カリフォルニアの個人データ法でこれからのSaaSビジネスにどのような影響が出るのか?
前回の記事では2020年に入ってからのGDPR(欧州)の変化に関する内容を紹介しました。
罰金事例が増加傾向にあることに加えて、国のデータ保護当局によって対応が異なる事がわかり始めています。
特にネット系大手企業が集積するアイルランドでは昨年以降保護当局の動きが活発になりつつあり、2020年後半にかけて大きな動きがある可能性があります。
欧州ではGDPRを中心に動きが始まりつつある中で、アメリカのカリフォルニアでもCCPA(カリフォルニア州消費者プライバシー法)でも変化が始まっています。
今回はCCPAに関する新たな情報を紹介したいと思います。
CCPAとは
初めて記事をご覧になる方もいらっしゃるかと思うので、カリフォルニア州で今年に入ってから施行されたCCPAに関して紹介します。
CCPA(カリフォルニア州消費者プライバシー法)は、アメリカ合衆国カリフォルニア州の居住者のプライバシー権と消費者保護を強化することを目的とした州法です。
GDPRと異なりアメリカに居住する全ての人ではなく、カリフォルニア州の居住者向けに適応される個人データ保護に関する法律です。
詳細に関しては過去の記事で紹介しているので参照して頂けると幸いです。
2020年1月から施行され各社が対応を始めていますが、罰則や対象企業など基本的な内容は明記されていますが細かい対応策が不明瞭なため各社から州に対して数多くの要求が行われています。
特にネット系大手企業を中心とした広告やマーケティングに個人データを取り扱う企業からは数多くの要望が提出され各社それぞれが対応を進めている段階です。
GDPRと比較するとオプトアウト含めた個人データの情報請求に関する明記が義務化されており、ユーザーに対して適切な対応策を説明する必要があります。
Googleなどのテクノロジー企業はCookieを始めとした第三者への情報提供を限定的にするなど個人データ戦略の根幹にも影響が及び始めています。
個人データの問題はCCPAだけでなく生体情報や位置情報など現在様々な角度から議論が行われており2020年を通して徐々に明確になっていくのではないかと期待しています。
CCPAに関するアップデート
2020年1月に施行されてから2ヶ月間で初期に明記されていた内容に関して、新たにアップデートが加えられています。
2020年2月7日にカリフォルニア州司法長官によって新しく公表され、これまで明確になっていなかったポイントが一部具体的に明記されています。
今回の公表によって明確になったポイントを整理していきたいと思います。
1、個人データ(情報)に関する定義
これまでは個人データ(情報)に関する定義、及び範囲が非常に幅広く "何を持って個人情報に当たるのか" が不明瞭であるという問題が議論されていました。
今回の公表ではビジネス事業者が保有している情報が特定の個人、もしくは集団と紐づけられている場合に個人情報に当たるとして明記しています。
Whether information is “personal information,” as that term is defined in Civil Code section 1798.140, subdivision (o), depends on whether the business maintains information in a manner that “identifies, relates to, describes, is reasonably capable of being associated with, or could be reasonably linked, directly or indirectly, with a particular consumer or household.” For example, if a business collects the IP addresses of visitors to its website but does not link the IP address to any particular consumer or household, and could not reasonably link the IP address with a particular consumer or household, then the IP address would not be “personal information.”
例えば、IPアドレスを事業者が取得した際に特定の個人や集団と紐づける場合は個人データ(情報)として定義されますが、紐づかない場合はIPアドレス単体では個人情報として定義されないというものです。
事業者としては個人データ(情報)の線引きが明確化することによって、対応するべき情報と必要ない情報が初期の発表よりも明確化しています。
2、ウェブアクセシビリティに関して
ウェブアクセシビリティとは障害のある方がウェブ上のコンテンツにアクセスできる取り組みのことで、W3C(ワールド・ワイド・ウェブ・コンソーシアム)が事業者向けにガイドラインを発表しています。
今回の公表ではウェブアクセシビリティのガイドラインとしてWeb Content Accessibility Guidelines (WCAG) 2.1を採用すると明記しています。
Be reasonably accessible to consumers with disabilities. At a minimum, For notices provided online, the business shall follow generally recognized industry standards, such as the Web Content Accessibility Guidelines, version 2.1 of June 5, 2018, from the World Wide Consortium, incorporated herein by reference. In other contexts, the business shall provide information on how a consumer with a disability may access the notice in an alternative format.
