メインメニューをとばして、このページの本文エリアへ

西村あさひのリーガル・アウトルック

カリフォルニア州消費者プライバシー法制定と日本企業の実務対応

石川 智也(いしかわ・のりや)

 2018年6月28日に成立したカリフォルニア州消費者プライバシー法は、個人情報保護の動きの高まりを受けて、個人情報全般を包括的に保護することを米国で初めて試みる州の法律である。情報法を専門とする石川智也弁護士が、その概要と日本企業の採るべき実務対応について解説する。

  

カリフォルニア州消費者プライバシー法
と日本企業の実務対応

西村あさひ法律事務所
弁護士・ニューヨーク州弁護士 石川 智也

拡大石川 智也(いしかわ・のりや)
 2005年に東京大学法学部第一類卒業、2006年に弁護士登録(司法修習59期)。2015年にバージニア大学ロースクール卒業(LL.M.)、2016年にミュンヘン知的財産法センター卒業(LL.M.)、同年にNoerr法律事務所ミュンヘンオフィス勤務。2017年に米国NY州弁護士登録。現在、西村あさひ法律事務所パートナー。
 カリフォルニア州消費者プライバシー法(以下「CaCPA」という)は、2018年6月28日に可決・成立し、2020年1月1日から施行される予定である。

 米国においては、連邦レベルでは個人情報全般を包括的に保護する法律が存在せず、事業分野ごとに個人情報の保護に関する法律が存在する「セクトラル方式」が採用されてきたところであるが、今回、州レベルではあるが、初めて個人情報全般を包括的に保護する法令が成立するに至ったものである。過去には、2002年に同じくカリフォルニア州で法律によって導入されたデータ漏洩時の通知義務が、今や全米全ての州で導入されるに至っており、今回カリフォルニア州で導入されたのと同様の個人情報全般を包括的に保護する法令が、今後順次他の州に波及していく可能性も十分に考えられる。

 CaCPAは、多くの日本企業にとっても決して対岸の火事ではなく、対応が必要と考えられる事項も多数存在する。GDPR(いわゆるEUデータ保護規則)では監督機関によって課される多額の制裁金が注目されたが、CaCPAの下では、漏洩等が生じた場合にクラスアクションによる多額の損害賠償請求のリスクにさらされることになる。

 以下では、2018年6月28日に成立した後、同年8月31日に議会で可決された修正案の条文を基に、CaCPAの内容を概説していきたい。

 1 適用範囲

 CaCPAとの関係で、日本企業がまず確認すべきは、自社又はそのグループ会社がCaCPAの適用を受けるか否かである。この点を判断するためには、次の2つのステップを検討する必要がある。

 (1) ステップ1

 まず、自社又はグループ会社の中に、以下の2つの条件を共に満たす事業者が存在するか否かを検討する必要がある(1798.140(c))。

 ア  個人情報を取得(第三者が自身のために個人情報を取得する場合も含む)し、その処理の目的と手段を決定する営利目的の事業者であって、カリフォルニア州で事業を行っていること

 イ  以下の3つの事由のいずれかを充足すること

 ① 年間総売上高(annual gross revenues)が2,500万米ドルを超えていること
 ② 1年当たり、合計で5万件以上の消費者、世帯、デバイスの個人情報を、商業目的で購入し、受領し、売却し、又は共有していること
 ③ 年間売上高の50%以上を個人情報の売却から得ていること

  

 後記2で述べるとおり、上記の条件にいう「個人情報」は、カリフォルニア州の住民のものに限られる(1798.140(o)、1798.140(g))。

 アの条件に関して、「カリフォルニア州で事業を行っている」という要件には定義が存在しない。この点については、州外の事業者であっても、カリフォルニア州に顧客がいて収益を上げている場合や、カリフォルニア州の住民に商品又はサービスを提供している場合には該当すると考えられていることに注意が必要である。

