世界的にパーソナルデータを個人に取り戻す運動が広がる中、欧州で2018年5月にGDPR(EU一般データ保護規則)が施行されました。そしてアメリカでも2020年にCCPA(カリフォルニア消費者プライバシー法)が施行予定です。一体どのような内容なのでしょうか。
CCPA(カリフォルニア消費者プライバシー法)とは
CCPA(カリフォルニア消費者プライバシー法)は、2018年6月28日にカリフォルニア州で成立しました。2020年1月1日から施行予定です。アメリカ版GDPRとも言われていますが、どのような法律なのでしょうか。
適用範囲
- カリフォルニア州で事業を行いカリフォルニア州の居住者の個人情報を取得する営利企業
- 以下3ついずれかの要件を満たす企業
- ①年間売上高が2,500万ドルを超えていること
- ②カリフォルニア州の居住者50,000件以上の個人情報を収集または開示していること
- ③年間売上高の50%以上をカリフォルニア州居住者の個人情報販売から得ていること
1に関しては、州外の事業者でもカリフォルニア州居住者の個人情報を一定数取得している場合、該当すると考えられています。
個人情報の位置づけ
どのような情報が個人情報にあたるかという点ですが、基本的にはGDPRと同様で個人を識別できる情報が該当します。名前、住所などはもちろんですが、IPアドレスやCookieなどのオンライン識別子も対象となっています。また、個人情報からの推測をもとに作成された情報(行動・指向・特徴・能力など)も該当します。
主なポイント
- 消費者は企業に対して、個人情報を収集する目的や内容について開示請求ができる
- 消費者は企業が保有する個人情報の削除を請求することができる
- 消費者は企業が個人情報を第三者に販売しないよう請求することができる
- 企業は消費者に対して、収集している個人情報種類や利用方法について通知しなければならない
- 企業は消費者に個人情報の提供を同意させるため、インセンティブを提供することができる
消費者の権利が拡充され、個人情報に関するさまざまな請求ができるようになっています。
CCPAとGDPRの違い
最も大きな違いは、企業が消費者の情報を収集する・使用することは規制されていない点です。あくまでも消費者の求めに応じて開示する必要があるだけで、この点はGDPRと異なります。企業としてはいつでも開示請求に対応できる体制を作ることが求められるでしょう。
GDPRよりも気を付けなければいけない点は、適用されるデータの範囲が広いことです。先ほども触れたように、一般的な個人情報に加えて、IPアドレスやCookieなどのオンライン識別子(GDPRも対象)、個人情報からの推測をもとに作成された情報(行動・指向・特徴・能力など)も対象になります。これらの情報を匿名化して利用しているオンライン広告会社などは対応が必要になりそうです。