はじめに
国際的なデータ移転規制は、昨今変化の激しい分野であり、個人情報を扱う企業としては注視が必要な分野です。たとえば、米国が関係する規制だけでも、2020年7月にEU司法裁判所(Court of Justice of European Union)がEUから米国への個人情報の移転につき定めた「プライバシー・シールド」を無効とする決定を下したり、2021年6月4日に欧州委員会が当該決定後もEUから第三国への個人情報移転に関する取決めとして利用されていた標準契約条項(Standard Contractual Clauses:SCC)の改訂版を公表し、従来のSCCを利用していた企業が対応を求められたりするなど、直近での大きな変化がありました。
米国では、AmazonやGoogleなどをはじめとした多くの世界的大企業が米国内だけでなく世界中から膨大な量の個人情報を収集していますが、意外にも米国全体に統一的に適用されるデータ保護に関する包括的な連邦法は存在していません。近年、カリフォルニア州をはじめとしたいくつかの州が州法レベルでの包括的なプライバシー保護に関する立法を行っており、データ保護に関する連邦法制定の機運が高まっていますが、いまだ成立には至っていません。
カリフォルニア州では、2018年に包括的なプライバシー保護に関する初めての州法としてCalifornia Consumer Privacy Act of 2018(以下、「CCPA」といいます)が成立し、2020年1月1日に施行されました。さらに、2020年11月、CCPAよりもさらに厚い消費者保護を志向するCalifornia Privacy Rights Act of 2020(以下、「CPRA」といいます)がCCPAの改正法という位置付けでカリフォルニア州の住民投票の賛成多数により承認されました。このように、カリフォルニア州は米国で最もデータ保護に関する立法が進んでおり、現地でビジネスを行っている多くの日本企業が直接的な影響を受けることに加え、その動向は米国全体のデータ保護立法にも影響を及ぼす可能性もあることから、日本企業から特に注目されている州といえます。
そこで、諸外国におけるデータ越境移転規制について解説する本シリーズの第2回は、米国カリフォルニア州におけるデータ保護・移転規制の中心であるCCPAおよびその改正法であるCPRAについて解説します(米国全般に関する規制については、次回解説することとします)。
CCPAについて
概要
CCPAは、2018年6月28日にカリフォルニア州議会の承認および州知事の署名により制定され、2020年1月1日付で施行されたカリフォルニア州法です。本法は、事業者が収集するカリフォルニア州居住者(以下では、単に「消費者」といいます)に関する個人情報について、適用範囲や事業者の義務の内容が限定的であった従前のプライバシー保護に関するカリフォルニア州法に比べ、より消費者によるコントロールを及ぼすことを目的として制定された、包括的なプライバシー保護に関する初めての州法です。
CCPAの施行規則であるCalifornia Consumer Privacy Act Regulations(以下、「CCPA規則」といいます)は、2020年8月14日に最初に施行されてから現在までに4回の改正が行われ、直近では第4次改正規則が2021年3月15日に施行されました。CCPA規則の違反もCCPA違反を構成することが明文で規定されているため(CCPA規則999.300.(b))、CCPA規則の内容についても留意が必要です。
CCPAは、消費者に対して、主に以下の内容で構成されるプライバシー権を保障しています。
① 事業者が収集した個人情報の内容を知り、どのように使用・共有されるかについて知ることができる権利(Right To Know)
② 事業者が収集した個人情報につき削除を求めることができる権利(Right To Delete)
③ 事業者に対して個人情報の販売をやめるよう(オプトアウト)求めることができる権利(Right To Opt-Out Of Sale)
④ CCPAで保障されるプライバシー権を行使することについて差別されない権利(Right To Non-Discrimination)
事業者は、消費者が上記のようなプライバシー権を行使するために必要な情報を取得できるようにするため、消費者が請求するか否かにかかわらず、事業者が収集する個人情報の種類やその目的、その具体的な行使方法を定めるプライバシーポリシーなどについて消費者に対して一定の通知を行うことが求められています。
なお、CCPAには、海外へのデータ移転自体について直接かつ個別に規制する規定はなく、この点はCPRAにおいても変更はありません。
CCPAの主な内容
