2020年1月1日に施行される新しいプライバシー法があり、誰もがコンプライアンスの実施を急いでいます。ご存知ですか?前にもこんなことがあったような…というあなた。私たちも、GDPRのことを明確に覚えています。

GDPR(一般データ保護規則)は欧州連合の市民のプライバシーを保護するための包括的な法律ですが、今回の新しい法律はカリフォルニア州の居住者のプライバシーに関係しています。カリフォルニア州の個人情報をより詳細に管理するための法律である、2018年成立のカリフォルニア州消費者プライバシー法(CCPA)をご紹介します。

このガイドでは、次のことをご説明します。

このガイドは情報提供のみを目的としており、法的助言と見なされるべきではありませんのでご注意ください。

CCPA(カリフォルニア州消費者プライバシー法)とは?

CCPAは、2018年6月28日に成立したプライバシー法です。この法律の元となるものは、2017年11月の州投票(州民発案)として不動産開発者から提案されました。発案者は、カリフォルニア州議会に、同様のプライバシー法が可決された暁にはこの法案(その内容は企業にとってはかなり厳しいものでした)を撤回するという取引を提案。

議会は、計7日間で、元の案を土台にして独自の法案を作成しました。その後、この法律はさらに数回改正され、カリフォルニア州司法長官もこの新しい法律の要件を明確にすることを目的とした規則案を公開しました。CCPAの全文はは既に公表されており、可決した修正はこちら、提案された規則案はこちらから確認できます。

議会によると、CCPAは次の理由で可決されたとのことです。

  1. テクノロジーの成長により、カリフォルニア州民のプライバシーを適切に保護する施策が制限されている
  2. カリフォルニア州法は、消費者が日々多くの個人情報を企業と共有しているという事実に追いつけていない
  3. 個人情報の不正開示とプライバシーの欠損は、人々に壊滅的な影響を与える可能性がある
  4. Cambridge Analytica スキャンダルにより、プライバシー管理とデータの扱いにおける透明性を求める声が勢いを増している

最後に、人々がプライバシーを保護し、情報をより詳細に制御できることを望むのは明らかであり、その要望を満たすためにCCPAは可決されました。GDPRと同様に、CCPAは消費者、またはこの場合は、カリフォルニアの居住者に特定の権利を提供することにより、これを実現します。具体的な権利は次のとおりです。

  1. 自分について収集されている個人情報を知る権利
  2. 自分の個人情報が販売または開示されているかどうか(または誰に対してそれが行われているか)
  3. 個人情報の販売に対して「ノー」と言う権利
  4. 個人情報の削除を要求する権利
  5. 個人情報にアクセスする権利
  6. プライバシー権を行使しても、サービスと価格を平等に享受する権利

CCPAは誰に適用されるのか

このプライバシー法の難しく、時に最も紛らわしくなる部分がこちら—この法律が、あなたのビジネスに適用されるかどうかです。プライバシー法は、企業ではなく、特定の州または国の居住者や市民の個人情報を保護するために作成されています。

つまり、カリフォルニア州外の企業がこの法律の対象となる可能性は十分にあります。CCPAは、カリフォルニアでビジネスを行い、次のいずれかの基準を満たす営利法人として定義される「事業」に対して適用されます。

  1. 年間総収入が25,000,000ドルを超える
  2. カリフォルニア州の50,000人以上の消費者、家庭、またはデバイスの個人情報を、ビジネスまたは商業目的で毎年、売買または共有する
  3. カリフォルニア州の消費者の個人情報を販売することで、年間収益の50%以上を獲得している

CCPAが大企業のみに適用される—そう理解しているあなた、部分的に正解です。「個人情報の販売」が非常に広範囲に定義されているため、CCPAコンプライアンスの大部分はベンダーが管理することになります。

つまり、大企業と取引をしたり、大企業のベンダーとして何かを行う場合、あなたの会社も契約を通じ、CCPAに準拠することが求められる場合があります。したがって、上記のしきい値を満たしていない小さな会社であっても、このような項目に注意を払い、遵守する必要があることも。

さらに、大規模でCCPAに準拠する必要がある企業向けにウェブサイトを設計する場合にも、注意が必要です。この法律はサイトの設計のあり方に影響を及ぼします。

CCPAに準拠しないとどうなるのか

CCPAは通常、カリフォルニア州司法長官により執行されます。違反に対する罰金は、違反ごとに2,500ドル、意図的な違反ごとに7,500ドルです。「違反ごと」とは、一般に、プライバシー権を侵害した「人ごと」を意味すると解釈されています。

したがって、カリフォルニア州から100人のウェブサイト訪問者がいて、プライバシーポリシーに準拠していない場合、罰金は最大250,000ドルになる可能性が。これがいかにして膨大な数になり得るのか、想像に難くありません。

契約を通じてのみCCPAを順守する必要がある場合でも、違反の結果として、その顧客との取引関係が失われる可能性があります。CCPA準拠のウェブサイトを構築する必要がある場合、コンプライアンス違反の結果、クライアントには罰金が科され、その結果として訴えられる可能性も、ウェブデザイン事業に大打撃となる悪い口コミが投稿される可能性もあります。

WordPressウェブサイトでCCPAに準拠するためにすべきこと

CCPAに準拠する必要のあるWordPressウェブサイトをお持ちでしょうか。そんな方のために、CCPAに準拠するためのいくつかの手順をご紹介します。詳細は以下の通りです。

なかなかの仕事量を予想していますか?…御察しの通りです。ただ心配する必要はありません。この記事では、準備に役立つツールやリソースもご紹介します。

プライバシーに精通した弁護士を雇う

すぐにご理解頂ける事と思いますが、CCPAに準拠するためには多くのことをこなす必要があります。そして、法律と規制は、解釈が難しい分野です。

正しい方向性が不明であれば、まずは、プライバシー関連法を専門とする弁護士を雇うことが重要でしょう。プロに正しい方向へと導き、状況に即した貴重なアドバイスを提供してもらうことです。

どの弁護士にお願いすればいいのかわからない場合は、プライバシー分野で働くInternational Association of Privacy Professionals(国際プライバシー専門家協会)の法律事務所一覧をご覧ください。

どの個人情報を収集しているのか理解する

CCPAでは、収集する個人情報のカテゴリーを消費者に伝えることが義務付けられています。ウェブサイトを調べてこれのリストを作成してください。

すべてのページとすべてのフォーム(お問い合わせフォームニュースレターサインアップフォーム、アカウント作成フォーム、 コメント送信フォーム決済フォーム、そして使用する可能性のあるその他全てのフォームとそれに付随するプラグイン)を確認しましょう。

たとえば、以下にあるように、投稿にコメントを追加するために使用されるWordPressデフォルトのフォームは、名前とメールを収集します。

Kinstaのコメントフォーム
Kinstaのコメントフォーム

また、他のソースから収集した個人

のリストもまとめましょう。 アナリティクスソフトウェア、Hotjar、eコマース決済ページやWordPress登録ページの情報などなど。

次に、これらのフォームから収集した個人情報を、消費者が簡単に理解できるカテゴリーに分類します。個人情報のカテゴリーの例には次のものがあります。

  1. 個人を識別する情報
  2. 財務情報
  3. 商業情報
  4. 生体情報
  5. インターネット活動情報
  6. 位置情報

どのソースから個人情報を収集しているのか理解する

CCPAでは、個人情報収集のソースを開示する必要があります。ソースの例には次のものがあります。

  1. 消費者から直接
  2. 意識調査
  3. 追跡ピクセル
  4. クッキーの使用等によるアクティビティの監視と記録
  5. データ販売業者

個人情報を第三者に開示しているかどうか理解する

CCPAでは、個人情報を第三者に開示しているかどうかを明確に公開することを義務付けています。データを共有しているかどうか尋ねられたとき、ほとんどの人の最初の答えは少し気分を害しながら「いいえ」でしょう。

でもちょっと待ってください。ウェブサイトとの統合について考えてみてください。

ニュースレター購読機能は、MailChimpなどのメールマーケティングツールと直結していませんか?

フォームから提供された情報は、HubSpotなどの顧客関係管理ツールに送信されていませんか?

ウェブ開発者は、フォームからデータが送信されるたびにアラートを受け取っていませんか?

もしそうなら、あなたは第三者とデータを共有しているので、それを開示する必要があります。

「Do Not Sell My Personal Information(私の個人情報を販売しない)」ページを作成する

カリフォルニア州の消費者の個人情報を販売する場合、「Do Not Sell My Personal Information」または「Do Not Sell My Info」というタイトルのウェブページが必要です。このページには、次の情報を含める必要があります。

  1. 個人情報の販売を拒否できる消費者の権利の説明
  2. 消費者が拒否のリクエストを送信するためのウェブフォーム
  3. 消費者が拒否のリクエストを送信するためのその他の方法についての手順
  4. プライバシーポリシーページへのリンク
  5. 消費者が代理人を指定して拒否のリクエストを送信したい場合に必要となる証拠(書類など)の種類