 また、イの条件のうち、①の年間総売上高が2,500万米ドルを超えていることという要件については、その売上高が、カリフォルニア州内の売上に限定されるか否かが明確ではない。実務対応上は、日本企業としては、自社又はグループ会社の中に、カリフォルニア州内の売上高だけで2,500万米ドルを超える会社がある場合には、その会社にはCaCPAが適用されるものと整理して対応する必要がある。また、自社又はグループ会社の中に、カリフォルニア州外の売上高も併せて2,500万米ドルを超える会社がある場合には、この点の解釈が明確になった際に、CaCPAが適用されるか否かを改めて検討する必要がある。

 さらに、①の要件を満たさない場合であっても、ウェブサイトを通じてカリフォルニア州からのアクセスを多数受けていると、②の要件を満たす可能性も否定できない。ここでいう個人情報には、IPアドレスやCookie識別子等も含まれるため、カリフォルニア州の個人から年間で5万件以上(1日平均約137件)のアクセスがあるウェブサイトを運営し、その個人情報を受領している場合には、②の要件を満たすことになる。また、文言上は、自社サイトの運営により取得する個人情報に限らず、海外企業からカリフォルニア州の住民の個人情報を多数受け取る場合にも適用があり得る点に注意が必要である。

 (2) ステップ2

 次に、グループ会社の中にステップ1に該当する事業者があると、他のグループ会社にもCaCPAが適用される可能性があることに注意が必要である。具体的には、ステップ1に該当する事業者を支配し、又は、その事業者により支配され、及び、その事業者と共通のブランドを有している事業者に対しても、CaCPAが適用される(1798.140(c)(2))。

 この点、「支配」とは、①ある事業者の発行済議決権株式の50%超について、保有しているか、議決権を行使する権利を有していること、②取締役の過半数又は同様の権能を行使する個人を支配していること、又は、③会社の経営に支配的影響を及ぼす力を有していることをいうものとされ、「共通のブランド」とは、共有された名称、サービスマーク、商標のことをいうとされている。

 そのため、グループ会社の中にステップ1に該当する事業者(例えば、カリフォルニアで事業を行っている米国現法)を有している場合には、その親会社である日本企業にもCaCPAが適用されるし、その事業者の子会社にもCaCPAが適用されると考えられる。また、兄弟会社については、直ちに含まれるわけではないが、商号等を通じて「共通のブランド」を有していると判断されてCaCPAが適用される可能性は、否定できないように思われる。

 (3) 適用除外

 上記ステップ1とステップ2をクリアしてCaCPAが適用され得ることとなる事業者についても、その事業者が行う或る商業上の行為の全ての側面がカリフォルニア州の外で生じている場合には、その個人情報の取得・売却にCaCPAは適用されない(1798.145(a)(6))。具体的には、①消費者がカリフォルニア州の外にいるときに事業者が個人情報を取得したこと、②カリフォルニア州で消費者の個人情報を売却する行為の一部を行っていないこと、及び③消費者がカリフォルニア州にいたときに取得した個人情報を売却していないこと、という3要件を全て満たす場合である。

 これを文字通り当てはめると、カリフォルニア州に居住している者が日本に旅行に訪れて、日本のレストランで何らかの個人情報を提供した場合(例えば、予約のために、名前と連絡先とを伝える等)には、そのレストランによる個人情報の取得についてはCaCPAの適用から除外されることになる。他方で、その者が旅行に出発する前にカリフォルニア州からレストランを予約して個人情報を提供した場合には、そのレストランによる個人情報の取得についてはCaCPAの適用から除外されないことになる。

 2 個人情報の定義

 個人情報とは、「特定の消費者若しくは世帯を識別し、関連付け、記述し、又は、直接・間接を問わず、それらと関連づけが可能であり、若しくは合理的に紐付けが可能な情報」をいう(1798.140(o)(1))。

 ここでいう「消費者」とは、いわゆる消費者ではなく、カリフォルニア州の住民と定義されている(1798.140(g))。具体的には、①一時的又はトランジット目的以外でカリフォルニア州に所在する者、及び②一時的又はトランジット目的で州外に所在するカリフォルニア州の居住者を指す(Section 17014 of Title 18 of the California Code of Regulations)。

