2020年1月1日よりカリフォルニア州消費者プライバシー法(CCPA)対象企業は、公表している自社のプライバシーポリシーの中で、既存の法律ですでに要求されている開示事項に加え、CCPAのもとでの情報開示を行うとともに、これを毎年更新していくことが求められます。
既存の法律であるカリフォルニア州オンラインプライバシー保護法(Busn. & Prof Code 22575)「OPPA」は、商用のウェブサイトまたはオンラインサービスの運営者でカリフォルニア州の消費者の個人識別情報を収集する者に対し、次の点を満たしたプライバシーポリシーを掲載することを求めています。
(i)同運営者が収集する個人識別情報のカテゴリや、かかる情報の開示先である第三者のカテゴリを特定していること
(ii)ウェブサイトを訪問する者が以前に提出した情報にアクセスし、これを変更する方法を記載していること
(iii)プライバシーポリシーへの変更を運営者から消費者に知らせる方法を記載していること
(iv)当該ポリシーの効力発生日を記載していること
(v)ユーザーのブラウザから発せられるウェブ上での行動履歴トラッキング拒否のシグナルに対して、運営者がどのような対応を取っているかを記載していること
(vi)第三者がサイト訪問者のオンラインでの活動について、長期間かつほかのウェブサイトにもわたり情報を収集することを、同運営者が許容しているか否かを開示すること
OPPAでいう「個人識別情報」とは、消費者に関する個人を識別できる情報を意味し、氏名、住所、Eメールアドレス、電話番号、ソーシャルセキュリティ番号、その他特定の個人に物理的にまたはオンライン上で接触できる何らかの識別情報および、かかる識別情報と組み合わせることで個人を識別できる形態のユーザーに関するそのほかの情報を含みます。「消費者」とは自身または自身の家族・世帯のために購入またはリースによって商品、サービス、金銭または、信用を得るまたは得ようとする個人を指します。
これに対しCCPAは「消費者」について、あらゆるカリフォルニア州の住民を指すものとし、自身または自身の家族・世帯のために取引をするとの要件を取り除くことで、その定義を拡張しています。また、「個人情報」の定義について、特定のカリフォルニア州の住民もしくは世帯を識別し、これらに関連し、これらを記述し、これらと結び付けることができるか、または直接もしくは間接的にこれらに繋がっているといえるあらゆる情報を意味するとして、その定義を広げています。CCPAではOPPAの規定よりも広く個人情報のカテゴリが例示列挙されています。OPPAではオンラインサービスまたはウェブサイトによって収集された情報にかかる開示を求めている一方で、CCPAは形式や情報源の如何にかかわらず、オンライン・オフライン問わず収集された情報に関する運用をプライバシーポリシーにおいて開示することを求めています。
CCPAを遵守するために、プライバシーポリシーは以下8つの事項を含んだものでなければなりません。
1.カリフォルニア州の住民に付与される新たな権利についての記載
この記載は上記の新たな権利のすべてを包含したものでなければなりません。併せて、消費者は12カ月の間に2回まで個人情報開示請求権を行使できること、企業の側でも請求をしている個人から必要な情報をもらって本人確認をする必要があること、企業は個人情報開示請求権の行使を受けてから45日以内に対応することも表示しなければなりません。
2.個人情報の提供や削除の請求をする方法の記載
企業は各個人からの請求を受け付ける方法を2つ以上提供しなければなりません。このうち最低限フリーダイヤルの電話番号を用意し、ホームページを持つ企業はウェブページアドレスも含まなくてはなりません。また、プライバシーポリシーのこの点の記載箇所では、それぞれの方法を通じた請求を行うプロセスも説明しなければなりません。そのウェブページへのリンクもこの箇所に掲載しておくと良いでしょう。
3.ウェブサイト上でオプトアウトのページへのリンクを設けること
もし企業が第三者に対し、金銭上またはその他の対価と引き換えに個人情報へのアクセスを付与したりこれを開示したりする場合には(これをCCPA上は「売却」と規定)、企業はウェブページ上に「私の個人情報を売却しないで」と記載したリンクを設け、消費者が自身の情報について売却からのオプトアウトができるようにしなければなりません。なお、リンクはホームページのサイト下部(フッター部分)にも表示されるようにしなければならない点にも注意が必要です。
4.過去12カ月の間に収集された個人情報のあらゆるカテゴリのリスト
