カリフォルニア州消費者プライバシー法(CCPA)はカリフォルニア州の居住民に対し、企業が収集する個人データについて管理する権利を与えるものです。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
カリフォルニア州消費者プライバシー法(CCPA)とは、データプライバシーの一部であり、カリフォルニア州民の個人データを扱うほとんどの企業に適用される法律です。CCPAは、企業が収集する個人データについて、カリフォルニア州の住人に一定の管理権限を与えています。
CCPAは2020年1月1日に施行されました。2020年末、CCPAを改正・拡大するカリフォルニア州消費者プライバシー法(CPRA)という議案がカリフォルニア州の有権者によって可決されました。CCPAは今後も時間をかけて改正される予定です。
CCPAは、消費者に以下ような重要な権利を与えます:
アリスがあるWebサイト「news.example.com」を訪問し、そのWebサイトがブラウザクッキーとユーザーの位置追跡を使用しているとします。アリスは、カリフォルニア州サンノゼのアパートにあるノートパソコンでこのWebサイトを読み込んでいます。彼女はカリフォルニアにいるため「news.example.com」を読み込むとバナーがポップアップし、そのバナーは、ウェブサイトがクッキーと位置情報を使用していることをアリスに伝えます。これは、アリスには知る権利があるため起こります。
また、このバナーはアリスに選択肢も提供しています。アリスは、「Do Not Sell My Personal Info(私の個人情報を販売しないでください)」と書かれたボタンをクリックして、「news.example.com」が自分の位置情報を広告ネットワークに販売しないように選択することができます。あるいは、「Accept and Continue(許可して続行する)」をクリックして、このデータの販売を許可することもできます。彼女は、オプトアウトする権利があるため、このような選択が可能です。
ここで、アリスが自分の位置情報をできる限り非公開にしたいという理由で「Do Not Sell My Personal Info」をクリックしたとします。突然「news.example.com」のすべてのコンテンツがロックされ、アリスはこれ以降Webサイト上の動画を見たり記事を読んだりすることができなくなりした。アリスには差別されない権利があるため、これは、CCPAの違反にあたります。「news.example.com」は、データの販売を許可している他のユーザーに提供しているものと同じサービスを同じ価格でアリスに提供しなければなりません。
CCPAは、カリフォルニア州居住者の個人データにのみ適用されます。ただし、カリフォルニア州居住者のデータを収集する組織は、その組織の所在地にかかわらず、CCPAの適用を受ける可能性があります。
CCPAは、カリフォルニア州で何らかのビジネスを行う組織で、以下のいずれかに該当する組織に適用されます:
CCPAは、非営利団体、政府機関、特定の種類の金融機関には適用されません。例えば、カリフォルニア州居住民は、債権回収会社に個人情報の削除を依頼しても、借金の返済を回避することはできません。
CCPAでは、「個人情報」を次のように定義しています:
「個人情報とは、特定の消費者または世帯を特定、関連、説明、関連付けることができる、または直接的または間接的に合理的にリンクできる情報のことである。」
また、CCPAは個人情報とみなされる多くの種類のデータをリストアップしています。
完全なリストは、カリフォルニア州消費者プライバシー法のセクション1798.140に記載されています。
また、CCPAは、合法的に入手した政府記録の情報など、一般に入手可能な情報は個人情報とはみなされないことを明確にしています。
なお、この「個人情報」の定義は、CCPA独自のものです。欧州連合のEU一般データ保護規則(GDPR)など、他のプライバシーに関する枠組みでは、独自の定義が用いられています。
この2つのプライバシーの枠組みは、適用される地域が異なるという点を除いても、CCPAとGDPRは同じものではありません。用語の定義も、企業に対する要件も、罰金・罰則の構造も異なります。GDPRの遵守がCCPAの遵守を保証するものではなく、その逆もまた同様です。
医療保険の携行性と責任に関する法律(HIPAA)は、医療データのプライバシーと保護を規制する米国連邦法です。CCPAは、すでにHIPAAによって規制されている個人健康情報には適用されません。
「Cookie」は、Webサイトが生成し、ユーザーがWebサイトを訪問したときにユーザーのWebブラウザに送信する小さな情報ファイルです。一部のCookieは、ユーザーの閲覧履歴、ユーザーの検索履歴、またはユーザーがWebサイトで行ったやりとりを収集します。これらはすべて、CCPAのもとで「個人情報」とみなされます。知る権利のために、組織は、クッキーによってどのようなデータを収集し、そのデータがどのように使用されるかをユーザーに知らせなければなりません。
しかし、他のいくつかのプライバシーの枠組みとは異なり、CCPAでは組織がCookieについてユーザーの同意を得ることを要求していません。