CCPA対応のためのチェックリストと実務上のポイント
西村あさひ法律事務所
弁護士 石 川 智 也
1 はじめに
カリフォルニア州消費者プライバシー法(CCPA)が2020年1月1日より施行される。
CCPAは、大要、カリフォルニア州でビジネスを行う一定規模の事業者と、その事業者と共通のブランドを有する親子会社に適用されるため、日本企業にも適用されるケースがある。CCPA違反については、当局から執行を受けるリスクと、一定の個人情報が漏えいした場合にクラスアクションにより損害賠償請求を受けるリスクとがあり、特に後者が重大なリスクであると考えられている。
CCPAの適用範囲、オプトアウト権(個人情報の売却を停止する権利)が発生することとなる「売却」の意義、エンフォースメントの仕組みについては、セミナーや雑誌記事でも多く取り上げられているため、それらの点については別稿(石川智也「カリフォルニア州消費者プライバシー法(CCPA)対応のための重要ポイント」NBL1159号21頁参照)に委ね、本稿ではCCPAの適用を受ける事業者が、データマッピングを行った後に取り組むべき事項にフォーカスして説明する。本稿は2019年10月10日に公表された規則案と、同日に公表された「Initial Statement of Reasons」(以下「ISOR」という)も踏まえて執筆しているが、規則案についてはパブリックコメントの結果を踏まえて今後修正されることが予定されているため、以下の内容を参照するときには、その後変更点がないかは確認されたい。
2 消費者への通知
(1) 制度の概要
消費者(カリフォルニア州の住民を指す。以下同じ)の個人情報を収集する事業者は、収集時又は収集前に、収集される個人情報の種類、及び、その利用目的について、消費者に通知しなければならない(CCPA 1798.100(b))。この通知のルールの詳細については、規則案§999.305に定めが置かれている。
また、消費者の個人情報を第三者に売却する事業者は、CCPA 1798.135(a)に従って、その情報が売却される可能性があること、及び、消費者がその個人情報の売却を停止する権利(オプトアウト権)があることについて、消費者に通知しなければならない(CCPA 1798.120(b))。この通知のルールの詳細については、規則案§999.306に定めが置かれている。
さらに、事業者は、個人情報の収集、売却又は削除について、金銭的インセンティブを消費者に提供する場合には、CCPA 1798.135に従って、その金銭的インセンティブについて、消費者に通知しなければならない(CCPA 1798.125(b)(2))。この通知のルールの詳細については、規則案§999.307に定めが置かれている。
(2) それぞれの通知が必要な場面
個人情報の種類とその利用目的に関する通知は、個人情報を収集する前に消費者が閲覧可能又はアクセス可能でなければならない(規則案§999.305(a)(2)e.)。事業者がオンラインで消費者から個人情報を収集している場合には、プライバシーポリシーのうち下記(3)の事項を含む部分へのリンクを提供することによって行うことができる(規則案§999.305(c))。これに対して、事業者がオフラインで消費者から個人情報を収集している場合には、①個人情報を収集するフォームに通知内容を記載する、②紙で通知する、③通知が掲示されているウェブアドレスを明確に知らせる方法が例示されている(規則案§999.305(a)(2)e.)。
次に、オプトアウト権に関する通知については、事業者が、①オプトアウト権に関する通知を行っていない期間に収集した個人情報を売却しておらず、かつ、売却する予定もなく、かつ、②プライバシーポリシーにその旨を記述している場合には、免除されている(規則案§999.306(d))。すなわち、オプトアウト権に関する通知が免除されるためには、プライバシーポリシーにおいて、売却しておらず、また、売却する予定もない旨の明記が必要ということである。
最後に、金銭的インセンティブに関する通知は、特に免除要件は規定されていないが、金銭的インセンティブの提供を行っていなければ必要ないと考えられる。
(3) 通知事項
それぞれの通知に記載すべき通知事項は以下の通りである。
① 個人情報の種類と利用目的に関する通知(CCPA 1798.100(b)、規則案§999.305(b))
