Blog
プライバシー＆コンプライアンス
CCPA と CPRA の比較：カリフォルニア州の最新プライバシー法で何が変わるのか

CCPA と CPRA の比較：カリフォルニア州の最新プライバシー法で何が変わるのか

ジェフリー・エドワーズ

プライバシー＆コンプライアンス | 2022年11月08日

カリフォルニア消費者プライバシー法（CCPA）は 2020 年に施行され、アメリカで最も厳格なプライバシー法としての基準を築いています。それに続くバージニア州とコロラド州の法律は、やや緩やかなアプローチを取っています。

CCPA は、個人を特定できる情報（PII）の取り扱いにおいて、消費者のプライバシー権の侵害を行った事業者に厳重な罰金を科すと規定しています。施行後の 2 年間、この罰金が適用されたことはありませんでしたが、2022 年 8 月、化粧品業界の大手、セフォラが 120 万ドルの罰金を課せられ、CCPA 施行後初の大規模な和解が成立しました。

現在、CCPA の施行が加速していますが、2023 年 1 月 1 日に施行予定のカリフォルニア州プライバシー権法（CPRA）の導入に伴い、各事業者におけるコンプライアンスの取り組みが一層複雑化しています。

CPRA は、CCPA を部分的に拡張、置換えを行ったプライバシーに関する新しい法律です。この記事では、現行の CCPA とこれから施行される CPRA の主な違いを詳しく説明します。

アメリカの各州のプライバシー法の詳細な内容を知りたい方は、CHEQ が提供する「The Comprehensive Guide to US Privacy Law for 2023 (英文)」をご覧ください。こちらの資料は 46 ページからなっており、各州のプライバシー法を網羅的に比較し、各法の詳細、消費者の権利と適用される事業の要件、さらには米国の複雑なプライバシー法を守るためのベストプラクティスが記載されています。

カリフォルニア州消費者プライバシー法（CCPA）とは？

カリフォルニア州消費者プライバシー法（CCPA）は、米国内外の事業者に影響を及ぼす可能性がある注目の州法として知られています。CCPA は、米国で最も厳格なプライバシー法の一つで、カリフォルニア州住民のプライバシー権の確立と保護を目的としており、関連する事業者に対して具体的な要件を設けています。

CCPA において、データ主体はどのような権利を持っているのか？

CCPA で重要なのは、カリフォルニア州のすべての消費者（組織や事業者ではなく、個人）に適用される 5 つの権利です。

CCPA には遵守すべき具体的な内容が規定されており、中でも重要な 5 つの権利が記載されています。プライバシーの判断を下す際には、これらの 5 つの権利が法の他の部分における解釈や不明確な点に影響を及ぼす可能性があるため、常に念頭におく必要があります。CCPA には明確に「その目的を実現するために広く解釈されるべきである」と記載されています。

具体的には下記 5 つの権利が CCPA の第 2 節から第 6 節に記載されています。

事業者がどのような個人情報を収集しているか知る権利
事業者が自分の個人情報を第三者に販売・共有しているか、もしそうであれば、その第三者が誰であるか知る権利
事業者が個人情報の販売を拒否する権利
事業者が保有する自分の個人情報を確認する権利
上記の権利を行使した場合でも、事業者からサービスの利用可否や価格の差別を受けない権利

カリフォルニア州プライバシー権法（CPRA）とは？

2020 年 11 月 3 日に有権者によって採択された「カリフォルニア州プライバシー権法 2020（CPRA）」は、カリフォルニア州の新しいプライバシー法です。この法律は、2018 年の「カリフォルニア州消費者プライバシー法（CCPA）」を基に、州の消費者プライバシー規制をさらに拡張しています。「カリフォルニア個人データ保護法」は、2023 年 1 月 1 日から施行され、2022 年 1 月 1 日以降に収集された個人情報に対して適用されます。現時点で収集されているデータが、最終化された CPRA の基準に基づいて取り扱われることになり、法律施行日とデータの収集期間にズレがあるため、この点は注意が必要です。

CPRAの最終化は 2022年 7 月 1 日を予定していましたが、実際には予定日までには完了しませんでした。そのため、カリフォルニア州の規制機関は未確定の法律に準拠しようと努力している組織に対する猶予を行うつもりであると示唆しています。カリフォルニアプライバシー保護局は最近の会議で、違反の事実やその遵守に向けた善意の努力など、関連する事情を考慮して、執行をケースバイケースで検討するとの立場を示しています。

貴社ホームページでの同意画面の設定やコンプライアンス対応でお困りではありませんか？CHEQ の Privacy Compliance Enforcement のデモは無料でお試しいただけますので、お気軽にご予約ください。

CPRA と CCPA は何が違うのか？

消費者のプライバシー権利の更なる強化

CPRA の主な条項は、カリフォルニア州のコンプライアンスの取り締まりを強化することを目的としています。それに伴い、違反者を特定するための新たな専門機関としてカリフォルニア州プライバシー保護局（CPPA）を設立することも含まれています。

CCPA では罰金が課される前に違反が発覚した際、それを是正するための 30 日間の「猶予」期間が定められていましたが、CPRA ではその期間がなくなります。さらに、従来の CCPA では個人情報の販売のみが違法規定されていましたが、CPRA では関与する個人が自分の意思で同意（オプトイン）しない限り、第三者との個人情報の共有することも禁止されます。

罰金に関しては、CCPA と CRPA 間での基本的な違反に対するペナルティは変わりません。意図的ではない違反は 1 件ごとに 2,500 ドル、意図的な違反は 1 件ごとに 7,500 ドルとそれぞれ定められています。しかし、CRPA においては、未成年の個人情報に関する違反を犯した場合、違反ごとに自動的に 7,500 ドルの罰金が追加で課せられるようになります。

データ主体に対する新しい権利

CPRA は、CCPA で述べられている消費者の権利を引き続き認めるとともに、以下の 2 つの新しい権利を追加しています。

修正の権利：カリフォルニア州の住民は、誤った個人情報を修正する権利を持ちます。
センシティブな個人情報の利用および開示制限の権利：ここでの「センシティブな個人情報」とは、具体的な位置情報、人種、民族、宗教、遺伝的データ、私的な通信、性的指向、および特定の健康情報を含むデータを指します。

「共有禁止」ボタンの導入義務付け

CCPA が要求する「私の個人情報を販売しない」ボタンに加えて、CPRA は消費者が第三者とのデータ共有を拒否するための「私の個人情報を共有しない」ボタンの導入を義務付けています。消費者がこのオプションを選択すると、事業者は顧客の個人情報の取り扱いだけでなく、第三者とのデータ取り扱いに関しても責任を持つこととなります。たとえば、第三者が提供している広告をウェブサイト上に掲載する際、その第三者が顧客の個人情報を取得・保存しないことを確認しなければなりません。この要件は、トラッカーやテレメトリーデータ、オンラインアシスタント、ショッピングカートなどのサービスにも適用されます。事業者には第三者とのデータのやり取りを常に監視・管理し、データの漏洩に対しても責任を担う必要があります。

サードパーティに関する規則と基準の変更

CCPA 及び CPRA の組み合わせによる適用により、事業者は顧客の個人情報の社内での取り扱いだけでなく、第三者パートナーがデータをどう扱うかにも明確に責任を持つこととなります。たとえば、第三者パートナーが提供している広告をウェブサイト上に掲載する際、その第三者パートナーが顧客の個人情報を取得・保存しないことを確認しなければなりません。この要件は、トラッカーやテレメトリーデータ、オンラインアシスタント、ショッピングカートなどのサービスにも適用されます。事業者には第三者パートナーとのデータのやり取りを常に監視・管理し、データの漏洩に対しても責任を担う必要があります。

また、CRPA は CCPA によって確立された 3 つの基準のうち、2 つを維持しつつ、3 つ目の基準を変更しています。既存の基準では、年間収益が 2,500 万ドル以上の営利団体や、カリフォルニア州の住民の個人情報の販売や共有から売上の 50 ％以上を上げている事業者を対象としています。追加された第三の基準では、10 万人以上のカリフォルニア州の住民の個人情報を取り扱う事業者も対象となります。これは CCPA で定められていた 50,000 人からの増加です。貴社の組織がこれらのいずれかの基準を満たす場合、CRPA の規制の対象となります。

コンプライアンスを超えて、顧客との関係を強固にする

CPRA が登場した背景には、限定された政府の対応だけでは CCPA の実施や訴訟が難しいという状況があります。この新法の採択は、カリフォルニア州がデータプライバシーおよび保護に対して真剣に取り組んでいる姿勢を表しており、コンプライアンスが不足している事業者や組織には罰則が課されるという明瞭なメッセージを送っています。

CPRA は新しい政府機関を設立し、プライバシーに関するコンプライアンスを厳格に監督することで、既存のルールに変革をもたらすことは確実でしょう。近い未来に、コンプライアンスの不履行で多くの組織が罰せられる可能性が高まると思われます。

他のアメリカの州でも類似の取り組みが始まっており、GDPR が欧州でのビジネスを行う組織に及ぼす影響を鑑みれば、データプライバシーおよび保護に対する真摯な取り組みが事業者や組織にとって不可欠であることは明らかです。違反時の潜在的な罰金や悪評を避けるだけでなく、データプライバシーの施策を導入することは、賢明な経営戦略と言えるでしょう。それは貴社が顧客のプライバシーを真剣に取り扱っていることを示すものとなり、これにより信頼性の高い、持続的な顧客関係の構築が期待されます。

CPRA は 2023 年 1 月に施行されますが、2022 年 1 月から収集されたデータに対して適用されます。データのプライバシーや保護の取り組みは正しく網羅的に展開するのに時間がかかるため、ウェブサイト、ポータル、社内システム、そして第三者との関係が顧客データの流れを完全に可視化してコンプライアンスを確実に満たしているかを検証する必要があります。そのため今から用意をしておく必要があるでしょう。

これらの法律を遵守するためには、単なるコンプライアンスやプライバシー管理を単純なワークフローで実施したり、ポリシー実施に他のシステムへの接続を必要とするようなベンダーに依存することではできません。そのようなアプローチは、脆弱性によるデータ漏洩の可能性を増大させるリスクがあります。CHEQ の包括的なソリューションは、他社のサービスやテクノロジーとの連携せずにリアルタイムにプライバシー設定やリクエストを適用することができるので、データの漏洩リスクを回避することが可能です。

CHEQ の Privacy Compliance Enformcement を利用することで、カリフォルニア州の消費者に対して、データの販売を拒否するリンクを設定することができます。これにより、顧客は自身のデータがどのように利用されるか、または収集されるかを明確に選択できます。当社のローコード、ゼロ統合のデプロイメント方式により、Privacy は手軽に導入できます。ウェブサイトにコードを追加するだけで、顧客が同意する前にデータ収集を停止し、タグ管理システムやサードパーティのタグとは関係なく、顧客の同意をリアルタイムで取り扱うことができます。

CHEQ がどのように CPRA やその他の個人情報保護法への準拠に役立つか気になりませんか？CHEQ のPrivacy Compliance Enforcementのデモは無料でお試しいただけますので、お気軽にご予約ください。

元の記事：CCPA vs CPRA: What changes in California’s Newest Privacy Law