カリフォルニア州消費者プライバシー法と一般データ保護規則:カリフォルニア州企業向けガイド
2004年のカリフォルニア州オンラインプライバシー保護法(CalOPPA)を皮切りに、カリフォルニア州は住民のプライバシー保護に関する法律の制定において米国をリードしてきた。 カリフォルニア州はこの流れを継続し、2018年カリフォルニア州消費者プライバシー法(CCPA)を制定。これにより米国で初めて包括的な消費者プライバシー法を擁する州となった。2020年1月1日より施行されるCCPAの下では、カリフォルニア州で事業を行う事業体とそのサービス提供者は新たなデータ保護義務を負い、カリフォルニア州の消費者は個人情報に関する新たな権利(私的訴訟権を含む)を付与される。
これらの新たな義務には、企業がプライバシー通知を更新または作成すること、消費者に個人情報の販売を許可するかどうかの選択権および個人情報へのアクセスや削除などのその他の権利を提供すること、個人データの収益化に依存するビジネスモデルに対する新たな制限を設けることが含まれる。フォーリー法律事務所の『カリフォルニア消費者プライバシー法(CCPA)と一般データ保護規則(GDPR):カリフォルニア州企業向けガイド』の第一章は、企業がCCPAの適用範囲を理解し、消費者の権利を特定するとともに、CCPAに基づく企業の義務を明確にすることを目的としています。
特に、CCPAが広範な適用範囲を持つ一方で、1996年医療保険の携行性と責任に関する法律(HIPAA)やグラム・リーチ・ブライリー法(GLBA)などの連邦プライバシー法の対象となる特定の組織は、中核事業に関連する個人情報活動についてはCCPAの規定から除外される。ただし、従業員の個人情報に関しては、CCPAの要件の一部が依然として適用される場合がある。
CCPAの広範な適用範囲は、別の重要な国際的なプライバシー法を模倣している。 一般データ保護規則(GDPR)は2018年5月25日に発効し、1995年の旧データ保護指令を廃止した。GDPRの適用対象となる事業体(欧州連合(EU)域内に事業所を有する事業体と、EU域外の事業体でEU域内の個人に商品・サービスを提供する事業体の両方を含む)に対して、GDPRはデータ主体に対する新たな権利を創設するとともに、重大な追加的なプライバシー義務を課した。
GDPRの義務には、EU域内に事業所を持たない企業に対するデータ保護責任者(DPO)およびEU域内代理人の設置要件、ならびにプライバシー影響評価の実施およびプライバシー・バイ・デザインの原則の採用義務が含まれます。 データ主体は、自身の個人データの収集・利用に関する情報の取得、個人データの写しの取得、個人データの訂正または削除を請求する権利、ならびに個人データの処理に対する異議申立ておよび制限を求める権利を有します。本ガイドの第2章は、GDPRの適用対象となる企業が、GDPRに基づく自らの義務と消費者の権利を理解する手助けを目的としています。
カリフォルニア州で事業を行う事業体は、GDPRとCCPAの両方の対象となる可能性があります。GDPRとCCPAには多くの類似点がありますが、GDPRへの準拠だけではCCPAへの準拠には十分ではありません。これらの法律にはそれぞれ固有の要件があります。とはいえ、GDPRへの準拠のために既に方針や手順を導入している企業は、CCPAへの準拠に向けて大きな先行優位性を持っています。本ガイドの第3章は、企業がGDPRとCCPAの違いを理解し、既にGDPRに準拠している場合にCCPAへの準拠のために必要な措置を把握することを支援することを目的としています。
CCPAに基づく貴社の義務およびフォリーがコンプライアンス対応においてどのように支援できるかについて詳しく知りたい場合は、下記に記載されている弁護士著者のいずれかにお問い合わせください。
