カリフォルニア州消費者プライバシー法（CCPA）が、2020年1月1日に発効しました。前回の記事では、個人情報に関して消費者に付与される新たな5つの権利について説明しました（前回の記事参照）。今回は、CCPAとGDPRの違いについて紹介します。

同法のもとで消費者に新たに付与された5つの権利は、EUの一般データ保護規則（GDPR）と似たところもある一方で、重要な違いもあります。GDPRを遵守していてもCCPAコンプライアンスには不十分ということを認識しなければなりません。

とりわけCCPA上の要請がGDPR上の要請と異なる点として、以下が挙げられます。

・プライバシーポリシーでの開示事項および個々の消費者から請求があった場合の開示事項について、GDPRでは求められていないものがある。

・種々のポリシーや手続きを定めるにあたり、CCPAでは同法上の権利を行使した個々の消費者の差別を防止する対応も含まれることから、GDPRのもとで定めるとされているものとは相応に異なったものとなるはずである。

対象となる企業および個人の範囲

CCPAのもとで権利が付与されるのは、カリフォルニア州の住民である個人に限られ、ここでいう住民とは所得税の賦課対象となる住民の定義によります。同州に一時的にいる者には適用されませんが、他州の学校に通う学生のような、一時的に州外にいるカリフォルニア州の住民には適用されます。EU域内で自分のデータが処理されるか、または一時的であってもEU域内にいる個人であれば権利が付与されるGDPRと異なり、CCPAの対象となる個人の範囲はより狭いです。

GDPRにおいて、個人データは識別されたまたは識別されうる個人に関するあらゆる情報と定義されています。CCPAは、特定のカリフォルニア州の住民もしくは世帯と結びつけることができるか、または直接もしくは間接的にこれらに繋がっているあらゆる情報をいうとして、その定義を広げています。その結果、GDPRのもとでは、世帯に繋がる情報が常に個人データの定義にあたるとはいえないとの議論が可能ですが、CCPAのもとでは対象企業が対象情報の特定・所在の把握・開示の対応をしなければならない情報の範囲はGDPRよりも広くなります。

ある企業がCCPAの対象となるためには、その企業が営利企業（または所有者の金銭的な利益を追求する企業）でなければならず、財務上の要件もしくは一定のデータ処理を行っているとの要件を満たす必要があります。CCPA上その企業がカリフォルニア州内に所在していることは求められていないものの、同州内でビジネスを行っていることは要件としています。加えてその企業は、年間の総収入が2500万米ドル超であるか、5万人を超えるカリフォルニア州の住民の個人データを処理しているか、または収入の50%超をカリフォルニア州の住民のデータの売却から得ているかのいずれかの要件を満たしたものでなければなりません。

対象となる企業を支配するか、または同企業に支配されており、同一のブランドのもとにある関係会社も同法の対象となります。非営利企業、政府系企業または小規模企業には適用されません。

プライバシーポリシーで開示すべき事項

CCPAもGDPRも、情報を収集した目的とそのあらゆる用途、個人の有する権利およびかかる権利を行使する方法をプライバシーポリシーに記載することを求めています。CCPAではさらに、その企業が個人データの売却を行っているか否かおよび売却先となる第三者のカテゴリについて記載することも求めています。また、CCPAではプライバシーポリシー上の表示を常に最新の状態に保つことが求められています。毎年記載をアップデートし、過去12カ月の間の活動を含めて開示しなければなりません。これによって対象となる会社は、CCPA対応として12カ月ごとにプライバシーポリシーを見直さなければならないことになります。

従前、データの売却というと金銭を対価とするものが想定されてきました。CCPAではさらに進んで、「売却」とはどのような形や様式により開示するかを問わず、金銭またはその他何らかの価値を有する対価と引き換えになされる、およそいかなる第三者に対する開示をも指すと定義されています。同法は各企業に対し、個々人によるかかる売却からオプトアウトしたいとの請求を行いやすくし、かつそのような請求があった場合にはきちんと言われた通りに対応するよう求めています。「その他何らかの価値を有する対価」は、実質的に「売却」の定義を拡張しています。

会社が個人データを業者に提供してデータ分析をしてもらっている場合も、会社のほうから業者にデータ分析業務の料金を支払っているにもかかわらず、その会社が「データの売却をしている」とされる可能性があります。同法のもとでは、ある企業がデータを開示し、データへのアクセスを与える代わりにそのデータについての価値のある分析結果を得ることも、「売却」とされることがあるのです。このようなコンセプトはGDPRにはなく、GDPRに沿ってデータの第三者への開示について正確に記載したとしても、CCPAの要求を完全に満たしたことにはならないものと考えられます。

