21 海外法務, コンプライアンス, 情報セキュリティ, 個人情報保護法, 外国法

GBL研究所理事・Certified Information Privacy Professional/Europe 浅井敏雄^[1]

目　　次

(各箇所をクリックすると該当箇所にジャンプします)

はじめに

CPRAの施行・執行日程

CCPAからの主な改正内容

GDPRおよび個人情報保護法との比較

CPRAへの対応準備

（本稿のPDF版はこちら）

はじめに

2020年1月1日、米カリフォルニア州で企業に厳格な個人情報保護を義務付ける"California Consumer Privacy Act of 2018"(「カリフォルニア州消費者プライバシー法」)(CCPA)(筆者による全訳はこちら)が施行されました。

州法ですが、実質的には全米に関係する初の包括的な個人情報保護法であり、米国に子会社を置く日本企業も多く、大きな注目を集めています。

更に、このCCPAについては、加州(カリフォルニア州)憲法に基づき、州有権者から更なるプライバシー保護強化のための改正法案が"California Privacy Rights Act of 2020"(「カリフォルニア州プライバシー権法」)(CPRA)(「CCPA 2.0」と呼ばれる)(筆者による全訳はこちら)として提案され、2020年11月3日の米大統領選挙と同時に行われる加州住民の投票で過半数の賛成により承認されれば州法として成立することになっていました。

そして、2020年12月11日、加州州務長官がCPRA法案は過半数(56.2%)の賛成を得て承認されたことを認証し[2]、CPRAは州憲法に従いその5日後の2020年12月16日に正式に成立(発効)しました[3]。

このCPRAにより、CCPAで確立された消費者のプライバシー権が強化される一方、企業の対応負担は更に増大することになります。

本稿では、1. CPRAの施行・執行日程、2. CCPAからの主な改正内容、3. GDPRおよび個人情報保護法との比較、4. CPRAへの対応準備について解説します。

なお、本稿において(　)内の数字は関係法令の条文番号を示します。CPRAの条文の内、「1798.100」のように頭に「1798.」がついている条文は省略して「100」のように表示します。

なお、筆者は、12月19日、「Q&Aで学ぶCPRA カリフォルニア州プライバシー権法」(全目次はこちら)を上梓しました。ご興味があればお読み下さい。

CPRAの施行・執行日程

CPRAの施行・執行日程は、おおよそ以下の通りとなります。

時　期	イベント
2020年11月3日(米大統領選挙投票日)	CPRA法案の住民投票
2020年12月16日(CPRA正式成立日)(SEC. 31,加州憲法II-10(a))	CPRAの成立。自社・他社従業員・役員等の個人情報の適用除外規定発効(実質延長)／カリフォルニア州プライバシー保護庁と州司法長官からの権限移管に向けた手続開始(SEC.31(a), (b))
2020年3月16日まで(CPRA成立日から90日以内)	保護庁の委員長および委員の最初の任命(199.10(b))
2021年7月1日または保護庁が州司法長官に規則制定開始準備ができていることを通知してから6か月後いずれか早い方の日以降	カリフォルニア州プライバシー保護庁による規則制定開始(199.40.(b))
2022年1月1日	同日以降に取得した個人情報にCPRA適用(SEC.31(a))
2022年7月1日まで	CPRA規則制定(185(d))
2023年1月1日	CPRA全面施行(SEC.31(a))／自社・他社従業員・役員等の個人情報の適用除外失効(145(m),(n))(但し適応除外延長の場合を除く)
2023年7月1日	同日以降のCPRA(およびCPRA規則)違反に対し同日以降執行開始(185(c),(d))

CCPAからの主な改正内容

【取得時通知】

事業者が消費者の個人情報を取得する以前に消費者に行うべき通知(取得時通知)の通知事項に、「共有」(「クロスコンテキスト行動広告」目的の開示)／「機微個人情報」／個人情報の保存期間に関する情報が追加されました(100(a))。

従って、自社の従業員・役員を含め消費者に対し、従来から上記保存予定期間等も通知していた場合を除き、CPRA全面施行日(2023年1月1日)以降上記の通知が必要になります。