カリフォルニア州オンラインプライバシー保護法(OPPA)はオンラインで収集された個人情報のみが対象でしたが、CCPAは収集された情報の情報源や形態の如何を問いません。ただし、このルールは過去12カ月の間に収集された個人情報のみを対象とします。プライバシーポリシーは毎年アップデートする必要があり、そこに列挙されたカテゴリの情報は、ポリシーの当年のアップデート基準日から過去12カ月の間に収集された情報である旨を明示しなければなりません。CCPA上の個人情報の定義では、かかる情報開示の対象となりうる11種類の個人情報のカテゴリが規定されています。個人情報請求権行使への対応にあたっては、次の11の個人情報のカテゴリ分けを使うことが求められます。
識別情報(コンタクト先、政府発行の身分証明書、クッキー等)、セキュリティ侵害防止のために保護される情報(名前、口座番号、免許証、ソーシャルセキュリティ番号、ユーザー名とパスワード、健康・医療情報)、保護対象の分類情報(人種、性別、民族等)、商業情報、ネット上の行動、ジオロケーション(位置情報)、音声・ビジュアルデータ、職歴・専門情報、学歴、バイオメトリクス(生体認証)、および以上の情報から推測されるもの。
5.各カテゴリの個人情報の情報源
個人情報の各カテゴリについて、企業はその情報源についてもプライバシーポリシーで特定しなければなりません。情報源となるのは情報を提供している当の本人である場合や第三者が企業に情報を提供している場合、クッキーの使用など、企業が個人の活動を認知・記録することが情報源となることもあります。
6.収集された各カテゴリの情報を使用するあらゆる目的
CCPAのもとでは、各カテゴリの情報を使用するあらゆる目的をプライバシーポリシー上で開示する必要があります。仮に情報が別の目的で使用されるのであれば、その点をプライバシーポリシーでも別途周知しなければなりません。そのため、企業としてはあらかじめ各々の情報について使用理由をすべて明確にしておくことが望ましいです。収集された個人情報の開示請求に対応する際も、企業は情報を収集したビジネス・商売上の目的も併せて開示することが求められます。
7.過去12カ月の間に売却された個人情報のカテゴリのリスト
企業がCCPAの広範な定義のもとで「売却」の要件を満たす取引に従事している場合、過去12カ月の間に売却した個人情報のカテゴリを列挙することが求められます。プライバシーポリシー上は情報を受け取る第三者のカテゴリを列挙することは求められませんが、消費者が請求した場合は第三者のカテゴリも開示する必要があります。
8.過去12カ月の間にビジネス上の目的で開示された個人情報のカテゴリのリスト
過去12カ月の間にビジネス上の目的で開示した個人情報のカテゴリが記載されていなければなりません。CCPAにおいて、「ビジネス上の目的」とは以下のように定義されます。
・サイト訪問者の延べ広告表示数の計算、広告表示の位置やクオリティの確認、法律やその他基準に適合しているかの監査等といった、消費者との間で進行中のさまざまな情報のやり取りやそこでの取引にかかわる監査のため
・セキュリティ上の事故を検知し、狡猾・詐欺的・欺罔的・違法な活動を防止し、かつかかる活動を行った者を告訴するため
・その企業の代わりにさまざまなサービスを行うこと。たとえば顧客のアカウントの維持・種々の対応、カスタマーサービスの提供、オーダーや取引の処理・実行、顧客の情報の確認、支払いの処理、信用の供与、広告・宣伝サービスの提供、種々の分析サービスの提供、その他類似のサービスの提供などのため
・もともと意図していた機能を損なうエラーを特定して直す修復作業のため
・短期間・一時的な使用のため(ただし、個人情報が第三者に開示される場合や、その情報を使って消費者のプロフィールを作成する、個々の消費者との間の進行中の情報のやり取りの範囲から外れて消費者によるサービスの利用形態を変えるといった行為は含まれない。消費者がウェブサイトを閲覧している最中にその消費者との間での情報のやり取りの中で、消費者のアクションに合わせてサイト上で表示される広告を変えるといったことは含む)
・技術上の諸事項を開発・実用化するために内部で研究を行うため
・自社が所有・製造しまたは自社のために製造され、あるいは自社で管理するサービス・デバイスの質や安全性を確認・維持するため、またそのようなサービス・デバイスを改良、アップグレードまたは強化するための措置を実施するため
プライバシーポリシーを毎年アップデートするために、自社における情報の収集・使用・開示・売却の運用を毎年見直しましょう。
この記事が気に入りましたか?
US FrontLineは毎日アメリカの最新情報を日本語でお届けします