CPRA(カリフォルニア州プライバシー権法)とは?旧CCPAとの違いや対象企業について解説
2020年1月、「カリフォルニアのGDPR」と呼ばれるカリフォルニア州消費者プライバシー法(CCPA)が施行されました。その約1年後にはCCPAを改正するCPRAが住民投票で可決され、2023年1月に施行予定です。日本企業はどのような対応が必要になるのでしょうか?CPRAの対象や罰則などに関する最新情報を紹介します。
2020年1月、「カリフォルニアのGDPR(EU一般データ保護規則)」と呼ばれるカリフォルニア州消費者プライバシー法(CCPA)が施行されました。これによってコンプライアンスの新時代が到来し、企業は、単なるプライバシーポリシーのアップデートよりはるかに多くの対応を促されました。この新法は、おそよ4,000万人のカリフォルニア州の住民とその世帯、そしてデバイスに紐づいた個人情報を活用している何千もの企業に影響を与えました。
2020年11月には、CCPAを改正するカリフォルニア州プライバシー権法(CPRA)が住民投票で可決されました。CPRAは2023年1月1日に施行される予定で、カリフォルニア州の消費者にとっては、企業が保有する自身の個人情報をコントロールする権利がさらに拡大されます。CPRAにより、対象となる事業者には、相当な量の新たなコンプライアンス義務が課されます。「CPRA準拠」を実現するための唯一のロードマップや戦略はありませんが、CPRAに備えるためにできることは多くあり、ドキュサインはそのお手伝いをすることができます。
CPRAの対象となる企業・団体
現在、基本的にCCPAが適用されるのは、カリフォルニア州で事業を行う営利企業・団体で、カリフォルニア州の消費者の個人情報を収集、共有、または販売し、以下条件のいずれかにあてはまる場合です。
年間の総売上高が2,500万ドルを超えている
5万人以上の消費者、世帯、あるいはデバイスの個人情報を保有している
年間売上高の半分を超える額を消費者の個人情報の販売から得ている
一方、2023年1月1日に施行されるCPRAが適用されるのは、カリフォルニア州で事業を行う営利企業・団体で、カリフォルニア州の消費者の個人情報を収集し、以下の条件にあてはまる場合です。
前歴年の1月1日時点で、総売上高が2,500万ドルを超えている
10万人以上の消費者ないし世帯の情報を購入、販売、あるいは共有している
年間売上高の50%以上を消費者の個人情報の販売あるいは共有から得ている
施行日の時点で、貴社がカリフォルニア州民の個人データを利用していて、上記3つの基準のいずれかに該当する場合、CCPA/CPRAの対象となることが想定されます。CCPAもCPRAも「カリフォルニアで事業を行うこと」に関する定義を示していませんが、関連する法的基準から考えると、これは容易に満たされうる基準であり、州内に事業所や従業員が存在している必要はないと見られます。
CCPAは、対象事業者を所有する企業・団体、対象事業者に所有される企業・団体、あるいは対象事業者と共通のブランドを共有する企業・団体にも適用されます。CPRAはこのCCPAの定義をさらに拡大します。すなわち、対象事業者はそれらの企業・団体と個人情報を共有する必要があり、また共通ブランドを共有することで、一般消費者はそれらの企業・団体が共通の事業者に所有されていることを理解できるようになります。
さらに、CPRAは第三の対象事業者として、40%以上の持分を持つ事業者からなるジョイント・ベンチャーやパートナーシップを追加しています。ジョイント・ベンチャーまたはパートナーシップそのものだけでなく、そのジョイント・ベンチャーやパートナーシップを構成する各事業者は、個別に単一の事業者とみなされます。個々の事業者が保有し、ジョイント・ベンチャーまたはパートナーシップに開示された個人情報は、他の事業者と共有されることはありません。
CCPA/CPRAは、医療保険の携行性と責任に関する法律(HIPAA)や、金融に特化したグラム・リーチ・ブライリー法(GLBA)といった他のデータプライバシー法との重複を避けるために、さまざまな免除措置を設けていますが、こうした免除は絶対的なものではありません。保健医療や生命科学サービスの提供者や金融業者も、CCPA/CPRAの影響を受ける可能性があります。
CPRAとGDPRの要件の違い
CPRAとGDPRには類似点はあるものの、CPRAはいくつかの点でより範囲が狭く、消費者が個人データにアクセスしたり削除したりできる権利はGDPRに比べて限定的です。とはいえ、CPRAによってプライバシー法がGDPRに近づくのは確かで、企業に対する以下のような具体的な要件が含まれています。
消費者に対して、自社が個人情報を販売または共有していることを開示すること
ウェブサイトに「(私の)個人情報を販売しないこと」という選択肢を追加して、プライバシーポリシーを掲載し、消費者からの問い合わせに対応するフリーダイヤルの電話番号を明記すること
16歳未満の消費者から(13歳未満の消費者の場合は親または保護者から)、個人情報の販売に関する同意を得るべく積極的に働きかけること
顧客が法の下で認められた権利を行使したかどうかにかかわらず、サービスと価格について顧客を平等に扱うこと
個人情報を取得する時点またはそれよりも前に、事業者がその個人情報をどのように使用・販売・共有するかについて消費者に告知すること
個人情報の収集・使用・共有は、何のために個人情報を得るかという目的に照らして合理的に必要かつ適切な範囲でのみ行うこと
