米国でも始まった個人情報保護~カリフォルニアCCPAの概要~(2020年3月25日)
米国でも始まった個人情報保護~カリフォルニアCCPAの概要~
弁護士 苗村 博子
1.施行の経緯
アメリカには、GDPRや日本の個人情報保護法のような包括的な個人情報保護の法令はなく、規制対象の州、業種、対象者ごとに異なる法令が制定されているため、どのような法律が適用されるのかがわかりにくい状況です[i]。その中で、全米最大の人口を有しGoogleやFacebook等の巨大IT企業が本店を置くカリフォルニア州で、従前よりも厳格な包括的規制であるThe California Consumer Privacy Act of 2018 (CCPA)が定められたことには大きな意義があると考えられます。現在、カリフォルニア州に追随して他州でも包括的な個人情報保護法の立法の動きや(amazonやmicro softの本社があるワシントン州等)、連邦法での規制強化の動きも、ようやく出てきています。CCPAは、2018年6月28日に成立し、本年1月から施行されていますが、その民事罰等の執行は、同年7月1日の開始予定とされています。
2. 規制対象
1) 規制対象の事業者
カリフォルニア州で個人情報を集め、事業を行い、かつ、以下の基準の一つ又はそれ以上を満たす個人事業主、パートナーシップ、有限責任会社、法人、団体又はその他の法的主体(1798.140条(C))で、
A) 年間総収益が2,500万米ドルを超え、
B) 単独又は組合せにより5万件以上の消費者、世帯又はデバイスの個人情報を、年間ベースで、単独又は組み合わせで購入し、事業者の商業目的で受け取り、販売し、又は商業目的で共有し、かつ
C) 年間収益の50%以上を消費者の個人情報の販売から得ている
者とされています。
2) 州外の企業への適用
CCPAは「カリフォルニア州で」「事業を行う」の明確な定義を提供していません。
該当しない事業者として「商業的な行為のどの側面も完全にカリフォルニア州の外で行われている場合」にはCCPAの適用対象外となり、また、「消費者がカリフォルニア州の外にいるときに事業者が情報を収集し、消費者の個人情報の販売のいかなる部分もカリフォルニア州で生じておらず、又、消費者がカリフォルニア州にいたときに収集された個人情報が販売されていない場合」には、商業的行為は完全にカリフォルニア州以外で行われたもの」とされています(1798.145条(a)(6))。また「消費者」とは、カリフォルニア州の住民である自然人を意味することとなりますが(1798.140条(g))、これらの規定からすれば、事業の過程でカリフォルニア州に在住しかつ所在する自然人から個人情報を収集する事業者は、「カリフォルニア州で事業を行う」者としてCCPAの適用対象となる可能性があり、たとえカリフォルニア州に拠点を置いていなくとも、インターネットを利用する海外在住者であっても、カリフォルニアの消費者が利用し得る事業を行う事業者の多くがこれに該当すると考えられます。
3. 規制内容
1) 個人情報の範囲
「個人情報」とは、特定の消費者又は世帯を識別し、関連し、叙述し、合理的に関連づけることができ、又は直接的にもしくは間接的に合理的にリンクさせることのできる情報を意味し、法文には具体的な内容が列挙されていますが、(1798.140条(o)(1)) 多くは日本の個人情報保護法にいう個人情報と変わりません。
公に利用可能な情報(1798.140条(o)(2))及び非識別化された消費者情報又は消費者情報集合体(いわゆるビッグデータ、1798.140条(o)(3))は個人情報の定義から除外されますし、日本の個人情報保護法とは異なり、消費者の個人情報を保護する法律ですから、他の法令で規律される一部の個人情報(医療情報や金融機関が保有する個人情報等)については、CCPAが適用されず(1798.145条(c)(1))、従業員情報や企業間取引で得た消費者情報の一部についても、2021年1月までは「個人情報」の定義から暫定的に除外されます(1798.145条(h)及び(n))。
2) 消費者の権利
CCPAは消費者に対し、以下のとおり、みずからの個人情報に関する権利(開示請求権、消去請求権、オプトアウト権、差別禁止を求める権利)を付与されています。
A) 開示請求権(100条、1798.110条、1798.115条)
