7月1日執行開始 カリフォルニア州プライバシー権法(CPRA)とその規則の概要1
2023/04/15   海外法務, コンプライアンス, 情報セキュリティ, 個人情報保護法, 外国法

GBL研究所理事・CIPP/E　浅井敏雄^[1]

 

・米カリフォルニア州では, 2020年1月1日から企業に厳格な個人情報保護を義務付ける"California Consumer Privacy Act of 2018"(「カリフォルニア州消費者プライバシー法」)(CCPA)が施行されていたが, 更なるプライバシー保護強化のため, このCCPAを大幅に改正する"California Privacy Rights Act of 2020"(「カリフォルニア州プライバシー権法」)(CPRA)が本年(2023年)1月1日から施行されている。

・このCPRAに関する施行規則(以下「規則」または「CPRA規則」という)は, その制定が予定から大幅に遅れていたが, ついに本年3月29日正式に確定し即日発効した[2]。CPRA(以下「改正CCPA」ともいう)および規則の執行(州司法長官と新設のカリフォルニア州プライバシー保護庁が行う)は, 本年7月1日から開始される。なお, こちらから筆者によるCPRAと規則の全訳が入手できる。

・CPRAの適用を受ける企業(事業者)は, 遅くとも本年7月1日の執行開始までにCPRA・規則を遵守するための対応を完了させなければならない。

・必要な対応事項としては, 例えば, プライバシーポリシーの改訂／消費者に対する個人情報の収集時通知のし直し／Webサイトのリンク変更("Do Not Sell My Personal Information"リンクから"Your Privacy Choices"リンクへ)や, 個人情報の処理または業務委託先や個人情報の販売・共有先との所定の契約締結等がある。また, CCPAの執行において, ターゲティング広告だけでなく, サイト分析(analytics)用のサードパーティCookie等の利用がCCPA上の個人情報の「販売」に該当すること, また, 事業者はGlobal Privacy Control(GPC)シグナル(近年これを使用できるブラウザが増加している)に応じる義務があることが認定されているので, CPRAにおいてもこれらに対応する必要がある。

・更に, CPRAでは, 自社・他社従業員・役員の個人情報に関しCCPA上存在した一部適用除外が全て廃止されており, これらの個人情報についてもCPRA・規則の規定が全面的に適用される。従って, 例えば, 自社従業員等に対しCPRA・規則に従った収集時通知を行うこと等の対応が必要である。

・また, CPRAでは, CCPA上存在した30日間の是正猶予期間は, 保護庁・州司法長官いずれの執行についても廃止された。

・これらに加えて, 企業の対応の難易度を更に上げているのが, CCPA／CPRAに倣い他の州で成立したプライバシー法である。これら州法は, ネバダ州法(既に施行済み), バージニア州法(同), コロラド州法(2023年7月1日施行), コネチカット州法(同), ユタ州法(2023年12月31日施行)およびアイオワ州法(2025年1月1日施行)である。企業としては, 例えば, プライバシーポリシーにこれら各州民向けの内容も記載もしなければならないし, また, 一部CPRAより厳しい義務(機微データの処理には事前同意要)またはCPRAに先行する義務(例：データ保護評価, 一定のプロファイリングに対するオプトアウト権(拒否・停止請求権))もあるので, これらにも対応しなければならない。

・筆者は, 今月発売された「全解説CPRA　カリフォルニア州プライバシー権法(改正CCPA)」(以下「全解説」という)で, CPRAの概説(クイックガイド), CPRA・規則全規定の詳細解説, CPRA以外の連邦・州のプライバシー法の概説, プライバシーポリシー／消費者に対する収集時通知／Webサイトのリンク等の記載案・対応案等を紹介している。

・本稿(このシリーズ)では, 「全解説」第一部から抜粋し何回かに分けてCPRA・規則の概要を紹介する。

・なお, 以下において, (  )内の数字は条文番号, [  ]内の内容は筆者による補足・追記である。また, 下線または「＊」印が付けられている箇所はCCPA・CCPA規則からの主な改正(追加・変更・削除・明確化)部分である。以下において, CPRAと規則を総称して「CPRA」という場合がある。

