カリフォルニア州個人情報保護規則と対応すべきポイント

  • 2024-08-29

English

米国のカリフォルニア州は消費者や従業員の個人情報を保護することに非常に積極的な州であり、他の州がベンチマークとして参考にする、包括的な規制を施行していることで知られています。

カリフォルニア州は、米国で最も包括的なプライバシー規制であるカリフォルニア州消費者プライバシー法(CCPA)を施行しており、2024年の初めにはCCPAの更新版であるカリフォルニア州プライバシー権法(CPRA)が施行されました。CPRAの施行により、カリフォルニア州プライバシー保護局(CPPA)が設立されました。

個人情報を保護するにあたり、事業体はどの規制のどの要件に目を向ければよいのか迷うことが多いと思います。本稿では、カリフォルニア州の主なプライバシー規制を取り上げ、カリフォルニア州のプライバシーシナリオに関連するその他の規制についても説明します。

GDPRから見たCPRAの消費者の権利

GDPRは、個人情報の処理に関するデータ主体や消費者の権利を守るパイオニアです。CPRAはGDPRと同様の基準を維持し、カリフォルニア州の消費者にデータの取り扱いに関する重要なコントロールを提供しています。以下の表は、GDPRおよびCPRAに規定されている消費者の権利について比較したものです。CPRAはGDPRと同様に、明確に定義された項目別に消費者の権利に対応していることが伺えます。CPRAは、GDPRがEUに対して行ったのと同等のプライバシー保護メカニズムをカリフォルニア州に対して定義したと言えるでしょう。

図表 2

規制当局

CPRAは、カリフォルニア州プライバシー保護局(CPPA)を設立しましたが、CPPAとカリフォルニア州司法長官の両方が、CCPA/CPRAに基づく執行を追求できることに注意することは極めて重要です。従って、将来のリスクを評価する上で、双方の活動を確認することは重要です。

カリフォルニア州プライバシー保護局(CPPA)の取り組み

カリフォルニア州プライバシー保護局(CPPA)は5名の役員によって運営され、カリフォルニア州民の消費者プライバシーを保護することを使命としています。CPPAは、CPRA(CCPA規則)の実施と執行を行い、プライバシーと消費者の権利に関する認識を高め、そのための行政執行を準備する責任を負っています。CPPAはその使命のためにさまざまな取り組みを積極的に行っています。

その責任の下、CPPAは2024年4月、データ最小化をCCPAの基本原則とする初の施行勧告を発表しました。さらに、CPPAは既存のCCPA/CPRA規則の更新案を提案しました。この更新には、自動意思決定技術(ADMT)およびリスク評価に関する新規則のほか、機微(センシティブ)な個人情報の定義、消費者の要求を拒否するための要件、消費者の要求の検証、サービス提供者および請負業者の義務の改定が含まれます。

前述のとおり、CPPAは自動意思決定技術(ADMT)と個人情報処理のリスク評価に関する規制も提案しています。規則案は事業者に対し、ADMTを使用する前に消費者に通知し、オプトアウトの権利を付与することや、ADMTやAIトレーニングなど、特定のデータ処理の状況についてリスクアセスメントを行うことを義務付けています。なお、規制の範囲、特にADMTの要件について、理事会メンバーの意見は分かれています。

CPPAは2023年9月、CPRAに基づくサイバーセキュリティ監査とリスク評価の両方に対応する「リスク評価規則案」を発表しました。この規則案に関する正式な規則制定はまだ進行中です。

カリフォルニア州のプライバシーに関するその他の規定

カリフォルニア州には、CCPA/CPRA以外にも、企業が遵守すべきプライバシーおよびデータ保護に関する規制が以下のように多数存在しています。

データ侵害通知

2003年7月より適用されているカリフォルニア州民法第1798.29条および第1798.82条に基づき、カリフォルニア州で事業を行い、個人データを処理する全ての事業体は、情報漏えいの影響を受けた個人にその旨を通知することが義務付けられています。情報漏えいが500人以上の個人データに影響を及ぼす場合、事業体は監督当局(この場合はカリフォルニア州司法長官)に報告する義務があります。CCPAの下では、データ侵害はその被害を受けた事業体に対する民事訴訟の引き金となり得ます。

