カリフォルニア州消費者プライバシー法（CCPA）最終規則が承認

米国カリフォルニア州司法長官室は8月14日、カリフォルニア州消費者プライバシー法（CCPA：California Consumer Privacy Act）の最終規則（CCPA 順守のための要件・ガイダンス、新たな義務などを細かく規定されたもの）が、州行政法局（OAL）から承認されたと発表した。最終規則は即日有効となった。同規則は、2019年11月にオリジナル案が提出された後、リバイス（修正）を経て、同司法長官室が6月1日に最終規則案をOALに提出していた。最終規則案の承認前の7月1日から、州司法長官室によるCCPAの執行は開始されていたが、今回の承認により、正式に最終規則が執行可能となった（2020年7月9日記事参照）。

CCPA対応への観点から、日本企業が特に留意すべき2点について、概要を紹介する。

1点目は、セキュリティー対策だ。CCPAでは、個人情報を保護するための合理的なセキュリティー手順と慣行を実装する義務を事業者に課している。2020年1月のCCPAの発効以来、消費者から、この義務への違反に関して訴訟が発生している（注1）。例えば、IT企業のZoom（3月)、ホテルチェーン大手マリオット（4月）、小売り大手ウォルマート（7月）などが訴訟対象となっている。

この義務について、最終規則では、事業者は身元の偽装や、個人情報への不正なアクセスまたは削除を防ぐ合理的なセキュリティー措置を実行しなければならない（第4節）としている。

2点目は、当局や消費者などの目に触れやすい、一般公開されている自社ウェブサイトなどへの対策だ。CCPAの最終規則の第2節は、原則、事業者に対して、個人情報の収集時あるいは事前に消費者へ、収集する個人情報のカテゴリーや使用目的などを通知する義務を課している。また、消費者が読みやすくて理解しやすい通知方法を設計し、提示する必要がある。また、プライバシーポリシー規則の設置が求められており、次の情報を含めなければならない。

• 収集、開示、販売される個人情報を知ることができる権利、個人情報の削除を要求できる権利、個人情報の販売をオプトアウト（許可ない場合の拒否）できる権利、CCPAの権利行使で差別されない権利、授権されたエージェントが消費者に代わり、どのようにCCPAに基づき要求を行うことができるかを説明した記述、さらなる情報を求める場合のコンタクト方法、プライバシーポリシーの最新更新日（最終規則999.308項）。
• 大量の個人情報（1,000万件以上）に関する条項を満たす場合、集められた情報やそれに関連するリンク（最終規則999.317項）。
• 販売する個人情報が16歳未満の消費者のものと知っている場合、規則で求められているプロセスの記述（注2）（最終規則999.330項および999.331項）。

また、CCPA実務ハンドブック(1.7MB)（※規則に関する記述は2019年11月のオリジナル案をベースにしたもの）を参照のこと。

（注1）CCPAだけでなく、他の法令違反も含んだ訴訟が起きている。

（注2）2019年個人情報の販売をオプトアウトする権利などに関する通知や保護者の権利など。11月時点のオリジナル案では、16歳未満に関する記述は記載されていなかった。

（石橋裕貴）