新たなプライバシー法、CCPA施行まで残すところ1ヶ月!今すぐ理解しておきたい3つのポイント

CCPA試行まで後1ヶ月!…と言っても耳馴染みのある方は相当個人情報保護法案につよいかたかもしれません。CCPAとは、「カリフォルニア消費者プライバシー法(以下、CCPA)」の事を指し、2020年1月1日に施行されます。2018年施行のGDPRに比較すると少々大人しめの盛り上がりかもしれません。それでも、GDPRとどう違うの?対策はどうすれば?という方も少なからずいるのも確かです。 今回は、デジタルマーケティング担当者が注目すべき3つのポイントに焦点を当ててお伝えします。

なお、日本においても最近某大手媒体社が内定辞退率を予測したデータを企業に販売したことにより、個人情報保護の流れが再燃してきている風潮にあるようです。デジタルマーケティングを実行するに辺り、十分に留意は必要でしょう。

ポイント1.保護対象・規制対象の範囲は主に「カリフォルニア州の住人」

CCPAの保護対象となるのは主に「カリフォルニア州の住人」です。 CCPAの規制対象となるのは「カリフォルニア州民の個人情報を収集している」企業です。

「カリフォルニア州の」と言うと規模が小さく見えるかもしれませんが、カリフォルニア州の人口は全米一。2018年時点での人口は3,955万人です。また、CCPAの定義では州内に勤務する従業員も含まれるため、およそ4,000万人が保護対象となると考えることができます。

一方、規制対象の企業については

  1. 年間の総収入(annual gross revenues)が2,500万ドルを超えている
  2. 消費者、世帯、デバイスに関するデータを、年間50,000件より多く処理(売買、受け渡し)している
  3. 収益の50%以上をカリフォルニア州民の情報を売却することで得ている

以上の3点のうち、いずれか一つでも満たす営利団体であることが条件となっています。

つまり、カリフォルニア州内に事業拠点があるかどうかにかかわらず、カリフォルニア州民の個人情報を収集していれば、この法律の対象となる可能性があるわけです。

ポイント2.保護対象の個人には「5つの権利」が認められる

CCPAの大きな特徴の一つは、消費者からの請求に応じて情報開示を行うことが義務付けられている点です。企業が消費者の個人情報を使用することを禁じてはいない一方で、消費者からの請求に応じたデータの使用方法の開示、データの削除が求められています。

CCPAで個人に対して認められている5つの権利について見ていきましょう。

  • 開示請求権、アクセス権(Right to Request Information、Right to Disclosure)
    企業が収集した個人情報のカテゴリー、情報源、情報の用途および収集した情報の開示先など、企業のデータ収集の運用について開示請求する権利です。
    消費者による請求があった場合には、消費者には過去12ヶ月の間にその消費者について収集した具体的な個人情報のコピーを受け取る権利があるとされています。
  • 消去請求権(削除権)(Right to Deletion)
    消費者からの要求に応じ、本人の個人情報を削除してもらう権利です。
    CCPAでは、その対象となるデータは過去12ヶ月以内に収集されたものとしています。企業は請求をしている個人の本人確認を行い、開示の請求に対して 45 日以内に応答することが求められています。
    ただし、この削除権には例外も認められており、事業者と消費者の間の契約履行、セキュリティインシデント検出、エラーの特定とデバッグ、言論の自由行使、法律遵守、学術調査等、9つの場合に例外が認められるとされています。
  • オプトアウト権(販売停止請求権)(Right to Opt-Out of the Sale of Personal Information)
    企業のデータ売却の運用について知り、その消費者の個人情報を第三者に売却しないよう求める(オプトアウトする)権利です。
    「売却」と聞くと一般的には金銭が介在するものがイメージされますが、CCPAでの定義は少し異なります。CCPAでは、個人情報がどのような形で開示されるかを問わず、また、金銭またはその他の何らかの価値をもつ対価と引き換えにされる、いかなる第三者に対する開示をも指すと定義されています。
  • 差別されない権利(Right to Not be Discriminated Against)
    消費者がCCPAにより付与された権利を行使したことによって差別されない権利です。
    「差別」とは具体的には、商品やサービスの提供を拒否したり、相手によって商品やサービスの値段や値引きの有無、品質を変えるような対応をしたりすることを指します。

