regulation）と同様「罰則対象が全世界に及ぶこと」「制裁金が数十億円単位と高額なこと」から、国内企業も正しく理解しておくべき法律です。

CCPAが制定された背景

もともとカリフォルニア州では、1972年のカリフォルニア州憲法の改正により、人々の「不可侵の権利」としてプライバシーの権利が認められていました。その後も2002年には「セキュリティ侵害通知法」、2013年には「追跡禁止（Do Not Track）法」が成立するなど、個人のプライバシーに関する権利をたびたび強化してきた州です。

しかし、IT技術の急速な発展にまで対応できていたとは言えず、2018年3月には、ケンブリッジ・アナリティカ社によって、個人情報の不正利用（Facebookを介した数千万人分の個人情報の政治利用）が発覚し問題となりました。そうしたことを受け、現代社会において消費者のプライバシーを保護するため、より厳格なルールが必要だとして誕生したのがCCPAです。

GDPRや個人情報保護法との違い

CCPAはGDPRや個人情報保護法と同じ個人のプライバシーを保護するための法律ですが、「保護対象となる個人データの定義・範囲」「違反時の罰則」「消費者の権利と事業者に科せられる義務」など、あらゆる点で他の法律とは異なる点があります。したがって、「GDPRの対策を入念に行ったからCCPAへの個別対策は不要」とはいえず、それぞれの法律の特徴を正しく理解しておかなければいけません。

なお、GDPRの詳細は以下で詳しく解説しております。

＞＞GDPRとは？その定義と日本企業がとるべき対策をチェックしよう

2.CCPAの対象となる「個人データ」の定義と対象者

CCPAに関する正しい知識を身に付けるために、まずはCCPAにおける「個人データ」の定義とその対象者から見ていきましょう。

CCPAが提唱する個人データの定義

CCPAにおける個人データ（厳密には"個人情報"）の定義は以下の通り定められています。

「個人情報」とは、特定の消費者又は世帯を、識別し、関連し、叙述し、合理的に関連付けることができ、又は直接的に若しくは間接的に合理的にリンクさせることのできる情報を意味する。

出典：日本貿易振興機構（ジェトロ）「カリフォルニア州消費者プライバシー法（CCPA）実務ハンドブック」より引用

以下は、CCPA上で個人情報と見なされるデータの一例です。消費者に関する非常に幅広いデータが保護対象に含まれます。

• 識別子：実名、別名、郵便住所、一意個人識別子（Cookieなど）、オンライン識別子であるインターネット･プロトコル･アドレス（IPアドレス）、E メールアドレス、アカウント･ネーム、社会保険番号、運転免許証番号、旅券番号、その他の類似の識別子
• 商業的情報：個人の財産の記録、購入、取得、検討した製品又はサービスの記録、その他の購入又は消費の履歴又は傾向についての記録
• バイオメトリック情報：フェイスプリント、声紋のような識別テンプレートを抽出できる虹彩、網膜、指紋、顔、手、手のひら、血管パターン及び音声録音の像並びに識別情報を含むタイピング・パターン若しくはリズム、歩行パターン若しくはリズム、睡眠、健康、又は運動データ
• 地理位置データ
• 職業又は雇用に関する情報

出典：日本貿易振興機構（ジェトロ）「カリフォルニア州消費者プライバシー法（CCPA）実務ハンドブック」より一部抜粋・改変

CCPAの対象者

CCPAの対象者はカリフォルニア州の住民（納税者）。つまり、カリフォルニア州の住民が有する上記の個人情報がCCPAの保護対象として扱われるデータです。GDPRと異なり短期滞在者のデータは含まれません。

一方、取り締まり対象となる事業者はカリフォルニア州の企業に限らず、日本の企業にも適用される可能性があります。CCPAにおける事業者の定義は複雑ですが、以下の「要件1」もしくは「要件2」を満たす場合に、取り締まり対象となり得ます。

