本年施行バージニア・コロラド・コネチカット・ユタ各州プライバシー法の概要と対応
2023/07/11   海外法務, 情報セキュリティ, 個人情報保護法, 外国法

浅井敏雄[1]

米国では、"California Consumer Privacy Act of 2018"(「カリフォルニア州消費者プライバシー法」)（「CCPA」）を大幅に改正する"California Privacy Rights Act of 2020"(「カリフォルニア州プライバシー権法」)(以下この改正CCPAを「CPRA」という)が本年(2023年)1月1日から施行されその執行も7月1日から開始された（但し、CPRA規則に規定されている部分については現時点では執行延期命令が出ている。その内容・影響については後述I参照）。

そして、このCPRAに続き、カリフォルニア州以外の州でも包括的なプライバシー法が続々と制定されている。その中でも、以下に挙げたバージニア・コロラド・コネチカット・ユタの四州のプライバシー法(以下総称して「四州」・「四州法」)は本年2023年中に既に施行されまたは施行予定となっており、関係企業はCPRAだけでなく四州法も遵守しなければならない。

(i) バージニア州の消費者データ保護法(Consumer Data Protection Act)(以下「VCDPA」)： 2023年1月1日施行。

(ii) コロラド州プライバシー法(Colorado Privacy Act)(以下「CPA」)： 2023年7月1日施行。

(iii) コネチカット州の個人データプライバシーおよびオンラインモニタリング法(An Act Concerning Personal Data Privacy and Online Monitoring) (別名"Connecticut Data Privacy Act")(以下「CTDPA」)： 2023年7月1日施行。

(iv) ユタ州消費者プライバシー法(Utah Consumer Privacy Act)(以下「UCPA」)： 2023年12月31日施行。

そこで、本稿では、項目ごとに、最初にCPRA（CPRA規則を含む)の内容を簡単に説明した後、CPRAと比較しつつ、四州法の内容を概説し、また、各州法の間で相違がある中で実務上どう対応するかについても検討する。

なお、四州法の中ではコロラド州のCPAについてのみその規則（コロラド州プライバシー法規則：Colorado Privacy Act Rules：2023年7月1日施行）(以下「CPA規則」)があり、CPAについてはCPA規則の内容を含め解説する。

【目　　次】(各箇所をクリックすると該当箇所にジャンプする) I.     CPRA規則の執行延期命令の内容と企業対応への影響 II.    四州法の概要（CPRAとの比較において） 1.    保護対象者（「消費者」） 2.    保護対象情報（「個人データ」／「機微データ」） 3.    主たる法適用対象者(被規制対象者) 4.    個人データの「販売」の意味 5.    「ターゲティング広告」の意味 6.    消費者への情報開示(収集時通知、Privacy Policy/Notice) 7.    オプトアウト・制限請求のリンク・シグナル等 8.    消費者の権利 9.    消費者の権利への対応期限 10.      処理者との契約／処理者の義務 11.      販売・共有先との契約 12.      その他の義務 13.      私的訴権 14.      執　行

本稿のPDF

I.  CPRA規則の執行延期命令の内容と企業対応への影響

 CPRA上、CPRA規則は2022年7月1日までに制定されることとなっており、従って、CPRA執行開始日の2023年7月1日まで関係企業には本来1年間の猶予が与えられていた筈である。ところが、実際にはCPRA規則は本年2023年3月29日に最終確定した。このようなことから、カリフォルニア州商工会議所は、カリフォルニア州サクラメント郡上級裁判所に対し、CPRAとCPRA規則の執行延期を申立てていた。

これに対し、裁判所（第1審）は、本年2023年6月30日、カリフォルニア州プライバシー保護庁(以下「保護庁」)に対し、CPRA規則の執行を、同規則が最終確定した本年2023年3月29日の1年後の2024年3月29日まで延期することを命令した。従って、本件命令が確定すれば、CPRA規則の執行開始は2024年3月29日からとなる。

しかし、CPRA（改正CCPA）自体は本命令の対象ではなく2023年7月1日より既に執行可能となっている。従って、関係企業は、CPRA規則がなくてもCPRAだけで内容が確定可能な、CPRA上の多くの義務に関し、現時点で執行を受ける可能性がある。

また、CPRA規則のほとんどは、CPRA上の義務の履行または判断上の具体的基準であるから、仮に同規則の執行が延期されるとしても、企業は同規則に従うことが賢明・適切である。

更に、四州法との関係で言えば、CPRA規則を含むCPRAの遵守を四州にも同様に適用すれば四州法上の多くの義務の遵守をカバーできるから、仮に同規則の執行が延期されるとしても、企業は同規則に従うのが賢明・適切である。また、既に執行されているCPA規則にCPRA規則と同趣旨の規定が多数含まれている。

従って、結局のところ、企業は、CPRA規則の執行が延期されるか否かにかかわらず、同規則に従うことが必須または賢明と思われる。

なお、本件命令がそのまま確定するか、保護庁の対応等については、今後の動向（2023年7月14日に予定されている保護庁理事会の会合後に何らかの動き・表明がある可能性がある）を注視する必要がある。

page top

II.  四州法の概要（CPRAとの比較において）

 

