2019/08/21

プライバシー・法規制(GDPR等)

2020年1月に施行される「カリフォルニア州消費者プライバシー法(CCPA)」に向けて必要な準備とは?

海外では、個人のプライバシーに関する権利を強化するための法制度の施行が相次いでいます。2018年5月にEUで施行された一般データ保護規則(GDPR)への準備に追われた方もおられるかもしれません。2020年には、日本でも個人情報保護法の改正が予定されており、4月に原案が公表されたところです。
(関連記事: 個人情報保護法の改正原案に盛り込まれた「開示請求権」と「利用停止権」がもたらすインパクト

ところで、同じ2020年の1月に、米国カリフォルニア州で新たなプライバシー法制度である「カリフォルニア州消費者プライバシー法」(California Consumer Privacy Act, CCPA)が施行されることをご存知でしょうか?先ごろ、日本貿易振興会(JETRO)はCCPAに関するレポートを公表しました。(施行が迫る「カリフォルニア州消費者プライバシー法」(米国)

今回は、このレポートなどをもとに、どのような準備が必要かについて考えていきます。

対象となる事業者

CCPAの対象となる事業者は、「カリフォルニア州で事業を行い、カリフォルニア州民の個人情報を収集している、以下の1から3のいずれかの要件に該当する法人」とされています。

  • 年間の総収入が2,500万ドル以上
  • 5万人以上のカリフォルニア州民の個人情報を処理している
  • カリフォルニア州民の個人情報を売却することで年間の収入の50%以上を得ている

個人情報の範囲

CCPAでは、個人情報を「カリフォルニア州民または世帯について識別し、関連し、記載し、結び付け、直接または間接的に合理的にたどることができるあらゆる情報を指す」と広く定義しています。JETROでは、その例として、「実名、仮名、電話番号、IPアドレス、メールアドレス、口座、社会保障番号、運転免許証、パスポート、商品・サービスの購入履歴、虹彩・網膜・指紋・掌紋・顔・声・DNAなどの身体的・生体的特徴を含む生体情報、ウェブサイトの閲覧・検索履歴、位置情報データ、職歴・学歴などが列挙されているが、これらに限定されない。」としています。

CCPAが認める消費者の権利

JETROによれば、CCPAにより消費者に認められる権利は以下の4つに分類されます。

  • 企業が収集した個人情報のカテゴリー、情報源、情報の用途および収集した情報の開示先など、企業のデータ収集の運用について開示請求する権利(請求を受けてから、原則として45日以内に対応する必要あり)
  • 消費者による請求から過去12カ月の間にその消費者について収集した具体的な個人情報のコピーを受け取る権利
  • 自身の個人情報を削除してもらう権利(ただし、例外あり)
  • 企業のデータ売却の運用について知り、その消費者の個人情報を第三者に売却しないよう求める権利(いわゆるオプトアウト)

上記1および2については、消費者に対して自身の個人情報に関する開示請求権を与え、企業に対しては開示請求権に応じる義務を課するものといえるでしょう。日本の個人情報保護法においても第27条や第28条で認められているだけでなく、2020年の改正に際してさらに強化される方向となりそうです。
また、CCPAは「消費者の個人情報を収集する事業者は、収集時点またはその前に、収集される個人情報のカテゴリ、および当該カテゴリの個人情報を利用する目的を消費者に通知しなければならない。」と定めています。これも、日本の個人情報保護法が定める利用目的の通知などと類似した規定といえるでしょう。
なお、CCPAでは、これらの開示は少なくとも通話料無料の電話番号を含む2つ以上の方法で行うことが出来るようにしなければならず、Webサイトがある場合にはそのアドレスが含まれていなければならない、と定めています。
また、プライバシーポリシーを12ヶ月ごとに更新しなければならないことも定めています。

