つい先日、GoogleのアドセンスよりCCPAに関するメールが届きました。
CCPAとは(California Consumer Privacy Act / カルフォルニア州消費者プライバシー保護法)のことで、2020年の1月より執行されるようです。
アメリカ版のGDPRとも呼ばれるCCPAとは一体どのような法律なのでしょうか。詳しく見ていきたいと思います。GDPRの詳細については以前のGDPRについての記事を参照ください。
CCPAとはどのような法律なのか
CCPAの法律の詳細な適用条件などはJETROのCCPAの記事が参考になります。
CCPAの対象は
CCPAの対象企業はカルフォルニア州でビジネスを行い、下記のいずれかに合致する企業のようです。
- 年間の総収入(annual gross revenues)が2,500万ドル以上であること
- 5万人以上のカリフォルニア州民の個人情報を処理している
- カリフォルニア州民の情報を売却することで年間の収入の50%を得ている
ほぼグローバル展開しているアメリカ系の企業は全て対象ということですかね。。あとそれなりの規模の日本企業でアメリカ進出している場合も対象になります。
個人情報の範囲
CCPAでいう個人情報(Personal Information)とは、カリフォルニア州民または世帯について識別し、関連し、記載し、結び付け、直接または間接的に合理的にたどることができるあらゆる情報を指すと広く定義している。
例として、実名、仮名、電話番号、IPアドレス、メールアドレス、口座、社会保障番号、運転免許証、パスポート、商品・サービスの購入履歴、虹彩・網膜・指紋・掌紋・顔・声・DNAなどの身体的・生体的特徴を含む生体情報、ウェブサイトの閲覧・検索履歴、位置情報データ、職歴・学歴などが列挙されているが、これらに限定されない
よくでてくるやつですね。クッキーがないけどクッキーは個人情報出ないということでいいのでしょうか。サーバーのアクセスログだけでも個人情報は特定できないので、ブログなどのオーナーは関係さなそうですが、クレジットカード情報を扱うECサイトなどは基本的には対象になりそうですね。
企業の義務
対象となる企業の側からすると、まず情報を収集する時点またはプライバシーポリシーにおいて、過去12カ月間に収集、売却または開示された個人情報のカテゴリー、情報源、事業者が個人情報を共有する第三者、情報収集する全ての目的と情報の用途、過去12カ月の間に情報を売却した第三者のカテゴリー、情報の売却についてオプトアウトする方法を説明し、プライバシーポリシーを毎年更新しなければならない。
オプトアウトの方法としては、企業ホームページに「私の情報を売却しないで」という明確なリンクを設けることが例示されている〔なお、16歳未満の消費者の情報は原則として売却してはならないが、13歳以上16歳未満については消費者の、13歳未満については保護者の積極的な同意がある場合に限り、売却(オプトイン)することができる〕。
違反1件ごとの罰金に注意
消費者から情報の開示請求があった場合、事業者は45日以内に開示することが求められるが、これに対応できない場合、事業者は州司法長官から30日以内に違反を是正するよう通知を受ける可能性がある。
さらに、この通知後も違反が是正できない場合、消費者からの請求1件当たりの違反ごとに最大2,500ドル(故意だと認定される場合には最大7,500ドル)の罰金(民事罰)を科せられる可能性がある。
開示要求があった場合に、開示するってどうやってやるのでしょう。専用のシステムがないと難しいかもしれませんね。
感想
基本的にはGDPRのアメリカ版という通り、多くの企業はGDPRの対応をしていた場合、新たに対策する必要はなさそうです。
マーケティング 領域に限った話でいうと、広告配信の際にIPアドレスでどこの地域からのアクセスなのか判定し、EU圏内からであればデータ取得しない・ターゲティングしないなど、各社対策していると思いますが、CCPAの場合もアクセス元がアメリカ・カルフォルニアの場合は同様の対策をするだけでいいのではないかと思われます。
個人的に気になるにのはなぜカルフォルニア州だけなのかという点ですね。州単位に設定しなければいけないなんて、あまりに非効率なのでアメリカの他の州でも同様の法案が通るのであればCCPAと同じ基準にしないと、A州ではこれはOKだけど、B州ではNGになってしまし、各州ごとに独自ロジックを実装しなければいけなくなってしまいますね。サービスの本質的な価値向上に繋がらないことに必要以上にパワーをかけると本業にも影響しますから、とても論理的かつ、戦略的な判断を得意とするアメリカなので、それはないと思いますがどうなるでしょう。