(1) 適用対象となる「事業者」および「個人情報」の意義
CCPAにおいて、適用対象となる「事業者」と「個人情報」は、以下の図表1のように定義されています。
図表1 CCPA上の「事業者」と「個人情報」の意義
「事業者」 |
① カリフォルニア州において営利目的で事業を行っている事業者で、かつ、以下のいずれかに該当するもの(CCPA1798.140(c)(1)) (ⅰ) 年間総売上額(annual gross revenues)が2500万ドルを超えている(カリフォルニア州での売上に限定されず、当該事業者全体としての年間総売上額を意味します)。 (ⅱ) 年間5万件以上のカリフォルニア州の居住者、世帯またはデバイスの個人情報を営利目的で購入、受領、販売または共有している。 (ⅲ) カリフォルニア州居住者の個人情報の販売による売上が年間売上額の50%以上を占めている。 |
② 上記①に該当するものを支配(発行済み株式に係る過半数の議決権、取締役その他同等の権限を有する者の過半数の選任権、または会社経営に支配的な影響をもたらす権限を有する場合)または支配され、かつ、事業上共通のブランド(事業名、サービスマーク、商号)を使用しているもの(CCPA1798.140(c)(2)) |
|
「個人情報」 |
直接的または間接的に、カリフォルニア居住者本人またはその世帯を特定、関連、または合理的に結びつきうる情報(CCPA1798.140(o)(1))。なお、連邦、州または地域の政府の情報で公となっている情報(資格や不動産に関する情報)は含まない(CCPA1798.140(o)(2))。 具体例:氏名、ソーシャルセキュリティナンバー、電子メールアドレス、購買履歴、インターネット閲覧履歴、地理位置情報、指紋ならびに趣向および性向に関する内容に結び付きうるその他の情報 |
図表1に示したCCPA上の定義からすれば、日本に本社を置く企業であっても、事業の一部ないしそのグループ会社においてカリフォルニア州のマーケットや消費者を対象とした事業を行っているのであれば、カリフォルニア居住者に関する個人情報をたとえば自ら取得したりグループ会社から提供(移転)を受けたりした場合などは、CCPAの規制対象となり得ます。当該移転自体が直ちにCCPAにより禁止されるものではないものの、グループ会社を含め自社にCCPAの適用対象となる会社が含まれていないか、適用対象となる個人情報を保有していないかについては慎重に検討が必要です。
(2) 事業者の義務
事業者は消費者に対して、事業者が消費者について収集する個人情報の種類と当該情報の使用目的を記載した通知を行う必要があります(CCPA1798.100(b))。当該通知の方法としては、たとえば、消費者が商品の注文やサービスの利用のために個人情報を入力するウェブページ上に表示する方法などが挙げられます(CCPA規則999.305(a)(3))。
また、事業者が消費者に対して行う通知には、事業者のプライバシーポリシーの全文にアクセスするためのリンクも付さなければなりません(CCPA規則999.305(b)(4)および999.308(c))。プライバシーポリシーの内容としては、消費者のプライバシー権に関する情報およびその具体的な行使方法を記載する必要があります。
さらには、もし事業者が個人情報を販売する場合は、事業者は当該通知において各消費者がその販売をやめるよう請求するためのフォームへのリンク(”Do Not Sell My Personal Information” link)を付す必要があります(CCPA1798.120(b)および同規則999.305(b)(3))。
(3) 消費者の権利
(a) 事業者が収集した個人情報の内容を知り、どのように使用・共有されるかについて知ることができる権利(Right To Know)
消費者は、事業者に対して、いかなる情報を収集、使用、共有または販売しているか、およびその目的について開示するよう求めることができます(CCPA1798.100(a))。事業者は当該権利を確保するため、当該権利行使の受付手段として最低でも2種類(たとえば、電子メールアドレス、ウェブフォーム、書類上のフォームなど)を準備しなければなりません(CCPA規則999.312(b))。事業者は、消費者に対して、当該リクエストを受領してから45日(事業者が通知により延長を求めた場合には、追加で45日)以内に、対象となる情報の種類および使用目的に関する過去12か月間の情報を無償で開示しなければなりません(CCPA1798.130(a)(2)およびCCPA規則999.313(b))。
(b) 事業者が収集した個人情報につき削除を求めることができる権利(Right To Delete)
