CPRA（カルフォルニア州プライバシー権法）とは？ CCPAからどう変わった？

2023年にカリフォルニア州のデータ・プライバシー法が新たに改正されます。

カルフォルニア州では、CCPA（カリフォルニア州消費者プライバシー法）が2020年1月に施行されましたが、さらに大幅な変更を加え、同年12月にCPRA（カリフォルニア州プライバシー権法）が成立しています。

州民に向けて事業を行う企業は、今後も法令遵守できるように、データやプライバシー情報の扱いについて対策を講じる必要があります。

この記事では、CPRAの概要から主な改正点、企業に求められる対策について解説します。

1.CPRA（カリフォルニア州プライバシー権法） の概要

カリフォルニア州では、2020年11月にCCPA（カリフォルニア州消費者プライバシー法：California Consumer Privacy Act）の改正法案であるCPRA（カリフォルニア州プライバシー権法：California Privacy Rights Act）の住民投票が行われ、賛成多数により可決されました。改正点は様々な項目を含みますが、その大半は事業者の義務を増やし、消費者の権利を強化する方向での改正です。

CCPAについて知りたい方はこちらをご覧ください。

「CCPA(カリフォルニア州 消費者プライバシー法)とは？GDPRとの違いも解説」

改正項目のうち、ほとんどの規定は2023年1月1日から有効です。

CPRAでは、「センシティブ個人情報」の利用に新たな制限が追加され、合理的な期間を超えた個人情報の保持が禁じられるなど、多くの改正がなされました。

また、プライバシーを専門とする新たな組織として、カリフォルニア州プライバシー保護局という行政機関が新たに設立されることになりました。これより法令違反に対する法執行がより一層盛んになるかもしれません。

以下では、実務上重要だと考えられるCPRAの特徴や主な改正点についてご紹介いたします。

2.CPRAの対象となる事業者の適用範囲

CPRAでは、対象事業者の範囲を変更する改正が加えられています。

現在、年間合計「5万件以上」の消費者、世帯又はデバイスの個人情報の購入、販売又は共有を基準に CCPAが適用されています。新法CPRAでは、件数の対象からデバイスが削除され、対象となる個人情報の件数も「10万件以上」に引き上げられました。 さらに、単に事業目的で取得しただけの個人情報はカウントされないこととなりました。

また現在は、(1)CCPAの適用を受ける事業者と支配又は被支配の関係にあり、かつ(2)共通のブランドを持つ事業者はCCPAの適用があるように規定されています。新法CPRAでは、さらに、(3)新法CPRAの適用を受ける事業者から、個人情報の共有を受ける者であることも規定に追加されました。

その他の変更として、CPRAの適用を受ける複数の事業者が、それぞれ40％以上の持分を有するジョイントベンチャーやパートナーシップについても、CPRAが適用されるようになりました。

このような改正を踏まえて、グループ企業及び投資先などに対しても、新法CPRA対応の必要性を検討しなければなりません。

3.CPRAにおける消費者の権利の拡大

（1）「センシティブ個人情報」についての新規定

GDPRもしくは日本の個人情報保護法では、個人情報のうち特にセンシティブな情報について、それぞれ「特別な種類の個人データ」「要配慮個人情報」として、特別な保護を定めています。他方で、これまでCCPAには、このような特別な個人情報に関する規定はありませんでした。

CPRAでは、センシティブ個人情報（Sensitive Personal Information）についての規定が新たに設けられました。

「センシティブ個人情報」の範囲は、人種、信条、健康情報等に加えて、精緻な位置情報、ログイン情報（ID及びパスワード）、クレジットカード情報、メールやテキストメッセージの内容、運転免許証の情報等が含まれます。

センシティブ個人情報を収集する事業者は、収集時の通知やプライバシーポリシーにおいて、所定の事項を開示する義務が生じます。加えて、消費者はセンシティブ個人情報を利用している事業者に対して、その利用範囲を法所定の範囲に限定することを要求することができるようになりました。消費者の依頼を受けてサービスを提供する場合や、セキュリティ上必要な場合、センシティブ個人情報の利用を継続することができます。