| 通知事項 | |
| (a) | 収集される個人情報の種類の一覧 |
| (b) | 個人データの種類ごとの事業上又は商業上の利用目的 |
| (c) | (個人情報を売却している場合には)「Do Not Sell My Personal Information」又は「Do Not Sell My Info」というタイトルのリンク(通知がオフラインでなされる場合には、当該リンクのあるウェブページのアドレス) |
| (d) | プライバシーポリシーへのリンク(通知がオフラインでなされる場合には、当該プライバシーポリシーのあるウェブページのアドレス) |
② オプトアウト権に関する通知(CCPA 1798.120(b)、規則案§999.306(c))
| 通知事項 | |
| (a) | 個人情報の売却に対する消費者のオプトアウト権の説明 |
| (b) | 消費者がオンラインでオプトアウト要求を提出できるウェブフォーム(事業者がウェブサイトを運営していない場合には、オフラインの方法を含めなければならない) |
| (c) | 消費者がオプトアウト要求を提出できるその他の方法のための指示 |
| (d) | 消費者がオプトアウト権を行使するために代理人を利用する際に要求される証明(通知が紙媒体でなされる場合は、消費者が権限のある代理人に関する情報を確認できるウェブページ、オンライン上の掲載場所、又はURL) |
| (e) | プライバシーポリシーへのリンク又はそのURL(通知が紙媒体でなされる場合は、消費者がプライバシーポリシーにアクセスできるウェブページのURL) |
③ 金銭的インセンティブに関する通知(CCPA 1798.125(b)(3)、規則案999.307(b))
| 通知事項 | |
| (a) | 金銭的インセンティブ、又は価格若しくはサービスの差異に関する簡潔な概要 |
| (b) | 金銭的インセンティブ、又は価格若しくはサービスの差異に関する重要な条件の説明 |
| (c) | 金銭的インセンティブ、又は価格若しくはサービスの差異に対する消費者によるオプトインの同意の方法 |
| (d) | 金銭的インセンティブからいつでも脱退できる消費者の権利及び当該権利の行使方法に関する通知 |
| (e) | 金銭的インセンティブ、又は価格若しくはサービスの差異がCCPAに基づき認められる理由の説明(金銭的インセンティブ、又は価格若しくはサービスの差異を提供する根拠を形成する消費者のデータの価値に関する誠実な推計、及び消費者のデータの価値を算定するために用いた方法の説明を含む) |
(4) 通知の態様
何れの通知も、平均的な消費者にとって読みやすく、理解できる態様にて作成されるとともに、消費者に提供されなければならず、かつ、次の内容を遵守することが義務付けられている(規則案§999.305(a)(2)、§999.306(a)(2)、§999.307(a)(2))。
| 通知の態様 | |
| (a) | 平易で、直截な表現を用い、技術的又は法的な専門用語を避けること |
| (b) | 通知に対して消費者の注意をひき、かつ(もし使用する場合は小さな画面上でも)通知を読みやすくするフォーマットを用いること |
| (c) | 通常の業務の過程において、契約条件、免責事項、販売告知その他の消費者に対する情報を提供する際に用いている言語で利用可能であること |
| (d) | 障害のある消費者にとってアクセス可能であること(少なくとも、障害のある消費者が代替的なフォーマットを通じて通知にアクセスできる情報を提供すること) |
また、個人情報の種類と利用目的に関する通知は、前記(2)で述べたとおり、個人データを収集する前に消費者にとって閲覧可能又はアクセス可能であることが(規則案§999.305(a)(2)e.)、金銭的インセンティブに関する通知は、オプトインの同意を行う前にオンライン上その他の物理的な場所で利用可能であることが(規則案§999.307(a)(2)e.)、それぞれ義務付けられている。
多言語での対応が必要かは、そのサービス提供をどの言語で行っているかによって決まることになる。障害のある消費者との関係では、読み上げが可能な所定のファイル形式の利用等が考えられる。
(5) 実務上の留意点
