カリフォルニア州でより厳しいプライバシー権利法案、CPRA住民投票が正式決定


カリフォルニア州国務長官は、同州で活動するプライバシー保護団体 Californians for Consumer Privacyが主導している住民投票立法、カリフォルニアプライバシー権利法(California Privacy Rights Act: CPRA)について、法定の署名数を得たことが認証され、11月に予定されている同州住民投票にかけられることを発表した。カリフォルニア州憲法は、住民提案による立法を認め、一定数の署名を集めた法律案は、住民投票によって正式な州の法律となり、州政府も州議会もこれを妨げることはできない。

CPRA法案は、現行CCPAを修正するもので、センシティブな個人データの処理に関する加重規制、法執行機関の設立、データ侵害に対する私的訴権の拡大、データ保護影響調査の実施義務、プロファイリングなど自動的意思決定の制限など、GDPRに範をとったと思われる厳しい規制を含み、2023年1月に施行することが規定されている。

連邦レベルでの統一プライバシー保護法に関する議論が連邦議会で進み、州法との整合性、州法との適用優先関係が論じられる中で、カリフォルニア州でGDPR並にきびしいプライバシー保護法が成立すれば、連邦レベルのプライバシー保護についても一段ハードルが上がることが予想される。6月12日に州議会で行われたCPRA法案に関する公聴会では、小売業界など経済界から、CCPAの遵守について経済界が苦闘している現時点で、一段と厳しいプライバシー保護規制に反対する意見もあった。昨年10月にGoodwin Simonが行った世論調査(出典は本稿末尾に記載)によると、CPRA法案への支持率は高い。

CPRA法案の主なポイント

1.センシティブな個人データの処理に対する加重規制
センシティブな個人データには、様々な個人識別子(identifire)、ログイン認証情報、金融口座情報、正確な位置情報、一定の種類のメッセージ、遺伝子情報、人種、信仰、身体測定、健康、性生活、性的指向に関する情報が含まれる。消費者は、これらのセンシティブな個人データの用途をサービス提供や事業者の法的義務の履行に必要な範囲など一定の範囲に制限することを事業者に指示することが認められる。事業者は、消費者から指示があった場合にはそのような利用を中止しなければならない。一言で言うと、センシティブな個人データについて、本来の目的のために必要な用途以外の利用について消費者にオプトアウト権(事後的拒否権)を認める規制である。

2.法執行機関の設立
CPRAを執行する行政機関としてCalifornia Privacy Protection Agency(カリフォルニア州プライバシー保護庁、CPPA)を設立する。CPPAは文書提出や監査を命じる権限、法違反について1件あたり7,500ドルの制裁金を賦課する権限、州司法長官に代わってCPRA施行規則を制定する権限が与えられる。

3.データ侵害に対する私的訴権の対象拡大
CCPAでは、私的訴権(private right of action、民事訴訟により損害賠償、差止などの救済を求める権利)の対象は、適切なデータ保護対策を講じていなかったために暗号化していない生の個人データが漏洩し、盗難され、又は開示された場合に限られていた。CPRAはこれを拡大し、オンラインサービスなどのアカウントにアクセスするためのeメールアドレス、パスワード、秘密の問と答などの認証情報の組み合わせが漏洩した場合にも私的訴権を認める。オンラインサービスにおけるこのような事故の頻度を考えると、裁判による救済を求め得る事故の範囲がかなり拡張されることになる。このような私的訴権の拡大は、実損額の正確な立証を要しない法定損害賠償が規定されていることと相まって、データ漏洩事故に伴う集団訴訟(class action)のリスクをさらに拡大させるので、事業者は十分警戒する必要がある。

