米カリフォルニア州消費者プライバシー法(CCPA)、7月1日から執行開始

(米国)

サンフランシスコ発

2020年07月09日

2020年1月施行のカリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)の執行が7月1日から開始された。同日以降、事業者がCCPAで定めた義務に違反した場合、カリフォルニア州司法長官による執行手続きの対象となり得る。

CCPAをめぐっては、同法順守のための要件やガイダンスを規定した施行規則の策定作業が行われていたが、州司法長官室は6月1日、最終規則案を州行政法局(OAL)へ提出した。最終規則案は7月6日時点でOALの承認待ちの状態だが(注1)、ザビエル・ベセラ州司法長官は6月30日付プレスリリース外部サイトへ、新しいウィンドウで開きますで、7月1日からCCPAの執行を開始する計画だと発表した。

CCPAは、カリフォルニア州で事業を行い、次の1~3の基準のいずれか1つまたそれ以上を満たす事業者などが対象となる。さらに、それら事業者を支配(親会社)またはそれら事業者に支配され(子会社)、かつ、同じブランド(名前、サービスマークまたは商標)を共有する事業者も対象になる可能性がある。

  1. 年間総収入が2,500万ドルを超える。
  2. 単独または組み合わせて年間5万件以上の消費者、世帯またはデバイスの個人情報を商業目的で購入、受け取り、販売、または共有している。
  3. 個人情報の販売により年間収入の50%以上を得ている。

CCPAはカリフォルニア州民に対して、事業者が集めた個人情報の開示を求める権利(知る権利)、事業者が消費者から集めた個人情報の削除を求める権利(削除権)、事業者が第三者へ個人情報を売却するのをやめるよう求める権利(オプトアウト権)などを認めている。一方で事業者に対しては、これら住民に認められた権利に対応する義務などを課す。

CCPAへの準備状況に関して、ジェトロが現地日系企業にヒアリングしたところ、「BtoBの企業はCCPAにどのような影響を受けるのか不透明」「規則案が何度も改訂されるので最新の内容に追いつけない」「CCPAに対応したクッキーでの個人情報の取得方法に悩んでいる」「従業員の健康情報(新型コロナウイルス感染の有無など)がCCPAに規定される個人情報に該当するのか不透明」など、対応に苦慮する声が聞かれた。

カリフォルニア州では、CCPAを修正するかたちで消費者の権利をより強化する法案(CPRA:California Privacy Rights Act of 2020)が11月に住民投票にかけられる予定で、その結果も注目される(注2)。

CCPAや規則については、2019年6月6日付地域・分析レポート「CCPA実務ハンドブック」も参照。

(注1)最終規則案はOALに承認され次第、正式に執行可能となる。カリフォルニア州政府は3月に新型コロナウイルス感染拡大を受けた措置として、通常30日間あるOALの審査期間について、追加で60日間延長する行政命令を出している。

(注2)CPRAは「CCPA2.0」とも呼ばれ、事業者に対して不正確な個人情報を修正するよう求める権利や第三者への個人情報の共有を止めるよう求める権利を定めるほか、「センシティブな個人情報」という新しいカテゴリーを作り、それらの個人情報の使用に制限を課すことなどを規定している。例えばセンシティブな個人情報には、社会保障番号や正確な位置情報、健康情報などが該当する。

(石橋裕貴)

(米国)

ビジネス短信 9049b1b5781fe343