まず、CCPAでは、上記で述べた通知(Notice)と、下記3のプライバシーポリシーが別物であるということを理解する必要がある。CCPAと規則案の文言を読む限り、オフラインで個人情報を収集している場合には、ウェブサイトへのプライバシーポリシーの掲示のみを以て、個人情報の種類とその利用目的に関する通知に代えることは難しいようである。
次に、役職員は所定の個人情報について1年間CCPAの適用が猶予されているが、個人情報の種類と利用目的の通知についてはその適用猶予の対象から除外されているため(CCPA 1798.145(h)(3))、2020年1月1日までに通知を行う必要がある。
さらに、オプトアウト権に関する通知が免除されるためには、前記のとおり、プライバシーポリシーにおいて個人情報を売却しておらず、かつ、売却する予定もない旨を明記しなければならないということに留意が必要である。
3 プライバシーポリシー
(1) 概 要
事業者は、プライバシーポリシーを通じて所定の事項を開示し、少なくとも12ヶ月に1回その情報をアップデートしなければならない(CCPA 1798.130(a)(5))。
プライバシーポリシーの記載・提供の態様については、前記2(4)で述べたことが同様に妥当するほか、消費者が別の文書としてプリントアウトできるフォーマットを用意する必要がある(規則案§999.308(a)(2)e.)。
そして、プライバシーポリシーは、事業者のホームページ上における「privacy」という単語を用いた明確なリンクを通じて、オンラインで掲示されなければならない。事業者がウェブサイトを運営していない場合には、オンラインで掲示することは求められていないが、消費者が明確に利用できるようにしなければならない(規則案§999.308(a)(3))。
(2) 記載事項
以下では、プライバシーポリシーに掲載することが考えられる順序で、記載事項とCCPA・規則案上の根拠を整理している。もちろん、順序については、この順序が唯一であるというわけではなく、他の順序でも差し支えない。
| 記載事項 | CCPA・規則案上の根拠 | |
| ① | 過去12ヶ月間に消費者について収集した個人情報の種類 | CCPA 1798.130(5)(B)、1798.110(c)(1) 規則案§999.308(b)(1)d.1. |
| ② | 個人情報の収集源(規則案§999.301(d)で定義されている)の種類(収集した個人情報の種類ごと) | CCPA 1798.130(5)(B)、1798.110(c)(2) 規則案§999.308(b)(1)d.2. |
| ③ | 個人情報の収集又は売却の事業上又は商業上の目的(収集した個人情報の種類ごと) | CCPA 1798.130(5)(B)、1798.110(c)(3) 規則案§999.308(b)(1)d.2. |
| ④ | 個人情報を共有する第三者(規則案§999.301(e)で定義されている)の種類(収集した個人情報の種類ごと) | CCPA 1798.130(5)(B)、1798.110(c)(4) 規則案§999.308(b)(1)d.2. |
| ⑤ | 過去12ヶ月間に第三者に売却した消費者の個人情報の種類(消費者の個人情報を売却していない場合にはその旨) | CCPA 1798.130(5)(C)(i)、1798.115(c)(1) 規則案§999.308(b)(1)e.1.2. |
| ⑥ | 過去12ヶ月間に第三者に事業上又は商業上の目的で開示した個人情報の種類(事業上又は商業上の目的で消費者の個人情報を開示していない場合にはその旨) | CCPA 1798.130(5)(C)(ii)、1798.115(c)(2) 規則案§999.308(b)(1)e.1.2. |
| ⑦ | 16歳未満の消費者の個人情報を積極的な同意なしに売却したか否か | 規則案§999.308(b)(1)e.3. |
| ⑧ | 消費者にアクセス権、削除権、オプトアウト権及び差別を受けない権利がある旨 | CCPA 1798.130(5)(A) 規則案§999.308(b)(1)a.、(2)a.、(3)a.、(4)a. |
| ⑨ | 検証可能な消費者のアクセス要求又は削除要求の提出方法の指示、(もしあれば)オンライン上の要求フォーム又は要求のためのポータルへのリンク | CCPA 1798.130(5)(A) 規則案§999.308(b)(1)b.、(2)b. |
| ⑩ | オプトアウト権の通知の内容、又はオプトアウトのページへのリンク | 規則案§999.308(b)(3)(b) |
