カリフォルニア州でCCPAに続く新たなプライバシー法が可決の見込み

2020年11月3日、カリフォルニア州で「カリフォルニア州プライバシー権利法」（California Privacy Rights Act: CPRA）に対する住民投票が実施され、可決する見込みと報じられています。

CRPAは、先に施行されたカリフォルニア州消費者プライバシー法（CCPA）を強化するものと位置づけられています。成立した場合、CCPAは2023年1月1日から施行され、2022年1月1日以降に収集した個人データが対象となるとされています。

現在のところ、CCPAにより追加される主な規制項目は以下のように報じられています。
（参考）
JETRO      2020年11月1日：「米加州、消費者プライバシー法改正の提議、住民投票で可決の見込み」
IIJ BixRis   2020年11月6日：「カリフォルニア州、CCPAを強化するCPRAを住民投票で可決」
DIGIDAY  2020年11月12日：「CCPA に代わる CPRA ついて、媒体社が知っておくべきこと ： 米・個人情報保護法の基準になる可能性も」

1. 個人データの「共有」に対するオプトアウト権の付与

CCPAでは、個人データを第三者に「販売」する行為に対してオプトアウトを表明する権利を認めていますが、CRPAにおいては、「共有」する行為に対してもオプトアウトを表明する権利が認められます。

これにより、例えば「消費者動向のコンテキストに基づいた広告展開」に対して消費者が拒否を表明することが認められるようになる、とされています。

2. 「センシティブな個人情報」の明確化とオプトアウト権の付与

CRPAでは、個人識別子(identifier), ログイン認証情報や正確な位置情報などが「センシティブな個人情報」として定義されました。そのうえで、消費者に対して、これらのセンシティブな個人データの利用を制限することを事業者に求めるオプトアウト権が認められます。

3. 自動的意思決定やプロファイリングへのオプトアウト権の付与

CRPAではプロファイリングを「個人データの自動処理によって、職場での成績、経済状況、健康状況、趣味嗜好、興味、扶養関係、行動、位置・移動などを予想すること」と定義したうえで、これに対するオプトアウト権を認める、とされています。

4. 新たな執行機関の設立

CRPAを執行するための行政機関として、California Privacy Protection Agency (CPPA) という組織が設立される予定です。同局は、CRPAへの違反1回に対して最大2,500ドル（故意による場合は最大7,500ドル）の制裁金を課す権限などが与えられます。

5. 個人データ侵害に対する私的訴権の対象拡大

CPRAでは、デジタルサービスを利用するためのメールアドレスやパスワード、「秘密の質問」とその回答などの認証情報の組み合わせが漏洩した場合にも私的訴権 (private right of action、民事訴訟により損害賠償、差止などの救済を求める権利) を認めるとされています。

この他、16歳未満の年少者の個人データに関する違反の制裁金の強化や、リスク評価の実施義務、個人データの保持期間の明示などの義務も追加されると報じられています。

カリフォルニア州で施行されたCCPAについて本コラムでも何度か取り上げたところですが、今回可決されたCRPAはCCPAをさらに強化するものであり、日本企業にとっても今後の動向を注視したうえで対応の可否について検討する必要がありそうです。

（「カリフォルニア州の消費者プライバシー法が本格的に執行される」）
（「2020年1月に施行される「カリフォルニア州消費者プライバシー法（CCPA）」に向けて必要な準備とは？」）

CRPAが導入する追加的な規制の多くは、GDPRが既に認めている権利に類似している内容が多く含まれています。一方で、GDPRが「オプトイン」ベースであることに対して、CRPAが「オプトアウト」ベースであることを指摘する声も上がっているようです。

また、今後、CRPAが米国内の他の州、ひいては連邦レベルの個人情報保護法制度のベースとなる可能性も指摘されています。これらの点も踏まえて、今後の動向について注意を払っていく必要があるでしょう。

CRPAが求めるオプトアウト権の行使に対応するために、個人データ管理基盤には、消費者がいつでもオプトアウトや「同意」の権利を行使できるわかりやすいインタフェース画面や、複数の部門にまたがって存在する個人データを正しく紐付けて管理する「シングル・カスタマー・ビュー」などの機能が求められます。消費者が行使したオプトアウトや「同意」の内容を、個人データを利用するマーケティング・オートメーションやCRMなどのシステムに適切に反映する一貫したシステムが必要です。

SAP Customer Data Cloud from GIGYAは、グローバルのベストプラクティスにより、GDPR、日本の個人情報保護法、そしてカリフォルニア州のCCPAやCRPAなど、急速に変化するプライバシー保護法制度への迅速な対応をご支援します。

Registration-as-a-Service（RaaS）機能により、Webサイトやデジタルタッチポイントにおける登録・ログイン機能をクラウドで提供します。RaaSを経由して登録・ログインしたユーザーのデータは、サイトやアプリをまたがってSAP Customer Data Cloud from GIGYA内に保管され、「シングル・カスタマー・ビュー」を構築します。登録・ログインに際して、利用規約・プライバシーポリシーはもとより、メールマガジン送付などマーケティング・コミュニケーションに関する同意について、文書のバージョンやタイムスタンプのデータも含めて取得・管理することも可能です。

また、SAP Customer Data Cloud from GIGYAは、ユーザーが自身の個人データを閲覧・編集・凍結・削除することの出来るセルフサービス型のプリファレンス・センター機能も提供します。プリファレンス・センターを通じてユーザーが実施した個人データの変更・凍結・削除や「同意」の撤回などは、SAP Customer Data Cloud from GIGYAと個人情報を活用するマーケティング・オートメーションなどの各種システムを接続することで反映され、ユーザーによるこれらの権利の行使を保障します。コールセンターなどでの対応稼働の削減も期待できます。