GDPRとの比較から見るカリフォルニア州消費者プライバシー法(CCPA)の特徴
カリフォルニア州消費者プライバシー法(CCPA)について、EUの⼀般データ保護規則(GDPR)との相違点をもとに解説する。
カリフォルニア州消費者プライバシー法(CCPA)について、EUの⼀般データ保護規則(GDPR)との相違点をもとに解説する。
カリフォルニア州消費者プライバシー法(CCPA)は、2018年6月に米カリフォルニア州知事により署名され、2020年1月1日に適用が予定されている(※本稿は2019年9月に執筆)。同州在住者に係る個人情報の保護を求める法律だが、欧州連合(EU)の⼀般データ保護規則(GDPR)とは異なる幾つかの特徴がある。
CCPAの対象となる事業者は、同州で事業を行い、同州在住者の個人情報を収集している企業であり、なおかつ年間売り上げ2500万ドル(約26億5000万円)以上、5万人以上の同州在住者の個人情報を処理、年間売り上げの50%超を個人情報の売却で得ている、との三つの条件のうちいずれか⼀つを満たす場合に適用される。つまりGDPRでは、企業規模を問わず規制対象となっているのに対して、CCPAでは小規模企業を対象外としている点は特徴的だ。
しかしGDPRと同様に、同州内に物理的な拠点を有しない企業であっても、同州在住者の個人データをビジネスで収集・使用している日本企業も適用対象となりうる点に注意が必要だ。
CCPAでは、プライバシーポリシーの記載について、GDPRに比べても具体的かつ詳細な対応が求められている。過去12カ月間に収集した情報の目的や用途、売却や共有先などを整理して記載することが必要となり、少なくとも年1回は記載内容を更新しなければならない。
また、CCPA、GDPRのいずれも個人データに関する削除や開示の請求に関する権利を認めているが、CCPAでは通話料無料の電話番号とウェブサイトでの対応を含む⼆つ以上の請求手段を提供するよう求めるなど、具体的な対応手段の詳細にまで踏み込んで規定している。
適用開始に向けて、同州に子会社が存在する企業や、同州在住者も対象として事業を行っている企業については、まず自社がこの規制の対象となるかどうかを点検し、対象となる場合には、プライバシーポリシーの更新など、法令要件を満たすための対応計画の策定が必要だ。CCPAでは、対応すべき事項が詳細に規定されていることと、世帯に関する情報も個人データと見なされるなど、CCPA固有の概念が少なからず含まれるため、既にGDPR対応を実施済みの企業も、これらの相違点を確認した上で早急に対応を進めることが重要だ。
CCPAとGDPRの相違例
項目 | CCPA | GDPR | |
---|---|---|---|
対象企業 | 小規模企業 | 対象外 | 対象 |
プライバシーポリシー | 更新頻度 | 年1回 | 具体的記載無し |
権利行使の請求 | 対象期間 | 12ヵ月以内 | 具体的記載無し |
対応期限 | 45日間 | 30日間 | |
請求先開示 | 通話料無料電話、ウェブサイトを含む2つ以上の開示 | 連絡先の開示のみ |
日刊工業新聞 2019年9月10日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
ディレクター 前田 敬彦