個人情報を間接取得する者、アドネットワーク運営者等はCCPA規則で取得時通知が免除されていましたが、CPRAでは、取得時通知を直接消費者に行うかまたは取得時通知で通知すべき事項をWeb上のプライバシーポリシー等で事前公表しなければなりません(100(b))。これらの者が取得時通知を直接消費者に行うことは現実的には困難なので、この公表を事実上強制されることになります。

【目的の制限／保存の制限／データ最小化】

CPRAでは、GDPRとほぼ同様の、個人情報利用の目的の制限／保存の制限／データ最小化の原則が明記されました(100(a))。

【サービス提供者・契約業者の規制強化】　

サービス提供者(事業者に代わり個人情報を処理する者)および契約業者(事業者が業務目的で個人情報を開示する者)に対する事業者の監督義務が、契約上の義務付け事項の拡充、定期的監査等により強化されました。

また、サービス提供者および契約業者自身の義務(事業者の義務履行への協力・支援義務等)もより厳格化されました。(106(d),105(c),121(c),140(j),140(ag)等)

【販売先・共有先との契約締結義務】

事業者の個人情報の販売先・共有先との契約締結義務が規定されました(100 (d))。

【セキュリティー措置実施義務】

CCPA上の「個人情報」全般について、合理的セキュリティー措置実施義務が規定されました(100(e))。

【高リスク処理のセキュリティー監査／リスク評価】

消費者のプライバシーまたはセキュリティーに重大なリスクを生じさせる個人情報の処理を行う事業者に対し、以下の事項を行うことが義務付けられました(但し詳細は別途規則で定める)(185(a)(15))。

(A) 自社でサイバーセキュリティー監査を毎年実施すること。

(B) (新設される)カリフォルニアプライバシー保護庁(本書において「保護庁」ともいう)に定期的に個人情報の処理に関するリスク評価書を提出すること(なお処理のリスクが処理の利益を上回る場合には処理の制限・禁止が予定されている)。

【プライバシーポリシー記載事項の追加】

プライバシーポリシーの記載事項に、訂正請求権に関する説明／共有・機微個人情報に関する情報／“Do not～”リンクに代え「オプトアウト設定信号」(後述)に応じる場合にはその旨が追加されました(130(a)(5), 135(c)(2))。

【開示請求】

消費者が事業者に開示請求できる情報に「共有」に関する情報が追加されました(110(a), 115(a))。

また、開示請求できる情報がCCPA上の過去12か月間分から将来原則12か月超分に変更される予定となっています(130(a)(2)(B))。

更に個人情報自体(そのもの)の開示に関し、GDPRと同様のデータ・ポータビリティーが規定されました(130(a)(2)(A)第三文, 130(a)(3)(B)(iii)第一文)。

【削除請求の販売先・開示先への通知】

事業者は、消費者から削除の請求を受けた場合、サービス提供者・契約業者に加え、原則として、全ての「販売」先・「共有」先にその個人情報を各自の記録から削除するよう通知すべきことが義務付けられました(105(c)(1))。

また、サービス提供者・契約業者も、自己の下流で消費者の個人情報を受領した(原則として)全ての者にその個人情報を削除するよう通知すべきことが義務付けられました(105(c)(3))。

【訂正請求権の導入】

消費者に、事業者に対し、不正確な個人情報を訂正するよう請求する権利が与えられました(106(A))。

【行動ターゲティング広告に関するオプトアウト権明確化】

サードパーティーCookie等を利用した行動ターゲティング広告が「クロスコンテキスト行動広告」(140(k))と、同広告のための個人情報(Cookieデータ等)の開示が「共有」(140(ah)(1))とそれぞれ定義され、更に、消費者の「共有」のオプトアウト(停止請求)権(16歳未満消費者についてはオプトイン)(120(a),(c))が規定されました。

これは、CCPA上の「販売」に行動ターゲティング広告目的の開示は含まれないとの説を実質上無効化させ、その開示を確実に消費者のオプトアウト権の対象にするためと考えられます。

