施行が迫る「カリフォルニア州消費者プライバシー法」(米国)
日本本社も理解・協力を

2019年6月6日

カリフォルニア州トーランス市で5月17日、南カリフォルニア日米協会主催の「カリフォルニア州消費者プライバシー法(CCPA)」セミナーが開催された。CCPA外部サイトへ、新しいウィンドウで開きます では、カリフォルニア州民の権利として、事業者が収集する個人情報のカテゴリーや特定の情報についての開示を要求する権利、個人情報が共有される第三者についての開示を要求する権利、および事業者が収集した個人情報の削除を要求する権利などが認められている(2019年1月28日付ビジネス短信参照)。CCPAは2020年1月1日に施行予定であるため、事業者は2019年中の準備が必要になる。セミナーでは、データ・プライバシー法分野の専門家であるピルズベリー(Pillsbury)法律事務所のキャサリン・マイヤー(Catherine Meyer)カリフォルニア州弁護士、奈良房永(Fusae Nara)ニューヨーク州弁護士、元FBI捜査幹部でナビガント(Navigant)コンサルティングのジョセフ・キャンベル(Joseph Campbell)ディレクターが講師となって法律の内容解説と注意喚起をした。講師の講演内容を基に、CCPAの内容について解説する。

対象企業は意外と多い

CCPAが対象とする事業者(Business)は、カリフォルニア州で事業を行い、カリフォルニア州民の個人情報を収集している以下の1~3のいずれか1つの要件に該当する営利目的の法人だ。なお、カリフォルニア州内に事業拠点があるかどうかにかかわらず、カリフォルニア州民の個人情報を収集していれば、この法律の対象となりうる。

  1. 年間の総収入(annual gross revenues)が2,500万ドル以上であること
  2. 5万人以上のカリフォルニア州民の個人情報を処理している
  3. カリフォルニア州民の情報を売却することで年間の収入の50%を得ている

前述基準を満たす事業者を支配する事業者(親会社)および基準を満たす事業者に支配される事業者(子会社)についても、親会社が子会社の50%超の株式を保有しているか、過半数の取締役任命権を有しているなどの支配関係にあり、かつ、ブランド(社名、サービスマークまたはトレードマーク)を共有していれば対象となる。

講師によると、2,500万ドルの総収入はカリフォルニア州内だけの収入ではない。子会社である米国法人が上記基準を満たさない場合でも、日本の親会社が2,500万ドル以上の総収入があるか、カリフォルニア州民5万人の個人情報を保有していればCCPAの対象となり、その親会社が50%超の株式を保有し、ブランドを共有する子会社の米国法人もCCPAの対象となると解説された。また、米国法人が取得した個人情報を日本の親会社のデータベースに転送しており、米国法人自身が5万人の個人情報を保有していないとしても、米国法人が親会社の保有データにアクセスすることができる状態であれば、5万人の要件を満たすという。

個人情報の範囲

CCPAでいう個人情報(Personal Information)とは、カリフォルニア州民または世帯について識別し、関連し、記載し、結び付け、直接または間接的に合理的にたどることができるあらゆる情報を指すと広く定義している。

例として、実名、仮名、電話番号、IPアドレス、メールアドレス、口座、社会保障番号、運転免許証、パスポート、商品・サービスの購入履歴、虹彩・網膜・指紋・掌紋・顔・声・DNAなどの身体的・生体的特徴を含む生体情報、ウェブサイトの閲覧・検索履歴、位置情報データ、職歴・学歴などが列挙されているが、これらに限定されない。

なお、メールアドレスそれ自体では、必ずしも住所とつながらず、カリフォルニア州民の情報かどうか不明なケースもありそうだが、講師によると、サーバーにメール履歴が残されている場合は、IPアドレスをトラッキングすることでおおよその接続元が分かることもあるため、IT部門と相談したほうがよいとのことだった。

新たな消費者の権利

CCPAでは、消費者であるカリフォルニア州民に、大きく分けて5つの権利が付与される。

  1. 企業が収集した個人情報のカテゴリー、情報源、情報の用途および収集した情報の開示先など、企業のデータ収集の運用について開示請求する権利
  2. 消費者による請求から過去12カ月の間にその消費者について収集した具体的な個人情報のコピーを受け取る権利
  3. 本人の個人情報を削除してもらう権利(ただし、例外あり)
  4. 企業のデータ売却の運用について知り、その消費者の個人情報を第三者に売却しないよう求める権利(いわゆるオプトアウト)
  5. 消費者らがCCPAにより付与された新たな権利を行使したことに基づいて差別されない権利

なお、消費者が企業に対して権利行使をするに当たり、当該企業の商品・サービスの提供を受けているなどの関係にある必要はない。

企業の新たな義務

対象となる企業の側からすると、まず情報を収集する時点またはプライバシーポリシーにおいて、過去12カ月間に収集、売却または開示された個人情報のカテゴリー、情報源、事業者が個人情報を共有する第三者、情報収集する全ての目的と情報の用途、過去12カ月の間に情報を売却した第三者のカテゴリー、情報の売却についてオプトアウトする方法を説明し、プライバシーポリシーを毎年更新しなければならない。