【目　　次】 (各箇所をクリックすると該当箇所にジャンプする) 1. CPRA成立の背景 2. CPRAの基本概念   (以上今回解説。以下次回以降解説) 3. 事業者の一般的義務 4. 消費者に対する必要な情報開示 5. 消費者の権利 6. 消費者の権利行使(請求)方法 7. サービス提供者・契約業者の義務と契約 8. 販売・共有先の義務と契約 9. 事業者の研修義務／請求対応の記録・公表義務 10. CPRA違反に対する救済と制裁 11. GDPRおよび個人情報保護法との比較

 

1.  CPRA成立の背景

米国における初の包括的プライバシー法となった"California Consumer Privacy Act"(「カリフォルニア州消費者プライバシー法」)(CCPA)は, 加州の事業家・プライバシー活動家Alastair Mactaggart氏を含む加州住民が加州憲法に基づき住民提案したものが原案となっている。

この原案については, 当初, 2018年11月に州住民投票がなされることとなっていたが, 実際には, その直前に一部議員とMactaggart氏等が交渉し同原案を元にした法律案が州議会制定法として成立した。

しかし, このような経緯で成立したCCPAの内容は, Mactaggart氏等から見れば原案に比べ一部妥協・後退したものであったと思われる。また, CCPA施行前には規制反対派によるCCPA弱体化の動きもあった。

そこで, Mactaggart氏は, CCPAを改正すべく, "California Privacy Rights Act of 2020"(CPRA)を住民提案し, CPRAは2020年11月の州住民投票で過半数の賛成を得て州法として成立した。

その後, CPRAの施行規則も, 本来の制定期限である2022年7月1日を大幅に過ぎたものの, 漸く2023年3月29日に確定・発効した。

page top

2.  CPRAの基本概念

 

(1). 「消費者」

CPRAにおける「消費者」(consumer)とは, 同法によりその個人情報について保護を受ける主体であり, カリフォルニア州居住者である個人(自然人)を意味する。一般的な意味の(商品・サービスの)消費者に限らない。

従って, 購入者に限らず, 自社や他社の役員・従業員等も含まれる。

これら役員・従業員等の個人情報については, CCPA上は一部適用免除があった。しかし, CPRA上は, この適用免除はなく, 自社・他社の役員・従業員等の個人情報にも, 他の個人情報と同様, CPRAの全規定が適用される。＊

 

(2). 「個人情報」／「機微個人情報」

CPRA上, 「個人情報」(personal information)とは, 特定の消費者または世帯に関連付けできる情報を意味する。

すなわち, ある個人が特定されればその個人に関連付けが可能な情報は全て含まれる。

この定義においては, 特定の消費者または世帯に関連付けできる限りCookieも個人情報に該当する。

なお, Cookieとは, 企業のWebサイトやアプリ(以下「Webサイト」または「オンライン」と総称する)を運営するためのサーバ(コンピュータ)からユーザのパソコン, スマートフォン等にブラウザ, アプリ等を通じ自動的に書き込まれおよび読み込まれる識別子とこの識別子に紐づくデータまたはその仕組みを意味する。

Cookieは, WebサービスにユーザがIDやパスワードを毎回入力せずに利用できる等ユーザの利便性目的や, サイト閲覧等ユーザのオンライン上の行動履歴に基づくターゲティング広告目的等で企業・公的機関を問わず非常に広く利用されている。

なお, 本稿ではCookieおよびCookieと同様の他のテクノロジーを総称して「Cookie」という。

CPRAでは, 新たに, 「機微個人情報」(sensitive personal information)の概念が導入された。「機微個人情報」は, 社会保障番号／アカウントログイン／「高精度位置情報」(または「正確な位置情報」)(半径約564メートル以内で人の位置特定可能な情報)／人種／宗教／電子メール内容／遺伝／生体認証／性生活等に関する個人情報である。＊