 また、個人ではなく、世帯レベルで識別できれば足りるというのが特徴的である。例えば、スマートメーターのように家庭単位で取り扱っているデータについても、個人情報に該当する可能性がある。さらに、公に公開されている情報(連邦、州又は地方政府の記録から適法に利用可能な情報)が個人情報に含まれない(1798.140(o)(2))のも特徴的である。

 また、個人情報に該当する情報については例示列挙されているが(1798.140(o)(1)各号)、その範囲は広い。例えば、オンライン識別子やIPアドレスなどに加えて、音声・電子・視覚・温度・嗅覚その他の類似の情報が含まれるとされている点が注目される。また、近時AIによる個人データの分析・プロファイリングが注目されていることもあってか、消費者の指向・特徴・心理トレンド・行動・意見・知能・能力・適正に関するプロファイル作成のために、その他の個人情報から導き出された推測・推論も個人情報に含まれるとされている点も非常に注目される。

 3 消費者の権利の拡充

 CaCPAにおいては、以下の消費者の権利が認められている。

 (1) 透明性の確保・利用目的の制限

 事業者は、個人情報の取得時点までに、取得予定の個人情報の種類及びその利用目的を知らせなければならない(1798.100(b)第1文)。また、当該通知をした場合に、他の種類の個人情報を取得したり、他の利用目的で個人情報を利用したりしてはならない(1798.100(b)第2文)。

 そして、事業者は、オンラインのプライバシーポリシー、又はウェブサイトにおける消費者のプライバシー権に関する記述として、以下の事項を開示しなければならない(1798.110(c)、1798.130(a)(5))。また、少なくとも12ヶ月に1回これを更新しなければならない。

 (個人情報を取得する事業者が開示しなければならない事項)
 ① 過去12ヶ月間に消費者について取得した個人情報の種類
 ② 個人情報を取得した情報源の種類
 ③ 個人情報の取得・売却の事業上又は商業上の目的
 ④ 個人情報を共有する第三者の種類
 ⑤ 消費者について取得した個人情報の具体的内容
 ⑥ アクセス権、売却・開示のオプトアウト権と権利行使に際して差別されない権利(権利行使の方法を含む)
 ⑦ 報奨金プログラム(後記(6)参照)の通知と、そのプログラムの重要な条項についての明確な記述

 (個人情報を第三者に売却し、又は事業上の目的で開示する事業者が開示しなければならない事項)
 上記①から⑦までに加えて、
 ⑧ 過去12ヶ月間に売却した消費者の個人情報の種類、又は、消費者の個人情報を売却していない場合にはその旨
 ⑨ 過去12ヶ月間に事業上の目的で開示した消費者の個人情報の種類、又は事業上の目的で消費者の個人情報を開示していない場合にはその旨

 (2) 開示請求権

 消費者は、事業者から所定の事項の開示を受ける権利を有する。

 事業者は、消費者が開示請求する方法を最低2通り準備する必要があり、少なくとも、フリーダイヤルの電話番号と、事業者がウェブサイトを有する場合にはそのアドレスを含める必要がある(1798.130(a)(1))。

 (個人情報を取得する事業者に開示を求めることができる事項)
 ① 当該消費者について取得した個人情報の種類
 ② 個人情報を取得した情報源の種類
 ③ 個人情報の取得・売却の事業上又は商業上の目的
 ④ 個人情報を共有する第三者の種類
 ⑤ 当該消費者について取得した個人情報の具体的内容

 (個人情報を第三者に売却し、又は事業上の目的で開示する事業者に開示を求めることができる事項)
 ① 当該消費者について取得した個人情報の種類
 ② 個人情報が売却された第三者ごと、個人情報の種類ごとに、当該消費者について売却した個人情報の種類、及び個人情報が売却された第三者の種類
 ③ 事業上の目的で開示した当該消費者に関する個人情報の種類

