CCPA対応のためのチェックリストと実務上のポイント
西村あさひ法律事務所
弁護士 石 川 智 也
1 はじめに
カリフォルニア州消費者プライバシー法(CCPA)が2020年1月1日より施行される。
CCPAは、大要、カリフォルニア州でビジネスを行う一定規模の事業者と、その事業者と共通のブランドを有する親子会社に適用されるため、日本企業にも適用されるケースがある。CCPA違反については、当局から執行を受けるリスクと、一定の個人情報が漏えいした場合にクラスアクションにより損害賠償請求を受けるリスクとがあり、特に後者が重大なリスクであると考えられている。
CCPAの適用範囲、オプトアウト権(個人情報の売却を停止する権利)が発生することとなる「売却」の意義、エンフォースメントの仕組みについては、セミナーや雑誌記事でも多く取り上げられているため、それらの点については別稿(石川智也「カリフォルニア州消費者プライバシー法(CCPA)対応のための重要ポイント」NBL1159号21頁参照)に委ね、本稿ではCCPAの適用を受ける事業者が、データマッピングを行った後に取り組むべき事項にフォーカスして説明する。本稿は2019年10月10日に公表された規則案と、同日に公表された「Initial Statement of Reasons」(以下「ISOR」という)も踏まえて執筆しているが、規則案についてはパブリックコメントの結果を踏まえて今後修正されることが予定されているため、以下の内容を参照するときには、その後変更点がないかは確認されたい。
2 消費者への通知
(1) 制度の概要
消費者(カリフォルニア州の住民を指す。以下同じ)の個人情報を収集する事業者は、収集時又は収集前に、収集される個人情報の種類、及び、その利用目的について、消費者に通知しなければならない(CCPA 1798.100(b))。この通知のルールの詳細については、規則案§999.305に定めが置かれている。
また、消費者の個人情報を第三者に売却する事業者は、CCPA 1798.135(a)に従って、その情報が売却される可能性があること、及び、消費者がその個人情報の売却を停止する権利(オプトアウト権)があることについて、消費者に通知しなければならない(CCPA 1798.120(b))。この通知のルールの詳細については、規則案§999.306に定めが置かれている。
さらに、事業者は、個人情報の収集、売却又は削除について、金銭的インセンティブを消費者に提供する場合には、CCPA 1798.135に従って、その金銭的インセンティブについて、消費者に通知しなければならない(CCPA 1798.125(b)(2))。この通知のルールの詳細については、規則案§999.307に定めが置かれている。
この記事はプレミアム向け有料記事です
続きはログインしてご覧ください
