15 海外法務, 情報セキュリティ, 個人情報保護法, 外国法

2023年5月15日

GBL研究所理事・CIPP/E　浅井敏雄^[1]

・このシリーズでは, 本年(2023年)7月1日から執行開始される"California Privacy Rights Act of 2020"(「カリフォルニア州プライバシー権法」)(CPRA)(改正CCPA)およびその施行規則(以下「規則」または「CPRA規則」という)(両者を総称して「CPRA」という場合がある)について, 「全解説CPRA　カリフォルニア州プライバシー権法(改正CCPA)」(以下「全解説」という)第一部から抜粋し4回に分けてCPRA・規則の概要を紹介している。

・この第3回では, 消費者の権利／消費者の権利行使(請求)方法について解説する(第1回・第2回及び第1～3回のPDFはこちら)。

・なお, 以下において, ( )内の数字は条文番号, [ ]内の内容は筆者による補足・追記である。また, 下線または「＊」印が付けられている箇所はCCPA・CCPA規則からの主な改正(追加・変更・削除・明確化)部分である。

【目　　次】(各箇所をクリックすると該当箇所にジャンプする)

1. CPRA成立の背景

2. CPRAの基本概念 (以上第1回)

3. 事業者の一般的義務

4. 消費者に対する必要な情報開示　(以上第2回)

5. 消費者の権利

6. 消費者の権利行使(請求)方法　(以上今回第3回)

7. サービス提供者・契約業者の義務と契約

8. 販売・共有先の義務と契約

9. 事業者の研修義務／請求対応の記録・公表義務

10. CPRA違反に対する救済と制裁

11. GDPRおよび個人情報保護法との比較

5. 消費者の権利

CPRA上, 消費者は, 以下の権利を有する。

a. 知る権利(開示請求権)

b. 削除請求権

c. 訂正請求権

d. 販売・共有オプトアウト権

e. 機微個人情報の利用・開示制限権(「制限権」)

f. 権利行使を理由として差別・報復されない権利

g. 自動意思決定(プロファイリングを含む)に関するアクセス権およびオプトアウト権

知る権利(the right to know)は, 事業者が収集した自己の個人情報(原則2022年1月1日以降の全収集保存分)に関し, 収集・販売・共有・開示した個人情報のカテゴリー／その情報源のカテゴリー／販売・共有・開示先のカテゴリー／収集・販売・共有・開示目的等の開示と, 個人情報そのものの開示を請求する権利である。

本稿では, 便宜上, 開示請求権・開示請求とも呼んでいる。

個人情報そのものの開示は他の者に障害なく移転可能な形態な形で行わなければならない(GDPRと同様のデータ・ポータビリティ権)。

開示・削除・訂正の各請求に対しては, 事業者は, 請求受領後10営業日以内に受領確認を行い, 請求受領後45暦日(必要な場合には最大90暦日)以内に対応しなければならない。

開示・削除・訂正請求に共通して, 事業者は, 消費者の請求に応じる前に, 所定の手続により本人確認可能な請求である否か(本人確認)をしなければならない。

開示・削除・訂正の請求, それぞれについて, 本人確認不能の場合の対応, 対応拒否事由とその根拠・理由の説明, 対応手段・方法・条件等が定められている。

削除・訂正請求については請求に応じたか否かを消費者に通知しなければならない。

開示・削除・訂正・販売・共有オプトアウト・機微個人情報の制限の各請求に共通して, 請求を拒否する場合, その旨と根拠を請求者に通知しなければならない。

削除請求権は, 事業者が収集した自己の個人情報の削除を, 理由の如何を問わず請求する権利である。

事業者は, この請求を受けた場合, サービス提供者・契約業者および原則として販売・共有先にもその個人情報を各自の記録から削除するよう通知(指示)しなければならない(サービス提供者・契約業者も自己の下流で個人情報を受領した者に対し同じ)。

なお, 事業者は, その個人情報を削除する代わりに非識別化・集合化しても構わない。

訂正請求権は, 自己の不正確な個人情報についてその内容・性質・処理目的を考慮し必要な訂正を行うよう請求する権利で, CPRAで新たにされた。(以下本段落について)＊