 事業者は、原則としてこれらの開示請求の受領から45日以内に無料で開示に応じなければならない(1798.130(a)(2))。但し、請求内容の複雑さと数とを考慮して合理的に必要な場合には、請求の受領から45日以内に消費者に通知の上、その期間をさらに45日間延長することができる(1798.130(a)(2))。なお、過去12ヶ月以内に同じ請求がなされていた場合には、再度の請求に応じる必要はない(1798.130(a)(2))。

 開示の方法については、消費者が事業者に登録したアカウントがある場合には当該アカウントを通じることとし、そのようなアカウントがない場合には消費者の選択に従って郵送又は電磁的方法によることが求められる(1798.130(a)(2))。電磁的方法により提供される場合には、当該情報は、当該消費者が障害なくして当該情報を他の者に移転することが可能となるよう、技術的に可能な範囲で、持ち運びが可能であり、かつ、容易に利用できる形式でなければならないとされており、データポータビリティ類似の権利が認められている。但し、GDPRと異なり、第三者への直接転送までは認められていない(1798.100(d))。

 事業者は、開示請求に応じない場合には、開示の期限までに開示に応じない理由と、開示に応じない旨の決定を争う権利を消費者に通知する必要がある(1798.145(g)(2))。また、事業者は、消費者の開示請求が明らかに根拠がなく、又は過度なものである場合には、開示請求に費用を課したり、開示請求を拒絶する理由を消費者に通知した上で開示請求を拒絶したりすることができる(1798.145(g)(3))。

 (3) 消去請求権

 消費者は、事業者に対し、当該事業者が当該消費者から取得した当該消費者の個人情報を消去するよう要求する権利を有する(1798.105(a))。但し、個人情報を保持する必要があるとして列挙事由のいずれかに該当する場合には、事業者は、その要求に従う義務を負わない(1798.105(d))。その中には、「当該消費者と当該事業者との関係に基づいて、当該消費者の期待に合理的に一致した内部利用のみを可能とする目的」や「当該消費者が当該情報を提供した文脈に適合する正当な態様で、内部で当該消費者の個人情報を利用する目的」というように広汎に読める例外事由があり、今後の解釈の明確化が期待される。

 事業者は、消費者から消去請求権を行使された場合、原則として、自身の記録から当該消費者の個人情報を消去し、かつ、全てのサービスプロバイダーに対して当該消費者の個人情報をその記録から消去するよう指示しなければならない(1798.105(c))。

 (4) 個人情報の第三者への売却又は開示についての同意手続

 ア. オプトアウト手続

 消費者は、当該消費者の個人情報を第三者に売却する事業者に対し、いつでも自身の個人情報を売却しないよう指示する権利を有する(1798.120(a))。事業者は、情報が売却される可能性があり、消費者は自身の個人情報の売却についてオプトアウトの権利を有する旨を消費者に知らせなければならない(1798.120(b))。具体的には、以下のとおりである(1798.135(a))

  •  事業者は、その「Do Not Sell My Personal Information」というタイトルのページに、手続ページへのリンクを設けなければならない(なお、カリフォルニア州の消費者向けのホームページを別に追加的に作成してそこにリンクを設け、カリフォルニア州の消費者がそのホームページを閲覧することを確保するよう合理的な措置を講じることで足りる(1798.135(b)))
  •  プライバシーポリシー等において、オプトアウト手続の説明と、上記「Do Not Sell My Personal Information」というタイトルのページへのリンクを設けなければならない

 そして、個人情報を売却してはならない旨の指示を消費者から受けた事業者は、当該消費者の個人情報の売却を禁じられることになる(1798.120(d))。事業者は、その後最低12ヶ月間は、その消費者に個人情報の売却の承認を要請することができない(1798.135(a)(5))。なお、オプトアウトに関連して消費者から取得された個人情報は、オプトアウトの要求を遵守する目的でしか利用することができない(1798.135(a)(6))。

 イ. 未成年者についてのオプトイン手続

 16歳以下の消費者の個人情報については、オプトアウトは認められず、以下の要件を満たさない限り、そもそも売却は禁じられている(1798.120(d))ため、注意が必要である。

