カリフォルニア プライバシー権法(CPRA)とCCPAの相違点
2021年1月15日
毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2020年12月10日
- タイトル: カリフォルニア プライバシー権法(CPRA)とCCPAの相違点
- 発表者:データサイン 代表取締役社長 太田祐一
CPRAの反対派と賛成派の特徴は?
2020年11月3日に実施されたカリフォルニア州の住民投票で、カリフォルニア プライバシー権法(CPRA:California Privacy Rights Act)が賛成多数で可決されました。カリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)を改正する州法で、消費者の権利を強化する内容が盛り込まれました。データサイン 代表取締役社長 太田祐一は、ランチタイムトークでこちらの話題を取り上げました。
CPRAは消費者に新たな権利を付与する州法です。事業者による個人情報の共有を防ぐ、不正確な個人情報内容を訂正する、さらに社会保障番号や運転免許証情報、金融口座、人種、位置情報などを「センシティブ情報」と定義したうえで、事業者によるそれらの利用を制限する、といった諸権利を消費者に認めています。また16歳未満の消費者の個人情報に関する法令違反に対する罰則強化のほか、同州における個人情報保護機関(California Privacy Protection Agency)の新設が掲げられています。
「カリフォルニア州が投票者に示した提議(Proposition 24)によると、賛成派は児童のプライバシー保護強化や、消費者の基本的権利を侵害した企業の責任を明確化できることを、また反対派はこの提議が『プライバシーのための課金』を可能にし、ソーシャルメディア企業の意見を踏まえて非公開で作成されたことなどを主張していました」(太田)
法改正をめぐる投票は、米国の大統領選挙戦のさなかで行われました。CPRAは賛成56.23%で可決。投票率は80.7%でした。
「投票結果を眺めると、CPRAの反対派はトランプ支持者層、賛成派はバイデン支持者層とおおむね重なった模様です」(太田)
CCPAとCPRAの違いは?
CPRAは住民投票で可決されました。「かつてCCPAは州議会で可決され、その内容は州議会において変更が可能でした。一方、CPRAを変更する場合は、住民投票が必要です。CPRAは、消費者である市民の意見を重んじたプライバシー保護制度といえます」(太田)
太田はCPRAとCCPAの主だった相違点として、対象企業、センシティブ情報の扱い、権利、オプトアウトを対比しながら説明を加えました。
「対象企業の要件の1つとして、CCPAでは『消費者PI(Personal Information)の販売から年間収入の50%以上を得ている』となっていましたが、CPRAでは『消費者PIの販売または共有から年間収入の50%以上を得ている』と改められました。行動ターゲティング広告を手がける事業者は、データを『販売(sell)』しているわけではありません。こうした事業者が対象外にならないように『共有(share)』という文言が明記されています」(太田)
なお、対象企業についてCCPAでは、個人情報を購入、販売、共有などしている消費者やデバイスのPI数を「5万人以上」と定めていましたが、CPRAでは「10万人以上」に引き上げられました。これは中小規模事業者の負担緩和を配慮したと見られますが一方で、ジョイントベンチャーや複数企業からなるパートナーシップが含まれるなど、対象企業は拡大されています。
CPRAで新たに定義された上述のセンシティブ情報はいわば「機微な情報」です。ただし、日本における要配慮個人情報(本人の人種、信条、社会的身分、病歴、犯罪歴、犯罪により害を被った事実や不当な差別、偏見など)に比べると、金融口座や位置情報が加えられている点でCPRAのセンシティブ情報のほうが対象となる情報の範囲がより広いといえそうです。CPRAではさらにセンシティブ情報に対する開示要求事項、利用・開示のオプトアウト要件などが追記されました。
権利については、CCPAにおける「第三者販売のオプトアウト権」が、CPRAでは「第三者の販売および共有をオプトアウトする権利」となり、「共有」の文言が追記されました。
「オプトアウトについては、『金銭やその他の価値ある対価と引き換えに広告目的でのみPIを共有することを制限』という表現が『行動ターゲティング広告に使用されるPIにも明示的に適用され、金銭やその他の価値ある対価との交換を伴うか否かを問わない』と改められました。つまり対象としてターゲティング広告が明確化されています」(太田)
CPRAの施行は、2023年1月です。施行までおよそ2年ですが、関係する日本企業においてもこの間、法制度の対応に向けた準備が必要になりそうです。