米カリフォルニア州のCCPA、従業員情報や企業間取引で得た情報を一部適用除外に

米国カリフォルニア州の消費者プライバシー法（CCPA）改正案が9月の州議会で可決された。10月13日までに州知事が署名すると成立する。改正法には、2021年1月まで、従業員情報や企業間取引で得た消費者情報の一部をCCPAが定める「個人情報」（注）から除外するなど、重要な内容が含まれている（改正法の主な内容は添付資料を参照）。

また、報道によると、CCPAに関する州司法長官の執行規則（regulation）案が10月中に公表されるという。執行規則は消費者の権利行使の手続きを規定し、事業者には法準拠の指針を提供するとしており、公表後45日間、パブリックコメント募集する予定だ。執行規則の施行日は、2020年7月1日または公表後6カ月のどちらか早いほうだが、施行日にかかわらず、CCPA自体は2020年1月から施行されるため、事業者は対応が求められている。CCPAへの対応に関しては2019年6月6日付地域・分析レポートを参照。

（注）CCPAによる個人情報とは、カリフォルニア州民または世帯について識別し、関連し、記載し、結び付け、直接または間接に合理的にたどることができるあらゆる情報を指す、と広く定義している。例として、実名、仮名、電話番号、IPアドレス、メールアドレス、口座、社会保障番号、運転免許証、パスポート、商品・サービスの購入履歴、虹彩・網膜・指紋・掌紋・顔・声・DNAなどの身体的・生体的特徴を含む生体情報、ウェブサイトの閲覧・検索履歴、位置情報データ、職歴・学歴などが列挙されているが、これらに限定されない。

（北條隆）