なお、CPRA上のオプトインその他の「同意」に関しGDPR上の「同意」(4(11))とほぼ同じ要件(自由意思性・明確性等)が規定されました。また、ユーザの自主的判断やその実行を妨げる仕組みや設計を意味する「ダークパターン」による同意取得は無効とされました。(140(h))

【「機微個人情報」とその利用制限請求権の導入】

社会保障番号／アカウントログイン／「正確な位置情報」(半径約564メートル以内で人の位置特定可能な情報)／人種／宗教／電子メール内容／遺伝／生体認証／性生活等に関する情報が「機微個人情報」と定義されました(140(ae))。

そして、消費者は､自分に関する機微個人情報を、その消費者の特徴を推測する(プロファイリング)目的で取得・処理する事業者に対し､その利用・開示を､事業者から消費者への商品・サービスの提供に必要な範囲内等(要するに本来の目的)に制限するよう請求できるとされました(121(a))。

例えば、消費者が「正確な位置情報」についてこの権利を行使した場合、事業者は、消費者の「正確な位置情報」を位置追跡や広告のために自社で利用することもサービス提供者を含め他に開示することもできなくなります(但し経路案内サービスが事業者から消費者への本来のサービスであるような場合を除く)。

【“Do Not～/Limit～”リンクまたは「オプトアウト設定信号」】

事業者は、消費者の個人情報を販売・共有しまたはその機微個人情報を所定範囲外(例：広告目的)で利用・開示する場合、事前に、Webサイトやアプリ上に、以下のリンクを設置し、そのリンク先で、消費者が販売・共有のオプトアウト権または機微個人情報の利用制限請求権を行使できるようにしなければなりません(135(a))。

(i) ”Do Not Sell or Share My Personal Information”リンク

(ii) “Limit the Use of My Sensitive Personal Information”リンク

(iii) 上記を統合した共通の単一リンク

但し、事業者は、所定の条件を満たす場合、上記リンク設置に代えて、ブラウザ等から事業者に送信される設定信号(「オプトアウト設定信号」)(詳細条件は別途規則で定める)により、オプトアウト・利用制限の請求ができるようにすればそれでも構いません(135(b))。

【権利行使を理由とする差別・報復の禁止】

消費者による権利行使を理由とする差別禁止の例示に、従業員、求職者または個人のサービス提供業者による権利行使に対する報復の禁止が追加されました(125(a)(1)(E))。

【自動意思決定・プロファイリングに関する権利新設】

消費者に、事業者による自動意思決定技術(プロファイリングを含む)の利用(例：与信や採用判定ソフトの利用)についての情報(その決定ロジック・結果についての意味のある情報を含む)のアクセス(開示請求)権およびオプトアウト権が与えられました(但しその具体的内容は別途規則で定める)(185(a)(16))。

【自社・他社従業員役員情報の適用除外】

これらの情報に関しては、現行のCCPA上の一部適用除外がCPRA全面施行日(2023年1月1日)直前まで延長されます。

但し、この一部適用除外は、再延長されない限り同日失効し、同日以降は自社・他社の従業員役員情報についてもCPRAの規定が全面的に適用されます(145(m),(n))。但し適用除外が再延長されれば別です。

【消費者の私的訴権(損害賠償・差止請求訴訟)強化】

事業者によるセキュリティー措置実施義務違反に起因する個人情報漏えい等に対して消費者が民事訴訟を提起して行う損害賠償・差止請求(私的訴権)の対象に、近年漏えいが頻発している電子メールアドレスとそのアカウントパスワードの漏えい等が追加されました(150(a), (b))。この結果消費者からの訴訟が増加すると予想されます。

【カリフォルニア州プライバシー保護庁の創設】

CPRAを施行実施する全ての権限を有する専任機関として、カリフォルニア州政府内に、カリフォルニア州プライバシー保護庁が創設されます(199.10(a)第一文)。

州司法長官は、他にも多くの任務・責任を負っているため、CCPAまたはCPRAの執行のために割けるリソースは限られています。これに対し、保護庁は、CPRA執行の専任機関であり、また、州司法長官(民事訴訟提起)とは異なり、自らの行政措置(行政処分)として行政制裁金賦課および排除措置（Cease and Desist）を命令できるので、CCPAと比べ執行例が増加することが予想されます。