  •  13歳以上16歳以下の者については、本人が積極的に同意した場合
  •  13歳未満の者については、親権者又は保護者が積極的に同意した場合

 なお、消費者の年齢を意図的に無視した事業者は、消費者の年齢を知っていたものとみなされる。そのため、児童の個人情報を扱う事業者においては、年齢確認の仕組みをシステム上どのように組み込むかを検討しなければならないと考えられる。

 (5) 権利行使を理由とする差別の禁止

 消費者による権利行使を理由に差別することは禁止されている(1798.125(a)(1))。

 なお、これらの差異を設けることが、消費者のデータによって消費者に対して提供されている価値に合理的に関連している場合には、差別とみなされない(1798.125(a)(2))。

 (6) 個人情報の取得等への金銭的なインセンティブの付与

 個人情報の取得、売却、又は消去に対して報奨金を用いることができるものとされているが(1798.125(b)(1))、このような報奨金については消費者に通知し(1798.125(b)(2))、同意を取得する必要があり、報奨金プログラムの重要な条項について明確に説明し、かつ、消費者がいつでも取り消すことができるオプトインの同意を取得しなければならない(1798.125(b)(3))。なお、性質に照らして不当、不合理、強制的、又は法外な報奨金を用いてはならないものとされている(1798.125(b)(4))。

 4 サービスプロバイダーについての留意点

 上記3(3)で言及したサービスプロバイダーについては定義が設けられている(1798.140(v))。また、以下の要件を満たしている者は、上記3(1)等で言及した「第三者」の定義から除外されている(1798.140(w)(2)(A))。以下の要件を満たしている者は、わが国の個人情報保護法における「受託者」と類似した存在と観念されているものと解される。

  1.  書面による契約に基づいて個人情報の開示を受けていること
  2.  その契約で以下の内容が禁止されていること
     ・ 個人情報の売却
     ・ 契約に定められたサービスの履行以外の目的での個人情報の保持、利用又は開示
     ・ 事業者との直接のビジネス関係以外での個人情報の保持、利用又は開示
  3.  契約において、上記の禁止事項を理解し、かつ遵守する旨を確認(certification)していること

 これらの要件を満たしているサービスプロバイダーに対して個人情報を開示する事業者は、当該サービスプロバイダーがCaCPA上の「第三者」の定義から除外される結果、自社のプライバシーポリシーに記載する情報や、アクセス権を行使された場合に開示しなければならない情報である「第三者に開示する情報」の項目において、当該サービスプロバイダーに開示する情報を記載しなくともよくなると考えられる。

 また、これらの要件を満たした者に対して個人情報を開示した事業者は、個人情報を開示した時点においてその者による違反の意図を知らず、かつ知るべき理由もなかった場合には、その違反について責任を問われないとされている(1798.140(w)(2)(B))。

 したがって、サービスプロバイダーとしては、自らがCaCPAの適用を受けるか否かにかかわらず、CaCPA対応を行う事業者から上記の要件を満たす契約を締結するよう求められる(締結できないのであれば、他のサービスプロバイダーに乗り換えられてしまう)状況が生じることが見込まれる。すなわち、日本のサービスプロバイダーが、GDPR対応を行っている日本企業からGDPR28条3項に沿ったデータ処理契約の締結を求められているのと正に同様の事態が生ずることが見込まれる。従って、日本のサービスプロバイダーも、CaCPA対応を行う企業(日本企業を含む)との間で取引を継続するべく、上記の要件を満たす契約を施行日までに準備して締結することを検討する必要があると考えられる。

 5 エンフォースメント

 事業者によるCaCPA違反に対するエンフォースメントとしては、州司法長官が提起する訴訟における差止め又は民事罰と、消費者が提起する訴訟における救済手段とがある。

 まず、州司法長官は、事業者がCaCPAに違反したときは、その差止めか、1件(どのように1件をカウントするかは明記されていない)の違反につき最大2,500米ドル(故意の違反による場合には、最大7,500米ドル)の民事罰を求めて訴訟を提起することができる(1798.155(b))。但し、州司法長官が当該事業者にCaCPAに違反している旨を通知又は主張し、30日以内にその違反が治癒されなかった場合に限られる。なお、この州司法長官によるエンフォースメントの執行は、州司法長官が施行規則を公表してから6ヶ月後か、2020年7月1日のいずれか先に到来する日まで延期されている(1798.185(c))。

