ジェトロ、米加州の個人情報保護法対策オンラインセミナー開催、BtoB企業向け

ジェトロは1月13日、米国カリフォルニア州のプライバシー権法（CPRA：California Privacy Rights Act）に関するBtoB企業向け解説オンラインセミナーを開催した（注1）。日本企業関係者など300人以上が視聴した。

同州では、2020年11月3日の住民投票で、同年1月に施行されたカリフォルニア州消費者プライバシー法（CCPA：California Consumer Privacy Act）改正の提議が賛成多数で可決された（2020年11月11日記事参照）。CCPAの改正法となるCPRAは2023年1月1日からの適用開始予定で、その1年前の2022年1月1日以降に収集された個人情報が対象となる。CCPAと比較してCPRAでは、プライバシー保護がより強化される。消費者に企業の持つ個人情報の修正を要求する権利などを新たに付与するほか、16歳未満の消費者の個人情報に関する法令違反に対する罰則強化や、プライバシー法を執行する権限を持つ州の個人情報保護機関の設立などを定める。

ジェトロがこれまで開催したCCPAに関するオンラインセミナーの参加者からは、「BtoB企業が備えておくべき対策を知りたい」「BtoBビジネスのみの企業は何をすればいいのか」など、BtoB分野での実務対応に関する情報を求める声が多かった。そこで今回のセミナーでは、BtoBの企業が収集している個人情報へのCPRAの適用とその実務対応について専門家が解説した。

CPRAでは、役職員などの雇用に関連する個人情報や取引先の従業員の個人情報に対して、個人による開示請求権や削除権など一部規定の適用が2023年1月1日まで猶予されている（注2）。セミナー講師のS＆K Brussels法律事務所の杉本武重弁護士は、役職員などの個人情報について「雇用関連以外の目的で利用した場合は、猶予の対象ではなくなる。適用猶予となる利用目的をしっかり理解する必要がある」と説明した。また、取引先の従業員の個人情報についても「BtoB文脈で収集した取引先の担当者の個人情報を商品やサービスの提供や受領とは異なる文脈でマーケティングに用いた場合などは、猶予の対象から外れる」と説明した。さらに、クッキーを通じてウェブサイト訪問者の個人情報を取得するケースなどは、CPRAの全面的な対象になるという。

（注1）オンラインセミナーの資料は添付資料参照。

（注2）役職員などの雇用に関連する個人情報や取引先の従業員の個人情報については、2020年9月にカリフォルニア州知事が署名したCCPAの改正法（AB1281）で、11月の住民投票が否決された場合には一部規定の適用が2022年1月1日まで猶予されると定められていた。11月の住民投票可決に伴うCPRAの規定により、それら個人情報に対する一部規定の適用は2023年1月1日まで猶予されることとなった。

（石橋裕貴）