消費者による請求に基づく開示

GDPRもCCPAも、企業に対して自身についての個人情報を削除するよう請求する権利を個人に付与していますが、同時に、いずれも同じような要件のもと広く例外を認めています（ただし、CCPAのもとでの例外はより会社側に有利になっているということはいえそうです）。いずれの法も、個人は企業が保有する自身のデータのコピーを企業のデータベースから切り離して保有できる形で受け取ることができると定めていますが、CCPAはその対象となるデータを請求がなされる前12カ月以内に収集されたデータに限定している一方で、GDPRは（一定の例外はあるものの）保有するすべてのデータの提供を求めています。

CCPAのもとでは、企業は請求をしている個人の本人確認を行うこと、および開示の請求に対して45日以内に応答することが求められています。カリフォルニア州の住民は12カ月の間に2回かかる請求を行うことができます。他方、GDPRのもとでの応答の期限はもっと短く（延長を必要とする正当な理由がない限り）1カ月で、かかる請求をできる回数には特に制限はありません。

データ収集の運用

企業のデータベースから切り離して保有できる形でデータの提供を受ける権利に関連して、CCPAのもとでは、企業は請求している個人の具体的な個人データの提供そのものと併せて、データ収集の運用についても開示することが求められています。かかる開示においては、請求の前12カ月の間にその企業によって収集された個人情報のカテゴリ、情報源、データがビジネス上の目的でほかに提供されまたは売却されたか否か、および情報の提供先となる第三者のカテゴリについての記載をも含めなければなりません。他方、GDPRにおいては、請求への対応方法や対象となる期間について、12カ月の期間制限がない点がCCPAと異なっています。

データ売却の運用とオプトアウト

CCPAはカリフォルニア州の住民に対し、請求の前12カ月間の企業の個人情報売却または開示の運用に関する情報を請求する権利、および45日以内に応答を受ける権利を認めています。かかる応答においては、（1）売却されたデータのカテゴリおよび（2）ビジネス上の目的で開示されたデータのカテゴリが、それぞれ当該データを受領する第三者のカテゴリとともに明らかにされなければなりません。上記のデータ売却の定義の広さを踏まえると、CCPA特有のかかる義務がきちんと履行されているかという観点から、会社が締結するさまざまな契約について再度見直す必要も出てきます。

加えて、データを売却する対象企業は、消費者が個人データの売却からオプトアウトするために利用できる分かりやすくかつ無料の方法を提供し、かつ自社のホームページのウェブサイトにおいても、かかるオプトアウトの権利を行使できるページに繫がっている「私の個人情報を売らないで」というリンクを設置しなければなりません。

CCPAのコンプライアンスでは、かかるオプトアウトの受領・管理のプロセスを伴うことが必然となるのです。このような開示やオプトアウトは、GDPRのもとでは違った規定の仕方がなされています。企業としてはすべてのデータについて、両方の法律で必要となる対応のいわば最大公約数を取って統一的に対応していくのか、それとも CCPA対応とGDPR対応で異なった対応をしていくのかの選択を迫られることとなりますが、こと後者の場合には、データ管理の実務上かなり悩ましい問題を抱えることにもなりかねません。

差別の禁止および執行

CCPAは権利行使をした個人を企業が差別することを禁止することによって、同法のもとで付与された権利を行使する個人を保護しようとしています。「差別をしない」とは、具体的には商品やサービスを拒否したり、人によって商品やサービスの値段や値引きの有無・金額、量や質が異なるといった取り扱いをしてはいけないということです。GDPRはこのような保護の仕組みを明確に定めていないため、CCPAの対象となる企業としては、コンプライアンス対応のなかで差別を禁止するポリシーや手続きを打ち出していくことで、この違いにも適応していく必要があります。

主な所管当局として、GDPRについては各国のデータ保護機関、CCPAについてはカリフォルニア州司法長官があり、かかる当局によって法の執行が行われます。CCPAのもとでは、各消費者にはデータセキュリティの違反に関する執行として民事上の訴訟を提起する権利があり、またGDPRでも民事上のクラスアクションの制度があります。カリフォルニア州司法長官がみずから訴訟を提起する場合、その30日前までに違反の事前通知を行わなければならず、違反1件あたり2500米ドル（意図的な違反の場合は7500米ドル）の罰金を科すことができます。各消費者は違反1件あたり100から750米ドルの賠償金を請求できます。他方、GDPRのもとでの違反に対する罰金は、最高で2000万ユーロまたは全世界での収入の4%（いずれか多いほう）です。