カリフォルニア州プライバシー保護庁(CPPA)は、消費者プライバシー要求への対応を怠ると多大なコストを招くことを明確にした。 先週も例外ではなく、CPPAは全国展開の衣料品小売業者トッド・スナイダー社に対し断固たる執行措置を講じた。これは、改正された2018年カリフォルニア消費者プライバシー法(CCPA)に基づく消費者権利請求への企業の対応が、カリフォルニア州プライバシー規制当局の最優先課題であることを示している。本稿では、CPPAの最新執行措置の根拠を探るとともに、規制当局の監視を最小限に抑えるための重要なポイントをまとめる。
主な調査結果
2025年5月6日、カリフォルニア州プライバシー保護庁(CPPA)は、衣料品小売企業に対し、消費者プライバシー要求への対応手順に関するカリフォルニア消費者プライバシー法(CCPA)違反の申し立てを解決するため、事業慣行の変更と345,178米ドルの罰金支払いを命じる命令を発出したと発表した。これは、過去数か月間に発生した同様のプライバシー違反に基づくCPPAの2件目の主要な執行発表である。
具体的には、CPPAは、衣料品小売業者が以下の方法でCCPAに違反したと主張した:
- 消費者のオプトアウト要求の処理不備:40日間にわたり、当社のプライバシーポータルが適切に設定されていなかった。その結果、消費者が個人情報の販売または共有をオプトアウトするよう求めた要求が処理されなかった。
- 過剰な情報収集:消費者がプライバシー関連の要求を提出した際、同社はこれらの要求を処理するために必要な範囲を超えて、より多くの個人情報の提供を要求した。これはCCPAのデータ最小化の要件に反する行為であった。
- 不要な本人確認:消費者は、個人情報の販売や共有をオプトアウトする場合でさえ、本人確認を求められることもあった(CCPAでは通常、機微情報へのアクセスや削除が行われない限り、この手順は不要である)。
CPPAの最新執行措置は、消費者のオプトアウト権および個人情報の取り扱いに関連する重要なコンプライアンス上の特徴を浮き彫りにしており、特に同社が第三者のプライバシー管理ツールに依存している点と、過剰な確認要件を課している点に重点が置かれている。
得られた教訓
以下は、CCPA規制対象企業が消費者権利請求への対応においてCPPAの監視対象から外れるための重要なポイントです:
1. 第三者のプライバシー管理ツールを継続的な監視なしに単純に依存するのではなく、これらのツールの有効性を定期的に監視、テスト、検証し、消費者のプライバシー権が尊重され、オプトアウト機能が法律で要求される通りに機能していることを確保すること。これには技術チームと法務チームの両方が、導入されている技術と、それらの技術に関して取られる適切な(かつコンプライアンスに準拠した)措置を把握するための継続的な連携が必要である。 CPPAによれば、「同意管理プラットフォームの使用は、コンプライアンス義務を免除するものではない」とされている。
例示例
CPPAは、Snyder社が自社ウェブサイトにサードパーティの追跡技術(クッキーやピクセルなど)を設置し、分析およびクロスコンテキスト行動広告のために消費者個人情報を収集・共有していたことを認定した。 同社は消費者に対し(明示的な声明を通じて)、Cookie設定センターを通じて個人情報の販売または共有をオプトアウトできると説明していたが、技術的な設定ミスにより、2023年後半の40日間、このオプトアウト機能が動作不能となっていた。
2. 消費者がオプトアウト権を容易かつ確実に行使できることを保証するとともに、ウェブサイトやその他のオンラインインターフェースを通じて消費者が要求を行使することを妨げるウェブサイトの設計上の欠陥を特定し、是正すること。
例示例
今回の最新の執行措置において、CPPAは、当該衣料品小売業者のウェブサイトがオプトアウト機能(例:グローバル・プライバシー・コントロールなどのオプトアウト設定シグナルが、前述の40日間の期間中に処理されなかった)を適切に設定しておらず、また、消費者が個人情報の販売および共有をオプトアウトする要求を送信する前に同意バナーが消え続けるため、消費者がオプトアウト要求を送信することが不可能であったと主張した。
3. 消費者のCCPA権利請求に対応する際は、(i)請求を行った消費者の身元確認に、可能な限り既に保有しているデータに依拠するよう努め、(ii)請求処理に不要な情報を消費者に求めないこと。
例示例
トッド・スナイダー社は、CCPAに基づくあらゆる請求(オプトアウト請求を含む)において、身元確認のため消費者に運転免許証の写真(機微な個人情報とみなされる)のアップロードを義務付けていた。この要件は、CCPA下で確認を必要としないオプトアウト請求を含む、あらゆる種類のCCPA請求に対して課されていた。すべての請求に政府発行の身分証明書の提出を要求することで、スナイダー社は消費者に不当な負担を違法に課し、プライバシー権の行使を妨げていた。 さらに、CPPAによれば、検証可能な消費者請求(検証が適切な場合)においても、CCPAは事業者に必要以上の情報収集を避け、可能な限り既に保持している情報を使用するよう求めている。したがって、スナイダー社の政府発行身分証明書の包括的要件は必要範囲を超え、これらの規定に違反していた。
4. 不要な検証は行わないこと。また、消費者の要求が検証を必要とする場合と不要な場合について、方針と手順を明確にすること。
例示例
前述の通り、トッド・スナイダー社は、CCPAがオプトアウト要求に対する身元確認を企業に義務付けていないにもかかわらず、消費者が提出したオプトアウト要求に関連して、身元確認のための特定情報の提供を要求していました。したがって、CCPAの適用対象でありオプトアウト要求を受けた場合、その要求を行った消費者の身元確認を進めるべきではありません。
結論
今回の執行措置でトッド・スナイダー社に対して提起されたとされるCCPA違反事例を理解することで、CCPA規制対象企業は、消費者プライバシー要求を管理する自社のプロセスと仕組みがCCPAの要件に沿っていることを確認し、この州法に基づく消費者要求の取り扱い慣行が規制当局の精査対象となる可能性を低減できる。
