〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階
東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)
東京メトロ 南北線:溜池山王駅 7番出口(地下直結)
東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分
東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)
セミナー
事務所概要・アクセス
事務所概要・アクセス
<目次>
1. はじめに
2. CPRA対応のポイント(CCPAからの変更点)
(1) 共有(share)
(2) 機微な個人情報
(3) Service ProvidersやContractorsとの契約条項、及び第三者との契約条項
(4) 30日の違反是正期間に関する規定の削除
3. CCPA/CPRAの概要
(1) CCPA/CPRAの施行時期
(2) CCPA/CPRAの対象となる事業者
4. プライバシーポリシーその他の情報提供における対応の概要
(1) 個人情報収集時の情報提供
(2) プライバシーポリシーの記載事項
2023年4月4日、カリフォルニア州プライバシー保護局(CPPA:California Privacy Protection Agency)が、2020年カリフォルニア州プライバシー権法(CPRA:California Privacy Rights Act of 2020)による2018年カリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act of 2018)の改正に対応した「規則(regulations)」を公表しました。
同規則は、2023年3月29日にCPPAで承認され、即日効力を有するものとされていましたが(同年3月30日付けリリース)、4月4日になって規則の条文が公表されたことになります。
同規則に基づいた民事上及び行政上の法執行は2023年7月1日から行われることになりますので、2023年6月30日までに対応する必要があります。
日本企業に大きな影響があるポイントは、主に以下の4点です。
CPRAで新しく導入された概念として、個人情報の「共有」(share)があります。
「共有」とは、クロスコンテクスト行動広告のために個人情報を第三者に伝達することをいいます(CCPA(以下略)§1978.140(ah)(1))。
「共有」についても、収集や販売、開示と同様に対象となる個人情報のカテゴリーや共有先の第三者のカテゴリー、事業又は商業上の目的等についての情報提供が必要となるほか、販売と同様にオプトアウトの対象となるため、対応が必要となる場合があります。
広告識別子等を媒体に提供しているようなケースで対応が必要となる可能性がありますので、ご留意ください。
CPRAでは、機微な個人情報の利用に関する規制が強化され、機微な個人情報の利用について、商品やサービスを要求する平均的消費者が合理的に期待するサービスの実施又は商品の提供に必要な利用に制限するよう要求する権利が消費者に認められるようになりました(§1798.121(a))。
また、機微な個人情報に関する情報提供に関する規定も追加されましたので、機微な個人情報を取得する場合には、情報提供事項の追加や、上記権利に関する対応等が必要となる場合があります。
今回公表されたCPRAに関する規則では、Service ProvidersやContractorsとの契約及び第三者との契約における条項の内容が規定されました(規則§7051、§7053)。
これにより、締結済みの業務委託契約の内容の見直しや、新たに締結する契約内容の修正等が必要となる場合があります。
CCPAには「事業者は、CCPA違反の疑義を通知されてから30日以内に違反を是正しない場合、CCPA違反となる」との規定がありましたが、CPRAにより削除されました(§1798.155)。
CPRAでは、「当局が、・・・違反を是正する期間を与えることを決定することができる」(§1798.199.45(a))として当局の裁量が広く認められています。なお、執行に先立ち、違反の有無を判断するために、ヒアリングを開催するとの規定が追加されましたので(§1798.199.55(a))、CCPA違反の疑義の通知は依然として行われることになります。
以上が、CPRA対応の主なポイントと考えられます。
特に(3)については、CCPA/CPRAでは規定されておらず、今回の規則で詳細が明らかになったものですので、早急な対応が必要となります。
2018年カリフォルニア州消費者プライバシー法(California Consumer Privacy Act of 2018、「CCPA」)が2020年1月に施行され、CCPAを改正する2020年カリフォルニア州プライバシー権法(California Privacy Rights Act of 2020、「CPRA」)が2023年1月1日に施行されています。
今般公表されたCCPA規則(以下「規則」)は、CPRAによるCCPAの改正を反映したものになっており、これによりカリフォルニア州のプライバシーに関する法令は出揃ったこととなります。
CCPA/CPRAは日本企業にも適用の可能性があり、適用のある企業は遅くともCPRAに基づく執行が開始される2023年7月1日までに対応する必要があります(§1798.185(d))。
CCPA/CPRAの対象となる「事業者(Business)」とは、以下の者をいいます。CPRAによる変更点は以下の赤字部分です。対象となる事業者が拡大される一方、取り扱う個人情報の件数の要件は、5万件から10万件となり、緩和されています。
① カリフォルニア州で事業を行う者のうち、以下のいずれかを満たすもの(§1798.140(d)(1))
・1月1日の時点で、前年の年間売上高(annual gross revenue)が2,500万ドルを超えていること
・独自に又は共同で、年間合計10万件以上の消費者又は世帯の個人情報を、購入し、販売し、または共有していること
・年間売上高の50%以上を消費者の個人情報の販売又は共有から得ていること
② ①の事業者を支配し又は支配され、①の事業者と共通のブランドを有し、①の事業者が個人情報を共有する事業者(§1798.140(d)(2))
③ ①の事業者がそれぞれ40%以上の持ち分を有する合弁会社(joint venture)や共同事業体(partnership)(CPRA§1798.140(d)(3))
④ カリフォルニア州で事業を行う者のうち、上記①~③のいずれにも該当せず、カリフォルニア州プライバシー保護局(California Privacy Protection Agency)に対し、CCPAを遵守し、CCPAに拘束されることを自発的に証明する者(§1798.140(d)(4))
事業者は、個人情報の収集時に以下の事項を通知する必要があります(§1798.100、規則§7012~7016等)。オンラインで消費者から個人情報を収集する場合には、下記の事項について記載されたプライバシーポリシーの特定のセクションへのリンクを提供する方法により、情報提供することも可能です。CPRAにより赤字部分が追加されています。
※「Do Not Sell or Share My Personal Information」のリンクは、事業者が個人情報を販売又は共有しておらず、その旨プライバシーポリシーに明記している場合は設置の必要がございません(規則§7013(g))。「Limit the Use of My Sensitive Personal Information」のリンクは、機微な個人情報を§7023(m)に定める目的のためにのみ利用及び開示する場合、又は本人の特性を推測する目的を持たずに機微な個人情報を収集又は処理をする場合であって、プライバシーポリシーにその旨を明記している場合には、設置の必要がございません(規則§7014(g))。これらについては、代替オプトアウトリンクによることも可能です(規則§7015)。
また、オプトアウトプリファレンスシグナルにより消費者の販売又は共有のオプトアウトや機微な個人情報の利用制限ができる場合は、リンクの設置は不要です(§1798.135(b))。
プライバシーポリシーには、少なくとも12か月に1回アップデートしなければならない、とされています(§1798.130(a)(5))。プライバシーポリシーの記載事項は以下のとおりで、CPRAにより赤字部分が追加されています。
<どのような個人情報が収集されているのかを知る権利に資するための情報(§1798.110、§1798.130(a)(5)(B))>
<どのような個人情報が誰に販売、共有又は開示されているかを知る権利に資するための情報(§1798.130(a)(5)(C))>
<消費者の権利に関する説明(§1798.130(a)(5)(A))>
<消費者がCCPA上の権利を行使する方法等についての説明(規則§7011(e)(3))>
<その他>