 

 (3).「事業者」

CPRA上, CPRA上の主な被規制(義務)主体は「事業者」(business)である。

CPRA上「事業者」には4つの類型がある。

第1類型は, カリフォルニア州で事業を行う営利目的の法人・組織等であって以下のいずれかに該当する者である(140(d)(1))。

(a). 1月1日時点で前暦年の総収入が2,500万ドルを超える。

(b). 年間で, 消費者, 世帯またはデバイスを合算して10万以上についての個人情報を購入, 販売または共有する。

(c). 年間売上高の50％以上を個人情報の販売または共有から得ている。

(第１類型の事業者とCPRAの域外適用) 例えば, カリフォルニア州を含む米国居住者に対しオンラインで商品・サービスの提供を積極的にまたは反復継続的に行っているために「カリフォルニア州で事業を行う」の要件を満たし, かつ, 上記(a)～(c)のいずれかの数値要件を満たす日本企業は, 第１類型の事業者として, CPRAの域外適用を受ける可能性があると思われる。

第2の類型として, 「事業者」には, 第1の類型の事業者を支配しまたはこれに支配され, その事業者とブランドを共通にし, かつ, 平均的消費者が両者は共通の所有関係にあると理解する者が含まれる。

(第2類型の事業者とCPRAの域外適用)　例えば, 米国企業と会社名に共通のブランド名が含まれる日本の親会社は, その米国企業からカリフォルニア州居住者の個人情報の開示を受けていている場合には, CPRAの域外適用を受ける可能性があると思われる。

CPRAでは, 上記2類型の他に, CCPAにはなかった次の類型の事業者が新たに追加されている。

(a). 第3類型の事業者： 複数の「事業者」により構成される合弁事業体またはパートナーシップであって, 各「事業者」が40％以上の持分を有するもの。＊

(b). 第4類型の事業者：　第1～第3類型の事業者以外の, カリフォルニア州で事業を行っている者であって, カリフォルニア州プライバシー保護庁(「保護庁」)に対し自ら任意でCPRAに従うことおよびこれに拘束されることを保証・証明(certify)した者[例：中小企業]。＊

 

 (4). 「サービス提供者」／「契約業者」

CPRA上, 「サービス提供者」(service provider)とは, 「業務目的」(後述)のために消費者の個人情報を受領し, 事業者に代わりその個人情報を処理する者を意味する。

CPRA上, 「契約業者」(contractor)とは, 事業者との契約書に従い, 事業者が「業務目的」で消費者の個人情報を利用可能にする者を意味する。

サービス提供者と契約業者は, いずれも「業務目的」で消費者の個人情報を受領する点で共通するが, サービス提供者が事業者に提供するサービスは個人情報の処理であるのに対し, 契約業者のそれは個人情報の処理以外のサービスである点で相違する。

サービス提供者としては, 例えば, 事業者が「非パーソナライズ広告」(業務目的に該当)を委託する委託先が考えられる。

一方, 契約業者としては, 例えば, 事業者が消費者から注文を受けた商品の配送(業務目的に該当)を委託する宅配業者が考えられる。

サービス提供者または契約業者に該当し得る者であっても, 事業者との間に所定の契約を締結していること等の要件を満たさない場合には, サービス提供者または契約業者ではなく「サードパーティ」とみなされる。

 

 (5).「サードパーティ」／「ファーストパーティ」

CPRA上, 「サードパーティ」(第三者)(third party)とは, 消費者が自分の意思で「やりとり」(ineteract)している相手方であってその消費者との現在のやりとりの一環でその消費者から個人情報を収集する事業者(この者を「ファーストパーティ」という), その事業者にとってのサービス提供者もしくは契約業者, いずれにも該当「しない」者を意味する。

Cookieの例で言えば, インターネットユーザが現在閲覧・操作(やりとり)しているWebサイトの運営者がファーストパーティであり, そのWebサイトを通じそのユーザに対しサードパーティCookieを発行する者がサードパーティである。

 

