＜目次＞
1. はじめに
2. CPRA対応のポイント（CCPAからの変更点）
(1) 共有（share）
(2) 機微な個人情報
(3) Service ProvidersやContractorsとの契約条項、及び第三者との契約条項
(4) 30日の違反是正期間に関する規定の削除
3. CCPA/CPRAの概要
(1) CCPA/CPRAの施行時期
(2) CCPA/CPRAの対象となる事業者
4. プライバシーポリシーその他の情報提供における対応の概要
(1) 個人情報収集時の情報提供
(2) プライバシーポリシーの記載事項

1. はじめに

2023年4月4日、カリフォルニア州プライバシー保護局（CPPA：California Privacy Protection Agency）が、2020年カリフォルニア州プライバシー権法（CPRA：California Privacy Rights Act of 2020）による2018年カリフォルニア州消費者プライバシー法（CCPA：California Consumer Privacy Act of 2018）の改正に対応した「規則（regulations）」を公表しました。
同規則は、2023年3月29日にCPPAで承認され、即日効力を有するものとされていましたが（同年3月30日付けリリース）、4月4日になって規則の条文が公表されたことになります。
同規則に基づいた民事上及び行政上の法執行は2023年7月1日から行われることになりますので、2023年6月30日までに対応する必要があります。

2. CPRA対応のポイント（CCPAからの変更点）

日本企業に大きな影響があるポイントは、主に以下の4点です。

(1) 共有（share）

CPRAで新しく導入された概念として、個人情報の「共有」（share）があります。
「共有」とは、クロスコンテクスト行動広告のために個人情報を第三者に伝達することをいいます（CCPA（以下略）§1978.140(ah)(1)）。
「共有」についても、収集や販売、開示と同様に対象となる個人情報のカテゴリーや共有先の第三者のカテゴリー、事業又は商業上の目的等についての情報提供が必要となるほか、販売と同様にオプトアウトの対象となるため、対応が必要となる場合があります。
広告識別子等を媒体に提供しているようなケースで対応が必要となる可能性がありますので、ご留意ください。

(2) 機微な個人情報

CPRAでは、機微な個人情報の利用に関する規制が強化され、機微な個人情報の利用について、商品やサービスを要求する平均的消費者が合理的に期待するサービスの実施又は商品の提供に必要な利用に制限するよう要求する権利が消費者に認められるようになりました（§1798.121(a)）。
また、機微な個人情報に関する情報提供に関する規定も追加されましたので、機微な個人情報を取得する場合には、情報提供事項の追加や、上記権利に関する対応等が必要となる場合があります。

(3) Service ProvidersやContractorsとの契約条項、及び第三者との契約条項

今回公表されたCPRAに関する規則では、Service ProvidersやContractorsとの契約及び第三者との契約における条項の内容が規定されました（規則§7051、§7053）。
これにより、締結済みの業務委託契約の内容の見直しや、新たに締結する契約内容の修正等が必要となる場合があります。

(4) 30日の違反是正期間に関する規定の削除

CCPAには「事業者は、CCPA違反の疑義を通知されてから30日以内に違反を是正しない場合、CCPA違反となる」との規定がありましたが、CPRAにより削除されました（§1798.155）。
CPRAでは、「当局が、・・・違反を是正する期間を与えることを決定することができる」（§1798.199.45(a)）として当局の裁量が広く認められています。なお、執行に先立ち、違反の有無を判断するために、ヒアリングを開催するとの規定が追加されましたので（§1798.199.55(a)）、CCPA違反の疑義の通知は依然として行われることになります。

以上が、CPRA対応の主なポイントと考えられます。
特に(3)については、CCPA/CPRAでは規定されておらず、今回の規則で詳細が明らかになったものですので、早急な対応が必要となります。

3. CCPA/CPRAの概要

(1)CCPA/CPRAの施行時期

2018年カリフォルニア州消費者プライバシー法（California Consumer Privacy Act of 2018、「CCPA」）が2020年1月に施行され、CCPAを改正する2020年カリフォルニア州プライバシー権法（California Privacy Rights Act of 2020、「CPRA」）が2023年1月1日に施行されています。
今般公表されたCCPA規則（以下「規則」）は、CPRAによるCCPAの改正を反映したものになっており、これによりカリフォルニア州のプライバシーに関する法令は出揃ったこととなります。
CCPA/CPRAは日本企業にも適用の可能性があり、適用のある企業は遅くともCPRAに基づく執行が開始される2023年7月1日までに対応する必要があります（§1798.185(d)）。

