以前、日本企業もGDPR違反に問われる可能性がある ――しかも下請け業者のミスによって巨額制裁金の対象になりえるということを記事にしました。

GDPRは要件も非常に厳しく、制裁金も経営が傾く可能性がありえるほどの額なので多くの情報システム担当者やプライバシー担当者が日々、戦々恐々しながら対策を講じ続けています。

そんな中、2020年に「カリフォルニア消費者プライバシー法」が施行になるというニュースが発表されました。GDPRの恐ろしさを嫌というほど知っている人々は悪夢ふたたび…というような心境だと思いますが、これは本当に「アメリカ版GDPR」なのでしょうか？

GDPRとは基本理念が違う

まずは安心してください。カリフォルニア消費者プライバシー法（以下、CCPA）はGDPRとは性格の大きく異なるものです。

主な要件を５つに絞ってまとめました。

１．企業は消費者によるリクエストがあれば自らが集める情報とその目的、および共有するサードパーティーを開示する必要がある。

２．企業は消費者によるリクエストがあればデータを削除しなくてはいけない。

３．消費者は自分のデータを販売しないよう求めることができ、企業側はそれに対し料金やサービス内容の変更によって報復してはならない。

４．企業はデータ収集のため金銭的なインセンティブを提供しても良い。

５．カリフォルニア州当局は違反した企業に対し罰金を科すことができる。

GDPRと大きく違うのは、CCPAは「消費者の求めに応じて情報開示すること」が基本姿勢となっていること。

つまり、CCPA保護下にいる消費者の個人データを「使う」こと自体はまったく禁止していないのです。ただし、消費者によるリクエストがあれば必ずデータの使い方を開示しなくてはいけません。

GDPRは事前に許諾を得た場合を除いて「個人データを使用しないこと」を課しているので、大きく違いますね。

CCPAの対策には何が必要？

では、CCPAの対策には何が必要でしょうか。2020年施行なのであと1年半も時間は残っていません。簡単にまとめてみましょう。

対象になるのはカリフォルニア州の住人のみ

CCPAの保護下に入るのはカリフォルニア州の住人、かつ、カリフォルニア州内にいる間のみです。しかし、カリフォルニア州の人口はおよそ4000万人。アメリカで事業を行っているのなら、まず間違いなく対策が必要です。

ユーザーに対するデータ開示の準備

繰り返しになりますがCCPAは「求められれば開示しなくてはいけない」というのが主な要件なので、もちろん開示できる準備を進めなくてはいけません。その過程で、自社サービスが「ユーザーの理解を得られそうもないデータ収集や共有」をしていることに気が付くこともあるでしょう。その場合、やめるなら今のうちです。

オプトアウトの準備

また、CCPAではユーザーのリクエストがあれば他社への情報の共有を停止（オプトアウト）しなくてはいけません。パートナー各社とオプトアウトについての取り決めをしておきましょう。

サービス品質の維持体制を確認

CCPAの特徴のひとつに「オプトアウトをリクエストしたユーザーにサービス内容で報復してはいけない」という項目があります。つまり、オプトアウト後もその前と同じサービス内容を提供しなくてはいけないということです。仮に50％以上のユーザーがオプトアウトを希望してもサービス品質が保てるか、確認するべきでしょう。

データに対するインセンティブの準備

CCPAではデータの提供に対するインセンティブを認めています。あなたの事業がユーザーのデータ提供に大きく頼っている場合、インセンティブを与えてデータの量・質を維持する必要があるかもしれませんのでそのための準備をすすめましょう。

ここまで読んでみていかがでしょうか？

GDPRほど難しい内容ではないと思いますが、準備するには1年半ではちょっと短いという印象ではないでしょうか。ここに書いたのはあくまで「代表的な」対策です。対応策はそれぞれの立場によって異なりますので、弁護士など専門家と相談しながら早めに対策を講じることをおすすめします。

CCPAのねらいは？

GDPRがきっかけとなり、世界中で個人データの保護について議論が行われています。その中でもカリフォルニア州が先んじてCCPAの施行に踏み切ったのは、やはりシリコンバレーを抱えていて、世界に与えるインパクトが大きいからでしょう。

実際、GoogleやFacebookなどの巨大企業はCCPAに対して反対の姿勢を示していましたが、住人たちの強い支持で成立となりました。

インターネット企業は、ターゲティング広告を始めとして多くの個人データを事業のために利用しています。そして、ユーザーが意識していないデータの収集や共有も日常的に行っているものです。

GDPRのように「事前許可」を求める内容でなくても、開示のリクエストに応じる必要があるということは「隠したくなるようなデータ利用」は事実上不可能になります。

結果として非常にクリアな個人データ利用が広まることでしょう。

【参考サイト】
【一問一答】「カリフォルニア消費者プライバシー法」とは？：もうひとつの米版 GDPR | Digiday
EU、GDPRの次はクッキー法　通信の秘密保護強化へ | 日本経済新聞

（塚岡雄太）