CCPA(カリフォルニア州消費者プライバシー法)とは?

カリフォルニア州消費者プライバシー法(CCPA)はカリフォルニア州の居住民に対し、企業が収集する個人データについて管理する権利を与えるものです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • カリフォルニア州居住民がCCPAの下で持つ権利について知る
  • CCPAがどのような場合に企業に適用されるかを説明する
  • CCPAと他のデータプライバシー法との対比

記事のリンクをコピーする

カリフォルニア州消費者プライバシー法(CCPA)とは?

カリフォルニア州消費者プライバシー法(CCPA)とは、データプライバシーの一部であり、カリフォルニア州民の個人データを扱うほとんどの企業に適用される法律です。CCPAは、企業が収集する個人データについて、カリフォルニア州の住人に一定の管理権限を与えています。

CCPAは2020年1月1日に施行されました。2020年末、CCPAを改正・拡大するカリフォルニア州消費者プライバシー法(CPRA)という議案がカリフォルニア州の有権者によって可決されました。CCPAは今後も時間をかけて改正される予定です。

CCPAが消費者に与える権利とは?

CCPAは、消費者に以下ような重要な権利を与えます:

  • 知る権利:消費者は、ある組織が自分についてどのような個人情報を収集し、その情報がどのように使用されるかについて知らされるべきです。
  • 削除する権利:一部の例外を除き、消費者は自分について収集された情報を削除することができます。
  • オプトアウトの権利:消費者は、自分の情報が第三者に販売されることを防ぐことができます。
  • 差別されない権利:組織は、CCPAの権利を行使するユーザーを、通常のサービスに対してより多くの料金を請求するなど、差別的に扱うことはできません。しかし、CCPAの権利を行使することで組織が提供できるサービスに影響がでる場合もあります。例えば、あるeコマースサイトの利用者が、「削除する権利」を行使してアカウントを削除した場合、そのWebサイト上で配送先住所やクレジットカード情報を保存できなくなる可能性があります。

アリスがあるWebサイト「news.example.com」を訪問し、そのWebサイトがブラウザクッキーとユーザーの位置追跡を使用しているとします。アリスは、カリフォルニア州サンノゼのアパートにあるノートパソコンでこのWebサイトを読み込んでいます。彼女はカリフォルニアにいるため「news.example.com」を読み込むとバナーがポップアップし、そのバナーは、ウェブサイトがクッキーと位置情報を使用していることをアリスに伝えます。これは、アリスには知る権利があるため起こります。

また、このバナーはアリスに選択肢も提供しています。アリスは、「Do Not Sell My Personal Info(私の個人情報を販売しないでください)」と書かれたボタンをクリックして、「news.example.com」が自分の位置情報を広告ネットワークに販売しないように選択することができます。あるいは、「Accept and Continue(許可して続行する)」をクリックして、このデータの販売を許可することもできます。彼女は、オプトアウトする権利があるため、このような選択が可能です。

ここで、アリスが自分の位置情報をできる限り非公開にしたいという理由で「Do Not Sell My Personal Info」をクリックしたとします。突然「news.example.com」のすべてのコンテンツがロックされ、アリスはこれ以降Webサイト上の動画を見たり記事を読んだりすることができなくなりした。アリスには差別されない権利があるため、これは、CCPAの違反にあたります。「news.example.com」は、データの販売を許可している他のユーザーに提供しているものと同じサービスを同じ価格でアリスに提供しなければなりません。

CCPAの適用場所は?

CCPAは、カリフォルニア州居住者の個人データにのみ適用されます。ただし、カリフォルニア州居住者のデータを収集する組織は、その組織の所在地にかかわらず、CCPAの適用を受ける可能性があります。

CCPAは、カリフォルニア州で何らかのビジネスを行う組織で、以下のいずれかに該当する組織に適用されます:

  1. 年間総収益が2,500万ドル以上である。
  2. 少なくとも5万人以上のカリフォルニア州の居住者、世帯、またはデバイスの個人情報を購入、受領、または販売している。
  3. カリフォルニア州民の個人情報を販売することで年間収益の50%以上を得ている。

CCPAは、非営利団体、政府機関、特定の種類の金融機関には適用されません。例えば、カリフォルニア州居住民は、債権回収会社に個人情報の削除を依頼しても、借金の返済を回避することはできません。

CCPAでは「個人情報」をどのように定義しているか?

CCPAでは、「個人情報」を次のように定義しています:

「個人情報とは、特定の消費者または世帯を特定、関連、説明、関連付けることができる、または直接的または間接的に合理的にリンクできる情報のことである。」

また、CCPAは個人情報とみなされる多くの種類のデータをリストアップしています。

  • 名称
  • IPアドレス
  • 郵送先住所
  • バイオメトリク���情報
  • インターネットの閲覧履歴または検索履歴
  • 位置情報
  • 記載された個人情報の種類のいずれかから推測可能なもの

完全なリストは、カリフォルニア州消費者プライバシー法のセクション1798.140に記載されています。

また、CCPAは、合法的に入手した政府記録の情報など、一般に入手可能な情報は個人情報とはみなされないことを明確にしています。

なお、この「個人情報」の定義は、CCPA独自のものです。欧州連合のEU一般データ保護規則(GDPR)など、他のプライバシーに関する枠組みでは、独自の定義が用いられています。

CCPAへの対応とGDPRへの対応は同じものか?

この2つのプライバシーの枠組みは、適用される地域が異なるという点を除いても、CCPAとGDPRは同じものではありません。用語の定義も、企業に対する要件も、罰金・罰則の構造も異なります。GDPRの遵守がCCPAの遵守を保証するものではなく、その逆もまた同様です。

CCPAはHIPAAを優先するものか?

医療保険の携行性と責任に関する法律(HIPAA)は、医療データのプライバシーと保護を規制する米国連邦法です。CCPAは、すでにHIPAAによって規制されている個人健康情報には適用されません。

CCPAがCookieの使用に与える影響は?

「Cookie」は、Webサイトが生成し、ユーザーがWebサイトを訪問したときにユーザーのWebブラウザに送信する小さな情報ファイルです。一部のCookieは、ユーザーの閲覧履歴、ユーザーの検索履歴、またはユーザーがWebサイトで行ったやりとりを収集します。これらはすべて、CCPAのもとで「個人情報」とみなされます。知る権利のために、組織は、クッキーによってどのようなデータを収集し、そのデータがどのように使用されるかをユーザーに知らせなければなりません。

しかし、他のいくつかのプライバシーの枠組みとは異なり、CCPAでは組織がCookieについてユーザーの同意を得ることを要求していません。

Cookieまたはデータプライバシーの詳細についてご覧ください。