CCPA(California Consumer Privacy Act)は米国カリフォルニア州が2020年1月1日に施行した消費者プライバシー保護法で、米国における事実上のプライバシー基準となっている。EUのGDPRに触発されつつも、適用対象を「営利企業」に絞り、罰則を集団訴訟で担保するアメリカ流のアプローチを採用した。2023年には強化版「CPRA(カリフォルニア・プライバシー権利法)」が完全施行され、個人情報保護機関「CPPA」が監督権限を持つに至った。
この記事の目次
- 適用対象と消費者の5権利
- Do Not Sell My Personal Information
- GDPRとの相違点
- 他州法と日本企業への影響
- まとめ
適用対象と消費者の5権利
CCPAが適用される事業者は、カリフォルニア州居住者の個人情報を扱う営利企業のうち、(1) 年間総売上2,500万ドル超、(2) 年間10万人以上の消費者情報を売買、(3) 売上の50%以上が個人情報販売、のいずれかを満たすものに限定される。州外企業でもカリフォルニア州民の情報を扱えば適用対象となる。
消費者に付与される権利は5つに整理される。第一に「知る権利」(収集される情報のカテゴリと利用目的の開示請求)、第二に「削除権」、第三に「販売拒否権」(Do Not Sell)、第四に「差別禁止」(権利行使を理由としたサービス差別の禁止)、第五にCPRA追加の「訂正権」と「機微情報利用制限権」である。
Do Not Sell My Personal Information
CCPAの象徴的義務は、ウェブサイトのフッターに「Do Not Sell My Personal Information」のリンクを掲載することである。広告ターゲティング目的でデータブローカーに情報を渡している場合、これは「販売」と見做され、消費者がこのリンクから拒否を選択すれば30日以内に第三者提供を停止する義務が発生する。
実装面ではGPC(Global Privacy Control)という統一規格が普及しつつあり、ブラウザのプライバシー設定でユーザーが一括拒否すると、対応サイトは自動的にDo Not Sellを尊重する。CookieBot・OneTrust・Didomiなどの同意管理プラットフォームを導入する企業が一般的で、GDPRのCookie同意とCCPAのDo Not Sellを同じバナーで処理する仕組みが定着している。
GDPRとの相違点
CCPAはGDPRと比較してオプトアウト方式を採用している点が決定的に異なる。GDPRは原則として処理に明示的同意(オプトイン)を要求するのに対し、CCPAは情報利用は基本的に許容され、消費者が拒否する権利を持つという構造だ。ただしCPRA以降は16歳未満の個人情報、機微情報についてはオプトインに近い扱いが導入された。
罰則面でも違いが明確だ。GDPRは最大2,000万ユーロまたは全世界売上の4%という巨額の行政制裁金を課す。CCPAは民事制裁金が一件あたり最大7,500ドル(故意違反時)に留まるが、データ侵害時には消費者の集団訴訟が認められ、一件あたり100〜750ドルの法定損害賠償が請求できる。集団訴訟リスクが事実上の抑止力となっている。
他州法と日本企業への影響
CCPA以降、バージニア州VCDPA、コロラド州CPA、コネチカット州CTDPA、ユタ州UCPA等が次々と類似法を制定し、2024年時点で20州近くが州独自のプライバシー法を持つ。連邦統一法ADPPAも議論されているが成立には至っておらず、米国市場で事業展開する企業はマルチ州法対応が必要な状態が続いている。
日本企業への影響は、カリフォルニア州民向けのECサイト・SaaS・モバイルアプリを提供する全企業に及ぶ。日本国内の個人情報保護法(改正APPI)とは要件が異なるため、プライバシーポリシーの州別出し分け、削除・開示請求への30日以内対応窓口、第三者提供記録の保管などが必要だ。OneTrustなどのDSARツール導入が現実解となる。
まとめ
CCPAは米国プライバシー規制の出発点であり、CPRAによる強化を経て事実上の米国標準となった。GDPRよりも軽量だが集団訴訟リスクを背景に実効性が高く、20州以上に類似法が波及している。カリフォルニア州民を1人でも顧客に持つ日本企業は、Do Not Sell対応とDSARフローの構築を怠れば訴訟リスクに直面する。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント