【データを安全に利用できる環境を構築したいという方はprimeNumberにご相談ください!】
デジタル社会の発展に伴い、個人情報の保護が重要視されるようになっています。消費者データの収集・利用が活発化する中で、各データの扱われ方を消費者自身が把握し、管理できる権利が求められるようになってきました。
このような背景の中、アメリカ・カリフォルニア州では2018年に「California Consumer Privacy Act(CCPA:カリフォルニア州消費者プライバシー法)」が成立し、2020年1月1日に施行され、同年7月から効力が発生しています。
CCPAは、消費者のプライバシーを保護し、企業による個人データの取り扱いに関する透明性の向上を目的としています。
この記事では、CCPAの概要や重要性、対象者などの全体像について解説します。
CCPA(California Consumer Privacy Act)とは
CCPAとは、カリフォルニア州の住民の個人情報保護を目的とした法律です。CCPAは、カリフォルニア州の消費者に対して個人情報の透明性と管理権限を確保し、企業に対しては情報の適切な管理と保護を義務付けています。
CCPAは、消費者に広範な権利を付与しています。企業は消費者の権利を尊重し、消費者からのリクエストに対応する体制を整備する必要があります。
CCPAの最大の特徴は、その広範な適用範囲にあります。CCPAは州内の企業だけでなく、州外の企業にも適用される可能性があり、個人情報の定義も広く設定されているため多くの情報が保護対象です。
違反した場合の罰則が厳しいことも、CCPAの特徴のひとつです。
日本企業であっても、カリフォルニア州の住民の個人情報を扱う場合はCCPAの対象となる可能性があります。違反した場合、企業は高額な制裁金を課されたり、民事訴訟による賠償金請求を受けたりする可能性があるため、注意が必要です。
企業はCCPAを確実に遵守することが不可欠です。CCPAを遵守することで、企業はプライバシー保護を強化するとともに、重大な法的リスクを回避できるのです。
CCPAが導入された背景
CCPAが導入された背景には、デジタル技術の急速な進展と個人情報の利用方法の変化があります。デジタル時代において、個人情報は企業の重要な資産となり、広範に収集・利用される一方で、その不正利用や漏洩に対する懸念が高まっていました。
EUの一般データ保護規則(GDPR)の施行や、2018年のケンブリッジ・アナリティカ事件のような大規模なプライバシー侵害事件が、プライバシー保護の動きを加速させました。
ケンブリッジ・アナリティカ事件では、Facebookを通じて数千万人の個人データが不正に利用されました。これは、デジタル時代における個人情報保護の重要性と、既存の法規制の不十分さを明らかにした事例です。
CCPAの導入は、現代のデジタル社会におけるプライバシー保護の必要性を反映しています。CCPAは、デジタル社会における個人の権利を守るための重要な一歩です。
CCPAに関連する規制との違い
他のデータ保護規制と比較して、CCPAは適用範囲や規制内容に独自の特徴を持っています。
この章では、CCPAとGDPR、日本の個人情報保護法との違いについて説明します。各法律の違いを理解することで、企業は適切に対処しましょう。
CCPAとGDPRとの違い
| CCPA | GDPR | |
| 適用範囲 | カリフォルニア州において事業を営む事業者で、以下のいずれかに該当する場合:- 5万人以上の消費者もしくは5万台以上のデバイスからPIIを取り扱う- 年間総収入が2500万米ドルを超える- 年間収益の半分以上を個人情報の販売から獲得 | EU域内にいる個人の個人データを取り扱う企業(EU域外の企業も含む) |
| 個人情報の定義 | カリフォルニア州民または世帯について識別し、関連し、記載し、結び付け、直接または間接的に合理的にたどることができるあらゆる情報 | 識別された、または識別され得る自然人(データ主体)に関するすべての情報 |
| 消費者の権利 | – データアクセス権 – 削除権 – 情報販売のオプトアウト権 – 平等な条件でサービスを受ける権利 | – データアクセス権 – 忘れられる権利(削除権) – データ処理へのオプトイン – データ処理全般への異議申し立て権 |
| 違反時の罰則 | 違反1件あたり最大2,500ドル故意の場合は最大7,500ドル | 全世界年間売上高の4%または2,000万ユーロのいずれか高い方 |
| 法令遵守の義務 | – プライバシー通知の提供 – データの安全性確保 – プライバシーポリシーの年1回更新 – ウェブサイト上に「個人情報を販売しない」リンクの設置 | – プライバシー通知の提供 – データの安全性確保 – データ処理の同意取得 |
GDPR(一般データ保護規則)とは、EU域内で個人データの保護とプライバシーを強化するための規則です。企業が個人情報をどのように収集、保存、使用するかを厳格に規制しています。
CCPAとGDPRにはいくつかの違いがあります。
違いが生じる理由は、両者の成立背景と目的にあります。GDPRはEU全域での統一的なデータ保護をめざしているのに対し、CCPAはカリフォルニア州の住民のプライバシー保護に特化した法律です。
適用範囲
GDPRはEU全域で適用され、EU域内の個人データを処理するすべての企業に対して適用されます。
一方、CCPAはカリフォルニア州の住民の個人情報を取り扱う企業に適用されます。州外や海外の企業であっても、カリフォルニア州の消費者データを扱う場合にはCCPAの対象となることがあります。
個人情報の定義
GDPRは、広範な個人情報の定義を採用しており、氏名、住所、IPアドレス、健康情報、経済情報など、多岐にわたるデータを含みます。
CCPAも同様に広範な個人情報を対象としていますが、特に消費者の識別に使用できる情報、オンライン活動、購買履歴などに焦点を当てています。
消費者の権利
両法とも消費者に広範な権利を付与していますが、具体的な権利には若干の違いがあります。GDPRでは、データアクセス権、データ修正権、データ消去権(「忘れられる権利」)、データポータビリティ権、処理の制限権、データ処理への反対権などが含まれます。
CCPAも同様の権利を提供しますが、特に「知る権利」「削除権」「オプトアウト権」「差別禁止権」に重点を置いています。
違反時の罰則
GDPRは、違反した企業に対して非常に厳しい罰則を科すことができ、最大で企業の年間売上高の4%または2,000万ユーロのいずれか高い方が課されます。
CCPAでは、非故意の違反に対しては1件あたり最大2,500ドル、故意の違反に対しては1件あたり最大7,500ドルの罰金が科される可能性があります。
CCPAと個人情報保護法との違い
| CCPA | 個人情報保護法 | |
| 適用範囲 | カリフォルニア州において事業を営む事業者で、以下のいずれかに該当する場合:- 5万人以上の消費者もしくは5万台以上のデバイスからPIIを取り扱う- 年間総収入が2500万米ドルを超える<br>- 年間収益の半分以上を個人情報の販売から獲得 | 日本国内で個人情報を取り扱うすべての事業者(規模や業種を問わない) |
| 個人情報の定義 | カリフォルニア州民または世帯について識別し、関連し、記載し、結び付け、直接または間接的に合理的にたどることができるあらゆる情報 | 個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含む) |
| 消費者の権利 | – データアクセス権- 削除権 – 情報販売のオプトアウト権 – 平等な条件でサービスを受ける権利 | – 個人情報の開示請求権 – 個人情報の訂正・追加・削除請求権 – 個人情報の利用停止・消去請求権 – 個人情報の第三者提供停止請求権 |
| 違反時の罰則 | 違反1件あたり最大2,500ドル故意の場合は最大7,500ドル | 個人情報保護委員会による勧告・命令、これに従わない場合は1年以下の懲役または100万円以下の罰金 |
| 法令遵守の義務 | – プライバシー通知の提供 – データの安全性確保- プライバシーポリシーの年1回更新 – ウェブサイト上に「個人情報を販売しない」リンクの設置 | – 個人情報の利用目的の特定・通知・公表 – 個人データの安全管理措置の実施 – 従業員の監督・教育- 第三者提供の制限と記録の作成 |
個人情報保護法とは、日本国内で個人のプライバシーを保護するため、企業や団体が個人情報を適切に取り扱うことを義務付けた法律です。
個人情報の保護を目的としたCCPAと日本の個人情報保護法を比較すると、複数の違いがあります。
適用範囲
日本の個人情報保護法は日本国内で個人情報を取り扱うすべての事業者に適用されます。
一方、CCPAはカリフォルニア州の住民の個人情報を取り扱う企業に適用されます。州外や海外の企業であっても、カリフォルニア州の消費者データを扱う場合にはCCPAの対象となることがあります。
個人情報の定義
CCPAでは、名前、住所、IPアドレス、購買履歴、位置情報、ブラウジング履歴など、個人や世帯を特定できる広範な情報が対象です。
一方、個人情報保護法は、名前や住所など個人を直接識別できる情報が中心で、他の情報と組み合わせて個人を特定できるデータも対象となりますが、世帯に関する情報は含まれません。
両者ともプライバシー保護を目的としていますが、CCPAはより広範なデータを対象としています。
消費者の権利
CCPAは、消費者に対して以下の8つの広範な権利を付与しています。
- 知る権利 – 企業が収集する個人情報の種類や利用目的などについて通知を受ける権利
- アクセス及びデータポータビリティの権利 – 自身の個人情報がどのように扱われているかを知り、その情報にアクセスする権利
- 削除権 – 企業に対して自身の個人情報の削除を要求する権利
- オプトアウト権 – 自身の個人情報の販売を拒否する権利
- 差別されない権利 – CCPAの権利行使を理由に差別されない権利
- 未成年者のオプトイン権 – 16歳未満の未成年者の個人情報販売には同意が必要
- 継続的な保護を受ける権利 – 情報収集・販売を許可した後も、適切な保護を受ける権利
- 複数の請求手段を利用する権利 – 少なくとも2つの請求方法を企業が提供する必要がある
上記の権利により、消費者は自身の個人情報をより適切にコントロールできるようになります。企業は45日以内に消費者からの請求に対応するなど、具体的な対応が必要です。
なお、上記の権利については後ほど説明します。
日本の個人情報保護法でも、個人情報の開示、訂正、利用停止、削除を求める権利が規定されていますが、CCPAほど詳細な規定や具体的な手続きは存在しません。
違反時の罰則
日本の個人情報保護法では、違反した場合、事業者に対して行政指導や命令が行われ、従わない場合は罰則(刑事罰)が適用されることがありますが、罰金額は比較的低額です。
法令遵守の義務
CCPAは、企業に対して消費者の権利行使に応じるための対応フローやデータ保護対策を求め、従業員の教育やセキュリティ対策の実施も義務付けています。
日本の個人情報保護法でも、事業者に対して適切な管理措置や従業員教育を求めていますが、具体的な対応フローの構築に関する規定は少ないです。
CCPAの内容
CCPAにおける消費者のプライバシー保護と、企業の法的遵守の主な内容は、次のとおりです。
消費者に与える権利
CCPAは消費者に広範な権利を付与することで、プライバシー保護を強化しています。CCPAが消費者に与える主な権利には、以下の8点があります。
| 消費者の権利 | 内容 |
| 通知を受ける権利 | 個人情報を収集する事業者に対して、個人情報の収集、使用、販売、共有に関する慣行について、収集時点またはそれ以前に通知するよう請求できる権利。 |
| 消去する権利 | 個人情報を収集する事業者に対して、保存されている自身のすべてのデータを削除するよう請求できる権利。 |
| 未成年者のオプトイン権利 | 個人情報を収集する事業者に対して、16歳未満の未成年者の個人情報を販売する前に、未成年者本人(13-16歳)または親権者(13歳未満)のオプトイン同意を得るよう請求できる権利。 |
| 継続的な保護を受ける権利 | 個人情報を収集する事業者に対して、個人情報の収集・販売を許可した後も、サービスプロバイダーや第三者との契約を通じて継続的に保護するよう請求できる権利。 |
| 認識する権利 | 個人情報を収集する事業者に対して、プライバシーポリシーに消費者の権利や個人情報の取り扱いに関する情報を明記するよう請求できる権利。 |
| 販売する権利 | 個人情報を収集する事業者に対して、個人情報の販売・収集に対する金銭的インセンティブを提供することを認める一方で、いつでもその許可を取り消し、収集・販売された情報の削除を要求できる権利。 |
| 複数の請求手段を利用する権利 | 個人情報を収集する事業者に対して、個人情報の開示請求のために少なくとも2つの指定された方法/チャネルを提供するよう請求できる権利。 |
| 差別されない権利 | 個人情報を収集する事業者に対して、CCPAに基づく権利行使を理由に差別されないよう請求できる権利。 |
加えて、以下の権利も重要です:
- アクセス権
- オプトアウトの権利
各権利が重要である理由は、デジタル時代において個人情報が商品化され、消費者が自身のデータの行方を把握しにくくなっているためです。
例えば、ウェブサイトにアクセスした際に、ブラウザクッキーや位置情報の使用について通知を受けるのは、「通知を受ける権利」の実践です。「私の個人情報を販売しないでください」というオプションを選択できるのは、「オプトアウトの権利」によるものです。
CCPAは消費者に強力な管理権限を与えることで、個人情報の取り扱いに関する透明性と制御を提供する法律です。消費者は自分のプライバシーを効果的に保護できるようになり、企業と消費者の情報格差が是正されます。
各権利の詳細については、後ほど説明します。
事業者の義務
カリフォルニア州の住民の個人情報を保護するため、CCPAは事業者に対してさまざまな義務を課しています。CCPAが定める義務は、消費者のプライバシー権を尊重し、個人情報の適切な管理を確保するためのものです。
事業者に課せられる主な義務には、次のものがあります。
- 消費者への通知
- 消費者要求への対応
- 従業員の研修
- 記録管理
- 要求の検証
- 未成年者に関する特則の遵守
- 差別の禁止
- 適切なセキュリティ措置の実装
CCPAは事業者に対して包括的な義務を課すことで、消費者の個人情報保護を強化しています。CCPAの定める義務が重要である理由は、個人情報の保護が単に技術的な問題ではなく、組織全体の取り組みを必要とするからです。
CCPAが定める義務を適切に履行することは、消費者の権利を尊重するだけでなく、高額な罰金や信用失墜などのリスク回避にもつながります。そのため事業者は、CCPAの要件について十分な理解と遵守が必要です。
CCPAで規制される個人情報の種類
CCPAは、多様な個人情報を規制対象としています。デジタル時代において、個人を特定し得る情報の範囲が拡大したためです。
CCPAが規制対象とする主な情報は、次のとおりです。
- 実名
- 仮名
- 電話番号
- 口座
- 社会保障番号
- 運転免許証
- パスポート
- 職歴
- 学歴
- IPアドレス
- メールアドレス
- 商品・サービスの購入履歴
- ウェブサイトの閲覧・検索履歴
- 位置情報データ
- 虹彩
- 網膜
- 指紋
- 掌紋
- 顔
- 声
- DNAなどの身体的・生体的特徴を含む生体情報
現代のデジタル社会では、各種情報が個人の特定や行動予測に利用されます。
CCPAは広範囲にわたる個人情報を規制対象とすることで、消費者のプライバシーを包括的に保護します。企業は各情報を適切に管理し、消費者の権利を尊重することが求められます。
CCPAの対象となる事業者
CCPAが適用される事業者の範囲は広く設定されています。カリフォルニア州内の企業だけでなく、州外や海外の企業も含まれる可能性があります。つまり、カリフォルニア州内で事業を行っていれば、適用対象となります。
以下の条件を全て満たす事業者は、CCPAの対象となります。
- 営利を目的として個人情報を取得している
- 直接的または間接的にカリフォルニア州居住者の個人情報を取得している(つまり、外注業者が取得する場合も含みます。)
- 消費者の個人情報の処理目的と手段を決定している
- カリフォルニア州で事業を行っている
さらに、以下のいずれかに該当する場合、CCPAの対象となります。
- 年間総売上高が2,500万米ドルを超えている
- 5万件以上の消費者・世帯・デバイスの個人情報を年間ベースで取り扱っている
- 年間売上高の50%以上を個人情報の売却から得ている
加えて、上記の条件を満たす事業者を支配する、または支配される事業者で、共通のブランドを共有する事業者も対象です。
CCPAを違反した場合の罰則
非故意の違反では1件あたり最大2,500ドル、故意の違反では1件あたり最大7,500ドルの罰金が科せられます。
故意の違反に対しては、より高額な罰金が設定されています。これは、企業の意図的な法律違反の抑制効果を期待しているためです。
CCPAは、高額な罰金と消費者による損害賠償請求の可能性によって、企業のコンプライアンス遵守を強く促しています。CCPAが厳しい罰則を設けている理由は、個人情報保護の重要性を企業に認識させ、法令遵守を確実にするためです。
また、消費者は1件の事故につき100ドルから750ドルの損害賠償を請求でき、被害額がそれ以上の場合は全額を請求できます。
CCPAは、厳格な罰則規定によって企業に個人情報保護の徹底を求めています。事業者は、高額な罰金や損害賠償請求のリスクを避けるために、法令遵守と個人情報保護対策の徹底が不可欠です。
CCPAに準拠するためにやるべき5つのこと
CCPAの規制は広範囲にわたるため、企業にとっては大きな課題です。以下の5つのステップを着実に実行することで、CCPAに準拠し、消費者の個人情報を適切に保護する体制が整います。
各ステップを詳しく解説していきます。
データ保護に関する担当者またはチームを設定する
CCPAへの対応には、データ保護に関する担当者またはチームの設置が重要です。担当者または専門チームは、組織全体のデータ保護戦略を策定し、実行する役割を担います。
データ保護が複雑で多岐にわたる課題であり、組織全体での一貫した取り組みが求められるため、担当者または専門チームが必要です。
- 法令遵守
- ポリシー策定
- リスク評価
- 従業員教育
など、多様な責務を一元的に管理することで、効率的かつ効果的なデータ保護が可能になります。
担当者または専門チームは、法令遵守のためにCCPAの最新の規制動向を常に把握し、組織の方針や手順の正確性を確認します。データ漏洩などの問題が発生した際の対応方法を策定し、実行する役割を担います。
データ保護に関する担当者または専門チームを設置することで、企業はデータ保護の課題に体系的に対処できます。
個人情報の管理を徹底する
自社が収集・保管している個人情報を詳細に把握し管理することは、CCPAの遵守に不可欠です。デジタル時代において個人情報が企業の重要な資産であり、一方で漏洩や不適切な使用が深刻なリスクとなるためです。
個人情報の適切な管理は、法的リスクの回避だけでなく、顧客からの信頼獲得にも直結します。
管理方法としては、以下のようなものが例として挙げられます。
- データインベントリの作成とデータフローマッピング
- アクセス制御と暗号化
- データ保護ポリシーの策定と従業員教育
- データのライフサイクル管理
- セキュリティ監視と定期的な監査
- サードパーティとの情報共有管理
個人情報の徹底した管理によって、企業はCCPAへの準拠を確実にし、データセキュリティを強化できます。これにより、データ漏洩リスクの低減や顧客信頼の向上につながり、企業の持続可能性が高まります。
消費者からの請求を想定した対応フローの構築
カリフォルニア州消費者プライバシー法(CCPA)において、消費者からの権利行使請求に対応するフローの構築は、企業にとって重要な課題です。消費者の権利を保護しつつ、企業が法的義務を適切に果たす基盤となります。