1.  保護対象者（「消費者」）

 CPRAの保護対象者は、「消費者」(consumer)と呼ばれ、カリフォルニア州の居住者である個人とされている。従って、従業員、取引先担当者等の個人データもCPRAの適用対象となっている（従来の適用免除は全て廃止されている）。

 

これに対し、四州法とも、その保護対象者は、CPRAと同様に「消費者」(consumer)と呼ばれているが、その定義は、CPRAとは異なり、個人または世帯としてのみ行動する各州の居住者である個人である。従って、CPRAと異なり、従業員、取引先担当者等の個人データは四州法の適用対象外である。

 

＜実務対応＞従って、企業は、カリフォルニア州内に勤務する従業員に対しては、プライバシーポリシーの提供や権利行使への対応が必要だが、四州を含む他州に勤務する従業員に対しては不要ということになりそうである。しかし、それでは全米各地に従業員を有する企業では、勤務地による従業員取扱いの差が生じること、また、同じ米国内で別々の対応を行うことも煩雑であることから、実務上は米国内全従業員に対し一律で最もプライバシー保護に厚いCPRA・CPA等を基準として対応することが考えられる。

 

【四州法の主な関連規定】 VCDPA：59.1-571／CPA：6-1-1303(6)／UCPA：13-61-101(10)／CTDPA：Sec.1(7)

page top

2.  保護対象情報（「個人データ」／「機微データ」）

【個人データ】

CPRAの保護対象情報は「個人情報」(personal information)と呼ばれ、その定義は、特定の消費者もしくは世帯を／に識別・特定し・合理的に関連付け紐づけ可能な情報である。この「個人情報」には、公開情報(publicly available information)／公衆全体の関心事である真実の情報であって適法に入手されたもの／非識別化された消費者情報・集合消費者情報(deidentified or aggregate consumer information)は含まれない。

 

これに対し、四州法とも、保護対象情報は、CPRAの「個人情報」(personal information)ではなく、GDPRと同様、「個人データ」(personal data)と呼ばれ、その定義は、特定されたまたは特定可能な自然人に紐付けられたまたは合理的に紐付け可能な情報である。四州法共通で、「個人データ」から「非識別化データ」(de-identified data)および「公開情報」(publicly available information)が除外されている。従って、四州法上の「個人データ」は、CPRA上の「個人情報」と実質上はほぼ同じと考えられる。

 

【機微データ】

 CPRAでは、特別な取扱いを要する個人情報を「機微個人情報」(sensitive personal information)と呼び、これには、GDPR(9)上の「特別カテゴリーの個人データ」(special categories of personal data)がほぼ全部含まれ、その他に、社会保障番号／アカウントログイン情報／高精度位置情報(precise geolocation)(*)等が含まれる。(*)半径1,850フィート以内で消費者の位置を特定するためのデータ。

 

これに対し、四州法とも、特別な取扱いを要する個人データは「機微データ」(sensitive data)と呼ばれている。

VCDPAでは、機微データの内容は、GDPR(9)の「特別カテゴリーの個人データ」とほぼ同様の次のような個人データであり、CPRAの機微個人情報に含まれる他の個人情報は含まれていない。

- 人種／民族的出自／宗教上の信仰／心身の健康診断／性的指向／市民権・移民の地位を示す個人データ、遺伝データまたは生体データで個人識別目的のもの／子供(13歳未満)と分かっている者（a known child)から収集された個人データ／高精度位置情報(precise geolocation)(*)を含む個人データ。　(*)半径1,750 フィート以内で個人の位置特定可能な情報。

CPA／UCPA／CTDPA上の「機微データ(sensitive data)」もほぼ同様である（但しUCPAでは子供(13歳未満)と分かっている者から収集された個人データは含まれていない）。なお、CPA規則によれば、「機微データ(sensitive data)」には、一般の個人データ（例：位置データ/Web閲覧データ）から推測される機微データ（例：健康状態/性的指向）も含まれ、この推測を「機微データ推測（Sensitive Data Inference）」と呼んでいる（CPA規則2.02定義）。

このように、CPRA上の機微個人情報と四州法上の機微データの範囲には共通点が多いが相違もある。

 

【四州法の主な関連規定】 VCDPA：59.1-571／CPA：6-1-1303(17)・(24), CPA規則2.02／UCPA：13-61-101(24)・(32), 13-61-302(3)／CTDPA：Sec.1(18)・(27), Sec.6(4)

page top

3.  主たる法適用対象者(被規制対象者)

【適用要件】

 CPRAの主たる法適用対象者(被規制対象者)は、「事業者」(businesses)であり、その第1の類型の事業者は、単独でまたは他の者と共同して消費者の個人情報の処理の目的および手段を決定し、州内で事業を行う者であって、かつ、以下のいずれかの基準を満たす者である。

(i) 前暦年の年間総収入が 2,500万ドル超であること。

(ii) 年間で10万人の消費者・世帯の個人情報を購入・販売・共有すること。

(iii) 年間総収入の50%以上を個人情報の販売・共有から得ていること。

 