誰でもインターネットにアクセスしコンテンツによって便益を受ける一つの指針が発表されたことになります。
3、オプトアウトボタンに関して
個人データ(情報)を取得する際にユーザーが自身のデータ(情報)を事業者に対して第三者提供の可否を示す必要を明確化する必要があります。
その際にオプトアウトボタンと呼ばれる仕組みを導入しなければいけないと明記されており、今回はオプトアウトボタンの具体的な内容が公表されています。
When the opt-out button is used, it shall appear to the left of the “Do Not Sell My Personal Information” or “Do Not Sell My Info” link, as demonstrated below, and shall be approximately the same size as other buttons on the business’s webpage.
(出典:Text of Modified Regulations (Redline Version) - 15 Day Comment Period - February 7-24, 2020)
ユーザー向けのインターフェイスが明確になることで、事業者としては同意の際に必要な準備ができるようになります。
4、ユーザー請求の確認に関して
ユーザーから個人データ(情報)に関して削除、公表、オプトアウトなどの要求があった場合に事業者は特定の日数内に確認が必要になります。
今回は新しく10営業日以内に確認することが必要と明記されました。
Upon receiving a request to know or a request to delete, a business shall confirm receipt of the request within 10 business days and provide information about how the business will process the request. The information provided shall describe in general the business’s verification process and when the consumer should expect a response, except in instances where the business has already granted or denied the request. The confirmation may be given in the same manner in which the request was received. For example, if the request is made over the phone, the confirmation may be given on the phone during the phone call.
事業者はユーザーの要求に対してどのように対応するかを正確に伝えた上で対応処理を行います。メールで要求があった場合はメール、電話を通じての場合は電話での対応を行います。
データの削除に関してはカレンダー記載の45日以内と明記されています。
Businesses shall respond to requests to know and requests to delete within 45 calendar days. The 45-day period will begin on the day that the business receives the request, regardless of time required to verify the request.
今回の発表により事業者としてはユーザー要求に対してのチーム編成などやガイドラインを組みやすくなります。
5、プライバシーポリシーの変更
12ヶ月以内で取得した個人データ(情報)の分類を行う必要はありますが、リスト化する際に取得ソースまでの明確にする必要はないとしています。
The categories of personal information that the business
sold in the preceding 12 months, and for each category identified, the categories of third parties to which it sold that particular category of personal information; The categories of personal information that the business disclosed for a business purpose in the preceding 12 months, and for each category identified, the categories of third parties to whom it disclosed that particular category of personal information.
ただ、取得段階での情報のソース及び第三者提供した際のデータの流れなどは理解しておく必要があり各データの流れを透明化していくコストは以前残っています。
6、サービス提供者のデータ取得
事業者はサービス提供する際に新しく以下の内容でデータの取得、活用を行うことができるようになります。
・個人データを書き換えない形でのサービスプロバイダー内でのサービス改善
・詐欺や違法活動を取り締まるための用途
・データセキュリティに関する問題
A service provider shall not retain, use, or disclose personal information obtained in the course of providing services except:
(1) To perform the services specified in the written contract with the business that provided the personal information;
(2) To retain and employ another service provider as a subcontractor, where the subcontractor meets the requirements for a service provider under the CCPA and these regulations;
(3) For internal use by the service provider to build or improve the quality of its services, provided that the use does not include building or modifying household or consumer profiles, or cleaning or augmenting data acquired from another source;
(4) To detect data security incidents, or protect against fraudulent or illegal activity; or
(5) For the purposes enumerated in Civil Code section 1798.145, subsections (a)(1) through (a)(4).
