カリフォルニア州プライバシー権法(CPRA)が2023年1月1日に施行されることに伴い、雇用および企業間取引情報に関する一時的かつ部分的な適用除外が失効する。これによりカリフォルニア州は、この種の情報に適用される一般的なプライバシー法を定める全米初の州かつ唯一の州となる。 現行の部分的例外は、2019年にカリフォルニア消費者プライバシー法(CCPA)改正案の一部として提案されたもので、CPRAを制定した住民発議の一環として当初2023年1月1日まで再度延長されていた。 部分的例外を1年間または無期限に延長する複数の法案が提案されたものの、2022年8月31日(当該立法年度における法案可決の最終期限)までに、全ての提案法案は委員会を通過できず、カリフォルニア州議会で可決されなかった。
雇用関連情報と企業間情報とは何か?
現行の例外規定には、雇用および企業間取引情報に関連するCCPAの規定の多くが含まれていますが、すべてではありません。 雇用情報の例外は、事業者が求職者として行動する消費者、または当該事業者の過去もしくは現在の従業員、所有者、取締役、役員、医療スタッフ、請負業者、およびそれらの受益者・扶養家族について収集した個人情報(雇用関連情報)に適用される。ただし、事業者が当該情報を雇用関係の文脈においてのみ使用する場合に限る。 雇用関連情報の例外規定では、事業者は従業員に対し簡略化されたプライバシー通知を提供するのみでよく、事業者が合理的なセキュリティ対策を講じなかったデータ侵害発生時には、CCPAが従業員に私的訴訟権を付与していました。事業者は、CPRAにおける「個人情報」の定義が広範であり、雇用関連情報にはネットワーク監視、映像監視、写真、文書メタデータなどが含まれる可能性があることを認識すべきです。 また、生体認証データ(従業員の識別・認証に使用される指紋、顔認識、音声認識を含む)も該当する可能性があり、一部の事業者に適用される場合があります。事業者は、生体認証データ自体が他の厳格なプライバシー法(例:イリノイ州生体認証情報プライバシー法( 740 ILCS 14) やカリフォルニア州SB 1189)の対象となる可能性がある点にも留意すべきです。
企業間取引(B2B)の例外は、企業が収集・利用する個人情報のうち、他の会社、パートナーシップ、個人事業主、非営利団体、または政府機関の従業員、所有者、取締役、役員、または請負業者として行動する消費者に関するものに適用される。ただし、当該企業が当該会社、パートナーシップ、個人事業主、非営利団体、または政府機関に関するデューデリジェンスの実施、または当該会社、パートナーシップ、個人事業主、非営利団体、または政府機関への製品・サービスの提供もしくは受領の文脈において、この個人情報を利用した範囲に限定される(B2B情報)。 CCPAの下では、事業者は、金銭その他の価値ある対価(すなわちCCPA上の「販売」)と引き換えにB2B情報の開示を拒否する機会を消費者に提供する義務のみを負い、プライバシー通知の提供は義務付けられておらず、またデータ侵害に対する私的訴訟権も別途規定されていなかった。
CPRAのどの要件が雇用関連情報および企業間情報に適用されるのか?
雇用関連情報およびB2B情報に関する一部例外規定が失効するに伴い、CPRAの全規定がこれらのカテゴリーに適用される。これには以下が含まれる:
- CPRAのプライバシー通知要件をすべて満たし、かつ雇用関連情報およびB2B情報の収集・利用について記載したプライバシー通知を消費者に提供するための要件。
- 消費者の権利には、知る権利(アクセス権)、削除権、訂正権などが含まれます。CPRAはまた、1年間の遡及期間を廃止したため、企業はこれらの情報について、自社のデータ保持期間に遡る雇用関連情報およびB2B情報を提供する必要が生じる可能性があります。これにより、CPRAはGDPRの要件により近づいています。
- 雇用関連情報およびB2B情報の販売(CPRAで定義されるもの)または当該情報のクロスコンテキスト行動広告目的での開示に対するオプトアウト権。
- CPRA規則に列挙された特定の目的以外の目的で、機微な個人情報を利用することを制限する権利。
- サービスプロバイダー、請負業者、その他の第三者との契約上の義務。雇用関連情報およびB2B情報に関しては、給与計算業者、福利厚生提供業者、CRMシステムなどが該当します。
現在および過去の従業員、求職者、取引先は、企業がCCPAの適用基準を満たすか判断する際に常に考慮されるべきであったが、雇用関連情報およびB2B情報に対するCPRAの完全な適用範囲は、CPRAの適用判断においてこれらの個人を考慮する必要性を強調している。
企業への影響とデータの利用
CPRAとGDPRの両方に準拠する企業は、雇用関連情報およびB2B情報に対するプライバシー要件とデータ主体の権利の適用について理解しておく必要がある。GDPRではこれらの個人区分と他のデータ主体との区別がなされていないためである。ただし、部分的例外規定の失効により、CPRAには準拠するがGDPRには準拠しない企業にとってコンプライアンス負担が増大する。該当企業は以下の対応をすべきである:
- 雇用関連情報およびB2B情報に関するプライバシー通知を更新してください。企業は、適切な場合には、一般消費者向けのプライバシー通知から、こうしたプライバシー通知を分離することを検討すべきです。
