2021年7月7日、コロラド州はコロラド州プライバシー法(CPA)を制定し、包括的なプライバシー法を採択した米国で3番目の州となった。前述の通り、CPAは全ての事業者に適用されるわけではない。 適用対象は、コロラド州内で事業を行い、かつ以下のいずれかに該当する「管理者」に限られる:・年間10万人以上のコロラド州住民の個人データを処理または管理する者・年間2万5千人以上の個人データを処理・管理し、かつ個人データの販売から収益を得ている、または割引を受けている者 CPAは、カリフォルニア州プライバシー権法(CPRA)と同様の消費者権利(個人情報のアクセス・修正・削除権、ターゲティング広告目的での個人データ利用拒否権など)を規定する一方、拒否された請求に対する異議申立権という新たな権利も包含している。
CPAはコロラド州司法長官に執行権限を付与する一方、同州住民の個人情報保護に関する規則の策定およびCPAの実施を義務付けている。この権限には、CPAの実施と解釈に関する新規規制の制定、特にターゲティング広告目的または個人情報の販売を目的とした処理からのオプトアウトに関する消費者の積極的・自由意思に基づく・明確な選択を伝達するための、一つ以上のオプトアウト手段の技術的仕様に関する規則の制定が含まれる。
司法長官は、今後の規則制定に関する関係者からの意見聴取を目的とした事前手続きを経て、2022年9月30日に「コロラド州プライバシー法規則案(草案)」を公表し、公示・意見募集段階を開始した。約40ページに及ぶ本草案は、現在一般からの意見募集を受け付けている。
規則案の主なポイント
本規則案は、消費者への開示(プライバシー通知)に関する要件、消費者がCPAに基づくプライバシー権を行使するための要求を提出する方法及びそれらの要求への対応要件、ユニバーサルオプトアウトメカニズムの要件、ロイヤルティプログラムの要件、データ最小化及び個人データの許容される利用、機微なデータ利用に関する同意要件、記録保持義務、ダークパターンの回避及びその他のインターフェース要件、データ保護評価、プロファイリングについて規定している。特に影響力の大きい規定には以下が含まれる:
- ユニバーサル・オプトアウト・メカニズム。規則案は 、管理者がユニバーサル・オプトアウト・メカニズムを認識できることを要求している。このメカニズムは、オプトアウト信号を監視するか、公表される「販売禁止」リストを照会することで機能する。
- プライバシー通知。草案規則は、 CPA(消費者プライバシー法)で要求されるプライバシー通知の内容を規定している。FTCガイドラインに準拠し、管理者は自社のプライバシー慣行に実質的または重要な変更がある場合、消費者に通知し同意を得なければならない。ただしCPAは、変更発効の少なくとも15日前までに通知を更新する要件を定めている。 草案規則では、コロラド州専用の別個なプライバシー通知は不要と明記されているものの、草案規則のプライバシー通知要件は他管轄区域の要件と十分に異なるため、多くの事業者にとって最終的にはコロラド州専用の別個な通知が最も現実的な選択肢となる可能性がある。
- 同意。規則案は、 管理者が同意を取得しなければならない状況を規定している。例えば、既知の児童に関する個人データの処理前、機微なデータ、消費者が処理をオプトアウトした後の特定の状況における個人データ、および異なる目的で収集された個人データなどが該当する。同意要件の多くの側面は、EUの一般データ保護規則(GDPR)と一致している。規則案にはまた、同意を定期的に更新し、機微なデータについては毎年更新することを義務付ける初の規定が含まれている。
規則制定プロセスの次の段階
関係者の意見を収集するため、司法長官室は提案された規則案について議論する3回のオンライン関係者会議を開催します。これらの関係者セッションは2022年11月10日、15日、17日に実施され、CPAおよび規則案で取り上げられている特定のトピックに焦点を当てます。これには、消費者権利と普遍的なオプトアウト制度、事業者の義務とデータ保護評価、プロファイリング、同意、定義などが含まれます。
規則案の公表に伴い、コロラド州司法長官事務所は2023年2月1日に対面およびビデオ会議形式による公聴会を開催します。 規則制定公聴会では、誰でも証言の申し出や意見提出が可能です。司法長官はその後180日以内に、採択された規則を州務長官に提出し、コロラド州官報への掲載を行います。CPA(消費者保護法)は2023年7月1日に発効しますが、司法長官は拘束力のある規制が発効するまでCPAの施行を開始しないことを明確にしています。
司法長官は、自身の事務所が「対話に開かれている」こと、そして「最優先の(執行)対象は、故意に法令を遵守しない者たちである」と強調した。司法長官は、執行優先順位において「善意で、意図的に法令を遵守しようとする努力(足跡を残す努力)をしているが法令違反を犯した企業」と「故意の法令違反」を行う企業とを区別することを予告している。 とはいえ、「誠実かつ善意に基づくコンプライアンス」を示す特定の活動を開始することは依然として重要である。前回の投稿では、企業が他のプライバシー規制でも再利用可能な特定の活動を優先する方法について論じた。CPA(消費者プライバシー法)における管理者(controller)に該当する組織は、まだ行っていない場合、今すぐこれらの活動に着手すべきである。 コロラド州の規則制定公聴会後、司法長官は規則を最終化する過程で、追加の改正ラウンドを実施しない限り、一般からの意見募集を終了する。CPAが2023年7月1日に施行されること、また司法長官が規則制定前の戦略の一環として意見を求めていたことを考慮すると、追加の改正ラウンドが行われる可能性は低いと思われる。したがって、意見を提出したい企業は、最初の意見募集期間中に提出すべきである。
企業の今後の対応
CPAが施行されるまであと8か月あるとはいえ、企業は今すぐにでも、CPAおよび規則案に基づく義務が、プライバシー法を制定した他の4州との総合的なプライバシーコンプライアンス活動の中でどのように位置づけられるかを検討すべきである。カリフォルニア州はこれまでプライバシー法に付随する規制を発表した唯一の州であり、コロラド州の規則案はカリフォルニア州の規制と複数の重要な点で異なる。
CPAへの準拠に関する詳細情報については、著者またはFoleyのサイバーセキュリティ・データプライバシーチームのパートナーもしくはシニアカウンセルまでお問い合わせください。