【保護庁による行政執行等】

CPRAに違反した事業者、サービス提供者その他の者に対し、カリフォルニア州プライバシー保護庁が行う行政制裁金賦課および排除措置（Cease and Desist）が規定されました(155(a)、199.55(a))。

この措置の内容は、CPRA上も存続する州司法長官による措置(199.90)とほぼ同じです。しかし、後者の措置は、州司法長官が州民を代表し提起する民事訴訟で裁判官により審理・賦課されるものであるのに対し、保護庁による措置は同庁自身が行う行政処分である点で異なります(但し裁判で争うことは可能)。

また、保護庁、州司法長官いずれの措置に関しても、CCPAであった30日の是正期間は廃止され、また、3倍制裁金の対象に消費者の年齢が16歳未満であることを知って犯した違反が追加されました。

【CPRA改正の制限】

CPRAの改正は、住民提案により成立した他の州法と同様に州有権者過半数の承認が必要な他、CPRAの目的・趣旨を更に促進強化するものでなければならないとするとの規定がおかれました(SEC. 25(d))。

【個人情報の広告利用へのコントロール権強化】

個人情報の販売・共有のオプトアウト、機微個人情報の利用制限請求権等を含め、CPRA全般にわたり、個人情報(Cookie IDとこれに紐づくデータを含む)の広告利用に対する消費者のコントロール権を強化する規定が置かれています。

このことは、米国における企業のオンライン広告(特に行動ターゲティング広告やパブリックDMP[4]の利用)に対し重大な制約要因となる可能性があるので、企業はCPRA全面施行後の広告戦略を含めCPRAへの対応を準備しなければなりません。