消費者は、消費者の個人情報を収集、販売又は開示する事業者に対し、1年に2回を限度として、その事業者が収集した個人情報のカテゴリー及び特定の部分を自身に対して開示するように求める権利を有する(1798.100条(a)、(d)、1798.115条(a))。
B) 消去請求権(105条)
消費者は、事業者が消費者から収集した当該消費者についてのいかなる個人情報をも削除するように求める権利を有し(1798.105条(a))、これを受けた事業者は、その消費者の個人情報を記録から削除し、また、サービス提供者に対して記録から個人情報を削除するように指示します(1798.105条(c))。ただし、事業者又はサービス提供者が、法定の一定の目的のために、消費者の個人情報を保持する必要がある場合、その事業者又はサービス提供者は、消費者の削除の要求に従うことは求められません(1798.105条(d))。
C) オプトアウト権(120条、1798.135条)
消費者は、消費者の個人情報を第三者に販売する事業者に対して、常に、その消費者の個人情報を販売しないように指示する権利を有します(1798.120条(a))。
D) 差別禁止を求める権利(125条)
事業者は、消費者がCCPAに基づく消費者の権利を行使したことを理由として消費者を差別してはならない(1798.125条(a)(1))とされ、この点は、GDPRや個人情報保護法とも異なる特徴となっています。例えば消費者に対する商品又はサービスの提供の拒否、具体的には、女性であることを情報提供したところ、住宅ローンを享受させないなどの不利益な取り扱いは許されません。3) 事業者の責務
消費者の権利は、それに対応する事業者の責務すなわち、開示・消去請求権行使のための措置(1798.130条)、消費者のオプトアウト権行使のための措置(1798.135条)、が法定され、その他、目的外利用の禁止(1798.100条(b))、消費者の個人情報を取り扱う者の研修、記録管理(施行規則999.317条)などの義務が定められています。
4) 違反事業者に対する民事罰
A) 消費者による提訴(150条(a))
個人情報を保護するために合理的な安全策をとる義務[ii]に事業者が違反した結果として、個人情報(この場合の「個人情報」は個人の氏名とソーシャルセキュリティナンバー等の一定の情報の組合せに限る。)が、無権限アクセス、流出、窃取又は開示の対象となった消費者は、以下の民事訴訟を提起することができます(1798.150条(a)(1))。
(1) 違反1件について消費者1人あたり100ドル以上750ドル以下の、又は実損害額の、いずれか大きい額の損害の回復。
(2)差止命令又は宣言的判決。
(3)裁判所が適切とみなすその他の救済。
B) 司法長官による提訴(155条(b))
事業者は、司法長官から不遵守を通知されてから30日以内に違反を是正しない場合、差止めの対象となり、また、違反1件について2,500ドルを超えない額の民事罰、又は、故意の違反1件について7,500ドルを超えない額の民事罰を支払う義務があり、それはカリフォルニア州の人々の名の下に司法長官により提起される民事訴訟において回収されます。
違反に対する行政罰として世界での売上の2%または4%という、売り上げを基準とするGDPRと違い、CCPAでは、一件あたりいくらという民事罰が用意されています。多数の消費者のデータ流出などが起こると大きな賠償額となってしまう可能性があり、GDPR同様、非常に厳しい法律となることが予想されます。
以上
[i] 業種に着目した規制:the Fair Credit Reporting Act (金融業), the Video Privacy Protection Act of 1988(レンタルビデオ業)等や情報の対象者や性質に着目した規制:the Health Information Portability and Accountability Act (医療情報)、the Children Online Privacy Protection Act (児童に関する情報)等があります。
[ii] CCPA自体は合理的な安全策をとる義務を規定していないので、カリフォルニア州の司法長官が2016年に出した20の方策などを必要な策としてとるべきといわれています。
https://oag.ca.gov/sites/all/files/agweb/pdfs/dbr/2016-data-breach-report.pdf