あなたの企業は大丈夫?カリフォルニアの新州法CCPA

by Subin Chan

みなさま、CCPAというカリフォルニアの州法をご存知でしょうか。 2020年1月には有効化され、カリフォルニア州に住んでいる消費者情報を収集・管理している企業はどの国に事業拠点があろうと対象となる州法です。 2020年7月には対象企業がCCPAに違反していた場合、巨額な罰金が科せられるとされており、弊社クライアント様も対象となりえるため、州法の内容や対象企業等を調査しまとめてみました。

CCPAとは

CCPA(California Consumer Privacy Act) 日本語に訳すと”カリフォルニア州消費者プライバシー法”といいます。 要はカリフォルニア州に住む消費者のプライバシー保護をより強化した州法です。 これにより、カリフォルニア州に住む消費者は自身の個人情報をコントロールできる権利が与えられました。 消費者がコントロールできる内容が以下
  • 消費者は企業に、自身の個人情報がどう扱われ利用されているかを問い、知ることができる (これにより企業は、45日以内には消費者の要求する情報を提供しなければなりません。)
  • 消費者は企業に、自身の個人情報を第三者に提供・売買することを拒否することができる (これにより企業は、拒否した消費者から許可がない限り、第三者への個人情報提供・売買ができません。)
  • 消費者は企業に、自身の個人情報削除を要求することができる (企業は消費者が希望する個人情報削除の要望に応えなくてはなりません。)
  • 消費者は企業に対して、上記3つの権利を利用したとしても、今までと同様のサービスを受けることができる (たとえ消費者が個人情報要求・個人情報売買の拒否・個人情報削除申請等の権利を利用したとしても、企業は今まで同様にサービスを提供しなくてはなりません。)
また消費者は、その企業の商品やサービスを受けてる受けてないに関係なく 個人情報を保持している企業に対してその権利を行使できるそうです。 上記のことを踏まえ企業は、いつなんどきでも消費者の要求にに応えなくてはならなくなりました。 実際にGoogleやFacebookなどの大手企業は、当初この州法に反対の意を示したそうです。 しかし住民の強い要望により当州法は実現化しました。

CCPAの対象となる企業

冒頭でも述べたように、カリフォルニア州に住んでいる消費者の個人情報を収集・管理している企業は、事業拠点がどこであろうと対象となりえます。 ですが、その中でも以下いずれかを満たしている企業には、州法に違反した場合罰金対象となるため要確認です。
  • 年間 $25 million 以上の売上がある企業
  • 年間 50,000以上の(カリフォルニア州在住の)個人情報を取り扱っている企業
  • 企業全体売上の50%は、(カリフォルニア州在住の)個人情報の売買によるものである企業
親会社または子会社が上記いずれかを満たしている場合、その子会社また親会社も州法に準じた個人情報の管理が必要になります。 またメルマガ等で消費者のメールアドレスのみを保持していたとしても、IPアドレスでトラッキングし住所を特定できる場合もあるため、この辺も管理部などとの確認が必要となるでしょう。

実際に対象企業がやらなければいけないこと

企業が消費者から個人情報を収集する際のプライバシーポリシーにおいて、個人情報収集の目的と利用目的、情報を共有する第三者、情報売買の方法などの内容を含め毎年更新することが義務付けられました。 また消費者がCCPAの権利を利用した際、確実な本人確認を行ってから対応しなければいけないためその運用方法等を明確にすること。 そして権利を利用する消費者に対して、45日以内に情報を開示すること。 これに違反した企業は是正の通知を受けることとなり、その後30日以内に是正さなかった場合は消費者1一人あたり1違反となり、1違反最大2,500ドルの罰金が科せられるとされています。 ※詳細な金額は今後変動あり 一度社内でその収集・管理方法などを見直し準備しておかなければ、2020年1月にその権利を利用し問い合わせてくる消費者の連絡が後をたたないなんてこともあり得るかもしれません。 そして中には悪意のある消費者がいるということも念頭に置いておいた方がいいでしょう…。

おまけ

いかがでしたでしょうか。 弊社も一緒にビジネスさせていただいているクライアント様が当州法に該当するか否か確認のため調査しましたが、アメリカに拠点がないからといって安心できる内容ではないですよね。 消費者にとっては自身の個人情報を管理しやすくなりましたが、企業側としては会社の経営が傾くほどの罰金を科せられるかもしれない法律のため目を背けていられません。 このCCPAよりも先に個人情報の取り扱い方を更に強化したのが、ヨーロッパで法化されたGDPR。 CCPAとGDPRは個人情報保護の強化を目的とした意味では同じですが、その内容と義務は異なるので、こちらについてもまた時間があるとき記事にしてみたいと思います。
GO RIDEではECサイト制作・運用を行っております。 是非お気軽にお問い合わせください。 お問い合わせはこちら
この著者の記事一覧

EC構築から広告運用までワンストップで提供。

資料請求 お問い合わせ