要件１

①自己の株主若しくはその他の所有者の利益又は金銭的便益のために組織又は運営され、 ②消費者の個人情報を収集し又は自己の代わりに個人情報が収集され、 ③単独で又は他と共同で消費者の個人情報を処理する目的と手段を決定し、 ④カリフォルニア州で事業を行い、かつ、 ⑤以下の基準の一つ又はそれ以上を満たす、個人事業体、パートナーシップ、有限責任会社、法人、団体又はその他の法的主体を意味する。 (i) 第 1798.185 条第(a)項(5)により調整された年間の総収入（annual gross revenues）が2,500 万米ドル（$25,000,000）を超える。 (ii) 単独又は組み合わせで 5 万件以上の消費者、世帯又はデバイスの個人情報を、年間ベースで、単独又は組み合わせで購入し、事業者の商業目的で受け取り、販売し、又は商業目的で共有する。 (iii) 消費者の個人情報の販売から年間収入の 50％以上を得ている。

要件２

①上記 1 に定める事業者を支配し又はこれに支配され、かつ ②当該事業者と共通のブランドを共有する主体。

出典：「日本貿易振興機構（ジェトロ）「カリフォルニア州消費者プライバシー法（CCPA）実務ハンドブック」より引用

特に注目すべきは、要件1の「④カリフォルニア州で事業を行い」です。国内企業などのカリフォルニア州外の事業者が、カリフォルニア州の消費者の個人情報を取り扱う（販売や開示をする）場合も含まれると考えられています。 また要件2は、グループ会社に要件1を満たす企業がある場合に、自社もCCPAの取り締まり事業者となり得ると定められたものです 。親会社や子会社とも連動して対策する必要があります。

3.CCPAで規定される消費者側の権利と事業者側の義務

続いて、CCPAが定める消費者側の権利と事業者側の義務を見ていきましょう。

消費者側の権利

CCPAで消費者側の権利として認められているのは以下の8点です。

• 略式開示請求権
  →個人情報を収集する事業者に対して、収集した個人情報のカテゴリーや特定の部分を自身に開示するよう請求できる権利。
• 拡張開示請求権
  →個人情報を販売あるいは事業目的で開示する事業者に対して、収集した個人情報のカテゴリーや特定の部分のほか、利用目的等も請求できる権利。
• アクセス及びポータビリティの権利
  →個人情報が収集された目的、収集された情報、共有されうる第三者の情報など、自身の個人情報の扱われ方を知ることができる権利。
• 事業目的 で個人情報の販売（中略）又は開示を行う事業者に対する情報請求権
  →収集し販売された個人情報のカテゴリーや、データが販売された第三者のカテゴリー等を開示するよう請求できる権利。
• 削除権
  →事業者が消費者の個人情報を削除することを要求する権利。
• 個人情報の販売に関するオプトアウト権
  →消費者又は消費者の権限のある代理人が事業者に対して、当該消費者の個人情報を第三者に対して販売することを止めるように命令する力を与える権利。
• 子供のためのオプトインの権利
  →子供（16歳以下）の個人情報を販売する際には、事業者はオプトインの同意を得なければいけないとする権利。
• 差別されない権利
  →CCPA 上の消費者の権利の行使を理由として、差別されない権利。

出典：「日本貿易振興機構（ジェトロ）「カリフォルニア州消費者プライバシー法（CCPA）実務ハンドブック」より抜粋・改変

開示や消去など、消費者が自身の個人情報の取り扱いをコントロールできる権利が認められています。

事業者側の義務

一方、事業者に課せられる義務は以下の8点です。

• 消費者への通知義務
  →消費者に対して収集する個人情報のカテゴリーや利用目的、オプトアウトの権利などを通知したり、プライバシーポリシーを公表したりする義務。
• 消費者要求への対応のビジネスプラクティスに関する義務
  →消費者からの開示や消去請求に対する必要な対応を定めた義務。
• 研修義務
  →消費者から問い合わせ対応を受ける人間に対して、事業者は所定の研修を行わなければいけないとする義務。
• 記録管理義務
  →消費者からの開示請求の対象となる個人データを、適切な形で保管しておかなければならない義務。保管すべき情報、保管形式や保管期間などを定めている。
• 要求の検証義務
  →消費者から所定の要求を受けた際に備え、本人確認の手段等を定めなければいけない義務。
• 未成年者に関する特則の義務
  →子どもの個人情報を取り扱う事業者に科される義務。オプトインに関するプロセスの設定など。13歳未満の場合と、13歳以上16歳未満の場合に分かれている。
• 差別の禁止
  →消費者がCCPAで定められた権利を行使したことを理由に、差別してはいけないとする義務。
• 個人情報の性質に照らして合理的なセキュリティの手続と慣行を実装する義務
  →暗号化など個人情報保護のために合理的なセキュリティを事業者が施す義務。この義務を怠り、流出事故が発生した場合には、消費者は損害賠償請求等を起こすことができると定められている。

