2020年1月1日より、California Consumer Privacy Act 2018（カリフォルニア州 消費者プライバシー法、以下「CCPA」）が施行され、米国内のみならず、世界中でデータビジネスへの影響が懸念されている。またCCPA違反の摘発が開始される20年7月に向けて、目下、CCPAの施行規則ともいうべきCCPA Regulationsの制定が進められている。前編では、CCPAの概要と懸念されるデータビジネスへの影響を中崎尚弁護士に聞いた。

法施行の影響はカリフォルニア州だけにとどまらず全世界に及ぶ可能性も（写真はイメージ、写真／Shutterstock）

［画像のクリックで拡大表示］

Q1　CCPAとは何か。

A1　California Consumer Privacy Act 2018（カリフォルニア州 消費者プライバシー法）は、米国カリフォルニア州の住民の個人データを保護するために2018年6月に制定されたカリフォルニア州の州法である。これまで米国内では、個人データ保護に関する特定の分野のみに適用される法律はあったものの（例えば、医療分野やクレジットカード分野）、日本の個人情報保護法やEU（欧州連合）のGDPR（一般データ保護規則）のように、分野を横断する統一的な法律は存在していなかった。CCPAは、米国内において、分野を横断して個人データを保護する初めての法律として、大いに注目を集めている。

Q2　カリフォルニア州の法律が世界中で注目を集めているのはなぜか。

A2　CCPAには、域外適用の定めが含まれており、世界中どこの事業者も、CCPAが適用される可能性があることから、GDPRと同様に、世界中で注目を集めている。特にオンラインサービスやアプリをカリフォルニア州向けに提供している場合、州内に拠点がなくとも適用される可能性が高い。さらに、一定の場合には、カリフォルニア州に拠点を置く事業者を傘下に持つ、州外に本社のある親会社も、CCPAが適用されると定められている。このように、GDPRとは異なる独自の域外適用のルールを定めていることから、世界中の各事業者は、CCPAについても、自社に適用されるのではないか検討せざるを得ない状況に追い込まれている。

Q3　CCPAはGDPRとどのように異なるのか。

A3　GDPRが包括的なルールとして、個人データの取り扱い（処理）のあらゆる場面を規律するのに対して、CCPAはいくつかの限定的な場面のみを規律するにとどまっているのが、最大の相違点である。また、保護対象である個人情報の定義および範囲や、個人情報の提供に関するルールも異なっており、後述するように、これらの差異はデータビジネスに大きく影響してくると考えられる。その他、個人情報の主体が保有する権利や、個人情報の主体に対して通知すべき事項にも差異があることから、事業者としては、プライバシーポリシーやウェブサイトの構成に関して、GDPRとは別個に、CCPA対応を準備する必要が生じている。