2018年6月成立、米国カリフォルニア州消費者プライバシー法の概要と日本企業に求められる対応
IT・情報セキュリティ
目次
米国のカリフォルニア州で、2018年6月28日に、消費者プライバシー法(The California Consumer Privacy Act of 2018(CaCPA、CCPA))が成立した1。
米国には、いわゆる「個人情報保護法」にあたる連邦法は存在しない。日本で2017年5月30日に改正個人情報保護法が施行され、EUでは2018年5月25日に一般データ保護規則(GDPR)が施行されるなど、各国のプライバシー保護法制が厳格になる中で、米国は企業の自主規制によるプライバシー保護という仕組みを維持していた。
そのような状況下、IT企業の本拠地ともいえるカリフォルニア州で、州法として消費者プライバシー法が成立したことは、米国が企業の個人情報の取り扱いを、ついに法律により規制する方向に動き出したという点で、大きな意味を持っている。
カリフォルニア州では、市民が法案を作成し必要な数の署名を得ると、有権者による投票にかけられることになり、可決されれば法律が制定される。本法の成立に先立ち、市民が、個人情報の取得に本人の同意を必要とするなど、IT企業にとって厳しい内容の消費者プライバシー保護法の法案を提案していた。そして、この法案が、Facebook社とCambridge Analytica社との騒動の影響で約62万9000の署名を集め、2018年11月の選挙の際に投票にかけられる見込みであった。
このように市民が提案した法案が選挙の際の投票により可決されると、当該法律は、以後、議会によって改正することができず、改正には市民による投票が必要となる。そうなると、将来の改正が困難になる可能性があるところ、法案の作成者が、2018年6月29日までに消費者プライバシー法が知事に提出され署名されれば、提案を取り下げるとしていた。そこで、議会が急遽法案を作成し、2018年6月28日に知事が署名するに至ったのである。
本法は、2020年1月に施行予定とされている。
参考:The California Consumer Privacy Act of 2018の原文
法律の概要
本法は、概要、以下の3つの規制をする法律である。
- プライバシーポリシーを知る権利、および要求すればより詳細な情報を取得する権利
- 企業が個人情報を売却することを拒否(オプトアウト)する権利(16歳未満の場合には、オプトイン)
- 個人情報を削除させる権利
まず、①企業が収集している情報、その情報を収集する理由、およびその情報を誰と共有しているのかを知る権利が消費者に与えられている。企業は、プライバシーポリシー等でこれらの情報を提供しなければならない。
また、②消費者には、企業が情報を販売したり共有したりすることを拒否(オプトアウト)する権利が与えられている。16歳未満の子供のデータは、同意がなければ販売・共有できないとされた。企業は、オプトアウトした消費者に対しても、同じ品質のサービスを引き続き提供する義務があるとされている。
さらに、③消費者は企業に自分の個人情報を削除することを請求することもできる。EUのGDRPが定めている削除権(忘れられる権利)に似た制度である。
その他、データ漏えい後に消費者が企業を訴えることを容易にする仕組みや、本法を遵守していない企業に対する民事罰もある。
以下、日本法と比較しつつ、ポイントを検討していく。
適用範囲
個人情報(Personal Information)とは
本法では、「個人情報(Personal Information)」を以下のとおり定義している(1798.140条(o))。
| カリフォルニア州消費者プライバシー法 | 日本の個人情報保護法 |
|---|---|
| 1798.140条(o) 「個人情報」とは、特定の消費者または世帯に対して、直接的または間接的に、識別し、関連し、説明し、関係する可能性があり、または合理的に連結する情報を意味する。 “Personal information” means information that identifies, relates to, describes, is capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household. |
2条1項 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。) 二 個人識別符号が含まれるもの |
日本の個人情報護法では、「特定の個人を識別することができるもの」を個人情報としているから、カリフォルニア州法は、日本法と似たものを保護の対象としていると考えることができるであろう。
しかし、カリフォルニア州の本法では、「消費者」のみならず「世帯(household)」も対象となっている点、および、識別(identify)だけではなく、関連(relate to)、説明(describe)、関係(capable of being associated with)、連結(could reasonably be linked)する情報が含まれている点で、 日本法よりもカバー範囲が広くなる 可能性がある。
具体的には、以下が個人情報に含まれると例示されている(1798.140条(o))。
(A)実名、別名、郵便番号、一意の個人識別子、オンライン識別子IPアドレス、電子メールアドレス、アカウント名、社会保障番号、運転免許証番号、パスポート番号、その他の同様の識別子