| ⑪ | 消費者の要求を確認するために用いる手続(消費者が提供しなければならない情報を含む)の説明 | 規則案§999.308(b)(1)c.、(2)c. |
| ⑫ | 権利行使のための代理人を指定する方法の説明 | 規則案§999.308(b)(5) |
| ⑬ | 最終更新日 ※冒頭に記載することも考えられる | 規則案§999.308(b)(7) |
| ⑭ | 連絡先 | 規則案§999.308(b)(6) |
| ⑮ | 受領したアクセス要求、削除要求、オプトアウト要求の件数及びそれらの要求に対する対応又は拒絶の状況、並びにそれらの要求に対して実質的に対応するまでに要する日数の中央値を纏めたメトリクス(ただし、年間400万件以上の個人情報を購入し、商業上の目的で受領し、売却し、又は商業上の目的で共有している場合に限る) | 規則案§999.308(b)(8)、§999.317(g)(1) |
(3) 実務上のポイント
ドラフトにあたっては、CCPAの条文及び規則案の細かいところまで理解が必要であり、個人情報保護法やGDPRに対応するためのプライバシーポリシーと比較して、テクニカルであり、難易度が高いように思われる。
紙幅の関係で全てのポイントを論じることはできないが、特徴的な点としては、過去12ヶ月間に収集した個人情報の種類については、CCPA 1798.140の個人情報の定義に従うとされている(CCPA 1798.130(c))ため、個人情報の定義において列挙されている個人情報の種類に合わせて記載する例が多い。個人情報の収集源、利用目的、及び共有する第三者についても、上記の個人情報の種類ごとに規定する必要があるため、記載には工夫を要する。利用目的については、「事業目的(Business purpose)」「商業目的(Commercial purpose)」が定義されている用語である(CCPA 1798.140(d)(f))ため、これらの目的の範囲内であることが説明しやすい文言とする例がある。
また、情報の内容や取扱いの態様によっては、California’s Shine the Light Lawなど、他の法律により追加の開示が求められることもあることに留意が必要である。
さらに、グローバルで対応するプライバシーポリシーを作成する場合には、①1つのグローバルポリシーを目指すのか、②国毎にプライバシーポリシーを作成するのか、③共通の要素を抜き出したベースのプライバシーポリシーを作成した上で、各国法独自のルールを追加で書き出すのかといったことも検討する必要があると考えられる。
なお、米国では、プライバシーポリシーの内容が個人情報の取扱いの実態から乖離したものである場合には、FTC法(Federal Trade Commission Act)5条の下で、不公正な行為又は慣行として違法とされ、執行の対象となる新たなリスクを抱えることになる。データマッピングを行わずに、安易にひな形や他社事例をベースにプライバシーポリシーを作成し、それが取扱いの実態から乖離することとなる場合には、新たなリスクを抱えることになることを特に強調しておきたい(そのため、本稿でも敢えてプライバシーポリシーのひな形は掲示していない)。
4 権利行使への対応
(1) 態勢整備義務
事業者は、事業者のプライバシーの実務とCCPAの遵守について消費者からの問い合わせを担当する全ての個人が、CCPAと規則の全ての要件と、それらに基づく権利の行使を消費者にどのように案内するかについて、認識させることを確保しなければならない(CCPA 1798.130(a)(6)、1798.135(a)(3)、規則案§999.317(a))。
そのための方法としては、社内規程の作成、権利行使に対応するためのマニュアルの作成、社内セミナーの実施等の方法があると考えられる。
(2) 権利行使への対応メカニズムのうち、特に留意するべき事項
権利行使に関するCCPAと規則案の定めは詳細に亘るが、そのうち特に留意するべきと思われる事項は、以下のとおりである。
① アクセス権・削除権の行使方法、受領確認、対応期限
