米国カリフォルニア州消費者プライバシー法(CCPA)では、カリフォルニア州で事業を行い、以下のいずれかの条件を満たす事業者に対して、厳しい個人情報保護の義務を課しています。
- 年間の売上総利益が2,500万米ドル($25,000,000)を超える
- 年間で5万件以上の個人情報を商業目的で取り扱う
- 個人情報の販売等から年間収入の50%以上を得ている
なお、カリフォルニア州住民の個人情報を直接取得利用している事業者だけでなく、当該事業者を支配する親会社や、当該事業者に支配される子会社で、共通のブランドを共有する企業群についても規制の適用対象となっている点に注意が必要です。
データ主体となる個人の権利が日本の法令よりも幅広く規定されており、事業者が公開すべきプライバシーポリシーの内容について詳細な要件も定められているため、米国カリフォルニア州の消費者をターゲットに含むウェブサービスなどを運営している企業では、多くの場合同法令への対応が必要になると考えられます。
KPMGでは、米国カリフォルニア州にビジネス展開する日本企業に対し、CCPA対応の必要なビジネススコープを特定し、法令遵守のために必要となる対応策を立案するなど、グループ全体でのCCPA対応プロジェクトを総合的に支援します。