これに対し、VCDPAの法適用対象者(被規制対象者)は、州内で事業を行いまたは州の居住者を対象に製品もしくはサービスを提供する者であって、かつ、以下のいずれかの要件を満たす者である。

a) 一暦年で10万人以上の消費者の個人データを管理・処理すること。

b) 2万5千人以上の消費者の個人データを管理・処理し、かつ、個人データの販売から総収入の50%超を得ていること。

CPAとCTDPAでも、VCDPAとほぼ同様のまたは類似した適用要件であるが、UCPAにおいては、上記a)またはb)の他、その前提として、年間収益が2,500万ドル以上という要件が必須要件となっている。

 

CPRAでは、第1類型の事業者とブランドが共通の親子会社(外国企業も含まれ得る)等、他に三類型の適用対象者があるが、四州法にはそのような他の類型の適用対象者はない。但し、四州法においても、上記下線部分の「州の居住者を対象に製品もしくはサービスを提供する」という要件充足により、外国企業も四州法の域外適用を受け得ると考えられる。

 

＜実務対応＞上記の通り、CPRAと四州法の法適用対象者(被規制対象者)の要件は異なり、州ごとにプライバシー法による保護の有無が異なることにはなる。しかし、それでは、特に個人の消費者向けサービス・商品を扱う事業者の場合、消費者の所在地により取扱いの差が生じてしまい、また、同じ米国内で別々の対応を行うことも煩雑である。また、対象消費者数等により各州プライバシー法適用の有無が変動し、そのチェックも煩わしい。従って、既にCPRAの適用を受けているのであれば、実務上は、他の米国のどの州についても、プライバシー法の有無や法適用の有無を問わず、同等のプライバシー保護を行うことも考えられる。

 

【法適用対象者(被規制対象者)の呼称】

四州法では、GDPRと同様に、以下のような「管理者」と「処理者」の用語・定義があり、それらの者が四州法上の義務主体となっている。

(i)「管理者」(controller)：単独でまたは他の者と共同で個人データの処理の目的と手段を決定する者。

(ii)「処理者」(processor)：管理者に代わり個人データを処理する者。

上記のうち、「処理者」は、CPRA上の「サービス提供者」(事業者に代わり個人情報を処理する者)とほぼ同じ意味と考えられる。一方、四州法では、CPRAにおける「契約業者」(contractor)に相当する用語・概念は規定されていない。

 

【四州法の主な関連規定】 VCDPA：59.1-572, 59.1-571／CPA：6-1-1304(1), 6-1-1303(7)・(19)／UCPA：／CTDPA：59.1-572, Sec.1(8)・(21)

page top

4.  個人データの「販売」の意味

CPRAでは、個人情報の「販売」を、金銭その他価値あるものとの交換で個人情報をサードパーティに提供することと広く定義し、消費者に個人情報の販売へのオプトアウト権を与えている。従って、CPRA上の「販売」の範囲は広く、例えば、Webサイトの分析(analytics)用のサードパーティCookieによるCookieデータの外部開示も「販売」に該当すると認定されている（2022年8月24日セフォラ事件和解判決）。但し、サービス提供者／契約業者への提供は、個人情報の「販売」から除外されている。

 

これに対し、四州法でも、CPRAと同様、個人データの「販売」に対し消費者にオプトアウト権を与えている。

但し、VCDPAとUCPAでは、個人データの「販売」の定義は、金銭的対価との交換で個人データをサードパーティに提供することとされ、CPRAよりも狭い意味となっている。

一方、CPAとCTDPAではCPRAと同様であり、個人データの「販売」の定義は、金銭その他の価値あるものとの交換で個人データをサードパーティに提供することとされている。

四州法共通で、個人データの「販売」から除外されるものとして、個人データの、①処理者への開示、②消費者が要求した製品・サービスを提供する目的でのサードパーティへの開示、および、③関連会社(affiliate)への開示が挙げられている。上記①は、CPRAにおけるサービス提供者への開示の除外、②は、同じく契約業者への開示の除外に相当すると考えられるが、CPRAでは③に相当する除外はないのに対し、四州法では③により関連会社(affiliate)への開示も「販売」(従って、そのオプトアウト権の対象)から除外されている。

「関連会社」(affiliate)とは、VCDPAでは、他の法人を支配(control)し、他の法人に支配されもしくは他の法人と共通の支配下にあり、または、他の法人と共通のブランドを共有する法人を意味し、その「支配」とは50％超の議決権を意味すること等とされている。UCPA・CTDPAでもほぼ同様であるが、CPAでは、ブランド共有の要件がないこと、議決権割合が25%超であること等の相違点がある。

 

【四州法の主な関連規定】 VCDPA：59.1-571／CPA：6-1-1303(23)／UCPA：13-61-101(31)／CTDPA：Sec.1(26)

page top

5.  「ターゲティング広告」の意味

CPRAでは、「クロスコンテキスト行動広告」を、消費者が自らの意思でやりとりしている(interacts)以外の複数の事業者・サイト・アプリ・サービスでの行動から得られた個人情報に基づき行われる行動ターゲティング広告と定義し、その上で、「共有」を「クロスコンテキスト行動広告」のためのサードパーティへの個人情報の開示と定義し、消費者に個人情報の共有へのオプトアウト権を与えている。

