カリフォルニア州のプライバシー保護法が発効　ネットテクノロジー企業への風当たり強まる

厳しい罰則

　CCPA違反には「事業者義務違反」（州司法長官が提訴する民事罰）で1件あたり最大2500ドル（故意は7500ドル）の民事制裁金を科す。あるいは「消費者の提訴」（集団訴訟を含む）で1件あたり100ドル以上750ドル以下または実損の大きい額の賠償請求がありうる。

　一見、最大2000万ユーロ（2240万ドル）のGDPRよりも額が小さく見えるが、件数次第で大きくなることに注意が必要だ。特に集団訴訟になった場合、とてつもない額に膨れ上がる可能性がある。この点で、GDPRの最高額「世界収益1年分の4％」よりも企業へのインパクトは大きいと言える。CCPAの施行は「ほぼ確実に訴訟に火を付ける」とみる法律専門家もいる。

　また本人確認のための要求の検証義務、プライバシーポリシーの開示項目など、運用面でもGDPRより厳しい要求規定を持っているという。

　対象となる事業者は、カリフォルニア州で事業を行い、以下のいずれかの項目の1つ以上に該当する者となる。(1) 年間売上2500万ドル超、(2) 年間売上の 50％以上を消費者個人情報の販売から得ている、(3) 5万人以上の（カリフォルニア州の）消費者の個人情報を購入、販売、または共有している――。

　「カリフォルニア州で事業を行う」では、同州に現地法人などの拠点を持たなくともあてはまる。他地域からオンラインでビジネスを行う企業であっても、（3）の要件の「同州に5万人以上のユーザー」がいれば対象となる。もちろん日本企業も例外ではない。

　成立から1年半後の発効で、事業者側の対応は間に合っていないようだ。CPO Magazineが昨年11月末に紹介したデータプライバシーテクノロジー企業Ethycaの調査（85社を対象）によると、この時点で「コンプライアンスの適切な状態」に達した企業は12％に過ぎず、38％が達成までに1年を要するという状況だった。米国内でさえ、こうした状態だ。

　また対応費用も大きい。Reutersによると、独立調査会社が州司法長官に出した試算では企業の規制順守にかかるコストは、2020年から2030年までに、4億6700万ドルから最大16億5000万ドルに達するという。

　Webビジネス企業には頭の痛い話だが、これは始まりに過ぎないという見方も出ている。