カリフォルニア・オンライン・プライバシー保護法(CalOPPA)

2004年7月より適用されているCalOPPAは、個人情報を収集する商用ウェブサイトまたはオンラインサービスの運営者に対し、そのウェブページにプライバシーポリシーを掲載し、容易にアクセスできるリンクを貼ることを義務付けています。この要件はCCPA/CPRAで詳細にカバーされています。

シャイン・イン・ザ・ライト法

2005年1月より適用されているシャイン・イン・ザ・ライト法は、ダイレクトマーケティングを目的としてどのような個人情報を第三者と共有するかについて、事業者が要求に応じて顧客に開示することを義務付けています。

カリフォルニア州年齢適正デザインコード法

2022年9月15日に署名されたこの法律は、子どもがアクセスする可能性のあるオンラインサービス、製品、または機能を提供する事業者に対して、提供するプライバシーに関する全てのデフォルト設定を、高度なプライバシーを提供する設定にすることを含め、特定の要件に準拠することを義務付けています。

対応すべきポイント

PwCはこれまでのプロジェクトの経験から、多くの企業が個人情報保護を遵守するためにどの規制のどの要件に目を向ければよいのか、混乱していることを理解しています。その原因は、膨大な数の法律や規制が存在し、どれが遵守すべき正しい法律や規制なのかということにあります。

本稿では、米国のカリフォルニア州で現在施行されているプライバシー関連の法規制を紹介しました。そして、CPPAは将来何が起こるかについての妥当なアイデアを与えてくれることを説明しました。上記のようにカリフォルニア州におけるプライバシー規制は、消費者の個人情報を処理する際、事業者に注目を求めるものです。

事業者ははじめに、自社のプライバシーポリシーが個人情報の処理方法を正確に詳述していることを確認する必要があります。次に、消費者からの要求やオプトアウト手続きについて、明確な開示と機能テストを行う必要があります。また、個人データへのアクセス、削除、訂正のプロセスを規制とマッピングさせ、整合させることが推奨されます。さらに、コンプライアンスを確認するために個人情報を運用するシステムを導入した後にテストを行う必要があります。

コンプライアンスを遵守するためには、規制当局による規制やイニシアチブの進捗状況を監視することが一層重要になるでしょう。

執筆者

上杉 謙二

ディレクター, PwCコンサルティング合同会社

Email

門脇 一史

シニアマネージャー, PwCコンサルティング合同会社

Email

エレドン ビリゲ

マネージャー, PwCコンサルティング合同会社

Email

藤田 和也

マネージャー, PwCコンサルティング合同会社

Email

マッハレ アンジャリ

シニアアソシエイト, PwCコンサルティング合同会社

Email

サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応

44 results
Loading...

中国ネットワークデータセキュリティ条例の概説――中国サイバー三法のアップデート

2025年1月1日から施行されている中国ネットワークデータセキュリティ条例では、中国サイバーセキュリティ法、データセキュリティ法、個人情報保護法の法執行の度合いを調整・明確化しており、中国で事業を展開する企業にとって注目すべき内容となっています。本稿では同条例の規定内容を解説します。

Loading...

インサイト/ニュース

40 results
Loading...

2025年 Cyber IQ調査 ―生成AIの台頭とデジタル国境の形成に伴うサイバーリスクに企業はどう対応すべきか―

デジタル技術の進化や地政学的緊張の高まりの中で、企業は多数のサイバーリスクに直面しています。本レポートでは、法規制、生成AI、サプライチェーン、脆弱性管理、デジタルアイデンティティなどの急激な変化を考慮し、企業が取るべきリスク対応策について考察します。

Loading...

本ページに関するお問い合わせ