CCPA(カリフォルニア州消費者プライバシー法)

CCPA(カリフォルニア州消費者プライバシー法)とは?

CCPAはカリフォルニア州の法律で、消費者に自分の個人データをコントロールする権利を与え、企業はデータの取り扱いを透明に説明する義務があります。 2018年に制定され2020年1月から施行されたこの法律は、企業がお客さんの個人情報をどのように使えるかを厳しく制限しています。例えば、個人情報を何に使っているのか知る権利、データを削除してもらう権利、情報の販売をやめさせる権利などが消費者に保証されます。

ひとことで言うと： 「あなたのデータはあなたのもの。企業は何に使うか説明し、いつでも削除できるようにしなければならない」というルールです。

ポイントまとめ：

何をするものか： カリフォルニア州の消費者がデータ使用に同意できない場合、データ削除や説明を求める権利を保証する法律
なぜ必要か： 企業による個人データの悪用や無断販売から消費者を守り、透明性を確保するため
誰に関係するか： カリフォルニア州在住者の個人データを扱うすべての企業

適用範囲

CCPAはカリフォルニア州内に住んでいる人の個人データを扱う営利企業に適用されます。対象となるのは以下のいずれかに該当する企業です。(1)年間売上が250万ドル以上、(2)年間50万人以上の消費者情報を買う・売る・使用、(3)年間収入の50%以上が個人情報販売から得られている企業です。

主な要件

知る権利 - 企業が何の個人情報を持っているか確認でき、どこから取得し、何に使うか説明を受けられます。削除権 - 企業の記録から個人情報を削除させられます(ただし取引完了や法的義務などの正当な理由があれば企業は拒否可能)。オプトアウト権 - 企業が自分の情報を第三者に売るのをやめさせられます。差別禁止 - プライバシー権を行使しても、サービス料金を上げたり、質を落としたりされません。

違反した場合

企業がCCPAに違反すると、カリフォルニア州司法長官から1件につき最大2,500ドル、故意の違反なら7,500ドルの罰金を受けます。また消費者が個人情報流出で被害を受けた場合、企業を訴える権利も含まれます。この罰金はビジネス規模に関わらず適用されるため、多くの企業にとって重大な経営リスクとなります。

なぜ重要か

個人データは現代のビジネスで最も貴重な資産です。CCPAはこれまで企業に一方的な権力を与えていたデータ利用に、消費者の声を反映させました。法律に従わない企業は高額な罰金と評判の低下に直面します。一方、CCPA対応を適切に行うことで、消費者信頼を獲得し、他州の類似法との対応も容易になります。

実際の対応例

オンライン小売企業 - ウェブサイトに「プライバシーポリシー」ページを追加し、収集するデータ種類、使用目的、利用者の権利を明記。消費者からのデータ削除リクエストに45日以内に対応するプロセスを構築します。

金融機関 - 顧客から「私のデータを教えてください」というリクエストに対し、30日以内にその人の個人情報をすべてリストアップして提供。また「データ販売をやめてください」という要望には即座に対応します。

モバイルアプリ企業 - アプリのプライバシー設定で消費者がデータ収集をコントロール可能に。定期的なポップアップでデータ利用について再度同意を取ります。

よくある質問

Q: 私たちの会社はCCPAの対象ですか? A: カリフォルニア州の住民データを持つなら、売上規模に関わらず対象です。例外があるかは弁護士に相談してください。

Q: 消費者がデータ削除を要求してきたらどうするか? A: 45日以内(延長可能)に削除し、その旨を通知する必要があります。削除できない正当な理由がある場合はそれを説明します。

Q: CCPAに対応するのにいくらかかります? A: 企業規模により異なります。小さなビジネスでも基本的なプライバシーポリシー更新は必須です。大企業はシステム改築に多額の投資が必要になる場合があります。

CCPA(カリフォルニア州消費者プライバシー法)