こんにちは、IIJA Webinar 事務局です。
2023年6月6日と8日に開催したIIJAウェビナー『執行開始間近!CCPA改正点と新規則のポイント総点検~法務・IT両面の実務上の重要点について』より、CCPAの概要と知っておくと役に立つ重要ポイントをキャッチアップしました!
ウェビナーを視聴したけどまだすっきりしない方、じっくり復習したい方、ウェビナーを見逃してしまった方へ、講演のエッセンスをブログでお届けします。
<<配信中>>
本講演と同様の内容にて、2023年6月14日に実施したウェビナーの録画を
"BizRis" (世界のプライバシー保護規制対応を支援するサイト) で配信中です!
動画視聴をご希望の方はこちらから。
☆BizRisの有料会員は無料で視聴が可能です(非会員は有料となります)。
CCPAの概要
California Consumer Privacy Act (CCPA) は、米国で最初の包括的なプライバシー保護法と言われます。CCPA成立以前にも金融機関や医療保険など業種により、特定の種類の個人情報についてプライバシー保護法は存在しましたが、CCPAは事業主が個人情報の処理を行う場合の義務、個人情報の主体が有する権利について広く規定しています。
2018年の成立後、2020年11月にCCPAを改正するCalifornia Privacy Rights Act (CPRA) が住民投票により可決され、2023年1月にCRPAによるCCPAの改正点が施行、同3月に新CCPA規則が施行しました。そして2023年7月1日、CPRAによるCCPA改正点に対する執行が開始します。
※2023年6月30日に、カリフォルニア州サクラメント郡上級裁判所 (the Superior Court of California for Sacramento County) が、CPRAによるCCPA改正を受けてカリフォルニア州プライバシー保護局 (CPPA) が策定する規則の執行は、規則の最終化から1年間は実施できないとする命令を発しており、本命令が確定すると、2023年3月29日に最終化され即日施行された新CCPA規則の執行は、2024年3月29日に開始となります。
CCPAに違反したら・・
行政罰とセキュリティ侵害時の消費者による私的提訴が定められています。
1件の違反につき最大2,500ドル、故意の違反又は16歳未満と知っていた消費者の個人情報が関係する違反の場合は最大7,500ドルの制裁金が課される可能性があります。
行政罰に関しての注意ポイント;
CCPAの義務が課される事業者だけでなく、個人情報処理の委託を受けるサービスプロバイダー、コントラクター、第三者も行政罰の対象になり得る。
違反に対して州司法長官の通知を受けてから30日以内に是正することで法的責任を問われない治癒期間の仕組みが撤廃。ただちに執行措置が開始される。(7月1日以降に発生したCCPA違反に対して、治癒期間を設けず執行ができるようになります)
CA州以外の州、連邦でのプライバシー保護法制定状況は、米国を含む世界各国のプライバシー保護法規制・サイバーセキュリティ規制に関する最新のニュースや実務に役立つナレッジなどを日本語で発信する
でご確認ください!
CCPAは誰に適用されるか
CCPAにおける事業者 (Business) の4つの定義のいずれかに該当する場合、CCPAの適用対象です。
日系企業では以下の基本的な定義 (1) あるいは (2) に当てはまるケースが大半と思われます。
(1) CA州住民の個人情報を取得し、CA州で事業を行っている営利目的の事業者であって、
かつ以下の3つのうち1つ以上を満たすもの。
• 年間総売上高が2,500万米ドル ($25 million) 超
• 10万件以上の個人情報を購入、売却又は共有
• 年間売上高の50%以上を個人情報の売却又は共有から得ている
(2) 上記の定義に該当する事業者を支配し、又は、その事業者により支配され、かつ、その事業者と共通のブランドを有し、その事業者から (カリフォルニア州消費者の) 個人情報の共有を受けている法人。
適用対象の注意ポイント;
CA州で事業を行っている、という定義はCA州に物理的拠点がなくても該当する場合がある
年間総売上高が2,500万米ドル超、はCA州における売上だけでなく、全世界における売上が対象となることが示唆されている
個人情報の売却又は共有はCCPA独特の概念
売却・共有ってどういうこと?
売却:金銭または価値のある対価のために事業者が第三者に個人情報を販売、開示することですが、金銭を対価としていなくても、サービスの提供を受けるために個人情報を開示することも該当する可能性があります。
ただし、消費者が自ら個人情報の開示、第三者とやりとりすることを指示する場合は売却になりません。
共有:事業者が第三者に対して金銭や価値ある対価と引き換えであるか否かに関わらず、サイトやアプリをまたいで収集された個人情報に基づく行動ターゲティング広告 (cross-context behavioral advertising) を行うために、第三者に個人情報の開示を行うこと、とされています。
個人情報の提供を受けるとき
CCPAの適用を受ける事業者からCA州住民の個人情報の提供を受けるサービスプロバイダー、コントラクター、第三者にもCCPAが適用され、一定の義務が課せられます。
サービスプロバイダー・コントラクターが負う義務には、事業者が書面による契約に基づいて個人情報の開示を行う、個人情報の売却または共有、及び契約で特定されたサービスの履行以外の目的で個人情報を保持、利用、または開示してはならない、といったことがあります。
また、事業者がサービスプロバイダー・コントラクターに個人情報を開示する場合、または第三者に個人情報を売却・共有する場合に契約を締結するときは、サービスプロバイダー、コントラクターまたは第三者は、CCPA上の適⽤義務の遵守とCCPAが求める⽔準のプライバシー保護を提供する義務を負うことを規定しなければなりません。
CCPAが求めるセキュリティ対策をIT編で解説しています。こちらもご参考に!
その他にも遵守が必要な義務が定められています。詳細をお知りになりたい方は、以下のサイトをご活用ください。
まとめ
本編では、CCPAそのものについて、概要や解釈のポイントをまとめました。
CCPAの変更や新規則の施行により、実務上見直しが必要な内容を続編ブログでご紹介します。
<<配信中>>
本講演と同様の内容にて、2023年6月14日に実施したウェビナーの録画を
"BizRis" (世界のプライバシー保護規制対応を支援するサイト) で配信中です!
動画視聴をご希望の方はこちらから。
☆BizRisの有料会員は無料で視聴が可能です(非会員は有料となります)。
講師の紹介
日系生命保険会社在籍中の2014年に米国ロースクールに留学。ニューヨーク州弁護士資格取得後、同保険会社のニューヨーク法人の法務・コンプライアンス担当として勤務し、CCPAを含む各種法規制への対応や米国保険子会社のコンプライアンス状況管理を推進。
その後外資系保険ブローカー企業の日本法人における法務・コンプライアンス業務等を経て、2022年8月より現職。米国をはじめ世界各国のプライバシー保護法令への対応やプライバシーガバナンスの構築について、日系企業及びグローバル企業の特徴の理解に基づく的確なコンサルティングを行っている。
ウェビナー講師:石田 宗一郎
株式会社インターネットイニシアティブ
ビジネスリスクコンサルティング本部
シニアコンサルタント/ニューヨーク州弁護士
IIJ Americaでは、毎月様々なトピックを取り上げてウェビナーを開催しています。
IIJ America ニュースレターへご登録いただくと、ウェビナー開催のお知らせをお届けします。ニュースレターご登録はこちらから!
CCPAをはじめとした、世界のプライバシー規制対応に関するご質問やご相談は、いつでもご気軽にWebフォームからお問合せください。お待ちしております。
最後までお読みいただきまして、ありがとうございました!
コメント