「CCPAを守っていれば、盗聴法(Penal Code §631)にも違反しないのか?」
結論から言えば、CCPAを遵守していても Penal Code §631 の違反には十分なり得ます。
両者は目的も規制内容もまったく異なるため、片方を守っているだけではもう片方をカバーできません。
Penal Code §631(盗聴法)とは何か?
Penal Code §631 は、通信中のメッセージを当事者の同意なく傍受したり、第三者へ転送したりする行為を禁止する法律です。
ウェブサイトのフォーム入力やチャット内容も「通信」に含まれる場合があります。
また、Penal Code §637.2 により、1件につき最大5,000ドルの民事法定損害賠償が認められています。
CCPAと§631はなぜ別物なのか?
1. CCPAは「プライバシー通知とデータ取扱い」の法律
CCPAが求めるのは以下のような事項です:
- どのカテゴリーの個人情報を収集しているか
- 第三者への共有・販売があるか
- オプトアウトの権利の提供
- アクセス・削除請求への対応
つまり、CCPAはあくまで個人情報の処理(後段階の取扱い)を規制します。
2. Penal Code §631は「通信そのものの傍受」を規制
§631が問題とするのは、「ユーザーが入力している通信内容が、送信中に無断で読み取られたり第三者にリアルタイム共有されること」です。
この点で、通信が行われている瞬間の行為そのものが焦点になります。
プライバシーポリシーの後掲や一般的な同意は、通信傍受の同意として扱われない可能性があります。
CCPA遵守でも §631 違反となり得る典型例
- セッションリプレイツールがユーザー入力を第三者へリアルタイム送信している
- チャットサポートツールが入力内容を外部企業に転送している
- フォーム送信前の入力が第三者APIに送られている
これらは全て「通信の傍受」に関する問題であり、
CCPAの通知義務やCookieバナーの同意とは別次元のものです。
両方に対応するための実務的ポイント
1. 外部ツールが何を第三者に送っているか技術的に確認する
セッションリプレイ、チャットAI、解析ツールなど、実際にどのデータが送信されているかを確認する必要があります。
2. プライバシーポリシーと実際の挙動が一致しているかレビュー
ユーザーに開示した内容とシステムの挙動が一致していない場合、リスクが高まります。
3. 「通信傍受」の明示的同意が必要なケースがある
特に入力途中データを扱うツールは、単なるCookie同意だけでは不十分です。
まとめ
CCPAの遵守は、Penal Code §631(盗聴法)の遵守を保証するものではありません。
両者は規制対象が異なり、§631は「通信傍受」という行為そのものを厳しく規制しています。
ウェブサイトの外部ツールが入力内容を第三者にリアルタイム送信する仕組みを持つ場合、
CCPAに準拠したプライバシーポリシーがあっても、別途 §631 の問題が生じ得るため注意が必要です。
免責文言(Disclaimer)
本記事は一般的な情報提供を目的としており、個別の事案についての法律助言ではありません。
具体的なご事情がある場合は、必ずカリフォルニア州弁護士にご相談ください。
カリフォルニア拠点(サンフランシスコ、ベイエリア、ロサンゼルス)
カリフォルニア州弁護士・日本弁護士
田中良和