 

一方、VCDPAでは、「ターゲティング広告」(Targeted advertising)を、消費者の嗜好・関心を推測するために、消費者の経時的／非関連の(nonaffiliated)サイト・アプリでの横断的行動から収集した個人データに基づき選択して行われる広告と定義しており、その上で、消費者に「ターゲティング広告」目的での個人データの処理へのオプトアウト権を与えている。これは、CPA／UCPA／CTDPAでもほぼ同様である。従って、四州法上のターゲティング広告目的での処理はCPRA上の共有と実質的に同じで、それぞれに対するオプトアウト権も実質的に同じと言える。

 

【四州法の主な関連規定】 VCDPA：59.1-571／CPA：6-1-1303(25)／UCPA：13-61-101(34)／CTDPA：Sec.1(28)

page top

6.  消費者への情報開示(収集時通知、Privacy Policy/Notice)

【収集時通知の要否】

 CPRAでは、個人情報の取り扱いに関し、消費者への情報開示として、事業者は、個人情報収集の時・場所またはその前に以下の事項の通知(「収集時通知」)を行うべきことが規定されている。

(i) 収集する個人情報／機微個人情報のカテゴリー

(ii) 収集・利用の目的

(iii) 販売・共有の有無

(iv) 保持予定期間(または期間決定基準)

(v) 販売・共有オプトアウト権通知へのリンク(またはそのWebページの情報)

(Vi) Privacy Policyへのリンク(またはそのWebページの情報)

 

これに対し、四州法では、CPRAのように、個人情報収集の時・場所またはその前で通知を行うべきことまでは規定されていない。

 

【Privacy Policy/Notice】

 更に、CPRAでは、収集時通知とは別に、Privacy Policyで、大要以下の事項を公表すべきことが規定されている。

(i) 過去12ヶ月間に収集した個人情報のカテゴリー(CPRAの定義にある用語を用いて記述)／その情報源のカテゴリー／収集目的。

(ii) 過去12ヶ月間に個人情報を販売・共有した場合には, その個人情報のカテゴリー／販売・共有先のカテゴリー／販売・共有目的。

(iii) 16歳未満消費者の個人情報を販売または共有することを現に認識しているか否か。

(iv) 過去12ヶ月間に業務目的でサードパーティに開示した個人情報があるか否か。ある場合にはその個人情報のカテゴリー／開示先のカテゴリー／その開示目的。

(v) 機微個人情報を所定の目的外で利用または開示するか否か。

(vi) 以下の消費者の権利内容に関する説明。

a. 知る権利(開示請求権)。

b. 削除請求権。

c. 訂正請求権。

d. 販売・共有オプトアウト権。

e. 機微個人情報の利用・開示制限権。

f. CPRA上の権利行使を理由に差別的扱いを受けない権利(従業員等が報復されない権利を含む)。

(vii) 以下の事項を含め, 消費者の権利行使手続と, 権利行使の結果についての説明。

a. 各権利の行使方法の説明。

b. 各権利に基づく請求手続／オンライン請求フォームまたはポータルを用意する場合はそれらへのリンク。

c. 販売・共有オプトアウト権に関する通知内容または"Your Privacy Choices"リンク(*)。

d. 機微個人情報の利用・開示制限権に関する通知内容または"Your Privacy Choices"リンク。

e. 開示／削除／訂正の各請求における本人確認手続。

f. オプトアウト設定シグナルに応じること／消費者によるシグナル利用方法。

g. 委任代理人による請求手続。

h. 16歳未満の消費者の個人情報の販売についての同意手続。

i. 問合せ窓口。

(viii) Privacy Policyの最終更新日。

(ix) 1暦年で１千万人以上の消費者の個人情報を購入等する事業者に該当する場合, 規則上公開が要求される前年の消費者からの請求とその対応の件数等の情報(指標)または当該情報へのリンク。

(*)　事業者は, "Do Not Sell or Share My Personal Information"リンクと"Limit the Use of My Sensitive Personal Information"リンクの代わりに, "Your Privacy Choices"または"Your California Privacy Choices"リンクを用いても構わないとされている。このうち, 大多数の企業が, "Your Privacy Choices"リンクを選択すると予想されるので, 以下, このリンクが使われることを前提とする。

 

これに対し、四州法のうちVCDPA／CTDPA／UCPAでは、CPRAにおけるPrivacy Policyと同様のものと考えられるPrivacy Noticeにおいて、以下の事項を開示すべきことが規定されている（下線部分はCPRAでは要求されていない事項）。

(i) 処理する個人データのカテゴリー

(ii) 処理目的

(iii) 消費者の権利行使方法(消費者の請求に関する管理者の対応に対し消費者が異議申立する方法を含む)

(iv) サードパーティと個人データを共有する場合にはその個人データのカテゴリーとサードパーティのカテゴリー

(v) 個人データの販売とターゲティング広告目的での個人データに対するオプトアウト方法の説明(明確かつ目立つように開示)

 

