Infostand海外ITトピックス

カリフォルニア州のプライバシー保護法が発効 ネットテクノロジー企業への風当たり強まる

 2020年1月1日、米カリフォルニア州の州法「CCPA」(The California Consumer Privacy Act、カリフォルニア消費者プライバシー法)が発効した。ユーザーデータの削除要求や、第三者へのデータ販売の拒否の権利、これに対応する企業の義務を定めた米国初の包括的なプライバシー法だ。世界の個人情報保護法制に大きな影響を与える動きであり、テクノロジー企業への規制強化の潮流が見えてくる。

米国初の包括プライバシー法

 CCPAは消費者の個人情報保護を目的としたカリフォルニア州の州法で、2018年6月に成立した。プライバシー権の明確化と、その個人情報を保持・処理する事業者の義務を規定する。保護の対象はカリフォルニア州の住民に限られるが、州外の事業者にも対応の義務を課すため、多くのビジネスに影響する。

 個人情報に関する同種の規制では、2018年に発効したEU(欧州連合)のGDPR(General Data Protection Regulation:一般データ保護規則)がある。欧州の住民を対象としたものだが、日本でも多くの企業が対応を迫られたことは記憶に新しい。

 ともに、個人情報へのアクセス、削除、ポータビリティなど消費者の権限を定め、共通点の多い両者だが、CCPAにはGDPRにはない特徴もある。

 ロサンゼルスを拠点とする法律事務所O'Melveny&Myersの特別顧問Scott Pink氏はSD Timesに解説し、CCPAは多くの点でGDPRを反映してはいるが、GDPRほど広範囲をカバーしておらず“GDPR lite”ともいうべきものだと述べている。

 それでもCCPAには、新たに2つの新しい権利、「個人情報を取引されることを拒否する権利」と「取引オプトアウトしても差別されない権利」を明確にしたという大きな特徴がある。このためGDPRに対応済みの企業も、新たにCCPA対応しなければならない。

 ZDNetは、最低でも通話無料の問い合わせ電話番号と、「個人情報を販売しない」というリンクが必要だ、と解説する。前者は、ユーザーが個人情報へのアクセスを要求する窓口として、無料電話を含む2つ以上の窓口を用意しなければならないため。後者は、個人情報を販売する事業者は、そのことを消費者に明示しなければならないためだという。

 そして注意が必要なのは、CCPAに違反した場合の制裁金の額が非常に大きくなりうる点だと専門家らは指摘する。