- 雇用関連情報およびB2B情報の取り扱いに携わる可能性のあるサービスプロバイダーとの契約を修正し、CPRAに基づくサービスプロバイダーおよび請負業者に対する契約上の要件を遵守すること。雇用関連情報に関しては、福利厚生プロバイダー、給与計算プロバイダー、ビル管理会社、その他雇用関連情報にアクセスする可能性のある類似組織などが該当する。B2B情報に関しては、CRMサービス、郵便・メールサービスを提供するベンダー、その他類似組織との契約修正を検討すべきである。
- データマッピング作業で未対応の場合、雇用関連情報およびB2B情報を含めるようデータマップを更新する。
- 消費者がアクセス権、削除権、および訂正権を行使するための要求を処理するための内部方針および手順を更新する。
雇用関連情報への影響
消費者が自身の個人情報にアクセスし、削除し、修正する権利は、雇用関連情報に関しては特に問題となる可能性があります。雇用関連情報には、業績評価に関する生のフィードバック、調査活動に関する情報、採用・解雇・懲戒処分に関する決定、その他類似の情報など、事業者が機密保持を必要とする情報が含まれる場合があります。 事業者は、現従業員・元従業員・採用候補者、所有者、取締役、役員、医療スタッフ、契約者(およびその受益者・扶養家族)からの消費者要求に対応する方針・手順を策定する際、CPRA第1798.145条に定める適用除外規定の適用可能性を検討すべきである。該当する例外には以下が含まれる可能性がある:
- 事業者が法的請求権を行使または防御する能力。これにより、事業者は進行中の調査に関する特定の情報の開示を差し控えることが可能となる場合がある。ただし、終了した過去の調査に関する情報の開示を差し控えることは認められない可能性が高い。
- CPRAに基づき消費者に付与される権利は、他の自然人の権利及び自由を損なうものではない。これにより、第三者による業績評価に関する情報を、当該第三者のプライバシー権または守秘義務を侵害するおそれがある場合、事業者がその開示を差し控えることが認められる可能性がある。
- HIPAAまたはカリフォルニア州医療情報機密保持法の対象となる医療情報は、一般的にCPRAの適用範囲から除外されます。これにより、事業者は従業員の医療給付提供の一環として収集した可能性のある情報に関連する開示を免除される場合があります。
- 消費者の信用力、信用状態、信用能力、品性、一般的な評判、個人の特性、または生活様式に関する情報も、一般的にCPRAの適用範囲から除外されます。この種の情報は、従業員や求職者に対する身元調査の一環として収集される場合があります。
- 限定的な状況下において、事業者は、要求への対応が不可能であるか、または過大な労力を要することを理由に、消費者の要求を拒否できる場合があります。CPRA規則では、「過大な労力」とは、個別の要求に対応するために事業者が費やす時間および/または資源が、要求への対応によって消費者に提供される利益を著しく上回る場合、例えばデータが検索可能または容易にアクセス可能な形式で保存されていない場合などを指すと定義されています。 これは、オフサイトのアーカイブに保管された紙の記録や、従業員が事業所の敷地内に入る様子を撮影した動画フィードなどで発生する可能性があります。ただし、事業者は、消費者の要求に対応するための適切なプロセスや手順を整備していない場合、「過大な努力」を理由に消費者の要求を拒否することはできないと、CPRA規則が明確に定めていることを念頭に置く必要があります。
- 事業者は、消費者の要求が「明らかに根拠がないか過剰である」場合にもこれを拒否できる可能性がある。この例外は通常、取引の完了、セキュリティインシデントの検知、および法令遵守のためのデータ処理に適用される。ただし、この例外を適用するための立証責任は事業者にあり、その判断根拠は事業者が文書化すべきである。
企業はまた、情報開示請求への回答から特定の個人情報を削除するためのポリシーと手順を慎重に見直す必要があります。企業は、雇用関連情報の一部として、他の消費者からは収集しない個人情報のカテゴリーを収集・利用する場合があり、CPRA規制により、消費者情報開示請求の一部として提供することが禁止されています。 これには、消費者の社会保障番号、運転免許証番号その他の政府発行の識別番号、金融口座番号、健康保険その他の医療識別番号、アカウントパスワード、セキュリティ質問と回答、あるいは人間の特性の測定や技術的分析から生成される固有の生体認証データが含まれる。 CPRA規制は、消費者アクセス要求への対応において、この種の個人情報の具体的な開示を禁止していますが、事業者が収集した場合には、この種の情報に関する一般的な説明を開示しなければなりません。
B2B情報への影響
B2B情報への影響は、雇用関連情報ほど深刻ではない可能性がある。ほとんどの企業は、取引先に関する機密情報をそれほど多く保有していない(保有している場合でも)。とはいえ、企業間取引の文脈において消費者から情報開示請求があった場合、上記の例外規定がB2B情報に適用されるかどうかを検討すべきである。
雇用関連情報およびB2B情報に関するCPRA(カリフォルニア州消費者プライバシー法)の遵守、またはCPRA全般の遵守に関する詳細情報については、本稿の執筆者、もしくはFoleyのサイバーセキュリティ・データプライバシーチームのパートナーまたはシニアカウンセルまでお問い合わせください。
