利用者が入力した情報を、利用者本人の認識や同意がないまま、第三者にリアルタイムに共有するウェブサイト仕様は、カリフォルニア盗聴法とされる Penal Code §631 の要件に該当する可能性があります。
1. Penal Code §631(盗聴法)とは
Cal. Penal Code §631 は、通信の秘密を保護するため、以下の行為を禁止しています。
- 通信内容を、当事者全員の同意なく第三者が傍受・取得すること
- 傍受した通信内容を共有・利用すること
ここでいう「通信」には、オンラインフォーム、チャット、問い合わせ入力内容などが含まれる可能性があります。
2. 企業ウェブサイトで問題になりやすい例
次のような仕様を持つウェブサイトでは、通信傍受の評価が問題となることがあります。
- Session Replay(セッションリプレイ)ツール
- チャットボットやライブチャットのリアルタイムデータ送信
- 入力途中の内容(メールアドレス等)が送信される機能
- キーストローク(タイピング内容)の第三者受信
利用者が「送信ボタンを押す前」から第三者にデータが送られる場合、通信内容の傍受と評価される可能性があります。
3. CCPA に準拠していても Penal Code §631 の問題が生じ得る理由
多くの企業は CCPA/CPRA に準拠したクッキーバナーやプライバシーポリシーを整備していますが、CCPA と Penal Code §631 は目的が異なります。
- CCPA:個人情報を「収集・共有・削除」する行為を規制
- Penal Code §631:通信内容の「傍受」があるかを判断
つまり、CCPA に準拠していても、通信内容がリアルタイムで第三者に送られる場合は Penal Code §631 の問題になり得るということです。
4. 民事責任(法定損害)について
Penal Code §631 は刑事規定ですが、関連条文である Penal Code §637.2 により民事請求も可能です。
意図的な違反がある場合:
- 1件につき最大 $5,000 の法定損害、または実損額(高い方)
また、1名の利用者情報が複数の第三者に共有された場合、原告側が「共有先ごとに 1件の違反」と主張するケースもあります。
5. 企業が検討すべきポイント
企業のウェブサイト運営で、以下の点を確認することが推奨されます。
- 第三者が「リアルタイム」で通信内容を取得していないか
- クッキーバナーだけでなく、通信傍受に関する明示的同意が必要か
- 外部ベンダーが「第三者」ではなく「エージェント」とみなされるか
- 技術的なデータフロー(送信前データの共有の有無)
法的文書だけでなく、実際の技術仕様の確認が重要です。
6. まとめ
- 利用者入力データが第三者へリアルタイム共有される仕様は、Penal Code §631 の問題になる場合がある
- CCPA/CPRA の遵守だけでは十分でないことがある
- 民事では、1件につき最大 $5,000 の法定損害が問題になることがある
- 企業ウェブサイトは、技術的挙動と法的要件の両面から点検が必要
【免責事項 / Disclaimer】
本記事は一般的な情報提供のみを目的としたものであり、特定の事案についての法律助言を構成するものではありません。
事案ごとに事実関係や技術的仕様に基づく詳細な検討が必要です。個別の案件については、必ず弁護士にご相談ください。
田中良和国際法律事務所(Tanaka International Law Office)では、カリフォルニア州のプライバシー法、ウェブサイトデータ共有コンプライアンス、企業法務に関する相談を受け付けています。
カリフォルニア拠点(サンフランシスコ・ベイエリア・ロサンゼルス)
カリフォルニア州弁護士・日本弁護士
田中良和