4.リスク評価実施義務
プライバシーへのリスクが高い個人データ処理を行う事業者について、州司法長官または新設されるCPPAが定める施行規則により、定期的な監査、リスク評価、これらに関する報告書の提出の義務を課することができる。義務を課する基準として、事業の規模、個人データ処理の内容、影響範囲などを考慮することとされる。GDPRのDPIA(データ保護影響調査)実施義務に類似する規定である。GDPRの場合、系統的かつ大規模な自動的処理、大規模なセンシティブデータの処理、公衆の場所の大規模な監視についてDPIAが義務づけられている。

5.自動的意思決定、プロファイリングの規制
CPRAは、プロファイリングを、個人データの自動処理によって、職場での成績、経済状況、健康状況、趣味嗜好、興味、扶養関係、行動、位置・移動などを予想することと定義する。CPRAは、このようなプロファイリングを行う場合、情報提供およびオプトアウト権(事後的拒否権)の付与を義務づける。GDPRにおける自動的意思決定の規制に関する規定と規制内容は類似している。

6.年少者の個人データに関する規制
個人データが16歳未満の年少者に関するものであることを実際に知っていた場合、CPRAに違反する行為について、7,500ドル以下の制裁金が課される。年少者以外の場合の制裁金の上限の3倍に相当する重い制裁金が課せられることになる。

7.個人データの共有に対するオプトアウト権
CCPAは、個人データを販売(おおむね、経済的なメリットのために委託先以外の者に開示する行為)に対するオプトアウト権を認めているが、CPRAはこれを一歩進め、個人データの共有(share)についても消費者のオプトアウト権を認める。16歳未満の消費者がオプトアウト権を行使した場合、その後12ヶ月間、または当該消費者が16歳に達するまでは、再度、同意を求めてはならない。

8.個人データ保持期間の制限
CCPAの情報提供義務に加え、事業者が個人データを保持する期間または保持し続ける条件を明示することを義務づけ、さらに、開示した処理目的の達成に必要な期間を超えて個人データを保持してはならないことを義務づける。GDPR第5条の例にならった規制である。

9.従業員データへの法適用猶予期間の延長
適用対象事業者の従業員、役員、取引先従業員等、求職者など、事業者との一定の関係において個人データが処理される対象者について、CPRAの適用は、2023年1月1日まで猶予される。

10.委託先、サービス提供者に関する規制
事業者と委託先等との間の契約においては、委託先は事業者によるCPRA遵守状況の監視を受忍しなければならないこと、委託事務を再委託する場合、事業者に通知しなければならないことを規定しなければならない。事業者が第三者、委託先等に個人データを開示する場合、開示先に対してCPRAを遵守する契約的義務を課さなければならない。さらに、CPRAは、委託先等に対する直接の法的義務として、消費者による権利行使への協力義務を課する。これらの規定は、GDPR第28条の管理者と処理者との関係を律する規制に類似している。

 

【カリフォルニア州国務長官からの発表】
https://www.sos.ca.gov/elections/ballot-measures/initiative-and-referendum-status/eligible-statewide-initiative-measures/

【CPRAドラフトを含む住民提案の全文】
https://oag.ca.gov/system/files/initiatives/pdfs/19-0021A1%20%28Consumer%20Privacy%20-%20Version%203%29_1.pdf

【Goodwin Simonによる世論調査】
https://assets-global.website-files.com/5aa18a452485b60001c301de/5da7a66278dd751306184114_MEMO%3A%20Key%20Findings%20CA%20Privacy%20Online%20Survey%20October%202019.pdf

関連情報

IIJ ビジネスリスクマネジメントポータル(BizRis)

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

カリフォルニア州消費者プライバシー法対応テンプレート (アドバンスト会員用)

購入のお申込みはこちら

なお、本パッケージには以下が含まれています:

01_CCPA_infographic
02_CCPA_概要
03_CCPA_ステップガイド
04_CCPA_用語集
05_CCPA_対象チェックリスト
06_CCPA_制裁金シミュレーションシート
07_CCPA_プライバシーポリシー(英)
08_CCPA_プライバシーポリシー(日)
09_CCPA_プライバシー侵害リスク分析レポート

関連記事