(B)カリフォルニア州民法1798.80条の細区分(e)に記載されている個人情報のカテゴリ(氏名、署名、社会保障番号、身体的特徴または説明、住所、電話番号、パスポート番号、運転免許証または州の身分証明書番号、保険証書番号、教育、雇用、雇用歴、銀行口座番号、クレジットカード番号、デビットカード番号、またはその他の金融情報、医療情報、健康保険情報)
(C)カリフォルニア州法または連邦法に基づき保護分類とされている属性
(D)購入、取得、または考慮された個人の財産、製品またはサービスの記録、またはその他の購入または消費の履歴または傾向を含む商業的情報
(E)バイオメトリック情報
(F)インターネットまたはその他の電子的ネットワークにおける活動の情報。これには、閲覧履歴、検索履歴、消費者のインターネットWebサイト、アプリケーション、または広告とのやりとりに関する情報を含むが、これに限定されない
(G)ジオロケーションデータ
(H)音声、電子、視覚、熱、嗅覚、または同様の情報
( I )専門職または雇用関連の情報
(J)教育情報。ただし、家族の教育上の権利とプライバシーに関する法律(20 USCセクション1232g、34 CFR Part 99)に定義されている、公に利用可能な個人識別情報ではない情報
(K)消費者の嗜好、特徴、心理的傾向、嗜好、素因、行動、態度、知能、能力、適性を反映した、消費者に関するプロファイルを作成するために、本細分で特定された情報から導き出される推論
なお、公に入手可能な情報は、個人情報に含まれないとされている。
「消費者(Consumer)」とは
カリフォルニア州の居住者(resident)である自然人を意味するとされている(1798.140条(g))。
対象となる「事業者(Business)」とは
カリフォルニア州で事業を行っている者(do business in the State of California)であり、以下のいずれかを満たすものをいう。
(A)年間売上高(annual gross revenue)が2,500万ドルを超えている
(B)年間合計50,000件以上の消費者、世帯、またはデバイスの個人情報を、購入し、事業者の商業目的で受領し、販売し、または商業目的で共有している
(C)年間売上高の50%以上を消費者の個人情報の販売から得ている
なお、商業的行為の全ての面が全面的にカリフォルニア州外で行われる場合には、本法は適用されないとされている(1798.145条(a)(6))。
以上から、日本企業がカリフォルニア州に拠点をおいてビジネスを行っている場合には、カリフォルニア州の居住者の個人情報を取り扱う場面で本法の適用がある可能性があることは明らかである。
これに対し、日本にのみ拠点があり、日本向けのビジネスを行っているものの、カリフォルニア州の居住者の個人情報も取り扱ってしまっているケースで、本法の適用があるかどうかは必ずしも明らかではない。たとえば、日本人向けに口コミサイトを運営している日本企業のサービスに、カリフォルニア州の居住者が会員登録しているようなケースである。
日本企業の当面の対応としては、上記(A)から(C)のいずれかを満たす場合には、カリフォルニア州の居住者の個人情報を取り扱っているかどうかを確認し、カリフォルニア州の弁護士に適用の有無を確認する(あるいは本法の適用があり得るという前提で対応を進める)ことが考えられるであろう。
規制その1:情報提供義務
まず、消費者の個人情報を収集する事業者は、収集時またはその前に、 収集される個人情報のカテゴリ、および当該カテゴリの個人情報を利用する目的を消費者に通知しなければならない。事業者は、消費者に通知をせずに、別のカテゴリの個人情報を収集したり、別の目的で利用してはならない。
この点は、以下のとおり、日本法と同様の規制であるといえる。
| カリフォルニア州消費者プライバシー法 | 日本の個人情報保護法 |
|---|---|
| 1798.100条(b),消費者の個人情報を収集する事業者は、収集時点またはその前に、収集される個人情報のカテゴリ、および当該カテゴリの個人情報を利用する目的を消費者に通知しなければならない。 A business that collects a consumer's personal information shall, at or before the point of collection, inform consumers as to the categories of personal information to be collected and the purposes for which the categories of personal information shall be used. |
(取得に際しての利用目的の通知等) 第18条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。 2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電磁的記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。 |