効果的なフロー構築には。まず消費者が簡単に請求できる窓口を設置することが大切です。請求を受け付けてから処理、回答までの一連の手順を明確にし、関係部署間の連携を円滑にする必要があります。請求内容の確認、本人確認、対応の記録など、各段階での適切な手続きも重要です。
年に1度はプライバシーポリシーを見直す
企業が消費者に対して、収集する個人情報のカテゴリーや、利用目的を開示するプライバシーポリシーの公表をCCPAは義務付けています。少なくとも年に一度見直すことで、企業はCCPAの法的要件を満たすだけでなく、消費者との信頼関係を強化できます。
以下は、プライバシーポリシーを毎年見直すためのプロセスです。
- 最新の法的要件を確認し、必要な変更を加える
- データ収集・利用実態を再評価し、個人情報のカテゴリーや利用目的を見直す
- 第三者との情報共有状況を更新する
- 消費者の権利に関する記述を確認し、必要に応じて修正する
- コンタクト情報を更新し、わかりやすさを向上させる
- 多言語対応を確認する
- 更新履歴を管理する
プライバシーポリシーの定期的な見直しによって、企業は消費者との信頼関係を強化し、データの保護体制を継続的に改善できます。
データ保護に関するツールを導入する
CCPAのルールに準拠するため、企業は適切なデータ保護ツールを導入することをおすすめします。CCPAへの対応を支援する主なデータ保護ツールには、以下のようなものがあります。
- データディスカバリーと分類ツール:個人情報の所在を特定し、適切に分類する
- 同意管理プラットフォーム:消費者の同意を適切に管理する
- データ権利管理ソフトウェア:消費者の権利行使要求を効率的に処理する
- プライバシー影響評価(PIA)ツール:新しいプロジェクトのプライバシーリスクを評価する
- データマッピングソフトウェア:データの流れを可視化し、管理する
- セキュリティ監視ツール:異常なデータアクセスや、潜在的な脅威を検出する
- 暗号化ソリューション:機密データを保護する
- アクセス制御システム:データへのアクセスを適切に管理する
- データ削除ツール:不要になったデータを安全に削除する
- コンプライアンス管理ダッシュボード:全体的なコンプライアンス状況を監視する
適切なデータ保護ツールの導入は、CCPAへの対応を効率化し、データ保護の確実性を高める重要な手段です。
まとめ
CCPAは、消費者のプライバシー保護のために導入された重要な法律です。日本企業も含め、カリフォルニア州の消費者データを扱う企業は、CCPAを遵守する必要があります。CCPAに違反すると、厳しい罰則や高額な罰金が課されるため、企業は適切な対応策が不可欠です。そのため、データ管理体制の整備が求められます。
primeNumberが提供するTROCCO®は、企業のデータ統合とパイプライン自動化を支援し、データ収集や変換、ロードを効率化するツールです。これにより、企業はデータの透明性を向上させ、データ活用をスムーズに行うことができます。TROCCO®は、CCPAのようなプライバシー保護規制の遵守に直接的に対応するツールではありませんが、データ管理の効率化やセキュリティ強化に大きく貢献します。
たとえば、転送時のデータは、基本的に暗号化通信で保護されます。接続パスワードなどの機密情報もAWS KMSにより暗号化され、インターネットから隔離されたネットワーク内のDBに保存されます。
また、TROCCO®ではデータ転送のたびに、毎回新しいコンテナを起動します。そのため、他社アカウントのデータとお客様のデータが混じることはありません。転送が完了するとコンテナは破棄されるため、お客様のデータを保持する時間は非常に短い設計となっています。
さらに、AWS PrivateLinkを利用して、外部サービスにセキュアに通信できるオプションも用意しています。本オプションを利用することで、トラフィックをパブリックインターネットに公開することなく、データの取得や送信が可能となります。
データ活用のための環境を安全に整えたいという方は、ぜひ一度primeNumberにお問い合わせください。TROCCO®のみならず、データ活用を安心・安全に行えるような総合的な支援を提供いたします。