一方、コロラド州のCPA規則(6.02)では、Privacy Noticeにおいて以下の事項を開示すべきことが規定されている（下線部分はCPRAでは要求されていない事項）。

(a) 処理する個人データのカテゴリー（子供の個人データまたは他の機微データが処理されるか否かを含む）

(b) 処理目的

(c) 個人データが、ターゲティング広告、または、消費者に法的効果またはそれと同様に重大な効果をもたらす意思決定を促進するプロファイリング(以下単に「プロファイリング」)のために販売・利用されるか否か

(d) サードパーティに販売・共用する個人データのカテゴリー

(e) 上記サードパーティのカテゴリー

(f) 管理者が融資・住宅・保険・教育・刑事・雇用・医療・必須商品・サービス等の提供・拒否を意思決定するためのプロファイリングを行う場合には以下の情報：— 当該意思決定の内容／処理対象個人データのカテゴリー／プロファイリングのロジック／プロファイリングが意思決定上どのように利用されるか（人間関与を含む）／プロファイリングのシステムの正確性・公平性・偏りの評価の有無・結果／当該意思決定の利点と潜在的影響／消費者によるプロファイリングのオプトアウト方法

(f) 消費者の権利(データ権：Data Rights)のリスト

a. アクセス権（データ・ポータビリティ権を含む）

b. 訂正請求権

c. 削除請求権

d. ターゲティング広告／個人データの販売／消費者に法的効果またはそれと同様に重大な効果をもたらす意思決定を促進するプロファイリング、の各目的での処理に対するオプトアウト権

(h) データ権行使（請求）方法：2以上の方法を指定・そのうち一つはWebフォーム等Webサイトからの請求方法。消費者・代理人本人確認手続、オプトアウト権行使のための"Your Privacy Choices"等のリンク等を含める。2024年7月1日以降は、所定のユニバーサル(一括)オプトアウト手段[ほぼCPRAのオプトアウト設定シグナルやGPCと同様のものと考えられる]によるオプトアウト請求への対応方法を含める。

(i) 13歳以上の消費者の機微データの推測（Sensitive Data Inferences）結果を24時間以内に削除する場合（後述12）には当該推測の内容とその保存と削除の流れ（タイムライン）

(j) 管理者の連絡先

(k) 消費者の請求に関する管理者の対応に対し消費者が異議申立する方法

(l) プライバシー通知最終更新日

 

＜実務対応＞プライバシーポリシーを以下のような内容・構成とすることが考えられる。①全米向け共通情報、②カリフォルニア州居住者向け追加情報、③四州居住者向け追加情報（CPRAのPrivacy Policyの相当する記載事項の引用による記載＋上記下線部分についての追加記載）、④（GDPRの域外適用を受ける場合）欧州居住者向け追加情報

 

【四州法の主な関連規定】 VCDPA：59.1-574(C)・(D)／CPA：6-1-1308(1), CPA規則(4.02, 6.02, 6.03, 9.03, 6.10)／UCPA：13-61-302／CTDPA：Sec. 6(c)

page top

7. オプトアウト・制限請求のリンク・シグナル等

 CPRAでは、事業者に対し、以下の事項が義務付けられている。

(i) 販売・共有オプトアウトと制限請求に関し、Webサイト上に、"Do Not Sell or Share My Personal Information"リンクと"Limit the Use of My Sensitive Personal Information"リンク、または、この二つを統合した単一リンク（例："Your Privacy Choices"リンク）を設置し、そのリンク先Webページにオンライン請求フォームを含めること。

(ii) 販売・共有オプトアウトに関しオプトアウト設定シグナルに応じること。

 

これに対し、VCDPA／UCPAでは、個人データの販売／ターゲティング広告／（およびVCDPAでは）プロファイリングのための処理をオプトアウトする方法を明確かつ目立つように開示しなければならないとのみ規定され、リンクとシグナルについては言及がなく義務付けまではされていない。

一方、CPA・CPA規則では、以下のように規定されている。

a) 管理者は、個人データの販売／ターゲティング広告のための処理をオプトアウトする方法については、プライバシー通知の外で、明確で目立ち容易にアクセスできる場所に、直接にまたはリンクを設置して開示しなければならない。

b) 融資・住宅・保険・教育・刑事・雇用・医療・必須商品・サービス等の提供・拒否を意思決定するためのプロファイリングをオプトアウトする方法については、そのプロファイリング目的の個人データ処理の発生時または発生前に明確で目立つ方法を提示しなければならない。

c) 上記a),b)の方法としてリンクを使用する場合、リンク名称を"Your Privacy Choices"等としリンクの目的が明確に理解できるようにしなければならない。

d) 管理者は、2024年7月1日前までは、消費者の選択により、所定のユニバーサル(一括)オプトアウト手段[ほぼオプトアウト設定シグナルやGPCと同様のものと考えられる]を通じオプトアウトさせることができる。

e) 管理者は、2024年7月1日以降は、消費者がユニバーサル(一括)オプトアウト手段によりオプトアウトできる(すなわち、管理者が同手段によるオプトアウトに応じる)ようにしなければならない。

 