消費者は、事業者が収集した個人情報を削除することおよび当該事業者のサービスプロバイダーに対して削除するよう求めることができます(当該権利の行使方法や回答期限は上記Right To Knowと同様です)(CCPA1798.105(a)および同規則999.313(b))。ただし、当該権利に関しては、事業者が消費者の個人情報を保持することを許容する多くの例外があります。たとえば、消費者への商品、サービスの提供などに必要な情報である場合や、一定の事業上の安全保障目的、消費者の合理的な予測と適合する一定の内部使用目的がある場合などは消費者の削除請求に応じなくてもよいこととされています(CCPA1798.105(d))。
(c) 事業者に対して個人情報の販売をやめるよう(オプトアウト)求めることができる権利(Right To Opt-Out Of Sale)
消費者は、個人情報を販売しようとする事業者に対して、自身の個人情報を販売しないよう求めることができます(CCPA1798.120(a))。消費者の事後承諾があった場合や不当な請求であるなどの例外を除き、事業者はかかる請求を受けた場合にはその個人情報を販売することはできません(CCPA1798.120(d)および同規則999.315(g))。前述のとおり、事業者は、消費者の権利行使手段を確保するため、義務的通知において各消費者がその販売をやめるよう請求するためのフォームへのリンク(”Do Not Sell My Personal Information” link)を付す必要があります(CCPA1798.120(b)および同規則999.305(b)(3))。
(d) 上記CCPAの権利を行使することについて差別されない権利(Right To Non-Discrimination)
事業者は、ただ消費者がCCPA上の権利を行使したという理由だけで、商品の販売やサービスの提供を拒否したり、価格や商品・サービスの質を変更したりすることができません(CCPA1798.125(a)(1))。ただし、消費者が事業者に対して提供を拒絶した個人情報や削除を求めた個人情報が、事業者の商品、サービスの提供に必要なものであった場合、事業者がその取引を行うことができないという消費者への不利益が生じてしまうことは許容されています(CCPA1798.125(a)(2))。
(4) 違反の効果
CCPAに違反した場合、州司法当局による法的措置の対象となるだけでなく、消費者個人から提訴される可能性もあります(ただし、CCPA違反に基づき消費者が事業者に対して直接訴えを提起できるケースは、州司法当局による法的措置の対象と比べ、限定されています)。すなわち、消費者の一定の個人情報のうち、暗号化ないし編集が加えられていないものが、事業者がその性質に応じた個人情報保護のための合理的な措置を講じる義務に違反した結果として流出した場合には、消費者が実際に被った損害または1事象あたり750ドルを上限とする法定損害のいずれか大きい額の金銭賠償を求める訴えを提起することができます(CCPA1798.150(a))。ただし、消費者は当該訴えを提起する前に事業者に対して当該違反に関して書面の通知をしなければならず、事業者が当該通知から30日以内で当該違反を治癒してその旨消費者に通知した場合は、消費者は法定損害を理由として訴えを提起することはできません(CCPA1798.150(b))。
上記消費者の提訴権の対象とならないCCPA違反であっても、州司法長官による法的措置の対象となりえます。事業者は、CCPA上の義務に違反し、当該違反が通知されてから30日以内に当該違反を治癒できなかった場合、行為の差止めや各違反につき2500ドルを超えない額(故意による違反については7500ドルを超えない額)の罰金の対象となります(CCPA1798.155(b))。この点に関しては、消費者は、州司法長官当局に対して事業者の違反を報告するという形で関与できるに過ぎません。
CPRAについて
概要
CPRAは、消費者が自己のプライバシー権を守るためにより対等な立場で事業者と交渉することを可能とするために、CCPAの改正案として提案されたカリフォルニア州法です。
CPRAでは、CCPAにおいて保障されていた消費者のプライバシー権に加えて、事業者が保有する消費者の個人情報の訂正を求めることができる権利や、後述する「センシティブ個人情報」について利用と開示を制限するよう求めることができる権利などを創設し、より消費者保護を厚くする内容となっています。
今後の制定スケジュール
CPRAの成立以降のスケジュールは、以下の図表2のようになっています。
図表2 CPRAのスケジュール
2020年11月3日 |
カリフォルニア州における住民投票において過半数の承認を得て成立 |
2022年1月1日~ |