 また、消費者は、事業者が情報の性質に照らして合理的なセキュリティの手続及び実務を実現・維持する義務に違反した結果として「個人情報」が不正なアクセス等にさらされた場合には、以下のいずれかを求めて訴訟を提起することができる(1798.150(a)(1))。

  1.  1件(1名・1事案ごとに1件とカウントする旨が明記されている)の違反につき100ドル以上750ドル以下の法定損害又は実損のいずれか大きい額の賠償請求(クラスアクションも可能とされている)
  2.  差止命令又は確認判決
  3.  裁判所が適切と判断する救済措置

 但し、ここでいう「個人情報」は、CaCPAの他の条項で用いられている「個人情報」の定義とは異なり、氏名と、ソーシャルセキュリティーナンバー、運転免許若しくは州のIDの番号、銀行若しくはクレジットカードの情報、又は医療若しくは健康保険の情報との組み合わせに限られている(1798.81.5(d)(1)(A))。また、法定損害賠償を請求する場合には、消費者は、事業者に対し、違反した条項を具体的に指摘した書面通知を送付しなければならず、もし事業者が30日以内にその違反を治癒し、消費者に対し当該違反が治癒された旨と今後違反を行わない旨を書面で明示的に表明した場合には、法定損害の賠償請求はできなくなる(1798.150(b))。

 クラスアクションが可能であるため、大規模な個人情報の漏洩が生じた事案においては、多額の損害賠償請求がなされるリスクがあることに注意が必要である。

 6 日本企業の対応

 日本企業としては、まずは自社又はグループ会社がCaCPAのスコープに入る、又は解釈によっては入る可能性があるのかを確認することが重要である。

 そして、CaCPAが適用される会社では、①データ主体からの権利主張に対応することができるよう、社内規程、対応プロトコル(本人確認の手続、過去12ヶ月内に同様の請求がなされていないかの確認手続)及び社内態勢(オプトアウト手続のページとリンクの設置、フリーダイヤルの対応窓口の設置、アクセス権、消去権やデータポータビリティ類似の権利に対応できるシステム等)を整備するとともに、②プライバシーポリシーをアップデートすることが求められる。

 プライバシーポリシーについては、実務上、1つのグローバルポリシーを作成することにより対応するか、カリフォルニア州の住民向けの特別条項を入れることにより対応するかを検討する必要があろう。また、上記権利主張

この記事の続きをお読みいただくためには、法と経済のジャーナルのご購読手続きが必要です。

朝日新聞デジタル購読者(フルプラン)の方なら手続き不要

法と経済のジャーナル Asahi Judiciaryは朝日新聞デジタルの一部です。
有料(フルプラン)購読中の方は、ログインするだけでお読みいただけます。

朝日新聞デジタルのお申し込みはこちら

石川 智也(いしかわ・のりや)

 2005年に東京大学法学部第一類卒業、2006年に弁護士登録(司法修習59期)。2015年にバージニア大学ロースクール卒業(LL.M.)、2016年にミュンヘン知的財産法センター卒業(LL.M.)、同年にNoerr法律事務所ミュンヘンオフィス勤務。2017年に米国NY州弁護士登録。現在、西村あさひ法律事務所パートナー。
 データの保護と利活用に関する法制度を専門としており、日本の個人情報保護法・GDPRをはじめとするグローバルでのデータ規制への対応について多くの日本企業へのアドバイスに従事。
 近著に『個人情報保護法制と実務対応』(商事法務、共編著、2017年)、『資本・業務提携の実務〔第2版〕』(中央経済社、共編著、2016年)、『秘密保持契約の実務 作成・交渉から平成27年改正不競法まで』(中央経済社、共著、2016年)。

Facebookでコメントする

ご感想・ご意見などをお待ちしています。