一方、CTDPAでは、以下のように規定されている。

(i) 管理者は、Webサイトにはっきりと目立つリンクを設置し、そのリンク先ページから個人データのターゲティング広告目的での処理または販売をオプトアウトできるようにしなければならない。

(ii) 2025年1月1日までに(すなわち同日以降は)、消費者の同意を得て、プラットフォーム等から管理者に送信される所定のオプトアウト設定シグナルにより、これらをオプトアウトできる(すなわち、管理者がオプトアウト設定シグナルによるオプトアウトに応じる)ようにしなければならない。

 

＜実務対応＞上記の通り、CPRAと四州法の間では、オプトアウト・制限請求のリンクやオプトアウトのシグナルに関する事業者・管理者の義務の有無・内容・対象・実施時期等が異なるが全く別々の対応は煩わしいので可能な限り対応を共通化したい。また、オプトアウトのシグナルに関してはそもそも別々の対応が困難と思われる。そこで、企業の実務的対応策としては以下のようにすることが考えられる。

<オプトアウト・制限請求のリンク>：CPRAと四州法について、共通の"Your Privacy Choices"リンクを設置しそのリンク先Webページにオプトアウト・制限請求用の共通のオンライン請求フォームを設け、居住州の入力、行使する権利の種類の選択、具体的権利・請求内容の入力等をさせてオプトアウト・制限請求に対応する。（※）

<オプトアウト設定シグナル（ユニバーサル(一括)オプトアウト手段を含む）>：シグナルが発信された州がどこかを問わず、米国内からの発信であればオプトアウトに応じる。

 

【四州法の主な関連規定】 VCDPA：59.1-574(D)／CPA：6-1-1306(1)(a), CPA規則4.03／UCPA：13-61-302(b)／CTDPA：Sec. 6(e)

page top

8.  消費者の権利

CPRAでは、消費者に対し以下の権利が与えられている。

(i) 知る権利(開示請求権)（データ・ポータビリティ権を含む）。

(ii) 削除請求権。

(iii) 訂正請求権。

(iv) 販売・共有オプトアウト権。

(v) 機微個人情報の利用・開示制限権(機微個人情報の利用を所定の目的での利用に制限する権利)。

(vi) CPRA上の権利行使を理由に差別的扱いを受けない権利(従業員等が報復されない権利を含む)。

 

これに対し、VCDPAでは以下の権利が消費者に与えられている。

a) アクセス権（データ・ポータビリティ権を含む）

b) 訂正請求権

c) 削除請求権

d) ターゲティング広告／個人データの販売／消費者に法的効果またはそれと同様に重大な効果をもたらす意思決定を促進するプロファイリング(*)、の各目的での処理に対するオプトアウト権

e) (権利行使を理由に消費者を差別することの禁止 — 管理者の義務)

 

これは、CPA／CTDPAでもほぼ同様であるが、UCPAでは、b)の訂正請求権と、d)の(*)プロファイリングに対するオプトアウト権がない。

四州法とも、CPRAにある、機微個人情報に係る制限権に相当するものはないが、後記12の通り、事業者に機微データの処理について消費者の同意を得または消費者にオプトアウトの機会を与えることが義務付けられている。

 

一方、CPRAでは、上記(*)のオプトアウト権に対応する、自動意思決定技術(プロファイリングを含む)の利用についてのアクセス権とオプトアウト権の内容を規則で定めることとなっているところ、その定めは現在未制定となっている。

 

＜実務対応＞オプトアウト・制限請求については前記7（※）の通り。知る権利・アクセス権／訂正請求権／削除請求権については、オプトアウト・制限請求用とは別に、アクセス・訂正・削除請求用の共通のオンライン請求フォームを設け、居住州の入力、行使する権利の種類の選択、対象個人情報・個人データの入力等をさせてアクセス・訂正・削除請求に対応する。

 

【四州法の主な関連規定】 VCDPA：59.1-573, 59.1-574.A-4／CPA：6-1-1306(1), 6-1-1308(6)／UCPA：13-61-201, 13-61-302(4)／CTDPA：Sec.4, Sec. 6.(5)

page top

9.  消費者の権利への対応期限

CPRAでは、事業者は、消費者の各権利に基づく請求の受領日から45暦日以内に対応しなければならず、必要な場合には更に45暦日間の延長が可能とされている。

 

四州法でも、管理者は、請求受領日から45日以内に対応しなければならず、必要な場合には更に45暦日間の延長が可能とされている。

 

＜実務対応＞CPRAと四州法共通で同様の対応期限でよい。

 

【四州法の主な関連規定】 VCDPA：59.1-573(B)／CPA：6-1-1306(2)／UCPA：13-61-203／CTDPA：Sec. 4(c)

page top

10.  処理者との契約／処理者の義務

 CPRAでは、事業者とサービス提供者／契約業者間で以下の事項を含む契約を締結すべきことが規定されている。

- 個人情報の販売・共有禁止／処理目的限定／目的外処理禁止／事業者との関係外での処理禁止／CPRA遵守／事業者の監督権／義務遵守不能通知／事業者の是正請求権／消費者からの請求への協力。