GDPRおよび個人情報保護法との比較

既に日本の個人情報保護法またはEUのGDPRへの対応を経験済みの企業にとっては、CPRAを両法と比較すると理解し易いのではないかと思います。

そこで、以下においては、世界の個人情報保護法制の一種のベンチマークとなっているGDPRの規定項目を中心に対照表の形でこれらの共通点・相違点を示します。

項目	GDPR	CPRA	日本法
保護対象情報/Cookie	「個人データ」：特定された(され得る)個人に関係する情報(4(1))。Cookieデータ(欄外の注参照)も多くの場合該当。	「個人情報」：特定の消費者・世帯に関連付けできる情報(140(v))。Cookieデータも多くの場合該当。	「個人情報」：特定の個人を識別できる情報(2(1),(2))。Cookieデータは氏名等と紐付け管理している場合該当。^[5]
機微情報	「特別カテゴリーの個人データ」(9)。	「機微個人情報」(140(ae))	「要配慮個人情報」(2(3))。
主な義務主体	「管理者」(4(7))／「処理者」(4(8))。	「事業者」(140(d))／「サービス提供者」(140(ag))／「契約業者」(140(j))。	「個人情報取扱事業者」(2(5))／取扱い委託先(23(5)一)。
域外適用	(a) EU域内データ主体への物品・サービス提供、または、(b)　EU域内データ主体の行動監視に関連する処理(3(2))等。	ほぼGDPRの(a)に相当する域外適用あり(140(d)(2),　(3))。	ほぼGDPRの(a)に相当する域外適用あり(75)。
処理の原則	目的の制限／データ最小化／保存期間の制限(5)。	ほぼGDPRと同じ (100(a),(c))。	目的の制限(15)。
処理の適法性／同意	個人データの全処理に同意その他限定列挙された適法性の根拠を要求(6)。特別カテゴリーの個人データの処理は原則明確な同意要(9)。	16歳未満消費者の個人情報の販売・共有(120(c))等は同意要。取得・利用自体には同意その他具体的根拠要求されず。	不正取得禁止(17(1))／(2020改正法[6])不適正利用禁止(16の2)。要配慮個人情報取得は原則同意要(17(2))。その他取得・利用自体には同意その他具体的根拠要求されず。
同意の要件	自由意思による/目的ごとの/情報を与えられた上での/言葉または積極的行為による/明確な意思表示(4(11))。	ほぼGDPRと同じ(140(h))。	なし。
本人への情報提供／プライバシーポリシー等による公表	【根拠規定】(全項目共通)13,14	【根拠規定】(取得時通知)100(a),(b). (プライバシーポリシー等による公表)100(b), 115(c), 130(a)(5), 135(c)(2)。	【根拠規定】(取得時通知)18(1), (2). (プライバシーポリシー等による公表)27, 23(2),(5)。
	【提供時期・方法】直接取得の場合は取得時点で／間接取得の場合は取得後遅くとも1か月内に通知。	【提供時期・方法】直接取得の場合は取得時かその前に通知／間接取得等の場合は事前公表で代替可。	【提供時期・方法】書面(電磁的記録を含む)取得の場合事前通知。その他の場合直接間接問わず事前公表または事後に通知か公表。
	【主な項目】処理目的/処理の適法性の根拠/(間接取得の場合)取得個人データのカテゴリー/受領者(提供先)のカテゴリー/域外移転の有無と根拠/保存予定期間または決定基準/データ主体の権利内容/(間接取得の場合)入手元/自動意思決定の有無と処理ロジック。	【主な項目】 (取得時通知)取得個人情報・機微個人情報のカテゴリー/取得利用目的/販売・共有の有無/保存予定期間・決定基準。 (プライバシーポリシー等による公表)消費者の権利内容とその行使手段/販売・共有の有無/機微個人情報の所定範囲外利用開示の有無/オプトアウト設定信号に応じる場合その旨/過去12 ヵ月間の取得個人情報のカテゴリー・その入手元・取得・販売・共有目的/開示先第三者のカテゴリー/過去12 ヵ月間に販売・共有・業務目的開示した個人情報のカテゴリー。	【主な項目】 (取得時通知)利用目的。 (プライバシーポリシー等による公表)利用目的/権利行使手続/苦情申出先その他政令指定事項(以上27)/オプトアウトによる第三者提供(23(2))に関する情報/共同利用(23(5)三)に関する情報。 (注)利用目的につきガイドラインで合理的に予測可能な特定、政令で安全管理措置の追加が検討されている[7]。
本人の権利	開示請求権(アクセス権)/訂正請求権/消去請求権/処理制限請求権/データ・ポータビリティーの権利/処理禁止権(異議申立権)/完全自動意思決定に服さない権利(15～22)。	開示請求権/訂正請求権/削除請求権/販売・共有オプトアウト権・オプトイン権/機微個人情報の利用制限請求権/データ・ポータビリティーの権利/自動意思決定(プロファイリングを含む)に関する開示請求権・オプトアウト権/権利行使を理由に差別・報復されない権利(105～125, 185(a)(16))。	開示請求権/訂正請求権/利用停止・消去請求権(28～30)。 (2020改正法)個人データの電子ファイル形態での開示請求権(28(1))。
説明責任／記録等	GDPR遵守とその説明・証明責任(5(2),24)／処理全般の記録義務(30)。	CPRA遵守を確保するための記録保持義務(199.40 (b))。	第三者提供に係る記録義務(25,26)。
処理委託	GDPR遵守を十分保証できる者にのみ委託/所定の契約条件/再委託制限(28)。	サービス提供者・契約業者への委託目的は「業務目的」に制限/所定の契約条件/再委託制限(140(ag),100 (d))。	委託先の監督義務(22)。
セキュリティー	適切なセキュリティー措置実施義務(32)。	合理的セキュリティー措置実施義務(100(e))。	必要適切な安全管理措置実施義務(20)。
漏えい等(侵害)の報告／本人への通知義務	監督機関への報告／高リスク侵害の場合本人に通知(33,34)。	(加州データ侵害通知法)所定個人情報の漏えい等の場合本人に通知／被害者500名超の場合州司法長官に通知書サンプル提出。	(2020改正法)所定の場合、個人情報保護委員会に報告・本人に通知(22の2)。
処理のリスク評価義務／高リスク処理の制限・禁止	高リスク処理について「データ保護影響評価」(DPIA)・監督機関との事前協議／場合により処理の制限・禁止(35,36)。	高リスク処理についてサイバーセキュリティー監査・保護庁への定期的リスク評価書提出／場合により処理の制限・禁止(185(a)(15))。	なし。
域外移転	十分性認定、SCCその他の移転根拠(同意は例外的)必要(44～49)。	特別な規定なし(他の販売・共有・業務目的開示その他開示に関する規定適用)。	十分性認定国以外への移転は同意または所定の移転契約等がなければ不可(24).(2020改正法)同意取得前に所定情報提供(24(3))。
執行機関	EU各加盟国の監督機関(51,52)。	カリフォルニア州プライバシー保護庁(199.15～199.100)／州司法長官	個人情報保護委員会(59～74)。
違反に対する救済と制裁	【データ主体の権利】監督機関への苦情申立とその不服申立訴訟/損害賠償請求を含む司法救済(77～82) 【監督機関による制裁】全世界売上の2%または4%内の制裁金その他処分(58,83)。	【消費者の権利】所定個人情報の漏えい等に関する、法定損害賠償を含む損害賠償・差止請求訴訟提訴権(150) 【保護庁／州司法長官による制裁】違反1件2,500ドル(故意／16歳未満個人情報に関する違反はその3倍)以下の制裁金・排除措置・差止(199.55(a), 199.90(a))。	【本人の権利】　特に規定はないが、事業者の行為が民法の不法行為(709)に該当する場合は損害賠償請求可。【制裁】制裁金はない。個人情報保護委員会の命令に違反等した個人の刑罰規定と両罰規定がある(84, 85, 87)。
その他各法に特有の制度	ePrivacy指令(5(3))により、Cookie(その他パソコン、スマートフォン等への情報保存・アクセス技術)の利用に、Cookie等が個人データか否かを問わず、事前にGDPR上の要件を満たす同意が必要。	販売・共有・機微個人情報の所定範囲外利用に関し、“Do Not～/Limit～”リンクの設置か「オプトアウト設定信号の受入れが必要(135(a),(b))。	オプトアウトによる第三者提供(23(2))制度がある。個人データ利活用手段として「匿名加工情報」制度あり(2(9))。 (2020改正法)同手段として更に「仮名加工情報」制度創設(2(9), 35の2)。