オプトアウトの方法としては、企業ホームページに「私の情報を売却しないで」という明確なリンクを設けることが例示されている〔なお、16歳未満の消費者の情報は原則として売却してはならないが、13歳以上16歳未満については消費者の、13歳未満については保護者の積極的な同意がある場合に限り、売却(オプトイン)することができる〕。

また、企業は消費者から各種請求ができる手段について、通話料無料の電話番号に加え、ウェブサイトなど2通り以上用意しなければならない。

消費者から請求を受けた場合、企業は原則として45日以内に、本人に対して情報を開示する、請求に応じて個人情報を削除するまたは個人情報の売却を停止する義務がある。講師によると、第三者の情報を誤って開示しないためにも、本人確認を行うことは重要だが、本人確認書類を必要以上に求めることは権利の不当な制限につながるので妥当でないという。また、請求を受けてから45日以内に単に受領確認や本人確認手続きを行うのでは不十分で、請求内容を満足させる回答をする必要がある。なお、45日の期限は合理的必要性がある場合に限り、1度だけ45日の追加が認められるが、多用することは望ましくないという注意喚起があった。

企業として法令を順守するためには、プライバシーポリシーを更新すること、請求している消費者の本人確認をする手順を実施すること、45日以内に情報開示するために社内で個人情報を特定・発見することができるようにすること、特定の情報開示を電子的に行う方法を開発すること、売却禁止を求める消費者のオプトアウト(16歳未満の消費者に関してはオプトイン)に対応することなどが必要になる。

違反1件ごとの罰金に注意

消費者から情報の開示請求があった場合、事業者は45日以内に開示することが求められるが、これに対応できない場合、事業者は州司法長官から30日以内に違反を是正するよう通知を受ける可能性がある。

さらに、この通知後も違反が是正できない場合、消費者からの請求1件当たりの違反ごとに最大2,500ドル(故意だと認定される場合には最大7,500ドル)の罰金(民事罰)を科せられる可能性がある。

講師からは、2020年1月の年明け直後から、カリフォルニア州の消費者によって、業種や規模に関係なく次々と企業に請求が寄せられる可能性があり、準備不足と膨大な請求数によって対応できない場合には、思いがけず罰金が高額になってしまう可能性があると注意喚起された。

捜査当局として調査する立場だったキャンベル氏によると、他の法令の罰金の事例では、調査の過程で把握するさまざまな情報を基に、この企業はどれだけ誠意(good faith)をもって対応していたのかという姿勢や企業のカルチャーを判断し、罰金額に反映させることがあったという。調査をすれば、企業全体としてはしっかり行っていたのに不幸にも間違いが起きてしまったケースか、多くの人はルールを守っているのに数人の悪意ある人がいたケースか、経営トップから全体的に無関心だったのか、社員全員に順法精神が欠けるケースかなどが分かるという。

CCPAの下で、企業のカルチャーが罰金額にどの程度影響を与えるかは今のところ不透明だが、故意の違反と認定されないようにするためには、CCPA順守の姿勢を確立するべきと言える。

施行までの対応策

CCPAの施行までに企業はどのような準備をすればよいか。これについて講師は、計画、評価、開発、更新、トレーニングの各段階に分けて、対応例を挙げた。

(1)計画

まずは、社内のガバナンス構造を構築し、計画を立てる。この段階では、企業内で対応できる人材などリソースが限られている点や、CCPAで求められる過去12カ月分の必要なデータが保持されているか(施行日の2020年1月1日において、2019年1月1日以降のデータが必要)という時間の制約に対応することが主な課題となる。

自社内だけでは対応が難しい場合には、IT関連会社やコンプライアンス専門の弁護士に外部委託することも選択肢の1つになるが、委託する内容・範囲および委託先よってさまざまなため、相見積もりを取ることが経費支出の面からは重要となる。

講師からは、当然、日本本社側でもCCPAの対象企業となっていないかどうかの確認や、米国法人がしっかり対応できるように必要な予算や人材面で協力することが重要になると言及された。

(2)評価

次に、現状を評価する。この段階では、CCPAで対象となるデータの範囲として、自分たちが保管、売却、一般に共有したあらゆる個人情報を特定することができるかどうか、自分たちに情報を保管する能力、消費者を特定・照合する能力、消費者の年齢を確認する能力がどれだけあるかを評価することが主な課題となる。

企業としては、社内のどこにどのような情報があるかを把握していなければ、CCPAに対応することはできない。だが、社内では想像がつかないところにデータがある可能性があるため、情報源や形態を問わず、企業が情報を受け取る箇所を総点検することが必要だ。一例として、企業のウェブサイトから入力された情報、小売店内でのフォームの記入、郵便、電子メール、人事が持つ従業員や応募書類、コールセンターの記録、仕入先やサービスプロバイダー、大家またはテナント関連情報、マーケティング、ウェブサイトの解析データ、監視カメラのモニター、営業職が持つ各自のデバイス内にある顧客データ、ギフトカード、ラッフルで集めた名刺などが考えられる。