同時点以降に収集された個人情報がCPRAにおいて規制の対象となる |
2023年1月1日 |
先に効力が生じていたカリフォルニア州プライバシー保護当局の創設等の一部の規定を除き、効力発生 |
2023年7月1日~ |
CPRAに基づく民事執行および行政執行の開始 |
主な改正内容
(1) 適用対象となる「事業者」および「個人情報」
「事業者」の定義の大枠はCCPAと同様ですが、一部変更が加えられています。
① 適用対象を限定する変更として、(上記スケジュールに従えば、2022年1月1日以降を始期とする)1年間で保有する個人情報の件数の要件が、5万件から10万件に増加したほか、当該件数の算入対象であったデバイスは対象外とされています(CPRA1798.140(d)(1)(B))。また、CCPA上では個人情報を取り扱う事業者と支配関係にあり共通のブランドを使用していることのみで適用対象となっていましたが、CPRAではこれに加えて個人情報を共有していることが要件として明記されました(CPRA1798.140(d)(2))。
② ①とは逆に適用対象を拡大する変更として、要件を充足する各「事業者」が40%以上の持分を有するジョイントベンチャーも適用対象となったほか(CPRA1798.140(d)(3))、個人情報の受領、販売または共有に関しては商業目的であるかを問わないものとなっています(CPRA1798.140(d)(1)(B))。
日本企業においては、CCPAの適用範囲について既に整理をしている場合であっても、自社がCPRAの規制対象とならないかについては、上記CPRAにおける変更点を踏まえて改めて検討が必要となります。特に、CCPAの「支配」要件の関係で適用対象外と整理していたジョイントベンチャーについては、新たにCPRAの規制対象となる可能性があるため、慎重に検討が必要です。
「個人情報」の内容については、CCPAで定義されたものに加えて、「センシティブ個人情報」という新たなカテゴリーが追加され、これに該当しない「個人情報」よりも消費者の権利が拡充されています(CPRA1798.140(ae))。「センシティブ個人情報」の具体例としては、消費者のソーシャルセキュリティナンバー、運転免許証番号、州IDカード番号、パスポート番号、クレジットカード番号およびそれと結びつくセキュリティ情報、正確な位置情報、人種や信条に関する情報、消費者の郵便、電子メール、テキストメッセージなどの内容、遺伝データ、生体認証情報、健康に関して収集・分析された情報、性生活や性的志向に関して収集・分析された情報などが挙げられます。
(2) 事業者の義務
事業者に求められる義務の主な変更点としては、図表3のようなものが挙げられます。
図表3 事業者の義務に関する変更点
データ保存期間の制限 |
事業者は通知した個人情報の取得目的の達成のために合理的に必要な期間を超えて、個人情報を保有することができないことが明文化された(CPRA1798.100(a)(3))。 |
通知項目の拡大 |
CCPAで通知が求められていた取得する個人情報の種類と当該情報の使用目的に加えて、取得する個人情報の種類ごとに事業者が保有する期間または当該期間を特定することが難しい場合には保有期間を決定する基準を通知する義務が追加された(CPRA1798.100(a)(3))。 |
第三者との契約締結義務 |
個人情報を収集する事業者のうち、個人情報を第三者に対して販売・共有、ないし事業目的のためにサービスプロバイダーや委託先に開示する場合、当該外部業者との間で契約を締結する必要がある(CPRA1798.100(d))。当該契約は、対象となる個人情報の特定、当該外部業者もCPRA上の義務を遵守すること、当該外部業者に提供された個人情報を事業者の保有目的に従って使用させるためのコントロール権を事業者に与えることなどを定める必要がある。 |
サイバーセキュリティ監査の義務付け・リスク評価の定期報告 |
消費者のプライバシーに重要なリスクを生じさせる個人情報を処理する事業者に対して、1年ごとのサイバーセキュリティ監査、カリフォルニア州プライバシー保護当局への定期的なリスク評価を提出することを求める規則が制定されることとなった(CPRA1798.185(a)(15))。 |
(3) 消費者の権利
図表4のような消費者の権利が新たに規定されました。
図表4 消費者の権利の拡充
訂正権 |
消費者は不正確な自身の個人情報を保有する事業者に対して当該情報を訂正するよう求めることができる(CPRA1798.106(a))。 |
個人情報の「共有」に対するオプトアウト権 |
