こんにちは、編集チームのF.W.です。
近年よくニュースで見かける「カリフォルニア州消費者プライバシー法(CCPA)」と「EU一般データ保護規則(GDPR)」は広告業界だけでなく、様々な業界に影響を与え、ユーザーのプライバシー意識を上げた要因にもなっています。現CCPAの改正法案である「カリフォルニア州プライバシー権法(CPRA)」は2023年1月1日から施行される予定で、現在注目を集めています。
今回の記事では、CCPAの基本とCPRAについて紹介します。
目次
(1)CCPAとは?
(2)CCPAからCPRAへ移行
(3)データ保護法案がもたらした変化
(4)おわりに
(1)CCPAとは?
■CCPAとは?
「California Consumer Privacy Act(カリフォルニア州消費者プライバシー法/CCPA)」とは、生活者に8つのプライバシーの権利を与え、該当する生活者の個人情報を処理する事業者に8つの義務を定めた法律です。2020年1月から米国カリフォルニア州で施行されました。
目的はカリフォルニア州の生活者のプライバシーを保護し、個人情報に関する既存の法律を補完することです。
■CCPA規制の対象企業は?
CCPAの規制対象となるのは、カリフォルニア州住民の個人情報を扱う企業のうち、年間売上高が2500万ドル(約27億円)を超える企業、もしくは5万人分以上の個人情報を扱う企業、もしくは個人情報の販売により年間収入の50%以上を得ている企業が対象になります。
カリフォルニア州に拠点を持っていない企業でも、これらの条件に当てはまる企業は対象になるため、一見日本企業とは関係ないのではと思われるかもしれませんが、カリフォルニア州で日本事業を行う企業は対象になるのです。
■生活者の権利
カリフォルニア州にいる生活者に対して、事業者が集めた個人情報の開示を求める権利、削除を求める権利、第3者へ個人情報を売却するのをやめるようオプトアウト権などを認めています。
また、2020年8月に発表した最終規則では、事業者は個人情報収集前あるいは収集時に生活者から収集される個人情報や使用目的を通知する義務があります。
<参照先:https://www.jetro.go.jp/biznews/2020/07/9049b1b5781fe343.html>
(2)CCPAからCPRAへ移行
ここまではCCPAの基本的な情報について紹介しましたが、ここからは今後CCPAから移行予定の「Consumer Privacy Right Act(カリフォルニアプライバシー権法/CPRA)」について説明します。
■CCPAからCPRAへ移行する背景
CPRAは2023年1月1日から施行開始する法律で、2022年1月1日以降に収集されたデータが対象になります。CPRAはCCPAよりも強力な法律で、オンラインにおける個人情報保護に特化しています。
2020年11月3日にカリフォルニア州で住民投票を実施し、現CCPAを改正し、CPRAに移行する提議(プロポジション24)が56%の支持率で可決されました。
■CCPAとの違い
(1)センシティブ個人情報の明確
CPRAは消費者に新たな権利を与え、社会保障番号、運転免許証情報、講座、人種、位置情報などを含む保護すべき個人情報を「センシティブ個人情報」と定義し、そういった情報の事業者による使用を制限されます。
(2)児童プライバシー保護の強化
16歳未満の消費者の個人情報に関連する違反は通常の違反より最大3倍罰則が課されます。
(3)個人情報の「共有」に対するオプトアウト権
現行のCCPAでは個人情報を第3者に「販売」する行為はオプトアウトで表明する権利はあるが、オンライン広告におけるデータ取引が「共有」するのが一般的で、記述は不明確だと批判されていました。改正されたCPRAは「共有」する行為に対して同じイプとアウトを表明する権利を認め、消費者は自身のデータにも基づいた広告展開を拒否可能になります。
(4)執行機関の設立
CPRAでは執行機関「California Privacy Protection Agency(カリフォルニア個人情報保護局」の立ち上げを定めており、違反ごとに2,500ドルが罰せられます。
このように、CPRAでは消費者のプライバシーに対して規制が強まった一方、オプトアウト権をより多く規定したと見られます。
<参照先:https://www.jetro.go.jp/biznews/2020/11/1f36902aec91d15f.html、https://digiday.com/media/prop-24-the-california-privacy-rights-and-enforcement-act-passed-by-voters-heres-what-publishers-need-know/>
(3)データ保護法案がもたらした変化
■高まるプライバシー保護意識
米国のCCPAとCPRA、EUのGDPR以外にも、各国はデータ保護意識が高まり、関連法律の立法や施行が始まっています。例えば、ブラジルのデータ保護法(LGPD)やタイの個人情報保護法(PDPA)も注目されています。このようにデータ保護法は、企業には個人情報の正確な扱い方を植え付け、生活者に対してはデータという価値に気づかされたのではないでしょうか。
■CMP(同意管理プラットフォーム)の導入
「Consent Management Platform(同意管理プラットフォーム/CMP)」とはデータの使用範囲と使用目的についてユーザーの同意を取得したデータの収集と保管するプラットフォームです。
ウェブサイトにCMPが導入されたことにより、ユーザーは自身のデータがどのような目的でどこに提供されるのかを把握できるようになります。
また、ユーザーはデータ取得のリクエストに対して、オプトインとオプトアウトが可能で、CCPAやGDPRの規則に沿ってユーザのデータを収集できるため、関心が集められています。
広告会社Kevel社がCMPの導入について行っている調査によると、CMPを導入したアメリカの媒体社やウェブサイトは右肩上がりで、徐々に増加しているのがわかります。
日本でもCMPを導入したウェブサイトを見かけたりしますので、導入の増加傾向がわかりますね。
(4)おわりに
本記事では、アメリカのカルフォルニア州が推進しているCCPAとCPRAをご紹介してきました。
情報の取り扱いが厳しくなり、これまで収集、利用してきたデータは一度見直す必要がありそうですね。これを機に、プライバシー保護の対策を備えてみてはいかがでしょうか。今後も個人情報取り扱いに関するアップデートが出てくるので、引き続きモニタリングをして継続的にコンテンツをアップ致します!