その情報源(個人から直接得たのか、企業が自ら発見したのか、第三者から得たのかなど)を特定することや、個人情報の各カテゴリーについて、情報収集およびデータの使用のあらゆる目的を特定することが必要だ。

(3)開発

データの在庫と保管場所のリストを作成する。この段階では、上記で調査したあらゆるデータの所在について、社内のデータマップを作成し、どこに何があるのかを可視化することができるかや、企業にデータが入った後に内部を巡り外部にデータが移るまでのデータ移転の量とスピードを把握できるかどうかが主な課題となる。

把握したデータの在庫リストを作成し、データにアクセスできる者や管理者を特定し、データ保管記録の維持をすることが具体的な対応方法となる。CCPAでは過去12カ月分のデータが求められるため、各データを把握する際は、情報を収集したタイミングがいつなのかを把握することも重要になる。また、個人情報の削除の請求に関しては、例外もあり、取引を完結するために必要な場合や、他の法令上保存しておくことが求められている期間がある場合には、保存が優先するため、保存期間終了後に適切に削除することができるように、各カテゴリーの情報について法令上の保存期間がどのくらいか把握しておくことが必要になる。

講師からは、請求を受けてから動き出す場当たり的な対応を避けることで、社内のデータセキュリティーを見直す好機となり、将来のハッキングやデータ流出事故などのリスクを軽減し、訴訟時の証拠収集手続きへの迅速な対応を可能とするなどの効果も期待できると解説された。

(4)更新

開発した手順や管理方法を実施し、手順・システム・管理方法をテストし、継続して定期的なリスク評価を実施する。この段階では、手順を更新することで予想しなかったリスクが生じ、そのリスクに対して新たな管理方法を設けることが課題となる。

評価、開発、更新を何度も繰り返し、法改正があればそれに対応することも必要だという。

(5)トレーニング

企業としては、トレーニングまでしっかりと行うことが対応策としての到達点になる。ガイドラインやマニュアルをいくら作っても、従業員が読まなければ意味がないため、浸透させるためにはトレーニングが必要だ。この段階では、トレーニング対象者として適切な人を選び出すことが主な課題となるが、「企業のプライバシーの運用に関する消費者の問い合わせを取り扱う全ての人」にトレーニングが必要だという。

講師のキャンベル氏によると、FBIでは、長官をはじめ幹部もトレーニングの対象になっている場合には、冒頭の職員向けあいさつでトレーニングの重要性について言及し、その後も長官ら幹部が最前列でトレーニングを受ける姿勢を他の職員に示すと紹介された。捜査当局が調査を行う際は、社内手続きの実態に加え、トレーニングを受けるべき従業員が確実に受けていたか、会社はそれをサポートしていたか、新入社員や異動で新たに担当になった者へのトレーニングはあったか、法改正に対応していたかなど、従業員のトレーニングに関する記録を真剣に見るという。企業としては、トレーニングを実施した後、内容に関するクイズを出して理解度を評価することまで行っていれば、仮に問題が発生した場合でも、企業としては従業員に対してやるべきことをやっていたと有利に働き、捜査当局の心証がそこまで悪くならず、制裁としての罰金の程度が変わってくる。これは連邦でも州レベルでも変わらない考え方だという。

GDPRとの違い

講師はまた、CCPAへの対応にあたり、2018年5月に施行されたEU一般データ保護規則(GDPR)を受けて、個人情報の所在把握や管理に取り組んだ企業は、その際の経験が役に立つはずだとアドバイスした。また、GDPRの方が違反時の罰金が多額となり得るが、CCPAでは、以下の点でGDPRよりも対応が大変だという。

  1. 事業に関係のない消費者からも情報開示請求を受ける
  2. 個人だけでなく世帯情報も含まれる
  3. プライバシーポリシーを毎年更新しなければならない
  4. 通話料無料の電話番号やウェブサイトの手段によって消費者が個人情報を収集・売却しないよう要求(オプトアウト)できる仕組みを設けなければならない
  5. 権利行使をした消費者に対して、企業が商品やサービスを提供しないという差別的扱いをしてはいけない(例:そのような消費者に対する商品・サービスの提供を拒むこと、異なる価格や料率による請求をするまたは特定の割り引きを行わないこと、異なるレベルまたは品質の商品・サービスを提供すること)

以上の法内容や対応策を考慮すると、法の施行までの準備期間は必ずしも長くないといえる。経営レベルの強いリーダーシップと社内各部署の当事者意識を持った横断的な協力が対応の鍵を握ることになるだろう。


注:
CCPAを担当するカリフォルニア州司法長官オフィスのウェブサイト外部サイトへ、新しいウィンドウで開きます も参照。
執筆者紹介
ジェトロ・ロサンゼルス事務所
北條 隆(ほうじょう たかし)
2006年、財務省入省。主計局法規課、金融庁総務企画局企画課調査室、財務省大臣官房政策金融課、内閣府地方分権改革推進室、金融庁検査局企画審査課などを経て、2016年よりジェトロに出向。「進出基礎情報調査」、「南カリフォルニア日系企業実態調査」、「ホノルルスタイル」など調査・情報提供を担当。