(注)【Cookie】　Webサイト等の運営用サーバコンピュータからブラウザ等(*1)を通じユーザのパソコン等(*2)に自動的に書き込まれおよび読み込まれるID(*3)とこれに紐づくデータまたはその仕組みを意味します。

(*1)(例)GoogleのChrome／MicrosoftのEdgeまたはInternet　Explorer／AppleのSafari／スマートフォンのアプリ

(*2)(例)パソコン／スマートフォン／ネット接続されたプリンター／IoTデバイス

(*3) アルファベットと数字の短い組み合わせ(alphanumeric text)

【日米欧法の差異】上記表のように比較すると、日米欧の各法(米国はCPRA)は相互に接近しつつある(より具体的には日米法がGDPR／ePrivacy指令に近づいている)ものの、なお、以下のように、基本的に、取得時から厳格に規制するGDPR／ePrivacy指令と、事後的に本人がコントロール可能とする日米法との間のアプローチの差があることに気付かされます。

(a)EUのGDPR／ePrivacy指令は、個人データの取得を含む全ての処理またはCookieによるCookieデータの取得・利用について同意またはその他明確・積極的な適法性(lawfulness)の根拠を要求する。

(b)これに対し、日米法上は、少なくとも個人情報・Cookieデータの取得自体については積極的規制をせず、本人の事後的コントール(例：CPRA上のオプトアウト権、日本法上の利用停止・消去請求権)により事業者と本人間の利益調整をしようとしている。