(2)CCPA/CPRAの対象となる事業者

CCPA/CPRAの対象となる「事業者（Business）」とは、以下の者をいいます。CPRAによる変更点は以下の赤字部分です。対象となる事業者が拡大される一方、取り扱う個人情報の件数の要件は、5万件から10万件となり、緩和されています。

① カリフォルニア州で事業を行う者のうち、以下のいずれかを満たすもの（§1798.140(d)(1)）
　・1月1日の時点で、前年の年間売上高（annual gross revenue）が2,500万ドルを超えていること
　・独自に又は共同で、年間合計10万件以上の消費者又は世帯の個人情報を、購入し、販売し、または共有していること
　・年間売上高の50%以上を消費者の個人情報の販売又は共有から得ていること
② ①の事業者を支配し又は支配され、①の事業者と共通のブランドを有し、①の事業者が個人情報を共有する事業者（§1798.140(d)(2)）
③ ①の事業者がそれぞれ40％以上の持ち分を有する合弁会社（joint venture）や共同事業体（partnership）（CPRA§1798.140(d)(3)）
④ カリフォルニア州で事業を行う者のうち、上記①～③のいずれにも該当せず、カリフォルニア州プライバシー保護局（California Privacy Protection Agency）に対し、CCPAを遵守し、CCPAに拘束されることを自発的に証明する者（§1798.140(d)(4)）

4.プライバシーポリシーその他の情報提供における対応の概要

(1)個人情報収集時の情報提供

事業者は、個人情報の収集時に以下の事項を通知する必要があります（§1798.100、規則§7012～7016等）。オンラインで消費者から個人情報を収集する場合には、下記の事項について記載されたプライバシーポリシーの特定のセクションへのリンクを提供する方法により、情報提供することも可能です。CPRAにより赤字部分が追加されています。

1. 収集する個人情報のカテゴリー
2. 当該個人情報を収集又は利用する目的
3. 当該個人情報が販売又は共有されるかどうか
4. 事業者が個人情報を販売又は共有する場合は、ホームページ上に、「Do Not Sell or Share My Personal Information」と題されたリンク（§1798.135(a)(1)）（※）
5. ＜機微な個人情報を収集する場合＞
   ・収集する機微な個人情報のカテゴリー
   ・当該機微な個人情報を収集又は利用する目的
   ・当該機微な個人情報が販売又は共有されるかどうか
   ・「Limit the Use of My Sensitive Personal Information」と題されたリンク（§1798.135(a)(2)）（※）
6. 機微な個人情報を含む各カテゴリーの個人情報を保持する予定の期間（不可能な場合、その期間を決定するために使用される基準）
7. 事業者のプライバシーポリシーへのリンク
8. 事業者が、個人情報の収集、販売、共有又は保有について、本人への報酬としての支払いなど金銭的なインセンティブを提供する場合は、それに関する事項（§1798.125(b)、規則§7016）（オプトインの同意が必要。）

※「Do Not Sell or Share My Personal Information」のリンクは、事業者が個人情報を販売又は共有しておらず、その旨プライバシーポリシーに明記している場合は設置の必要がございません（規則§7013(g)）。「Limit the Use of My Sensitive Personal Information」のリンクは、機微な個人情報を§7023(m)に定める目的のためにのみ利用及び開示する場合、又は本人の特性を推測する目的を持たずに機微な個人情報を収集又は処理をする場合であって、プライバシーポリシーにその旨を明記している場合には、設置の必要がございません（規則§7014(g)）。これらについては、代替オプトアウトリンクによることも可能です（規則§7015）。
また、オプトアウトプリファレンスシグナルにより消費者の販売又は共有のオプトアウトや機微な個人情報の利用制限ができる場合は、リンクの設置は不要です（§1798.135(b)）。

(2)プライバシーポリシーの記載事項

プライバシーポリシーには、少なくとも12か月に1回アップデートしなければならない、とされています（§1798.130(a)(5)）。プライバシーポリシーの記載事項は以下のとおりで、CPRAにより赤字部分が追加されています。

＜どのような個人情報が収集されているのかを知る権利に資するための情報（§1798.110、§1798.130(a)(5)(B)）＞

1. 過去12か月間に収集した個人情報のカテゴリー（規則§7011(e)(1)(A)）
2. 個人情報が収集された情報源のカテゴリー（規則§7011(e)(1)(B)）
3. 個人情報を収集する具体的な事業又は商業上の目的（規則§7011(e)(1)(C)）