（2）「共有」についてオプトアウトする権利が追加

CCPAでは、消費者は、個人情報の第三者への「販売」（sell）について、オプトアウトの権利が認められていました。改正によって、新法CPRAでは「販売」だけでなく、「共有」（share）についてもオプトアウトの権利が認められています。「共有」とは、金銭対価の有無を問わず、一定のターゲティング広告のために、第三者に個人情報を共有又は開示することを意味し、消費者がオプトアウト権を有する等で、「販売」と同様の規制が適用されることになりました。

（3）訂正請求権の新規定

新法CPRAでは、個人情報の訂正請求権が新たに規定されました。不正確な個人情報を保持する事業者に対して訂正するよう要求できる権利が、消費者に新たに付与されます。要求を受けた事業者は、消費者の指示通りに個人情報を訂正する努力義務を負います。

4.CPRAで新しく追加された事業者の義務

（1）個人情報の保持に関する規制

新たに事業者には、個人情報の収集時に、事業者が意図している個人情報の保持期間を個人情報の種類ごとに消費者に対して通知するか、保持期間を決定するのに用いる基準を通知する必要が生じます。また、消費者に開示された合理的に必要な利用目的達成の期間を超えて、個人情報を保持することが禁止されました。

不必要な個人情報の保有は流出のリスクも高めるので、管理・削除の手順について、改めて確認する必要があります。

（2）個人情報の取得に関する通知義務

GDPRでは、個人情報取得の際に求められる通知事項のひとつに、データの保存期間を通知することが含まれています。一方CCPAでは、保存期間に関する通知が義務付けられていませんでした。

新法CPRAでは、従来の通知事項（個人情報のカテゴリー、利用目的）に加え、個人情報の予定保有期間、取得された個人情報が販売・共有されるか否か、についても通知することが義務付けられました。消費者から個人情報を取得する際の文言は、改正法に伴うアップデートが必要になります。

（3）個人情報開示時の契約締結義務

事業者は、個人情報を第三者に販売若しくは共有し、又は「サービス提供者」もしくは「コントラクター（移転先事業者）」に開示する場合、新たな義務として契約の締結をしなければなりません。

「コントラクター」とは、事業者から個人情報を開示された者のうち、目的外使用の禁止などの所定事項を含む契約を締結した者を意味します。「コントラクター」は「第三者」の定義から除外され、ほとんどの場合「サービス提供者」と同様に扱われます。したがって、「コントラクター」との契約内容を見直し、必要に応じて更新する必要があります。

（4）プライバシーポリシー等の開示義務

CPRAでは、消費者の権利を含む、所定の説明事項をプライバシーポリシーで開示するよう定められています。消費者の権利について多くの改正がなされていることから、新たな規則の制定情勢に注意しつつ、プライバシーポリシーをアップデートする必要があります。

5.CPRAに違反した場合

（1）個人情報が流出した場合の私人提訴権

CCPAでは、暗号化されていない、氏名等を含む特定の個人情報が流出した場合、1 件あたり100ドル以上 750ドル以下で、私人提訴権が消費者に認められています。※法定損害賠償又は実損額のいずれか大きい方の金額。

改正により、提訴権の対象として、メールアドレスと組み合わされたパスワード等の情報が追加されました。

（2）30日の猶予期間の削除

改正前では、事業者がCCPAに違反した場合でも、違反の通知を受けてから30日以内に違反を是正すれば、差止命令・民事罰の執行対象にはなりませんでした。しかし、改正によりCPRAでは、猶予30日間の規定が削除され、違反すれば直ちに執行対象となります。

（3）罰則金額の増額

改正前では、違反1件につき故意がない場合には2,500ドル、故意がある場合には7,500ドルが上限でした。新法CPRAでは、未成年の個人情報の違反を伴う場合、故意の有無にかかわらず金額の上限が7,500ドルとなりました。

6. まとめ

この記事では、CPRAの概要や主な改正点などについてご紹介しました。

GDPRや改正個人情報保護法のみならず、新法CPRAについても準備を進める必要があります。2023年1月のCPRA全面施行を迎える前に、個人情報の取り扱い方法について再度検討してみてください。この記事が参考になれば幸いです。

CPRAで定められた事業者の義務は多岐にわたります。自社のみでの対策が難しい場合には、弊社のコンサルティングサービスの活用もご検討ください。

＞＞Priv Techの「プライバシーコンサルティング」はこちら

公開日：2022年9月7日