| 事業者は、本条に従った通知を消費者に行うことなく、追加のカテゴリの個人情報を収集したり、収集した個人情報を追加の目的で利用してはならない。 A business shall not collect additional categories of personal information or use personal information collected for additional purposes without providing the consumer with notice consistent with this section. |
第18条 3 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的について、本人に通知し、又は公表しなければならない。 (利用目的の特定) 第15条 2 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。 |
以上は、事業者が、個人情報を収集する際に提供しなければならない情報であるが、さらに、消費者は、以下の情報を開示するように要求することができ、事業者はこれを開示しなければならない(1798.110条)。
(2)個人情報の情報源のカテゴリ
(3)個人情報を収集または販売する商業目的
(4)個人情報を共有する第三者のカテゴリ
(5)当該消費者について収集した特定の個人情報
これは、日本法でいえば、保有個人データに関する事項の公表等、および本人による開示請求にあたるといえる。
| カリフォルニア州消費者プライバシー法 | 日本の個人情報保護法 |
|---|---|
| 1798.110条(a),消費者は、消費者に関する個人情報を収集する事業者に対し、次のことを開示するよう要求する権利を有する。 (1)その消費者について収集した個人情報のカテゴリ (2)個人情報の情報源のカテゴリ (3)個人情報を収集または販売する商業目的 (4)個人情報を共有する第三者のカテゴリ (5)当該消費者について収集した特定の個人情報 A consumer shall have the right to request that a business that collects personal information about the consumer disclose to the consumer the following: (1) The categories of personal information it has collected about that consumer. (2) The categories of sources from which the personal information is collected. (3) The business or commercial purpose for collecting or selling personal information. (4) The categories of third parties with whom the business shares personal information. (5) The specific pieces of personal information it has collected about that consumer. |
(保有個人データに関する事項の公表等) 第27条 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。 一 当該個人情報取扱事業者の氏名又は名称 二 全ての保有個人データの利用目的(第18条第4項第1号から第3号までに該当する場合を除く。) 三 次項の規定による求め又は次条第1項、第29条第1項若しくは第30条第1項若しくは第3項の規定による請求に応じる手続(第33条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。 四 前3号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 2 個人情報取扱事業者は、本人から、当該本人が識別される保有個人データの利用目的の通知を求められたときは、本人に対し、遅滞なく、これを通知しなければならない。[以下略] (開示) 第28条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。 2 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。[以下略] |
また、カリフォルニア州の本法では、消費者が、消費者の個人情報を販売する事業者、または事業目的で開示する事業者に対し、以下の開示を求めることができる(1798.115条)。
(1)事業者が当該消費者について収集した個人情報のカテゴリ
(2)個人情報が販売された第三者ごと、個人情報のカテゴリごとに、当該消費者について販売した個人情報のカテゴリ、および個人情報が販売された第三者のカテゴリ
(3)ビジネス目的で開示した当該消費者に関する個人情報のカテゴリ
これらの開示は、2つ以上の方法で行うことができるようにしなければならず、少なくともフリーダイヤル、およびウェブサイトがある場合にはウェブサイトのアドレスが含まれていなければならない(1798.130条(a)(1))。
また、オンラインのプライバシーポリシーについては、12か月ごとに更新する必要がある(1798.130条(a)(5))。
規制その2:第三者提供(販売)
次に、消費者は、いつでも、事業者に対し、自らの個人情報を第三者に販売しないように指示する権利を有する(オプトアウトの権利。1798.120条(a))。
