米国加州プライバシー法が議会で可決


6月28日、米国カリフォルニア州議会が「カリフォルニア州消費者プライバシー法」(Consumer Privacy Act 2018) をわずか1週間の審議で通過させた。同法は同州知事が署名した後、2020年1月1日に施行される。同法による個人データ保護はEUのGDPRに匹敵する厳しさで、米国各州で最も厳格な個人データ保護法となり、IAPPの調べによると約50万社が影響を受けると言われる。

同法はカリフォルニア州で事業を行う営利企業のうち、(1)年間売上2,500万ドル以上のもの、(2)商業目的で5万人、5万世帯または5万デバイス以上の個人データを取得、売却もしくは共有するもの、または(3)年間売上の過半を個人データの売却によって得るものに対して適用され、一定の条件のもとでは、グループ企業がこれらの条件に当てはまる場合、カリフォルニア州外の企業にも適用される。適用条件を見ると、中小企業にも適用されることがわかる。

IAPPによれば、事務所が同州に所在しない場合も、モノやサービスを同州居住者に販売する場合、同法が適用されるのではないかと言われている。

主な規制内容は、以下の通りで、EUのGDPR並の厳しいものとなっている。

1 情報提供と目的限定(透明性)
個人データを取得・売却しようとする企業は、関係個人に対して、i)取得・売却する個人データの種類、ii)個人データの取得元、iii)個人データの利用方法、iv)個人データの開示先について情報提供しなければならない。説明した目的以外のために個人データを利用することは禁止される。

2 データ・ポータビリティ権
関係個人から求められた場合、企業は汎用ファイル形式で管理する個人データを開示しなければならない。

3 削除権(忘れられる権利)
一定の場合、企業は、カリフォルニア州在住市民の個人データを削除しなければならない。例外は、i)データ取得の目的となった取引履行に必要な場合、ii)違法な行為の操作・告発などに必要な場合、iii)法令上の義務による場合などである。

4 オプトアウト
取得した個人データを第三者に売却する場合、企業は関係個人に通知しなければならず、関係個人はこれを拒否する権利を持つ。

5 個人データ提供に伴う料金差別化
企業は個人データを提供しない個人に対してサービス料金を差別化することができるが、合理的な範囲に限定される。個人データの提供に伴い有利なサービス料金を提供する場合、企業は関係個人に説明するとともに、そのような選択はオプトイン形式でなければならず、選択後も消費者ないつでもオプトアウトできる。

IIJビジネスリスクポータルでは今後もカリフォルニア州消費者プライバシー法に関する情報を提供していく。
https://iapp.org/news/a/new-california-privacy-law-to-affect-more-than-half-a-million-us-companies/

関連記事