出典：「日本貿易振興機構（ジェトロ）「カリフォルニア州消費者プライバシー法（CCPA）実務ハンドブック」より抜粋・改変

大部分の義務は消費者の権利と対になっており、各種請求に関する項目が大半です。

4.CCPAの違反時の罰則について

CCPAに違反した場合（主に消費者からの請求に期間内に対応できなかった場合）、違反1件ごとに「最大2,500ドル（故意だと7,500ドル）」の罰金が科せられます。つまり、100人分違反すれば最大25万ドル、1万人で最大2,500万ドルと、件数により跳ね上がる形式です。

加えて、「個人情報の性質に照らして合理的なセキュリティの手続と慣行を実装する義務」にある通り、事業者に落ち度のある形で個人情報漏えい事故が起こってしまった場合、消費者は1事故あたり「100～750ドル」あるいは「被害額」の高い方を損害賠償請求できると定められており、思わぬ高額に膨れ上がる恐れも十分にあります。

5.CCPA対策として企業が必要な対応とは

高額な罰金を避けるためには、CCPAを念頭に置いたプライバシー対策が不可欠です。具体的には以下の2つの対応が求められます。

情報資産の把握と管理を徹底する

最初に取りかかるべき点は、自社が取り扱っている情報資産の把握と管理の徹底です。自社の業務プロセスを見直し、CCPAの保護対象となる個人データを取得しているタイミング、取得している情報の種類、取得目的、取得後の管理方法などを再確認しましょう。

CookieやIPアドレスなど、Web上で当たり前に取得しがちな情報も保護対象となり得ます。「知らずに扱っていた」とならないよう念入りなチェックが必要です。

請求への対応フロー構築と年1回のプライバシーポリシー更新を忘れずに

情報資産の状況を確認した後には、消費者からの各種請求を想定した対応フローの構築が必要です。申し出から45日以内に対応できなければ罰則対象となるなど、CCPAでは対応に明確な期限が定められている条項も多く、事前の対策が欠かせません。

またCCPAは、個人情報の取得目的などを公表する「プライバシーポリシー」の更新を年に一度行うよう事業者に義務付けています。ポリシーへ記載すべき項目は非常に多く、独力で完全に対応するのは困難です。外部の専門家へ相談するのが良いでしょう。

6.CCPAに関するよくある勘違い

「CCPAはカリフォルニア州の法律で日本の企業には関係ない」
「"消費者"プライバシー法なのでBtoBメインの消費者と直接関わらない企業は対象外」
「1件あたり最大2,500ドル程度の罰金で、違反してもたいしたダメージにはならない」
「GDPR対策を入念に行ったからCCPA対策も万全」

上記はいずれもCCPAによくある勘違いの声です。しかし、CCPAは日本の企業にも適用されるケースがあり、場合によっては企業にとって致命的な罰則が科される可能性があります。

• 全世界の事業者に適用可能性がある
• 直接消費者と関わっていなくても適用可能性がある
• 違反件数次第で数十億円にものぼる罰金・損害賠償金額になり得る
• GDPR対策のみではCCPAの対策には不十分

こうしたことをしっかりと念頭に置き、「今すぐ対応が必要な法律なのだ」と理解しておきましょう。

7.まとめ

この記事では、CCPAの概要や詳細、企業にとって必要な対応などをご紹介しました。

GDPRや改正個人情報保護法のみに目を向けていると、CCPAの思わぬ落とし穴にはまってしまうかもしれません。高額な制裁金を科されるようなことがないよう、ここでご紹介した内容を参考に、ぜひ事前に個人情報の取り扱い方法を工夫しておきましょう。

CCPAで定められた事業者の義務は多岐にわたります。自社のみでの対策が難しい場合には、弊社のコンサルティングサービスの活用もご検討ください。

>>プライバシーコンサルティングはこちら

公開日：2020年6月29日