事業者は, この請求を受けた場合, サービス提供者・契約業者にも必要な訂正を行うよう指示しなければならない。

なお, 事業者は, 消費者に悪影響を与えないか消費者が同意した場合には, その個人情報を訂正する代わりに削除しても構わない。

事業者は, 消費者から求められた場合, 訂正済み情報を開示しなければならない。

販売・共有オプトアウト(請求)権は, 自己の個人情報をサードパーティに販売または共有する事業者に対し, その販売・共有を停止するよう請求する権利である。

CPRAでは「販売」概念とは別に「共有」概念が新設されたため, 販売・共有オプトアウト請求権となっている。

事業者は, この請求時点から請求に応じるまでの間の販売・共有先に対しても, この請求に応ずべきことおよびその間にその販売・共有先が再提供した他の者に請求内容を転送すべきことを指示しなければならない。

販売・共有オプトアウト請求と機微個人情報の制限請求に対しては, 請求受領後遅くとも15営業日以内に対応しなければならない。

また, 両請求に関しては, 所定の場合を除き, 請求後最低限12ヶ月間経過しなければ販売・共有または所定の目的外での利用・開示に同意(オプトイン)するよう求めてはならない。

上記にかかわらず, 事業者は, 消費者が16 歳未満であることを現に認識している場合にはその同意(13 歳未満については親・保護者の同意)のない限り, その個人情報を販売または共有してはならない。

機微個人情報の利用・開示の制限権(「制限権」)とは, 消費者が, 事業者に対し, 自己の機微個人情報の利用を, CPRA・規則上認められている目的(「所定の目的」)(例：場所案内アプリでの場所案内／非パーソナライズ広告)内の利用・開示に制限すること, 言い換えれば, 所定の目的外での利用・開示をしないよう請求する権利である。(以下本段落について)＊

事業者は, 消費者から制限請求を受けた場合, 所定の目的外で機微個人情報を利用・開示するサービス提供者・契約業者に対し同請求に応じるよう指示しなければならない。

また, 事業者は, 制限請求の時点から請求に応じるまでの間に所定の目的外で機微個人情報を開示したサードパーティに対し同請求に応ずべきことおよびその間に再開示した他の者に請求内容を転送すべきことを指示しなければならない。

なお, バージニア州法, コロラド州法およびコネチカット州法上, 事業者は, 「機微データ」を処理するには消費者(13歳未満と分かっている消費者については親・保護者)の事前同意を得なければならず, 事業者にとってCPRAの制限権よりも厳しい内容となっていることに注意が必要である。

権利行使を理由として差別・報復されない権利は, 消費者が, 権利行使を理由に事業者から差別(製品・サービスの提供拒否, 割引その他の特典, ペナルティー等, 製品・サービスの価格・料金の差)を受けない権利である。

この権利の具体的内容は, 事業者の差別禁止義務, 経済的インセンティブ通知義務(前述)等として規定されている。

なお, CPRAでは, 消費者による権利行使を理由とする差別禁止の例示に, 従業員, 求職者または個人のサービス提供業者による権利行使に対する報復の禁止が追加された。＊

「自動意思決定(プロファイリングを含む)に関するアクセス権およびオプトアウト権」については, 別途規則で具体的内容を定めなければならないとされている(185(a)(16))。＊

但し, この規則は, 本稿執筆時点では, その起草のために最初の意見募集がなされたばかりで未制定である。

なお, バージニア州では既に, コロラド州とコネチカット州では2023年7月1日から一定のプロファイリングに対し, 消費者にオプトアウト権が与えられているので, 事業者はこれらには対応しなければならない。

page top

6. 消費者の権利行使(請求)方法

事業者は, 消費者の権利行使(請求)方法に関し以下の義務を負う。

a. 開示・削除・訂正の各請求に関しては, フリーダイヤルの電話, 電子メール, Webフォーム等の請求方法を指定しなければならない。

b. 消費者がパスワード保護されたアカウントを有する場合, 開示請求については, 消費者が自分でその個人情報にアクセス等できるセルフサービスポータルを通じ同請求に応じることができる。

c. 販売・共有オプトアウト請求と機微個人情報の制限請求に関しては, Webサイト上でCookieやオンラインフォーム等で個人情報を収集する場合には, フリーダイヤルの電話, 電子メール等の他, "Your Privacy Choices"リンクのリンク先Webページにオンライン請求フォームを含めなければならない。

page top

以　上

【注】

[1] 【本稿の筆者】 一般社団法人GBL研究所理事／IAPP CIPP/E (Certified Information Privacy Professional/Europe)／UniLaw企業法務研究所代表浅井敏雄(Facebook)

メルマガ会員登録