ポイント3.罰金は「違反1件ごと」に課されるとされている。一方で、集団訴訟にも注意が必要

ポイント2の中で紹介したように、消費者から情報の開示請求があった場合には、企業は45日以内に情報開示することが求められています。これに対応できない場合、企業はカリフォルニア州司法長官から30日以内に違反を是正するよう通知を受ける可能性があります。
この通知後も違反の是正が認められない場合、消費者からの請求1件当たりの違反ごとに最大2,500ドル(故意だと認定される場合には最大7,500ドル)の罰金(民事罰)を科せられる可能性があるのです。

さらに注意が必要なのは、アメリカならではとも言える「集団訴訟の可能性」。
CCPAの施行により、従来の法規制下での個人情報取扱いに不満をもっている人々による訴訟が多発するのではないか、との見方が広がっています。 アメリカでは民事訴訟において、法律事務所や各種団体がテレビCMやWeb広告などを通じて事案に関係のある個人を募り、企業に対し集団訴訟を仕掛けるケースが少なくありません。訴訟による賠償金への期待などから多くの人が結束した場合、事案によっては万単位の人数のユーザーによる起訴、多額の賠償金支払いにつながる可能性があるのです。

CCPAの中では消費者からの請求1件ごとの罰金についての記載となっているためその影響力が小さく見積もられがちですが、自社サービスのマーケティングで多数の個人情報を扱っている場合にはあらゆる可能性をふまえ、用心深く対策を進める必要があります。

デジタルマーケティングの担当者が取るべき対応策

最後に、企業のデジタルマーケティング担当者ができる対策をご紹介しましょう。

  • プライバシーポリシーを更新する
    CCPAでは、企業が収集した個人情報のカテゴリー、情報源、情報の用途および収集した情報の開示先など、プライバシーポリシーへの記載内容を指定しており、またこのプライバシーポリシーは毎年更新する必要があるとしています。
  • 収集した個人情報の保管場所を明確にしておく
    消費者から情報の開示請求があった場合、45日以内に情報開示することができるよう、社内で個人情報を特定することができる体制を整える必要があります。これは自社だけでなく、信頼できる第三者に情報を渡している場合も同様です。どの時点でどこに個人情報が保管されているかを明確にしておき、請求に即座に対応する準備が求められます。
    あわせて、自社サイトで取得した個人情報がタグなどを通じて意図しない第三者へ渡ってしまわないよう、「ピギーバッキング」への対策も重要です。
    参考記事:GDPRの具体的対応〜不測の流出を防ぐためにピギーバックを理解する〜 
  • 各手続きにおけるワークフローを定める
    情報開示請求があった場合の消費者の本人確認や特定の情報開示を電子的に行う際の手続きなどを社内で定め、関係者の間での共通認識としておく必要があります。 また、消費者のオプトアウト権行使のため、売却禁止を求める消費者のオプトアウトにも対応しなければなりません。
    オプトアウトについてはコンセントマネジメントツールを使用することで、ユーザーに対しあらかじめ個人情報取得に関する意思確認を行うというのも有用です。
    参考記事:デジタルツールでの最新Cookie運用管理 〜Ensightenでの実例〜 

アメリカではすでに、カリフォルニア州に続いてセキュリティ保護関連法制定に向けた動きが活発化しており、また世界全体で見ても、日本を含め各国で個人情報保護に関する法律の整備が進められています。 マーケティング担当者自身が見識を深めるとともに、企業として一刻も早い対応が求められるのではないで しょうか。

▼参考資料

あわせて読みたい記事