アメリカ ホンダ自動車のCCPA違反

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2025年3月27日 
• タイトル：アメリカ ホンダ自動車のCCPA違反
• スピーカー：DataSign（データサイン） 代表取締役社長 太田祐一
• MC：ビジネスディベロッパー 宮崎洋史

ホンダの北米事業所に罰金の支払い命令

カリフォルニア州のプライバシー保護当局（California Privacy Protection Agency：CPPA）は、ホンダの北米現地法人American Honda Motor Co.,Inc.（以下、アメリカホンダ）に対し、カリフォルニア州消費者プライバシー法（California Consumer Privacy Act of 2018：CCPA）に違反したとして63万2500ドル（約9千万円）の支払いを命じました。CPPA公式サイトのニュースに2025年3月12日付で発表されています。

同州では2020年11月に住民投票によりカリフォルニア州プライバシー権法（California Privacy Rights Act of 2020：CPRA）が成立しました。CPRAは、同年1月に施行されたばかりのCCPAを改正する州法で、消費者の権利をより強化する内容となりました。今回アメリカホンダに罰金支払いを命じた前出CPPAは、プライバシー保護の啓発や関連法令の執行のために、CPRAに基づいて設立された同州の政府機関です。

ホンダは４輪自動車の販売台数で2023年に世界第７位のシェアを占めました。その主な収益源は北米市場です。ホンダアメリカはカリフォルニア州ロサンゼルスのトーランスに拠点を構える事業所で同社製品の販売などを手がけています。

消費者に対する過剰なデータ要求などを指摘 

アメリカホンダがCCPAに違反すると指摘されたのは、次の4つです。

1）オプトアウト申請における過剰なデータ要求

カリフォルニア州の消費者がPI（Personal Information）の販売または共有を拒否（オプトアウト）または制限する権利を行使する際、氏名、住所、メールアドレス、電話番号などのPIを過剰に要求していた。

2）同意管理ツール/プラットフォーム（CMP）の問題

消費者がオプトアウトする場合には2回のクリックが必要なのに、広告クッキーを「許可」に戻す場合はわずか1回のクリックですぐに完了できる、というような同等（対称的）ではない操作手順が求められた。

3）代理人による消費者の権利行使を阻害する対応

消費者は代理人を通じてプライバシーに関する権利を行使できるが、それを阻む要求が認められた。

4）広告技術ベンダーとの契約の不備

アメリカホンダはPIを広告技術（アドテク）ベンダーと共有していたが、契約書にCCPAの要件（データの使用目的の明記やプライバシー保護義務など) を満たす条項がなかった。

日系企業が狙い撃ちに？

CCPAの対象になるのは、カリフォルニア州で事業を営む企業の中で、（1）前年度の売上高が2500万ドルを超える、（2）10万人以上の個人データを購入、販売、または共有している、（3）個人データの販売または共有から年間収益50％以上を得ている、のいずれかに該当する場合です。

「今回、アメリカホンダの違反がクローズアップされましたが、私が調査した範囲ではこのようなケースは日系企業に限らず、ほかにもあることが認められました」（データサイン 代表取締役社長 太田祐一）

CPPAのニュースによると同社は罰金の支払いに応じる模様です。これまで「CCPAは日本の企業には関係がないことだ」という論調もありましたが、北米を含めてグローバルに事業を展開する企業は、消費者の権利保護に向けた自社の対応を再度チェックした方が無難かもしれません。