また、消費者が16歳未満である場合、13歳から16歳である場合には本人の、13歳未満である場合には親または保護者の積極的な同意がない限り、個人データを販売してはならないとされている(オプトインの権利。1798.120条(d))。
オプトアウトの通知を受けた場合、または未成年の消費者の個人情報の販売について同意を得ていない事業者は、個人情報の販売を行うことができない(1798.120条(c))。
個人情報を販売する事業者は、個人情報が販売されること、およびオプトアウトの権利があることを、1798.135条(a)に従って開示しなければならない(1798.120条(b))。そのために、インターネットのホームページに、「Do Not Sell My Personal Information」という明瞭かつ目立つリンクを設置し、オプトアウトの手続への誘導を行わなければならない(1798.135条(a)(1))。
日本法では、個人データの第三者提供は、原則として本人の同意が必要である。カリフォルニア州の本法は、原則として第三者提供は自由であり、本人がこれを止めるように申し出た場合(オプトアウトした場合)にのみ、これを止めれば良いとされているから、日本法よりも規制としては緩いということができる。
日本法にもオプトアウトによる個人データの第三者提供が用意されているが、改正法により個人情報保護委員会への届出が必要となっており、2018年8月1日現在、届出をしているのは156社に過ぎない。日本に存在する個人情報取扱事業者の数と比較すれば、極めて少数のケースでしか利用されていないことがわかる。
第三者提供が原則として自由である点が、日本法とカリフォルニア州の本法との非常に大きな違いであるといえよう。
| カリフォルニア州消費者プライバシー法 | 日本の個人情報保護法 |
|---|---|
| 1798.120条 (a)消費者は、いつでも、事業者に対し、自らの個人情報を第三者に販売しないように指示する権利を有する。この権利は「オプトアウトの権利」と呼ばれる。 A consumer shall have the right, at any time, to direct a business that sells personal information about the consumer to third parties not to sell the consumer's personal information.,This right may be referred to as the right to opt out. (b) 個人情報を販売する事業者は、個人情報が販売されること、およびオプトアウトの権利があることを、1798.135条(a)に従って開示しなければならない。 A business that sells consumers’ personal information to third parties shall provide notice to consumers, pursuant to subdivision (a) of Section 1798.135, that this information may be sold and that consumers have the right to opt out of the sale of their personal information. |
(第三者提供の制限) 第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。[中略] 2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。 一 第三者への提供を利用目的とすること。 二 第三者に提供される個人データの項目 三 第三者への提供の方法 四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。 五 本人の求めを受け付ける方法 |
なお、事業者は、消費者がオプトアウト等の権利を行使したことにより、商品やサービスの提供を拒否したり、別価格を請求したりするなど、消費者を差別してはならないとされている(1798.125条(a))。
規制その3:削除権
消費者は、事業者に対し、事業者が消費者から収集した個人情報を削除することを請求することができる(1798.105条(a))。この権利は、前述の1798.130条(a)に従って、消費者に開示されなければならない。
EUのGDPRにおいて削除権(忘れられる権利)が明文化されたことが話題となっているが、カリフォルニア州においても、削除権が定められたのである。
ただし、以下を行うために消費者の個人情報を維持する必要がある場合、削除する必要はないとされている(1798.105条(d))。
(1)個人情報が収集された取引を完了するために必要な場合、消費者から要求されまたは消費者と継続中であるビジネスの関係性のコンテキスト内で合理的に予期される商品またはサービスを提供するために必要な場合、または事業者と消費者の間の契約の履行のために必要な場合
(2)セキュリティインシデントを検出し、悪意のある、欺瞞的、詐欺的、または違法な活動から保護するために必要な場合
(3)既存の意図された機能を損なうエラーを特定して修復するためのデバッグのために必要な場合