CPRAでは、更に、サービス提供者／契約業者が事業者の指示を遵守し、事業者によるCPRA遵守に協力すべきこと等も規定されている。

 

四州法でも、同様に、管理者と処理者(ほぼ、CPRAにおけるサービス提供者に相当する)との間で所定事項を含むデータ処理に関する契約を締結すべきこと、および、処理者が管理者の指示を遵守し、管理者による州法遵守に協力すべきこと等が規定されている。一方、四州法では、CPRAにおける「契約業者」(contractor)に相当する者との契約締結義務等は規定されていない。

VCDPAでは、管理者・処理者間の契約に規定すべき事項は、以下の通りであり、CPAとCTDPAもほぼ同様であるが、UCPAでは以下の事項のうち一部に限定されている。

- データ処理に関する指示／処理内容・目的／対象データの種類／処理期間／両当事者の権利義務／処理者の以下の義務：①処理者の個人データ処理担当者にその個人データについて秘密保持を課すこと、②サービス終了時に管理者の指示に従い全ての個人データを削除しまたは返却すること、③処理者の義務遵守を証明するために管理者の要求に応じ必要な情報を提供すること、④管理者（または管理者の指定する者）による[処理者の義務遵守]に関する評価を許可しこれに協力すること、または、処理者自ら独立第三者に評価を行わせその評価報告書を管理者に提出すること、⑤個人データ処理を他に再委託する場合にはその再委託先との間で、管理者・処理者間の契約と同様の契約を締結すること。

 

＜実務対応＞上記の事項のうち下線部分は、CPRAで要求されている事項だけでは必ずしも十分に網羅されない可能性がある。従って、企業が全米で通用するサービス提供者または処理者との契約のひな型を作成するのであれば、CPRAだけでなく上記下線部分の事項も網羅した契約を作成する必要があるであろう。

 

【四州法の主な関連規定】 VCDPA：59.1-575／CPA：6-1-1305(2)／UCPA：13-61-301／CTDPA：Sec. 7

page top

11.  販売・共有先との契約

CPRAでは、事業者と、個人情報の販売・共有先との間でも所定の契約を締結すべきことが規定されているが、四州法にはそのような規定はない。

 

＜実務対応＞企業がCPRAの適用を受ける場合、販売・共有先の所在地にかかわらず、上記の契約を締結しなければならない。

page top

12.  その他の義務

 【目的制限／セキュリティ確保／差別禁止】

 CPRAでは、事業者に以下のような義務を課している。

(i) 個人情報の収集の制限／目的による処理の制限。

(ii) 合理的セキュリティ確保義務。

(iii) 権利行使を理由とする差別禁止。

 

上記に関しては、四州法でも、ほぼ同様の義務が課されている。

 

＜実務対応＞CPRAと四州法共通でほぼ同様の対応をとる。

 

【四州法の主な関連規定】 VCDPA：59.1-574(A)／CPA：6-1-1308(2)-(4)／UCPA：13-61-302／CTDPA：Sec. 6.

 

【処理リスクの評価】

CPRAでは、事業者に対し、高リスク処理について、セキュリティ監査／リスク評価／カリフォルニア州プライバシー保護庁への評価提出を義務付けているが、現時点では、関連規則が未制定となっている。

 

これに対し、VCDPAでは、管理者に対し、ターゲティング広告／販売／消費者に損害を生じさせるプロファイリング／機微データ／消費者に危害を生じさせる処理等に関し、データ保護評価を行うこと、州司法長官からの請求に応じ評価を提出することを義務付けている。これは、CPAとCTDPAでもほぼ同様であるが、UCPAでは規定されていない。CPA規則(8.02, 9.06)にはデータ保護評価に関する非常に詳細・具体的な規定がある。

 

＜実務対応＞従って、現時点でも、州に関係なく、CPA規則に従った評価を実施・作成しておくべき。

 

【四州法の主な関連規定】 VCDPA：59.1-576／CPA：6-1-1309／UCPA：-／CTDPA：Sec. 8

 

【機微データ／子供の個人データの取り扱い】

CPRAでは、機微個人情報と子供について、以下のように取り扱っている。

(i) 消費者に機微個人情報の利用・開示について制限権を与え、事業者にこれに応じる義務を課す。

(ii) 子供(16歳未満)の個人情報の共有・販売に関し、事業者に子供(13歳未満は親・保護者)のオプトイン同意を得る義務を課す。

 

これに対し、VCDPA／CPA／CTDPAでは、機微データ（子供(13歳未満)と分かっている者から収集された個人データを含む）の処理について、事業者に対し、消費者(13歳未満と分かっている消費者については親・保護者)の事前同意を得る義務を課している。このうち、CPAでは、CPA規則(6.10-B)により、13歳以上の消費者の機微データの処理（機微データの推測を含む）について、一定の要件（処理目的が明らか、推測結果が24時間以内に削除されること、他に提供されないこと、他目的で処理されないこと等）を満たすことを条件として同意取得が免除されている。

