CCPAについて知っておくべきこと

GDPR以降、個人情報に対する規制は各国で強化され始めていますが、2020年1月1日からは米国カリフォルニア州の消費者プライバシー法が施行されました。

www.cnet.com

1月1日、同国で最も包括的なデータプライバシー法が施行されます。CCPAは、カリフォルニア州消費者プライバシー法の略で、ゴールデンステートの居住者に、それらについて収集するデータ企業を知る権利を与えます。また、カリフォルニア州民は企業にデータを削除し、販売しないよう依頼することができます。

これらの新しい権利の完全な影響は、法律を施行するために使用される規制がいまだに確定されているため、完全には明らかではありません。それでも、カリフォルニア州内外の企業は、国内で最も人口の多い州でビジネスを継続できるように、既にコンプライアンスを順守しようと急いでいます。

ほぼ2年の歳月をかけて、CCPAは他の州に独自のプライバシー法を検討するよう促しましたが、その一部はすでに通過しています。この法律は、多くの場合、現在オンラインプライバシーのベンチマークである欧州連合の一般データ保護規則と比較されています。

（CNET記事より引用）※機械翻訳

◆キタきつねの所感

※CCAPの概要等々もう少し基本的な内容が知りたい方は、JETROの下記記事をご覧ください。

施行が迫る「カリフォルニア州消費者プライバシー法」（米国） | 地域・分析レポート - 海外ビジネス情報 - ジェトロ

CCPAについては、法律が決まったな程度しか日本では知られてないかと思いますが、グローバルでビジネスを行う企業の場合は対応が必須です。またカリフォルニア州だけでなく、米国他州にも今後拡大する（連邦法の議論も起きている様です）可能性がある事を考えると、米国リスクとして真剣に取り組む必要があります。

どの程度の対応が求められるかについての詳細は、まだこれからの部分もありそうですが、CCPAは日本で検討中の個人情報保護法の改訂にも影響する可能性があるかも知れません。

これはどのような個人データを対象としていますか？

CCPAは、あなたの名前、ユーザー名、パスワード、電話番号、住所など、あなたが期待するすべてのものをカバーします。また、IPアドレスやデバイス識別子など、企業がオンラインでの行動を追跡するために使用する情報も含まれています。

法律は、人種、宗教、婚姻状況、性的指向、軍隊または退役軍人としての地位など、あなたを特徴付けるのに使用できる情報も対象としています。また、指紋や顔認識データなどの生体情報、閲覧履歴、位置情報もカバーします。

公的政府の文書で見つかったデータは除外されるため、たとえば、あなたが結婚しているかどうかを企業はまだ知ることができます。ただし、ソーシャルメディアアカウントなどの他のソースからではなく、政府の記録から直接データを収集する必要があります。

（CNET記事より引用）※機械翻訳

GDPR施行当時にGAFAが狙い撃ちにされた事も影響したと思いますが、去年はFacebookなどが個人情報を他にユーザ同意の範疇を超えて他社に連携していた事件が大きな社会問題となりました。CCPAはこうした事件とも無関係では無いかと思います。

少しやっかいそうに思えるのが、「IPアドレスやデバイス識別子など、企業がオンラインでの行動を追跡するために使用する情報」も対象である事、IPアドレスやクッキーはGDPRでも対象範囲に含まれてくるので分からなくはないのですが、デバイス識別子は匿名化情報として多くの企業が利用しているかと思います、ここを全て企業側が抑えているか？と考えると、少し怪しい気がしますので影響範囲が大きくなる可能性を感じます。

「指紋や顔認識データなどの生体情報、閲覧履歴、位置情報」こちらは、まだ分かります。端末型（個人の端末に生体認証情報を保管する）のFIDO等の生体認証ではなく、サーバ型で（サーバに生体認証情報を集中保管して）グローバルにサービス展開をする企業は影響を確実に受けるはずです。

「公的政府の文書で見つかったデータは除外＝政府の記録から直接データを収集した場合は除外」は、GAFA等のビックデータへの制限が入る事の反面、政府が保有するデータの将来の利活用（適正管理下での）が含まれているのかも知れません。個人的には政府がやらかして個人情報漏えいする際の訴訟リスクを考えて面積にしただけの気もしますが