＜どのような個人情報が誰に販売、共有又は開示されているかを知る権利に資するための情報（§1798.130(a)(5)(C)）＞

1. 過去12か月間に販売又は共有した個人情報のカテゴリー。過去12か月間に販売又は共有をしていない場合はその旨（規則§7011(e)(1)(D)）
2. 上記で特定した販売又は共有した個人情報のカテゴリーごとに、当該情報を販売又は共有した第三者のカテゴリー（規則§7011(e)(1)(E)）
3. 個人情報を販売又は共有する具体的な事業又は商業上の目的（規則§7011(e)(1)(F)）
4. 事業者が16歳未満の消費者の個人情報を販売又は共有していることを実際に認識しているかどうかに関する記載、及び認識している場合は、未成年者に関するオプトイン等の特別なルール（規則§7070及び7071）についての説明（規則§7011(e)(1)(G)、規則§7011(e)(3)(I)）
5. 過去12か月間に、事業目的で第三者に開示した個人情報のカテゴリー。過去12か月間に開示をしていない場合はその旨（規則§7011(e)(1)(H)）
6. 上記で特定した開示した個人情報のカテゴリーごとに、当該情報を開示した第三者のカテゴリー（規則§7011(e)(1)(I)）
7. 個人情報を開示する具体的な事業又は商業上の目的（規則§7011(e)(1)(J)）
8. 規則§7027(m)に定める目的以外の目的で機微な個人情報を利用又は開示しているかどうかに関する記載（規則§7011(e)(1)(K)）

＜消費者の権利に関する説明（§1798.130(a)(5)(A)）＞

1. 事業者が消費者についてどのような個人情報を収集したか（個人情報のカテゴリー、個人情報が収集された情報源のカテゴリー、個人情報の収集、販売又は共有の事業又は商業上の目的、消費者について収集した個人情報の特定の部分を含む。）について知る権利（§1798.110、規則§7011(e)(2)(A)）
2. 個人情報の削除を要求する権利（§1798.105、規則§7011(e)(2)(B)）
3. 不正確な個人情報を訂正する権利（§1798.106、規則§7011(e)(2)(C)）
4. 事業者が個人情報を販売又は共有する場合、その販売又は共有をオプトアウトする権利が認められること、及び当該権利に関する通知を提供する必要がある場合は、当該通知又はそのリンク（§1798.120、規則§7011(e)(2)(D)、規則§7011(e)(3)(C)）
5. 規則§7027(m)に定める目的以外の目的で機微な個人情報を利用又は開示する場合、事業者による機微な個人情報の利用又は開示を制限する権利が認められること、及び当該権利に関する通知を提供する必要がある場合は、当該通知又はそのリンク（§1798.121、規則§7011(e)(2)(E)、規則§7011(e)(3)(D)）
6. 従業員、採用応募者、独立したコントラクターがCCPA上の権利を行使したことで報復されない権利など、CCPAによって付与された権利の行使を理由に事業者から差別的な扱いを受けない権利（§1798.125、規則§7011(e)(2)(F)）

＜消費者がCCPA上の権利を行使する方法等についての説明（規則§7011(e)(3)）＞

1. 上記権利に基づく要求を提出するための方法の説明（§1798.130(a)(5)(A)、規則§7011(e)(3)(A)及び(B)、規則§7020）
   ※オンラインのみで運営を行い、個人情報を収集する消費者と直接関係を有する事業者は、電子メールアドレスを提供するのみでもよいとされています。
   ※上記事業者に該当しない場合、2つ以上の指定された方法を提供しなければならず、そのうちの1つはtoll-free電話番号（フリーダイヤルの電話番号）でなければなりません。また、事業者がウェブサイトを管理している場合、提出方法のうち1つはウェブ上のフォームなど、ウェブサイトを通じた方法でなければなりません。
2. 消費者の要求を確認するために事業者が利用するプロセスについての一般的な説明（（消費者が提供しなければならない情報を含む。規則§7011(e)(3)(E)）
3. オプトアウトプリファレンスシグナルに関する説明（規則§7011(e)(3)(F)及び(G)）
4. 権限を持った代理人が要求する場合の方法についての説明（規則§7011(e)(3)(H)）
5. 主に対話による方法を反映した方法で、事業者のプライバシーポリシーと情報に関するプラクティスについての質問や懸念を受け付ける窓口への問い合わせ（規則§7011(e)(3)(J)）

＜その他＞

1. プライバシーポリシーの最終更新日（規則§7011(e)(4)）
2. 年間1000万人以上の消費者の個人情報を取り扱う事業者の場合、規則§7012により開示が要求される情報又は当該情報へのリンク（規則§7011(e)(5)）

ニューズレターのメール配信はこちら