米カリフォルニア州消費者プライバシー法(CCPA)が絡む初の集団訴訟、セールスフォースなどを相手取り

(米国)

サンフランシスコ発

2020年02月25日

米国のカリフォルニア州消費者プライバシー法(California Consumer Privacy Act)違反を含めたデータ侵害を理由に、顧客管理プラットフォームを提供するセールスフォース(本社:カリフォルニア州サンフランシスコ)および子供服販売のハンナ・アンダーソン(本社:オレゴン州ポートランド)に対する集団訴訟が2月3日、カリフォルニア州北部地区連邦地方裁判所に提訴された。複数の現地報道によると、2020年1月のCCPA施行後、同法に絡む訴訟としてはこれが初となる。

原告の訴えの概要および原告が被ったと主張する損害の内容は、表のとおり。

表 原告の訴えの概要および原告が主張する損害の内容

グローバルデータ保護コンプライアンス対応を専門とする杉本武重弁護士〔S&K Brussels法律事務所ニューヨークオフィス・パートナー(日本、ニューヨーク州、ブリュッセル)〕は、「本件はCCPA違反が絡む最初のデータ侵害集団訴訟だ。明示的訴因としてCCPA違反を主張せず、カリフォルニア不正競争防止法(UCL)第17200条に基づくことで、当事者適格の要件の充足を狙ったようにみえる。今後の訴訟の動向としては、暗号化された個人情報が不正アクセスを受けた場合にCCPA違反となるか(注1)、マルウェアの除去が30日間の是正期間内の違反状況の是正に該当し(注2)、CCPA違反の主張が否定されるかが注目される」とコメントしている。

CCPAに関しては、執行規則(カリフォルニア州司法長官がCCPAを執行するためのルール)が現在策定中で、その施行日は2020年7月1日、または最終規則公表後6カ月後のいずれか早い方となっている(2019年10月7日記事参照)。カリフォルニア州司法長官室は2月7日に規則案の改正案を公表している(2020年2月21日記事参照)。CCPAについては、2019年6月6日付地域・分析レポートおよび「カリフォルニア州消費者プライバシー法(CCPA)実務ハンドブック」も参照。

(注1)事実申し立て資料によると、セールスフォースのクラウドサービスは情報が暗号化されている。また、ハンナ・アンダーソンも顧客に対して、同社のウェブサイトがPCI DSS(クレジットカードのセキュリティ基準)に準拠しており、SSL/TLS技術を使用して、データ送信時に名前、住所、クレジットカードなどの注文情報を暗号化するなどの措置を取っていたようだ。

(注2)CCPAでは、同法違反に基づく法定損害賠償請求について、事業者に30日間の是正期間を定めている。事業者が不遵守を通知されてから30日以内に違反を是正しない場合には、CCPAに違反することになる。

(石橋裕貴)

(米国)

ビジネス短信 248b1fc497447e95