2020年1月1日より、California Consumer Privacy Act 2018（カリフォルニア州 消費者プライバシー法、以下「CCPA」）が施行され、米国内のみならず、世界中でデータビジネスへの影響が懸念されている。またCCPA違反の摘発が開始される20年7月に向けて、目下、CCPAの施行規則ともいうべきCCPA Regulationsの制定が進められている。後編では、データビジネスへの影響に加え、CCPA Regulationsの最新情報も、中崎尚弁護士に聞いた。

法施行の影響はカリフォルニア州だけにとどまらず全世界に及ぶ可能性も（写真はイメージ、写真／Shutterstock）

［画像のクリックで拡大表示］

Q1　個人情報を外部に提供する際の注意点は何か。

A1　個人情報の販売・開示を行うに際して事業者は、（1）過去12カ月間に販売した個人情報のカテゴリーのリスト（販売がない場合はその旨）、（2）過去12カ月間に事業目的で開示した個人情報のカテゴリーのリスト（開示がない場合はその旨）を、プライバシーポリシーなどで公表しなければならない。これらの情報は最低12カ月に1回更新する必要がある。

　また、オプトアウトによる個人情報の提供が許容されているが、消費者の個人情報を第三者に販売する場合は、その可能性および消費者のオプトアウト手続きに関して、プライバシーポリシーなどで説明（tell）しなければならない。消費者は、事業者に対し個人情報を第三者に販売または開示しないよう請求する権利を有し、請求を受けた事業者は、その個人情報の販売・開示を禁じられ、また、少なくとも12カ月間は、許可を求めることを禁じられる。

　オプトアウト手続きの公表は、（1）手続きページへのリンクを、“Do Not Sell My Personal Information”というタイトルを冠したページ上に設置し、かつ、（2）プライバシーポリシーなどの中にオプトアウト手続きの説明と上記“Do Not Sell My Personal Information”ページへのリンクを設けることによって、行う必要がある。

　なお、16歳以下の消費者の個人情報については、上記のルールは適用されず、（1）13歳以上16歳以下の者については自身が積極的に（affirmatively）同意した場合、（2）13歳未満の者については親権者または保護者が積極的に同意した場合でない限り、販売は禁じられているので、注意が必要である。

CCPAは個人情報の価値によって、扱いに差をつけられる

Q2　個人情報の収集などに、金銭的なインセンティブの提供をすることはできるか。

A2　CCPAでは、例えば、データビジネスで個人情報を収集したいという場合に、金銭的なインセンティブの提供をすることが認められている。この際、データを収集する側としては、利用価値の高い個人情報を提供してくれた場合には、より魅力的なインセンティブを提供することで、価値の高い個人情報をできるだけ多く収集しようとするのは自然な流れである。

　CCPAでは、このように、個人情報の価値に応じて取り扱いに差をつけることが、明示的に認められている。個人情報の収集・販売などに対しその補償として金銭的なインセンティブを提供することができ（オプトイン形式で消費者に選択させる必要があり、また、いつでもその選択を認めなければならない）、その価値に応じてインセンティブに差をつけることも許容されている。

　ここはGDPR（一般データ保護規則）との大きな相違点であり、GDPRではこのような対応は、契約履行の条件として同意を強要するものとして、同意は無効とされる可能性がある。