アクセス権については2つ以上の行使方法を用意する必要があり、原則としてそのうちの1つとしてtoll freeの電話窓口を用意する必要がある(CCPA 1798.130(a)(1)(A)、規則案§999.312(a))。ただし、事業者がオンラインでのみ運営しており、かつ、個人情報を収集する消費者と直接の関係を有する場合には、アクセス権の行使のためにe-mailアドレスのみを用意すれば足りる(CCPA 1798.130(a)(1)(A))。また、事業者がウェブサイトを保有している場合には、ウェブサイトにおいてアクセス権の行使を可能としなければならない(CCPA 1798.130(1)(B))。削除権については、原則としてtoll freeの電話窓口を用意する必要があるとまでは定められていないが、やはり2つ以上の行使方法を用意する必要がある(規則案§999.312(b))ため、アクセス権と同じ行使方法を用意することが多い。なお、toll freeの電話番号については、自動応答のサービスを提供している業者が存在するようである。
アクセス権と削除権が行使された場合、事業者は10日以内に受領確認を行うとともに、本人確認の手続と回答の見通し時期を消費者に伝えなければならない(規則案§999.313(a))。10日以内という期限は、規則案で設けられた期限であり、注意が必要である。アクセス権と削除権が行使された場合、事業者は受領の日から45日以内に回答しなければならないが、必要な場合には、事業者は消費者に通知を行い、45日超の時間を要する理由を説明した上で、回答期限を更に45日間延長する(つまりは、全体で最大90日間に延長する)ことができる(CCPA 1798.130(2)、規則案§999.313(b))。
② オプトアウト権の行使方法と対応期限
オプトアウト権に対しても、2つ以上の行使方法を用意する必要があり、そのうちの1つは「Do Not Sell My Personal Information」又は「Do Not Sell My Info」というタイトルのリンクを通じたインタラクティブなウェブフォームをウェブサイトに設置しなければならない(CCPA 1798.135(a)(2)、規則案§999.315(a))。
事業者は、オプトアウト要求を受領した日から15日以内で、実務上可能な限り速やかにオプトアウト要求に対応しなければならない(規則案§999.315(e))。具体的には、オプトアウト要求を受けた日から過去90日以内に個人情報を売却した第三者に対して、オプトアウト権が行使された事実と、更なる売却の停止を通知した上で、かかる通知が完了した旨を消費者に通知しなければならない(規則案§999.315(f))。
③ 本人確認
アクセス権と削除権の行使に応じるためには、本人確認を行わなければならない。
大要、本人確認の方法については、消費者がアカウントを有している場合(規則案§999.324)と、そうでない場合(規則案§999.325)とで別のルールが定められている。後者については、情報の性質に応じて、それぞれ合理的な水準の確からしさ(reasonable degree of certainty。規則案§999.325(b))と、合理的に高い水準の確からしさ(reasonably high degree of certainty。規則案§999.325(c))が求められる。
合理的な水準の確からしさについては、少なくとも消費者から提供される2つの情報が事業者が保有している情報と合致すること、合理的に高い水準の確からしさについては、少なくとも消費者から提供される3つの情報が事業者が保有している情報と合致することに加えて所定の宣誓書が提供される例が示されている。
④ 記録義務
権利行使要求を受けた場合、事業者は少なくとも24ヶ月間、権利行使要求と、どのように対応したかについて記録を保持しなければならない(規則案§999.317(b))。具体的には、要求日、要求の内容、要求の態様、事業者の回答日、回答の内容、全部又は一部を拒絶した場合には拒絶の理由を記録しなければならない(規則案§999.317(c))。CCPA本文にはないが、規則案で新たに設けられたルールであり、注意が必要である。
5 サービスプロバイダとの契約
(1) 売却とサービスプロバイダの例外
まず、CCPA上、事業者が個人情報を社外に移転するのは原則として自由である。