データの活用用途を明確にすることで利便性向上につなげていくことができるようになります。
7、事業者によるデータ検索義務
各事業者が保有するデータをユーザー要求において検索する必要性に関して公表されています。
ユーザーの要求に対しては以下の場合に検索の必要性がないと明記しています。
・検索できるフォーマット情報ではない場合
・コンプライアンス、法的な目的のみの場合
・販売、及び商用利用を目的としない場合
・ユーザーに対して分類を説明し上記の理由において検索ができない場合
In responding to a request to know, a business is not required to search for personal information if all the following conditions are met:
a. The business does not maintain the personal information in a searchable or reasonably accessible format;
b. The business maintains the personal information solely for legal or compliance purposes;
c. The business does not sell the personal information and does not use it for any commercial purpose; and
d. The business describes to the consumer the categories of records that may contain personal information that it did not search because it meets the conditions stated above.
仮に全てのデータを検索する必要が出てくると大幅なコスト増になるため、今回明記されたことによって大幅に対策コストが減少する可能性があります。
8、データがアーカイブ、バックアップシステムにある場合
ユーザー要求があった際にデータの保存状況によって対応が大幅に遅れる可能性もあります。その際の対応方法に関して新しく追加で明記がされています。
If a business stores any personal information on archived or backup systems, it may delay compliance with the consumer’s request to delete, with respect to data stored on the archived or backup system, until the archived or backup system relating to that data is restored to an active system or next accessed or used for a sale, disclosure, or commercial purpose.
データ管理体制に関しても対応を明確にする必要があり、現時点では明記されている内容が抽象的ではありますが今後の判例などを通じて明確になっていくと考えられます。
CCPAで考えられる最初の判例
カリフォルニアでは各社が対応を進める中でいくつか気になる事例が発生しています。
事例の中で特に注目が集まっているものがセールスフォースとオンラインでの子供服販売を行うハンナアンダーソンのデータ漏えいのケースです。
この事例はCCPAが1月に施行されてから初めての集団訴訟ケースになります。
1月15日にハンナアンダーソンからハッカーによって顧客データとして顧客名、支払いカード情報、配送先、その他の顧客データが流出したと発表されました。
その後の調査でハッキングされたデータはダークウェブ上で取引され、顧客データを活用して偽の購入などが行われていたことが判明しています。
今回のケースではセールスフォースが提供するeコマースプラットフォームにマルウェアが感染し、データの漏洩が発生したと主張しています。
現時点で大きな争点になっているのは以下のポイントです。
・漏洩を報告するまでに3ヶ月近くかかっている事(2019年12月5日にデータ流出に関して法的指摘を受け調査を支持された後に、セールスフォース側でマルウェア感染と判明)
・両社は事態を把握したにも拘らず顧客、裁判所に対して1ヶ月近く報告をしなかった事
・1万人以上のカリフォルニアの住民の支払い情報など重要な個人データが漏洩している事(カリフォルニア以外ではワシントン州の9000人)
などが現在議論されています。
カリフォルニアの個人データ法でこれからのSaaSビジネスにどのような影響が出るのか?
顧客データを取り扱うマーケティング活動にとって、カリフォルニアで始まった個人データに関する法律は大きな転換点となる可能性があります。
特に大多数の顧客データを取り扱う事業者にとっては、顧客からの集団訴訟などは避けられない一つのリスクになり始めています。
そして、データを活用して直接商品を販売するブランド企業だけではなく、ブランド企業を手助けするソフトウェア企業も注意する必要があります。
(出典:While Data Breaches Accelerate, It's Critical That E-Commerce Businesses Stay Safe)
取り上げたセールスフォースのケースでは、ブランド企業の個人データがセールスフォースのソリューションから漏洩した事によって問題になっています。
ソフトウェア事業者としてはクライアントとなるブランド企業が取り扱うデータに関しても注意を払う必要がある事に加えて、クライアントのデータ漏洩に関しても慎重になる必要があります。
これまでB2B系のSaaSとしてサービスを提供していたソフトウェア事業者にとってはビジネスモデル、及び売り先のデータ管理などのリスクを検討する必要も出てくると考えられます。
※一部法的な解釈を紹介していますが、個人の意見として書いているため法的なアドバイス、助言ではありません。
引き続きCOMEMO記事を読んで頂けると嬉しいです。
↓↓↓
記事の内容やブロックチェーン×データビジネスに関するご質問はこちらまで!!
ブロックチェーン技術は世界中の人たちが注目している新しいビジネスのタネの一つです!気になったら気軽にメッセージください!