 (6). 個人情報の「販売」／「共有」

CPRA上, 個人情報の「販売」(sale)とは, 事業者が「サードパーティ」に何らかの経済的利益(何らかのサービスの提供を受けることを含む)との交換で個人情報を開示すること(利用可能にすること等を含む。本稿において同じ)を意味する。

従って, CPRA上の「販売」の範囲は広く, 例えば, カリフォルニア州司法長官が提起した訴訟の和解判決では, Webサイトの分析(analytics)用のサードパーティCookieによるCookieデータの外部開示が「販売」に該当すると認定されている(2022年8月24日セフォラ事件和解判決)。

その他のサードパーティCookieによるCookieデータの外部開示も, 営利企業である事業者が行う以上, 何らかの経済的利益その他価値あるものとの交換で行われるとみなされ得るので, 「販売」に該当する可能性があると思われる(但し開示先がサービス提供者または契約業者の要件を満たす場合は「販売」から除外)。

CPRA上, 個人情報の「共有」(share)とは, 事業者がサードパーティに「クロスコンテキスト行動広告」(サイト横断的行動履歴に基づくターゲティング広告)のために消費者の個人情報を開示することを意味する。＊

要するに, 「共有」とは, サードパーティCookieによるターゲティング広告に伴うCookieデータの外部開示である。

なお, 事業者からサービス提供者または契約業者への業務目的での個人情報の開示は, この「販売」・「共有」いずれにも該当せず, 従って, 消費者のオプトアウト権の対象外とされる。

 

 (7).「業務目的」／「商業目的」

CPRA上, 「業務目的」(business purpose)および「商業目的」(commercial purposes)は, 以下のように用いられている概念である。

(i). 消費者の開示請求権の対象項目としての個人情報処理の「業務または商業目的」(業務目的または商業目的)

(ii). プライバシーポリシーでの記載事項としての個人情報処理の「業務または商業目的」

(iii). 事業者から契約業者およびサービス提供者に対する消費者の個人情報の開示目的としての「業務目的」

このうち, 最も重要なことは, 上記(iii)の通り, 事業者からサービス提供者・契約業者への個人情報の開示の目的は「業務目的」に限定されるということである。

そして, その「業務目的」に限定されていることを条件として, 事業者からサービス提供者・契約業者への個人情報の開示は, 個人情報の「販売」または「共有」から除外される。

例えば, 「クロスコンテキスト行動広告」は「業務目的」に該当せず, 「クロスコンテキスト行動広告」目的での他者への個人情報開示は「共有」に該当するが, 「非パーソナライズ広告」は「業務目的」とされており, その目的での事業者からサービス提供者・契約業者への個人情報の開示は個人情報の「販売」または「共有」から除外される。

「業務目的」および「商業目的」については, CPRA・規則に非常に複雑・難解な定義・例示があるが, 要するに以下のように考えることができる。

「業務目的」とは, その目的での個人情報の開示であれば個人情報の「販売」・「共有」から除外され得る, 個人情報の限定的な開示目的を意味する。

「商業目的」とは, 商取引上・経済上の利益を図る目的を意味する。

事業者は基本的には営利企業なのでその個人情報の処理は原則として商業目的と解される。

「商業目的」と「業務目的」の関係(例えば「商業目的」は「業務目的」を除く概念なのか)は判然としないが, 上記(i)・(ii)のような規定では「業務または商業目的」とされており, この場合には, 両者を区別せず単に個人情報の処理目的と理解して対応すれば足りる。

page top

以　上

【注】

 

[1] 【本稿の筆者】 一般社団法人GBL研究所理事／IAPP CIPP/E (Certified Information Privacy Professional/Europe)／UniLaw企業法務研究所代表 浅井敏雄(Facebook)

[2] 【CPRA規則の最終確定・発効】 (参考)　カリフォルニア州プライバシー保護庁(CPPA)のWebサイト"California Consumer Privacy Act Regulations"参照。CPRA規則テキスト(過去の規則案からの修正履歴付き)