カリフォルニア州個人情報保護法(CCPA・CPRA)について

※このコラムはMSLGオンラインマガジン第1回として投稿されたものです。

 

皆様はじめまして。弁護士の戸木と申します。
カリフォルニア・ベイエリアでは年末から豪雨に見舞われていましたが、1月中旬からは晴れ間が出てきて、気温もかなり暖かくなってきました。久々に快晴になった初日は、ちょうど阪神タイガースの藤浪選手がベイエリアに本拠地を置くオークランド・アスレチックスへの入団会見を行なっていましたね。私自身、神戸育ち・阪神が日本一になった1985年生ということで、根っからのトラ党で、同じエリアの大谷選手との直接対決が見られる可能性が高いので、今からワクワクしています。

 

さて、マーシャル・鈴木総合法律グループ(※2023年まで在籍)の代表である鈴木が、25年以上に渡って「法律ノート」と題して一般的な法律相談にマガジン形式で回答しているのは、皆さんもご存知かも知れません。それに啓発された私と、今年1月から新たに移民チームのリーダーを拝命した伊藤とで、法律その他のお役立ち情報を発信してみたいと思い立ち、このマガジンを始めさせていただきました。
是非、我々のマガジンをお読みいただいた感想等をいただけますと、幸甚です。

 

遅くなりましたが、簡単に自己紹介をさせてください。私は、2012年に日本で弁護士登録をして日本の法律事務所で執務した後、2020年8月から米国のロースクールに留学し、その後2021年8月から当事務所でインターン生として執務を始め、2022年5月にカリフォルニア州で弁護士登録が済んでからは本格的にカリフォルニア州弁護士として参画しております。何卒、よろしくお願いいたします。

 

今回は、カリフォルニアでビジネスをされている方が興味を持たれるであろう、カリフォルニアの個人情報規制「CCPA」について、概要をまとめてみたいと思います。

 

まず、CCPAとは、2018年に制定されたCalifornia Consumer Privacy Actという法律(Civil Code § 1798.100〜1798.199.100)で、日本でいうところの個人情報保護法です。カリフォルニア州の住民に対して様々な権利を与える法律なので、カリフォルニア州に住む顧客がいらっしゃる事業者の方は注意する必要があります。ヨーロッパで制定されて世界を騒がし続けているGDPRは、EUの市民が権利を有するとされていますね。

 

CCPAが制定されたこと自体が騒がれましたが、最近は、CPRAによって規制が強化されることで、また話題になっています。CPRAは、2020年に議会承認を得て2023年1月から施行されたCalifornia Privacy Rights Actという新法で、CCPAを改正する法律です。CPRAでは、CCPAの対象となる事業者の範囲を調整したり、新たな権利を創立したり既存権利を修正したりしています。CCPAとは別の名前が付けられていますが、結局はCCPAの改正に過ぎませんので、これからも注視すべきなのはCCPAということになります。

 

では、内容の概要に入っていきましょう。(概要をまとめているものに過ぎませんので、正確な要件や適用については個別に弁護士にご相談ください。)

 

まず、個人情報(Personal Information)とは何でしょうか。CCPAでは、「直接か間接かを問わず、特定の顧客又は世帯を(と)、識別し、関連し、叙述し、合理的に関連付けられ得る、又は合理的に紐付けられ得る情報を指す。」とされています(Civil Code § 1798.140(v)(1))。ただし、「公に利用可能な情報や、適法に入手された、公共の関心事項である真実の情報については、規制対象からは除外する。」とされています(同(2))。なお、この中の「顧客」の定義として、「カリフォルニアの住民」であることが定められています(Civil Code § 1798.140(i))。
日本では特定の個人を識別することができる情報とされているので、CCPAの対象はかなり広くなっています。

 

CPRAでは、個人情報の類型として、センシティブ個人情報(Sensitive Personal Information)という類型が新たに創設されました(Civil Code § 1798.140(ae))。センシティブ個人情報には、ソーシャルセキュリティ、運転免許及びパスポートの番号、ログイン、クレジットカード及びパスワード等の情報、位置情報、人種、出自及び宗教、郵便、Eメール及びテキストメッセージの内容、並びに遺伝子情報等が含まれます。

 

CCPAを考える上で最も重要なのは、どのような事業者が規制を受けるのかという点です。CCPAの規制対象となる事業者は、以下のとおりとされています(Civil Code § 1798.140(d)(1))。
① 当年1月1日時点で、年間売上が$25,000,000を超えている事業者
② 1年間に100,000以上のカリフォルニア州の住民又は世帯の個人情報を購入し、販売し、又は共有している事業者(従前は50,000以上とされていたのが100,000以上とされました。中小企業というより大企業向けの規制であるという趣旨が読み取れます。)
③ 顧客の個人情報の販売又は共有によって50%以上の利益を得ている事業者(CPRAによって「共有」している事業者も対象に含まれました。)

 

そもそも上記に含まれなければ、CCPAの要件を遵守する義務は生じないということになります。

 

では、CCPAの適用と受けるとしたら、具体的にどのような義務が生じるのでしょうか。CCPAでは、カリフォルニア州の住民に対して以下のような権利を与えているので、これらの権利を実現するために必要な対応をとらなければなりません。
① 知る権利(取得する個人情報、取得源、利用目的、個人情報を開示する第三者の種類、第三者に売却又は共有する個人情報の種類、等)(Civil Code § 1798.100, 110, 115)
② 個人情報を削除する権利 (Civil Code § 1798.105)
③ 個人情報の売却や共有からオプトアウトする権利(Civil Code § 1798.120)
④ 不正確な個人情報を修正する権利(CPRAで創設された権利です。)(Civil Code § 1798.106)
⑤ センシティブ情報の利用又は開示を制限する権利(これもCPRAで創設された権利です。)(Civil Code 1798.121)

 

また、事業者には、顧客が上記の権利を行使したことによって差別してはならない義務(Civil Code § 1798.125)や、顧客が各権利を有していることを開示したりプライバシーポリシーを用意したりする義務(Civil Code § 1798.130(a)(1), (5))等が課せられています。

 

事業者がCCPAに違反した場合には、1件につき$2,500(故意の場合は$7,500)の行政罰(Civil Code § 1798.155)や、差止め及び民事違約罰(Civil Code § 1798.199.90)を課される可能性がありますので、くれぐれもご注意ください。

 

以上、マガジンの第一弾として、CCPAの概要をご紹介させていただきました。これからも、伊藤と私とで、月に約2回の程度の頻度で、お役に立ちそうな情報をお送りできればと思いますので、お付き合いいただけましたら幸いです。

 

日本全体的に大寒波がやってきていたそうですが、まだまだ寒い日は続きそうですね。こちらはコロナに限らず風邪が流行っています。くれぐれも皆さまご自愛ください。

 

今後ともよろしくお願いいたします。

 

上部へスクロール