(4)表現の自由を行使するために必要な場合、別の消費者が表現の自由を行使する権利を確保するために必要な場合、その他法律で定められた権利を行使するために必要な場合
(5)刑法第2部第12章第3.6章(第1546項から始まる)に従って、カリフォルニア電子通信プライバシー法を遵守するために必要な場合
(6)公共の利益のために、全ての適用がある倫理およびプライバシー法に準拠した、公的または査読された科学的、歴史的または統計的な調査を行うために必要な場合であって、事業者が削除すると当該調査の達成を不可能になるまたは著しく困難になる場合、消費者がインフォームド・コンセントを提供している場合
(7)消費者の事業者との関係に基づいて消費者の期待に合理的に合致する内部的な利用のみを可能にする場合
(8)法的義務を遵守するために必要な場合
(9)その他、消費者の個人情報を、消費者が情報を提供したコンテキストに適合するよう、内部的に、合法的に利用する場合
日本法では、個人情報保護法29条が内容が事実でないときの削除請求、30条が法令違反をしているときの消去請求を定めている。また、判例上、インターネット上の表現行為に対して、プライバシー権に基づく削除請求も認められている(検索エンジンに対するものとして、最高裁平成29年1月31日判決・民集 71巻1号63頁)。
GDPRにおける削除権(忘れられる権利)が大きな注目を浴びているが、削除権が認められるためには一定の要件が必要である。この点は、カリフォルニア州の本法や日本の個人情報保護法・判例の判断と同様であるといえる。一定の条件の下で削除権が認められることは世界的な潮流であり、その要件が各国で違っていると理解すべきであろう。
| カリフォルニア州消費者プライバシー法 | 日本の個人情報保護法 |
|---|---|
| 1798.105条(a) 消費者は、事業者に対し、事業者が消費者から収集した個人情報を削除することを請求することができる。 |
(訂正等) 第29条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの内容が事実でないときは、当該保有個人データの内容の訂正、追加又は削除(以下この条において「訂正等」という。)を請求することができる。[以下略] (利用停止等) 第30条 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データが第16条の規定に違反して取り扱われているとき又は第17条の規定に違反して取得されたものであるときは、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を請求することができる。[以下略] |
漏えい時の損害賠償請求
情報の性質に適合した個人情報を保護するために合理的なセキュリティ手順およびプラクティスを実施し維持する義務に違反した結果として、暗号化されていないまたは生データのままの個人情報が、不正なアクセス、侵入、盗難、または漏えいにあった消費者は、以下に従って民事訴訟を提起することができる(1798.150条(a)(1))。
(A)1事故1消費者ごとに100ドル以上750ドル以下、または実損害のいずれか高い方の損害賠償請求
(B)差止または宣言による救済
(C)裁判所が適切と考えるその他の救済
また、本法に意図的に違反した個人、事業者、またはサービスプロバイダは、違反ごとに最高7,500ドルの民事罰を課される可能性がある(1798.155条(b))。
日本では、個人情報が漏えいした際に、本人がその損害を立証することが難しいケースがある(慰謝すべき損害がないとされた事例として、東京地裁平成30年6月30日判決)。
これに対し、本法では、実損害がなくても損害賠償が認められるとされているから、クラスアクションと合わせて企業は注意をはらう必要がある。
日本企業の対応のポイント(まとめ)
上記2-3で述べたとおり、カリフォルニア州の居住者の個人情報を取り扱う際には、本法への対応が求められる可能性がある。
本法の適用がある(あるいはその可能性がある)日本企業は、以下の対応を2020年1月までにとっておくべきであろう。
まず、日本企業の多くはウェブサイト上にプライバシーポリシーのページを設けてあるから、情報提供義務については、プライバシーポリシーに適切な情報を追記すればよいと考えられる。また、第三者提供については、同意が不要である点は日本法よりも緩いといえるが、オプトアウトの手続ができるページ等を設けておく必要があると思われる。削除権については、現状のプライバシーポリシー等に保有個人データに関する問い合わせ窓口等が用意されているであろうから、それを活用することになるであろう。なお、プライバシーポリシーは12か月ごとに見直す必要がある。
なお、本法の成立を契機として、連邦法の制定の機運が高まっているようである。現時点では、連邦法は本法よりも規制として緩いものになるといわれているが、今後の動向に注意が必要である。
-
分野ごとの個別法は存在する。たとえば、医療保険の相互運用性および法的責任に関する法律(HIPAA)、公正信用報告法(FCRA)、金融サービス近代化法(Gramm-Leach-Bliley Act)、電子通信プライバシー法(ECPA)、児童オンラインプライバシー法(COPPA)などである。 ↩︎
牛島総合法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 危機管理・内部統制
- 訴訟・争訟
- ベンチャー