事業者に対して個人情報の販売をやめるよう(オプトアウト)求めることができる権利(Right To Opt Out of Sale)が、「販売」だけでなく、「共有」もやめるよう求めることができるようになった(Right to Opt Out of Sale or Sharing)(CPRA1798.120(a))。 |
センシティブ個人情報の制限権 |
消費者は、自身のセンシティブ個人情報を保有する事業者に対し、その使用を商品・サービスの提供に合理的に必要な範囲に制限するよう求めることができる(CPRA1798.121(a))。 |
自動化された意思決定技術へのアクセス権・オプトアウト権 |
プロファイリング(自然人の私生活上の一定の側面や、特に自然人の職務上のパフォーマンス、経済状況、健康、個人的趣向・興味、信用、態度、場所ないし行動を分析・予測する、個人情報の自動化された処理システムをいう)を含む、事業者による自動化された意思決定技術の使用に関する消費者のアクセス権およびオプトアウト権(消費者が当該意思決定過程に含まれるロジックに関する有意義な情報および消費者に関して予測される結果に関する情報にアクセスする権利など)に関する規則が制定される(CPRA1798.140(z)および1798.185(a)(16))。 |
(4) 違反の効果
CCPAでは、上記のとおり州司法長官よりCCPAの違反につき通知を受けてから30日間の是正期間が与えられ、当該期間内に違反状態を治癒した場合にはCCPA違反を構成しないこととされていましたが、CPRAにおいては当該30日間の是正期間が削除され、ただちに違反を構成することとなりました(CPRA1798.155.(a)および1798.199.90.(a))(なお、消費者からの訴えに関する30日間の是正期間はCPRAでも維持されています)。
なお、CPRAでは、カリフォルニア州プライバシー保護当局が新たに設置されました。当該機関は、CCPAおよびCPRAの施行および執行に関するすべての行政権限および管轄権を与えられています(構成員は州知事、州司法長官、上院規則委員会Speaker of the Assemblyからの指名によりそれぞれ決定されます)(CPRA1798.199.10および1798.199.40)。これまで、州司法長官当局によってCCPAが施行・執行されていましたが、本改正により、より迅速かつきめ細やかな対応が予想されます。
今後の見通し
冒頭でも述べたとおり、米国でも過去に連邦法レベルでの包括的なプライバシー法制定の動きはありましたが、現時点では未成立です。もっとも、2020年の政権交代や、カリフォルニア州に続いて2021年3月にヴァージニア州、7月にコロラド州も包括的なプライバシー保護法を制定していることなども相まって、米国内で今後連邦法制定に向けた議論が加速する可能性もあります。
連邦法の制定に至らなくとも、上記のとおりCCPAおよびCPRAの適用範囲は広く、日本企業であっても規制対象となる可能性があります。適用対象となる場合にはさまざまな業種の事業運営に影響を及ぼしうるため、日本企業においては、今後もカリフォルニア州のプライバシー保護に関する法規制の動向を注視していくことが必要と思われます。
→この連載を「まとめて読む」
龍野 滋幹
アンダーソン・毛利・友常法律事務所外国法共同事業 パートナー弁護士・ニューヨーク州弁護士
2000年東京大学法学部卒業。2002年弁護士登録、アンダーソン・毛利・友常法律事務所外国法共同事業入所。2007年米国ニューヨーク大学ロースクール卒業(LL.M.)、2008年ニューヨーク州弁護士登録、2007~2008年フランス・パリのHerbert Smith法律事務所にて執務。2014年から東京大学大学院薬学系研究科・薬学部「ヒトを対象とする研究倫理審査委員会」審査委員。国内外のM&A、ジョイント・ベンチャー、投資案件やファンド組成・投資、AI・データ等の関連取引・規制アドバイスその他の企業法務全般を取り扱っている。事業会社・VC等の投資家およびスタートアップ双方の立場から、多くのスタートアップ買収・投資・連携案件に携わっている。スタートアップ企業の顧問も多数。週刊東洋経済2020年11月7日号「「依頼したい弁護士」分野別25人」のM&A・会社法分野で特に活躍が目立つ2人のうち1人として選定。
菊地 諒
アンダーソン・毛利・友常法律事務所外国法共同事業 アソシエイト弁護士・ニューヨーク州弁護士
2013年中央大学法学部卒業。2014年弁護士登録、2015年アンダーソン・毛利・友常法律事務所外国法共同事業入所。2020年米国カリフォルニア大学ロサンゼルス校(UCLA)ロースクール卒業(LL.M.)、2021年ニューヨーク州弁護士登録、2020~2021年米国・ロサンゼルスのPillsbury Winthrop Shaw Pittman法律事務所にて執務。