カリフォルニア州は、全米でも最も進んだ個人情報保護制度を持つ州のひとつです。本記事では、カリフォルニア消費者プライバシー法(CCPA)およびその改正法であるカリフォルニアプライバシー権法(CPRA)を中心に、企業と消費者の双方に影響する主要なポイントを詳しく解説します。
カリフォルニア消費者プライバシー法(CCPA)とは?
CCPAは2018年に成立し、2020年1月1日から適用されました。この法律は、カリフォルニア州の消費者に以下の権利を認めています:
- 知る権利:企業が収集した個人情報のカテゴリや収集目的を知ることができる
- 削除を要求する権利:一定の例外あり
- 「販売」や「共有」をオプトアウトする権利
- 差別されない権利:プライバシー権の行使により不利益を受けない
適用対象となる企業
以下のいずれかに該当する企業は、CCPA(およびCPRA)の規制対象となります:
- 年間総収益が2,500万ドル以上
- 年間で10万件以上の個人情報(消費者、世帯、またはデバイス)を取り扱う
- 個人情報の販売・共有によって年間収益の50%以上を得ている
カリフォルニアプライバシー権法(CPRA)の導入と強化点
2020年11月、住民投票(プロポジション24)によりCPRAが可決され、2023年1月1日から適用されました。施行および執行は、2023年7月1日よりカリフォルニアプライバシー保護庁(CPPA)が担っています。
主な改正点:
- 「センシティブ個人情報」(社会保障番号、位置情報、健康情報など)の新設と制限
- 個人情報の訂正請求権(Right to Correct)の追加
- データ保持期間の最小化義務
- 「共有(sharing)」の明確化とオプトアウトの適用拡大(行動ターゲティング広告など)
- CPPAの新設による規制・執行強化
企業の遵守義務
- プライバシーポリシーの明確化:収集情報、使用目的、第三者提供の有無、保持期間などを明示
- オプトアウトメカニズムの提供:「私の個人情報を販売または共有しないでください」リンクの設置
- 消費者リクエストへの対応:アクセス、削除、訂正等に45日以内に対応
- 従業員・B2Bデータの対応:一部データにプライバシー保護が拡張
- 従業員教育とセキュリティ対策:スタッフ教育と技術的対策の実施
消費者の権利
カリフォルニア州居住者は、以下の権利を企業に対して行使できます:
- アクセス権
- 削除権
- 訂正権(CPRA新設)
- 販売・共有のオプトアウト権
- センシティブ情報の制限請求権
- ポータビリティ権:機械可読形式での情報請求
違反に対する罰則
- 意図的でない違反:1件あたり最大2,500ドル
- 意図的な違反:1件あたり最大7,500ドル
- 未成年(16歳未満)に関する違反:より厳格な罰則
- データ漏洩による訴訟:消費者1人あたり最大750ドルの法定損害賠償請求
カリフォルニア州のその他のプライバシー法
- CalOPPA:オンラインプライバシーポリシーに関する要件
- Shine the Light Law:第三者提供の透明性
- データ侵害通知法:漏洩時の通知義務
コンプライアンスチェックリスト(企業向け)
- 個人情報フローの可視化(データマッピング)
- プライバシーポリシーの見直し・更新
- 消費者対応プロセスの整備
- ベンダー契約の再評価(データ処理契約など)
- 従業員教育の実施
- セキュリティ対策の導入・見直し
今後の動向とグローバル規制
- CPPAによる新規則の制定・執行
- 他州のプライバシー法との整合(バージニア州、コロラド州など)
- GDPR等との国際的整合
- 連邦プライバシー法制定の可能性
法的アドバイスの重要性
カリフォルニアのプライバシー法は複雑で動きが早いため、プライバシー法に精通した法律専門家の支援が不可欠です。リスク評価、ポリシー設計、規制対応において的確なサポートを得ることで、法令順守とブランド信頼の両立が可能になります。
この記事が、カリフォルニア州の個人情報保護法に関する理解を深める一助となれば幸いです。具体的なケースやご相談については、ぜひ専門の弁護士にお問い合わせください。
カリフォルニア在住(サンフランシスコ・ベイエリア・ロサンゼルス)
カリフォルニア弁護士・日本弁護士
田中良和