(c)日本法では個人情報の活用を法目的の一つとし(第1条)、積極的に推進しようとしている(例：「匿名加工情報」／「仮名加工情報」制度)。

【日米欧法の差異の原因】このような差異は以下のようなことに起因するのではないかと思われます。

(i)EU：ナチスによる個人データの悪用[8]等を背景として、EU基本権憲章(EU Charter of Fundamental Rights)上プライバシー保護および通信の秘密の保障が規定され(憲章7,8,41)、これを具体化したGDPRおよびePrivacy指令は人権保障の側面が強い。従って、個人情報の利用に対する規制が厳格になる。

(ii)米国：データブローカー[9]のビジネスに見られるように、古くから個人情報が広く収集・流通・利用されていたという実情がある。また、近年における米国企業の競争力の源泉の一つはCookieを含むテクノロジーによるデータの大量広範な収集活用である。

従って、EUのように取得時点から厳格に規制すると、却ってビジネスおよびイノベーションに悪影響を及ぼし、また、例えば個人がCookieバナー[10]による頻繁な同意要求に悩まされる等の弊害が生じるという危惧があると思われる。

(iii)日本：個人情報を含むデータ活用が産業活性化・競争力強化上必要とされている。

CPRAへの対応準備

CPRAへの対応準備は、おおよそ以下のようになると思われます。

なお、CPRAは米国における企業のオンライン広告(特に行動ターゲティング広告やパブリックDMPの利用)に対し重大な制約要因となる可能性があるので、企業はCPRA全面施行後の広告戦略を含めて、CPRAへの対応を準備しなければなりません。

【準　備　事　項】

(1) CPRA適用の有無の確認

(2) CPRA(CCPAからの改正点を含む)全体の理解と要対応事項の確認(オンライン広告への影響とCPRA全面施行後の広告戦略の検討を含む)

(3) CPRA対応組織の確立(以下を含む)

- 日本親会社と米子会社の役割分担

- 対応プロジェクトチームの責任者・構成員の選定

- (必要に応じ)外部弁護士／専門サービス提供業者の選定

- 経営陣への説明と対応組織・予算の承認取付け

(4) 作業計画の作成

(5) データ・マッピング(Data Mapping)(CCPAで実施済みの場合は見直し)

(6) CPRA対応プライバシーポリシー／”Do not～”リンク等の設計

(7) アプリ／オフライン等での個人情報取得がある場合はそれぞれでの対応方法決定

(8) 消費者からの開示／訂正／削除／オプトアウト／利用制限請求への対応方法(本人・代理人確認手順を含む)の決定とマニュアル化(CCPAで実施済みの場合は見直し)

(9) その他CPRA対応社内規程・マニュアル作成(CCPAで実施済みの場合は見直し)

(10) サービス提供者および契約業者との契約見直し、必要に応じ修正・(再)締結。

(11) 販売先・共有先との契約締結(CPRAで新規義務化)。

(12) 合理的なセキュリティー水準の確保(CCPAで実施済みの場合は再確認)

(13) CPRA全面施行後の広告戦略決定

(14) 関係者への周知と研修

【対　応　ス　ケ　ジ　ュ　ー　ル】

CPRA規則制定(期限：2022年7月1日)まで

少なくとも上記(a)の(1)～(4)を実施。

CPRA規則制定～2022年末

上記の(5)～(14)を実施。

2023年１月１日(CPRA全面施行日)

CPRA対応プライバシーポリシー／CPRA上の”Do not～”リンク等への切り替え

消費者からの請求への対応開始

その他CPRAコンプライアンスの実行・見直し・改善

新広告戦略実行

以　上

【注】

[1] 【本稿の筆者】　一般社団法人GBL研究所理事／IAPP CIPP/E (Certified Information Privacy Professional/Europe)／UniLaw 企業法務研究所代表浅井敏雄(Facebook)

[2] 【加州州務長官の認証】　SECRETARY OF STATE ALEX PADILLA "STATEMENT OF VOTE, GENERAL ELECTION" NOVEMBER 3, 2020, p 17. CPRA法案(Prop. 24)は賛成9,384,625票：56.2%、反対7,305,431票：43.8%であった(p 67)。

[3] 【CPRA成立日】 （参照）David Stauss & Shelby Dolen "The California Privacy Rights Act Goes into Effect" December 16, 2020, Husch Blackwell LLP.