FacebookとGoogleにデータを削除するように指示できますか？

はい。実際、FacebookやGoogleを含む一部の大手テクノロジー企業では、すでにシステムに関するデータの一部またはすべてを削除することができます。

ただし、これらのツールは期待どおりに動作しない場合があります。たとえば、Facebookは、ユーザーがWebブラウジングに関して収集したデータをユーザーが「切断」できるようにする機能の展開を開始しましたが、完全には削除しません。代わりに、名前とプロファイルをデータから分離し、匿名化します。その後、Facebookはデータを他の人のデータと組み合わせて、より広範なトレンドを監視できるようにします。

CCPAでは、企業が匿名化されたデータを引き続き使用できます。しかし、法律は、データから個人を再特定することを阻止する目的で、情報から個人を分離するための高い基準を設定しています。

（CNET記事より引用）※機械翻訳

実際に何をやらなければいけないのか、については、まずはGAFA等の取り組みを参考にするのが早そうです。情報収集の停止機能をユーザ側に提供する事と、名前とプロファイルを紐づけない様に匿名化を強化、こうした対策が参考となりそうです。

企業が法律に従わない場合はどうなりますか？

企業は、違反ごとに2,500ドル、または違反が意図的なものであると判明した場合は7,500ドルの罰金を科せられます。違反が消費者の大規模なグループに影響する場合、それは大きな罰金を意味する可能性があります。カリフォルニア州司法長官は、法律違反の疑いのある企業の調査を担当しています。

批評家は、司法長官がすべての違反をキャッチするリソースを持っていないので、会社が法律を破ることで逃げることができると言います。AGのザビエル・ベセラは、彼の事務所には法律を完全に施行する能力がないと公に言っています。彼は修正案の通過を求めたが、それは通過せず、ユーザーが会社を直接訴えることになるだろう。

法律はカリフォルニアの人々に、企業の過失によって引き起こされたデータ侵害で個人情報が失われた場合など、特定の事例で企業を訴える権利を与えています。法的オブザーバーは、ハッカーに襲われた後、これにより企業に対する集団訴訟が増加すると予想しています。

（CNET記事より引用）※機械翻訳

最大罰金額は請求1件あたり、2500ドル（過失が重い場合は7500ドル）と、大企業にとっては大したことはありませんが、ユーザ側の集団訴訟が怖い気がします。米国は訴訟天国でもありますので、CCPA対応不備で漏洩事件を起こすと、高額な訴訟事件を多数抱えてしまうリスクがありそうです。

私はカリフォルニアに住んでいません。この法律は私に影響しますか？

ほぼ確実に。データの販売をオプトアウトしたり、データを削除するよう企業に依頼する権利を享受することはできませんが、どの企業があなたについて収集しているのかを知ることができます。法律では、営利目的の事業では、プライバシーポリシーと、ユーザーについて収集するデータのカテゴリを記述することが義務付けられています。

多くの企業は、これらの権利の一部を全員に拡大する可能性があります。そうすれば、法律があなたに適用されるかどうかを決めるのに大騒ぎする必要がなくなり、誤って法律に基づいてユーザーの権利を否定する危険がなくなります。

（CNET記事より引用）※機械翻訳

カリフォルニア州に居住していないユーザにも影響する部分、収集情報の問い合わせ等が可能な様です。GDPRや個人情報対応と同じ様な内容ではありますが、どんな情報を収集しているのか明確に把握してないと、この問い合わせには回答できないかと思いますので、意外とこの部分が重たい企業も多いかもしれません。

これは、他の大きなプライバシー法であるGDPRとどう違うのですか？

GDPRは、欧州連合にユーザーがいる企業に適用され、企業がCCPAと同じ種類の個人情報を収集する方法を規制します。ただし、欧州の法律では、企業がユーザーデータの収集にどのように取り組む必要があるかについて、より厳しい管理を行っています。

まず、GDPRでは、データを収集すること、またはユーザー情報を収集するその他の正当な理由があることについて、企業に同意を求める必要があります。次に、企業が収集するデータを最小限に抑える必要があります。CCPAでは、企業が個人情報を収集するためにこれらの手順を踏む必要はないため、データ収集の制限は、削除およびオプトアウトを要求する個々のユーザーによって課せられます。

（CNET記事より引用）※機械翻訳