上記3は、いわゆる「忘れられる権利」ともいえるもので、GDPRでも同様の権利が保障されています。日本では、今回の改正原案には盛り込まれていませんが、「忘れられる権利」は世界の潮流となりつつある、といえそうです。

上記4は、消費者が自身の個人情報の第三者提供に関するオプトアウトの権限を保障するものです。日本では、個人情報の第三者提供に際して原則として予め本人の同意を取得する必要があることから、この点においてはCCPAの規定は日本よりも緩いといえるでしょう。
なお、消費者がこの権利を行使できるよう、サイト上に「Do Not Sell My Personal Information」という明瞭かつ目立つリンクを設置し、オプトアウトの手続への誘導を行わなければならない、と定められています。
また、CCPAは、これらの権利を行使したことによって差別的な取り扱いを受けない権利も保障しています。

企業に求められる対応と、SAP Customer Data Cloud が提供するバリュー

日本企業に求められる対応としては、まず自社がCCPAの対象となるかどうかを確認する必要があるでしょう。JETROでは、対象となる企業は「意外と多い」としています。
個人情報管理の観点では、フリーダイヤルやWebサイトをユーザーが自身の個人情報の開示を請求できる窓口として設置するとともに、開示請求に迅速かつ正確に対応するための体制を構築することが必要です。そのためには、複数の部門にまたがって存在している個人情報データを正しく紐付けて管理する「シングル・カスタマー・ビュー」の構築が有効であるといえます。

「シングル・カスタマー・ビュー」は、CCPAの求める「第三者提供を禁ずるオプトアウト」や「忘れられる権利」に対応するうえでも有効です。なお、「忘れられる権利」は、現在のところ日本の個人情報保護法改正には盛り込まれない方向といわれていますが、GDPRなど世界の潮流となりつつあることもあり、視野に入れた検討が求められるでしょう。

プライバシー・ポリシーを12ヶ月ごとに更新することについては、ユーザーの登録・ログイン(個人情報の取得)を実施している全てのタッチポイント(Webサイトやモバイルアプリ)において、利用目的に特定した明確な同意そのものだけでなく、その文書のバージョンと同意を取得した時刻までを記録するとともに、文書のバージョンを更新する際に全てのタッチポイントに正しく反映するとともに、バージョンの更新に際してユーザーに最新バージョンへの再同意を求めることが必要です。

SAP Customer Data Cloudは、Registration-as-a-Service (RaaS) 機能により、Webサイトやデジタルタッチポイントにおける登録・ログイン機能をクラウドで提供します。RaaSを経由して登録・ログインしたユーザーのデータは、サイトやアプリをまたがってSAP Customer Data Cloud内に保管され、「シングル・カスタマー・ビュー」を構築します。登録・ログインに際して、利用規約・プライバシーポリシーはもとより、メールマガジン送付などマーケティング・コミュニケーションに関する同意について、文書のバージョンやタイムスタンプのデータも含めて取得・管理することも可能です。

また、SAP Customer Data Cloudは、ユーザーが自身の個人データを閲覧・編集・凍結・削除することの出来るセルフサービス型のプリファレンス・センター機能も提供します。プリファレンス・センターを通じてユーザーが実施した個人データの変更・凍結・削除や「同意」の撤回などは、SAP Customer Data Cloudと個人情報を活用するマーケティング・オートメーションなどの各種システムを接続することで反映され、ユーザーによるこれらの権利の行使を保障します。コールセンターなどでの対応稼働の削減も期待できます。

SAP Customer Data Cloudは、グローバルのベストプラクティスにより、GDPR, 日本の個人情報保護法、そしてカリフォルニア州のCCPAなど急速に変化するプライバシー保護法制度への迅速な対応をご支援します。

プライバシー・法規制(GDPR等)
最新のコラム

資料ダウンロード

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

GDPR対応など、顧客ID統合の検討時の3つのポイントと、「顧客ID&アクセス管理(CIAM)」がそれらをどのように解決するかについて解説します。

製品デモのご依頼