[4] 【パブリックDMP】 「DMP」は"Data Management Platform"の略語。インターネット上のユーザデータ（Cookieデータ等）の収集・蓄積・統合・分析を行うプラットフォーム。パブリックDMPは、それを運営する事業者が他の様々な事業者からインターネットユーザデータ（Cookieデータ等）を収集・蓄積し、それにIDを付した上で統合・分析し、一般企業（広告主）に提供するもの。日本では、2020年改正の個人情報保護法上の「個人関連情報」の第三者提供(26の2)の典型例としてDMP事業者から一般企業（広告主）へのCookieデータの提供が想定されている。 (参考) 個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について（個人関連情報）」（2020年11月20日個人情報保護委員会配布資料１）p 6

[5] 【日本の個人情報保護法上のCookieの扱い】　（参考）杉浦健二「Cookieは個人情報に該当するか - リクナビやフェイスブックの事例から問題点を弁護士が解説」2019年12月06日, Business Lawyers

[6] 【2020改正法】　「個人情報の保護に関する法律等の一部を改正する法律」（2020年6月12日公布・公布から2年以内に施行）（参考）個人情報保護委員会「令和２年改正個人情報保護法について」

[7] 【利用目的の特定/安全管理措置の公表の検討】 個人情報保護委員会「改正法に関連する政令・規則等の整備に向けた論点について（公表事項の充実）」　2020年10月14日委員会資料１

[8] 【ナチスによる個人データの悪用】　ナチスはユダヤ人に対する組織的な大虐殺（ホロコースト：holocaust）を行ったが、この過程において個人情報が悪用された。（参照）浅井敏雄「GDPR関連資格CIPP/E準拠詳説GDPR （上）- GDPRとCookie規制」2019年11月 - I-A-2

[9] 【データブローカー】　米国には、従来から、データブローカーと呼ばれる企業が存在し、連邦取引員会(Federal Trade Commission）(FTC)は、Federal Trade Commission Act（FTC法6(b)/15 U.S.C.§46(b)）に定める調査権限によりデータブローカー大手9社に提出させた情報に基づき「データブローカー：透明性と責任に関する提言」(Data Brokers: A Call For Transparency and Accountability: Federal Trade Commission, May 2014）（「FTC提言書」）を作成し2014年5月に公表している。対象となったデータブローカーは上場企業を含む大企業であり(p 8, 9）、要旨は以下の通り。（FTC提言書の要旨） これらの企業は、本人が認識しない内に、次のようなデータを入手・編集し、民間企業、法律事務所、政府機関、一般消費者等に対し、マーケティング、顧客の同一性認証（なりすまし防止）、Web上の人探しサービス等の用途に提供している。（入手するデータ）連邦および州政府の登録・公開情報／裁判所の記録／SNS、ブログその他インターネット上の公開情報／小売企業・出版社から入手した購買・購読データ／小売・ニュース・旅行等のサイトから入手したユーザ登録情報／顧客である金融サービス(financial service)会社から入手した財務情報。これらのデータは、米国の消費者のほぼ全員を網羅する(p 46)。FTCは、議会に対し以下の事項を提言する（p viii, vix, 49-54)。(a)本人にデータブローカーの保有する自己に関するデータを知る権利およびその利用を停止させる権利(オプトアウト)を与えること。(b)データブローカーが外部から入手したデータについて、データブローカーにその入手元を本人に開示する義務を負わせること。(c)消費者に直接商品・サービス等を提供する企業に以下の義務を負わせること。①そのデータをデータブローカーに提供する旨を本人に対し開示すること。②そのデータ利用についての選択権を本人に与えること。

[10] 【Cookieバナー】　Webサイトに配置される通常横断幕状(banner)の表示・画像で、そのWebサイト上でCookieを利用することをサイト訪問者に知らせるためのもの。EUでは、ePrivacy指令(5(3))により、CookieによるCookieデータ取得前にGDPR上の要件を満たす同意が必要であり、この同意取得のため「Cookieバナー」が広く用いられている。

メルマガ会員登録