米CA州の個人情報保護法について

　米CA州で個人情報の取扱/保護法に知事が署名し、来年1月に施行されることになりました。本件ではユーザ要請に基づいて企業はユーザの情報開示/削除/共有取止めなどをする必要があり、要請のためにWebサイトの導線設計も求められています。
　GDPRとは[個人情報の利活用前提]という観点で基本思想が異なるものの、当面は一定対応が必要で各社事業に悪影響が発生しそうですが、取扱明示化での事業化機会創出/事業推進の明確化が想定されます。下記で諸々を取りまとめました。
CA州民のデータを取っている観点からすると、本邦の様々な企業にも影響はあると思われます。

【California Consumer Privacy Act, CCPAについて】
<概要>
・CA州住民のデータを保有する企業の個人データ取扱(消費者からの[データ開示][データ削除][売却停止]の要請)への要請対応が20年1月から義務化。
[施行への流れ]
・CA州知事がCCPAに正式署名、20年1月施行が決定。
　└18年から議会での修正協議が続いていたが、先立つ9月に州議会が可決。
　└背景…18年3月に発覚したFBでの個人情報不正流出事件(+プライバシー保護機運)
[CCPAのサマリ]
・企業は消費者の要請があれば、自社が集める情報/目的/共有企業を開示する必要
・企業は消費者に要請があれば、データ削除する必要
・消費者は自身のデータ販売停止を要請することが出来る
・企業はデータ収集への金銭インセンティブを提供することも容認される
・Cal州当局は違反した企業に対し罰金(最大で7500USD/件)を科す

【CCPAの要件】
<諸々の要件1;対象企業>
・対象事業者は[Cal州で事業を行い、Cal州民の個人情報を収集する、下記1~3のいずれかの要件に該当する法人]とされ、州内に事業拠点があるか否かは問われない
[1]年間の総収入が2,500万USD以上
[2]5万人以上のCal州民の個人情報を処理する
[3]Cal州民の個人情報売却で年間収入の50%以上を得ている
<諸々の要件2;対象データ>
・[Cal州民/世帯について識別/関連/記載/結び付け、直接/間接的に合理的に辿ることのできるあらゆる情報]を指し、範囲としては非常に広い
　└固有情報:実名/仮名/電番/IPアドレス/メアド/口座/免許証/パスポート等
　└生体情報:虹彩/網膜/指紋/掌紋/顔情報/声情報/DNA等
　└Web介した情報;ウェブサイトの閲覧履歴/検索履歴/位置情報データ等
<諸々の要件3;消費者の権利>
・CCPAが認める消費者の権利は下記の3つに分類可能
[1]開示請求権/収集データの受領権
・企業が収集した個人情報を開示請求する権利(請求受領後45日以内の対応)
　└カテゴリー/情報源/情報用途/収集情報の開示先など
・消費者請求時点から過去12か月に企業が収集した個人情報のコピーを受け取る権利
・開示は少なくとも通話無料の電話を含む2つ以上の方法で行い、Webサイトには当該請求URLを含むものとしている。さらに、プラポリは12か月ごとの更新が求められる
[2]個人情報の削除権
・消費者自身の個人情報を削除してもらう権利(所謂「忘れられる権利」)
[3]オプトアウト
・企業のデータ売却/運用について知り、その消費者の個人情報を第三者売却停止を求める権利
　└消費者が自身の個人情報の第三者提供に関するオプトアウトの権限を保障、当該権利の行使のためにWebサイトに[Do Not Sell My Personal Information」]というクリアで目立つリンクを設置して、手続への誘導を行うことを義務付け

【CCPAの狙いと対策】
<CCPAの狙いと今後>
・CCPAはFBの個人情報流出に端を発するプライバシーに対する意識の高まりを背景とし、各企業は大々的に反対ロビイングをしたが住民の後押しを背景に議会で可決。
・CAに続く流れとしてNYやILといった10州程度でCCPAをモデルにプライバシー保護の枠組み制定の流れが明らかになりつつあり、連邦レベルでの議論も始まっている模様
　└医療/金融といった特定分野でのデータ利用に係る連邦法は存在するも、本件はあらゆる産業を対象とすることから、連邦法が出来る場合には影響大きい
　└逆に言うと、個人データ利用方法の明確化が事業のしやすさにつながり得るとも。
<CCPAへの対応内容>
・CCPAに準拠する体制/システム構築には下記が必要とみられます。
[1]消費者へのデータ開示準備
・CCPAではユーザが要請すればデータ開示の必要があるため、開示に向けた準備が必要。当該準備を収集/蓄積データの棚卸/整理につなげることもできるはず(ユーザーの理解を得られないデータ収集/共有している可能性もあるので…)
[2]オプトアウト準備
・ユーザーが要請すれば他社への共有を停止しなくてはならず、パートナー各社との協議が必要に。
[3]サービス品質維持を確認
・CCPAには[オプトアウト要請者にサービス内容での報復NG」という項目があり、オプトアウト前後で同様のサービス提供が求められる
　└データが不足した場合の事業/サービス継続の検討が必要
[4]データへのインセンティブ
・CCPAではデータ提供へのインセンティブ供与を認めているため、サービス/事業継続にデータが必要な場合にはデータの質/量を担保しうるインセンティブ設計が必要に
<GDPRとの相違点>
・個人データの取扱い前提で大きな違いがあり、CCPAの方が実態に即する
　└CCPA:消費者の要請に応じた情報開示が基本で、個人データの取扱いは禁止せず。ただし、要請があった場合には開示/削除等の対応が必要
　└GDPR;事前許諾を得た場合を除き、個人データの利活用を禁じている