もっとも、この移転がCCPA上の「売却(Sale)」に該当する場合には、「売却」を停止せよとの消費者からのオプトアウト要求に対応する必要がある。この点、CCPA上、「売却」とは、金銭その他の価値ある対価のために、事業者が他の事業者又は第三者に対して、消費者の個人情報を売却し、貸与し、公表し、開示し、発信し、利用可能な状態に置き、移転し、又は口頭、書面、電子的その他の手段により伝達することを意味する(CCPA 1798.140(t)(1))。すなわち、いわゆる「売却」の語感から理解されるものよりも広い意味を有し、何らかビジネス上のメリットがある個人情報の移転については「金銭その他の価値ある対価のため」に個人情報を開示するものとして、広く「売却」に該当する可能性があることになる。
もっとも、所定の契約を締結したサービスプロバイダへの移転については、「売却」の定義から除くことができる(すなわち、オプトアウト権の対象から除くことができる)ため、契約の整備が必要ということになる。
なお、16歳未満の未成年者の個人情報を「売却」する可能性がある場合には、売却前にオプトインによる同意が必要であり、その手続の詳細については規則案§999.330、999.331、999.332に定めがある。特に、13歳未満の未成年者の個人情報の売却に際しての親の同意の確認方法については、連邦法であるChildren’s Online Privacy Protection Actに準じて、極めて厳格な確認方法が例示されている(規則案§999.330(a)(2))。
(2) サービスプロバイダとの間の契約に盛り込むべき事項
サービスプロバイダとの間の契約に盛り込むべき事項は、以下のとおりである(CCPA 1798.140(w)(2)(A))。
|
(3) 実務上のポイント
サービスプロバイダとの間の契約については、検討すべきポイントが少なくない。
例えば、GDPRの要請で処理者との間で締結したデータ処理契約の内容を以て、CCPA 1798.140(w)(2)(A)の要件を充足しないかが問題となることがある。すなわち、GDPR28条3項(a)号及び(b)号によれば、処理者は、管理者の指示のみに基づいて個人データを取り扱うことと、秘密を確保することが契約上義務付けられるため、これを以てCCPAでサービスプロバイダとの契約に盛り込むべきとされている上記の事項が網羅されると整理できないかというものである。この点については、既存のデータ処理契約に加えて、CCPA 1798.140(w)(2)(A)の要件を正確に反映した契約条項を改めて合意する方が慎重であるとはいえるものの、実務的な解決が求められる論点である。また、Certificationについても、どこまで厳密に対応すべきであるのかという点は悩ましい。
なお、2019年11月に入って、サービスプロバイダに位置づけられるベンダーの中には、CCPA対応のための上記条項の組み込まれた契約を用意しているところも出てきており、契約更新の手続等を行うことで対応できる場合もある。
6 ターゲティング広告等のマーケティングツールへの影響
GDPR対応のときも、Cookieへの対応が問題になったが、ターゲティング広告の出稿者や、ターゲティング広告を行うウェブサイトを運営している事業者の中にも、CCPAの適用を受ける事業者が含まれ得る。このような事業者は、ターゲティング広告との関係でもCCPAへの対応が必要となる。具体的には、広告のエコシステムの中で、各当事者がCCPAにいう「事業者」、「サービスプロバイダ」、「第三者」の何れにあたるのかを確定した上で、事業者は、サービスプロバイダや第三者との間で必要な契約を整備するとともに、オプトアウト権を行使できる仕組みを整えることが必要である。
その他、ウェブサイトへの訪問者の状況を把握するツールなど、Cookie識別子やIPアドレス等のオンライン識別子を社外に提供する可能性のあるマーケティングツールを利用している場合にも、その内容を分析した上で、提供先との間の契約の締結などの対応が必要である。
7 取り組むべき事項のチェックリストとポイント
以上を踏まえ、最後に、CCPAへの対応について、取り組むべき事項のチェックリストと、ポイントを掲げることにする。
| 取り組むべき事項 | ポイント |
| 適用範囲の確定 |
|
| データマッピング |
|
| 通 知 |
|
| プライバシーポリシー |
|
| 権利行使への対応 |
|
| サービスプロバイダとの契約整備 |
|
| 社内態勢の整備、従業員への周知 |
|
| アップデートへの対応 |
|
| 権利行使・漏えいを相談する専門家の起用 |
|
以 上