CTDPAでは、更に、消費者の同意なく、消費者が13歳以上16歳未満の個人データをターゲティング広告目的で処理しまたは販売することを禁止している。

一方、UCPAでは、機微データ（子供(13歳未満)と分かっている者から収集された個人データを含まない）の処理について、事業者に、事前に消費者に明確な通知とオプトアウトの機会を提供すること、子供(13歳未満)と分かっている消費者については親・保護者の同意を得ること)を義務付けている。

 

＜実務対応＞以上より、CPRAと四州法共通で、16歳未満と分かっている者から収集された個人情報・個人データの共有・販売・ターゲティング広告目的での処理については、13歳未満の者については子供の親・保護者から、13歳以上16歳未満の者については子供本人の同意を得ることとすることが考えられる。

一方、その他の機微個人情報・機微データの処理については、(i)CPRAでは制限権の付与、(ii) VCDPA／CPA／CTDPAでは事前同意取得、(iv) UCPAではオプトアウトの機会提供と、ばらばらの対応とするか、全て事前同意取得にするかの選択肢があると思われる。

 

【四州法の主な関連規定】 VCDPA：59.1-574(A)／CPA：6-1-1308(7)／UCPA：13-61-302(3)／CTDPA：Sec. 6(a)(4)

 

【同意の要件】

CPRAでは、「同意」の定義は、言葉または明確な積極的行為等により、具体的に限定された目的のために自己の個人情報を処理することへの同意を示す、自由意思による、特定・個別の、必要な情報を与えられた上での明確な意思表示とされている。また、CPRA規則では、この定義をより具体化した、ダークパターンを用いて得られた同意の無効／同意の取得方法／選択の同等性等の同意に係る具体的条件が規定されている。

 

これに対し、VCDPAでは、「同意」の定義は、GDPRと同様、自由意思に基づく、特定・具体的で、情報を与えられた上での、曖昧さのない合意を示す明確かつ肯定的行為とされている。これは、CPAとCTDPAでもほぼ同様である。CPA規則では、上記CPRA規則と同様趣旨の同意に係る具体的条件が規定されている。

一方、UCPAでは、「同意」の定義は、自発的かつ情報を与えられた上での、曖昧さのない合意とされている。

 

CPRAおよび四州法間で、「同意」の定義等には上記の相違があるものの、実質的にはほぼ同様と考えられる。

 

＜実務対応＞「同意」の取得等の条件については、CPRAと四州法共通で、CPRA規則とCPA規則に定める具体的条件に従うのが適切であろう。

 

【四州法の主な関連規定】 VCDPA：59.1-571／CPA：6-1-1303(5), CPA規則7.03～7.09／UCPA：13-61-101(9)／CTDPA：Section 1(6)

page top

13.  私的訴権

CPRAでは、消費者には、特定の個人情報のセキュリティ義務違反による漏洩等に対し、違反1 件／消費者1人当たり100 ドル以上750 ドル以下の法定損害賠償または実損害の賠償請求と差止請求の提訴権(私的訴権)がある。

 

これに対し、四州法いずれでも、このような私的訴権は明確に否定されている。

 

【四州法の主な関連規定】 VCDPA：59.1-580／CPA：6-1-1311(1), 6-1-112／UCPA：13-61-402, 13-61-305／CTDPA：Sec.11

page top

14.  執　行

 

CPRAでは、CDPAの違反に対し、①カリフォルニア州プライバシー保護庁は行政処分として、②カリフォルニア州司法長官は裁判所に提訴の上、それぞれ、違反行為の差止と、違反1件について2,500ドル(但し故意または16歳未満消費者に係る違反の場合は7,500 ドル)以下の制裁金賦課を、それぞれ命令または請求することができる。なお、CPRAでは事業者による是正期間はない。

 

これに対し、四州法いずれにおいても、カリフォルニア州プライバシー保護庁のような専任機関および同機関による執行はなく、各州の司法長官(およびCPAでは州検察官)が、各州法の規定を執行する独占的な(exclusive)権限を有すとされ、裁判所に提訴の上、違反行為の差止と制裁金の賦課を請求することができる。但し、その制裁金の額と、是正期間に関しては、以下の通り四州法間で相違がある。

(i) VCDPA： 違反1件について7,500ドル以下の制裁金。30日間の是正期間がある。

(ii) CPA： コロラド州消費者保護法(Colorado Consumer Protection Act)に基づき、違反1件について20,000ドル以下の制裁金。60日間の是正期間がある(但し2025年1月1日以降是正期間廃止)。

(iii) UCPA： 違反1件について7,500ドル以下の制裁金。30日間の是正期間がある。

(iv) CTDPA： コネチカット州不公正取引慣行法に基づき違反1件について5,000ドル以下の制裁金。2024年12月31日までは60日間の是正期間がある。2025年1月1日以降は、州司法長官が是正期間を与えるか否かを所定事項を考慮して判断する。

 

【四州法の主な関連規定】 VCDPA：59.1-580／CPA：6-1-1311(1), 6-1-112／UCPA：13-61-402, 13-61-305／CTDPA：Sec.11

page top

以　上

 

 

[1] 【本稿の筆者】 UniLaw企業法務研究所代表 浅井敏雄／IAPP CIPP/E (Certified Information Privacy Professional/Europe)／一般社団法人GBL研究所理事