CCPA/CPRA の一部の例外を除いて、消費者から削除要請が提出された場合には、その消費者の個人情報を削除すること
対象事業者が既にGDPRコンプライアンスに対応していたとしても、今回追加されたこれらの要件によって、その措置を上回る対応策が必要となります。
おすすめ記事:日本企業も他人事ではない!?GDPRの影響とその対策
CPRAの罰則
CPRAは、データ漏洩によって個人情報や電子メールのログイン情報が流出した場合、被害者である消費者の私的な提訴権を設定し、違反に対し消費者1人当たり最高750ドルの罰金を定めています。この法定損害賠償金は人数が多ければその分増えます。1回の漏洩でカリフォルニア州の消費者10万人が被害にあった場合、損害賠償金だけで総額7,500万ドルになり、集団訴訟となる可能性があります。また、違反行為によって実際に消費者が受けた損害がさらに大きいことを証明できる場合には、法定賠償額の制限を受けません。
ただし、この私的な提訴権が発生するのは、事業者がデータ漏洩を回避するための「合理的な措置や手続き」を怠った場合に限られます。CPRAは、何がその“措置”にあたるのかを定義していませんが、実際に提訴された際に裁判官が参照できるサイバーセキュリティの基準や認証は数多くあります。
CPRAはまた、通知された違反に対して30日間の“矯正”期間を設けることで、理論上は法定賠償金を免れる方法を提供しています。しかし、同法の中に“矯正”の定義はなく、既に消費者に影響が生じているデータ漏洩を事業者がどのように“矯正”できるかは、完全には明らかにされていません。一方、情報漏洩後に合理的なセキュリティ手順と措置を導入・遂行してそれを維持したとしても、それはその情報漏洩の矯正とはみなされないと述べることで、この曖昧さを若干軽減しています。また、カリフォルニア州司法長官は、1回の違反につき最高2,500ドル、意図的な違反に対しては最高7,500ドルの追加罰金を求めることができます。さらに、司法長官はCPRAに違反していると思われる企業に差止請求ができ、そうなると事業活動が停止に追い込まれる可能性があります。
CCPAに不明瞭な部分が多かった理由
CCPAは政治的理由および実施計画上の都合で極めて短期間で起草されました。これほど広い範囲をカバーして実効性を持つ法律を作ることは、最善の環境下であっても、立法においては難しい面もありました。その後、提案された規則制定や改正は、既存のプライバシー規制をアップデートし、CPRAを施行するための明瞭さと具体性を提供し、CCPAおよびCPRAにおいて法として定められた要件を再編成してより強固な形で一元化することで、CPRAの理解と遵守を容易にするだろうと考えられます。
2022年7月8日、カリフォルニア州プライバシー保護局は、CPRAの正式な規則制定手続きを開始しました。同局は、「規則制定提案通知書」と「趣旨説明書(ISOR)」を発表し、規則案を公開しました。この規則案は、成立したあかつきには、CPRAによってもたらされた変更内容の実施方法について、消費者、事業者、第三者に包括的なガイダンスを提供することになります。また、対象事業者のコンプライアンスを従来よりもシンプルなものにし、CCPAによって生じた不必要な混乱が避けられるようになると期待されています。
ドキュサインを活用してCPRAに対応する方法
ドキュサインは電子署名サービスのパイオニアとして世界中で利用されていますが、それ以外にも多様なサービスを提供しています。ドキュサインの製品群には、組織が契約書や同意書などの文書を準備し、署名・捺印し、実行し、さらに管理するために役立つ幅広いツールが含まれています。
CPRAの課題に対処するために、ドキュサインは下記のような要件を支援するツール提供しています。
自身の個人情報にアクセスしたい、あるいはデータ共有の「オプトアウト(第三者への個人情報提供の拒否)」をしたいという消費者の要望を安全に処理する
大量の契約書におけるデータプライバシーのリスク領域を自動的に分析する
消費者から利用規約やプライバシーポリシーの変更に関する同意を確実に取得する
顧客の個人情報を扱う第三者との契約の改訂を効率的に準備し、実行する
データプライバシーに関するコンプライアンスの課題は増え続けており、こうした対応には大きな意味があります。カリフォルニア州に加え、コロラド州、コネチカット州、ユタ州、バージニア州でも、包括的な消費者データプライバシー法が制定されました。これらの法律では、自身の個人情報へのアクセス権、削除権、個人情報共有の拒否権など、消費者が自らの個人情報を管理する権利も強化されています。
現在はこれらの法律がすべて有効であり、さらに、無効と判定された米国プライバシー・シールド(EUから米国への個人データの移転に関する枠組み)の是正を目的とした後継法案が米国で審議中のため、データプライバシー・リスクの管理はこれまで以上に対応が難しい優先事項となり、コンプライアンス義務の寄せ集めのような状態が生じています。そういう時にこそ、企業・組織の合意・契約管理システムを刷新することは、個人情報保護関連法に対応するうえで極めて重要な役割を果たすと言えるでしょう。
おすすめ記事:CPRAの要件に対応するためにやるべき5つのこと
※本記事は「Who is Covered by CPRA (formerly CCPA) and What Does It Require?」の抄訳になります。本記事は一般的な情報提供のみを目的としています。法律上の助言となるものではなく、またそうした助言の代わりとなるものでもありません。