以下に、「Do Not Sell My Personal Information(私の個人情報を販売しない)」ページへのハイパーリンクを含むサイトトップページのフッターの例を示します。

「Do not sell my personal info」ページの例
「Do not sell my personal info」ページの例

プライバシー通知を作成する

CCPAでは、個人情報を収集する際にカリフォルニア州の消費者にプライバシー通知を提供することを義務付けています。

CCPAの定めるところにより、消費者が個人情報の収集に同意する必要はないので、この違いには留意してください。これは、GDPRで見られる要件とはまったく異なります。

プライバシー通知は、“ミニ”プライバシーポリシーのようなものです。収集される個人情報、使用目的、その他の開示について簡潔な説明をするために提供されます。

通知は、読みやすく、一般の人が理解できる方法で構成し、消費者に提示する必要があります。通知は以下に準拠する必要があります。

  1. 簡潔でわかりやすい言葉を使用し、技術用語や法律用語を避ける
  2. 消費者の注意を引く書式を使用し、通知を(小さい画面であっても)読みやすくする
  3. 契約、免責事項、セールのお知らせ、またはその他の情報を消費者に提供するのと同じ言語で用意する
  4. 障がいのある消費者がアクセスできるようにする

プライバシー通知の内容には、次の情報を含める必要があります。

  1. 消費者から収集する個人情報カテゴリーの一覧:掲載する各カテゴリーは、収集した個人情報について、消費者の有意義な理解を助けるものにする必要あり
  2. 情報の各カテゴリーについて、それが使用されるビジネスや商業の目的
  3. 個人情報を販売する場合には、「Do Not Sell My Personal Information(私の個人情報を販売しない)」または「Do Not Sell My Info(私の情報を販売しない)」という文言のリンク:このリンクは、消費者が個人情報の販売を拒否する権利を行使するのに使えるウェブページにつながっていなければならない

プライバシー通知を作成したくない場合は、個人情報を収集するときにプライバシーポリシーページへのリンクを消費者に提供することもできます。以下は、カリフォルニア州固有のプライバシー通知の例です。

カリフォルニア州固有のプライバシー通知
カリフォルニア州固有のプライバシー通知

California-specific Privacy Notice

プライバシーポリシーを作成する

CCPAでは、プライバシーポリシーも義務付けています。プライバシーポリシーの目的は、個人情報の収集、使用、開示、販売に関する慣行、そして、CCPAのもと消費者が享受するプライバシーの権利を消費者に説明することです。

プライバシーポリシーは、プライバシー通知と同じ、読みやすさ、形式、可用性、アクセシビリティの要件を満たす必要があります。

ただし、プライバシーポリシーは、これに加えて、消費者が簡単に印刷できる別の形式でも用意する必要があります。プライバシーポリシーは、ウェブサイトのトップページに「privacy/プライバシー」という言葉を使用した目立つリンクを使うことでウェブサイトに掲載する必要があります。

プライバシーポリシーには次の情報が含まれている必要があります。

  1. CCPAに基づくカリフォルニア州の消費者の権利についての説明
  2. 消費者が自分の権利を行使し拒否のリクエストを送信するために利用できる、少なくとも1つの方法:個人情報を販売する場合、「Do Not Sell My Personal Information(私の個人情報を販売しない)」または「Do Not Sell My Info(私の情報を販売しない)」という文言のリンクを用意し、リンク先で消費者が個人情報の販売を拒否できるようにすること
  3. 過去12か月間に収集した個人情報のカテゴリーの一覧
  4. 個人情報を収集するソースのカテゴリーの一覧
  5. 個人情報を使用するビジネスまたは商業上の目的
  6. 過去12か月間に販売した個人情報のカテゴリーの一覧と、その個人情報を販売した第三者のカテゴリーの一覧:個人情報を販売していない場合は、「販売していない」という事実を開示する必要あり
  7. 過去12か月間に開示した個人情報のカテゴリーの一覧と、この個人情報を開示した第三者のカテゴリーの一覧:個人情報を開示していない場合は、「開示していない」という事実を開示する必要あり
  8. 消費者が適格の代理人を指定し、自分に代わりプライバシーの権利を行使、拒否のリクエストを出す方法
  9. 消費者が質問や懸念について連絡できる連絡先
  10. プライバシーポリシーが最後に更新された日付
  11. 年間4,000,000人以上のカリフォルニア州の消費者の個人情報を販売している場合は、追加の情報を開示する必要あり

CCPAへの準拠に役立つツールとリソース

以上のコンプライアンスや開示の規則はすべて、気が遠くなるように思えるかもしれません。しかしありがたいことに、ウェブサイトやビジネスをこれに準拠させるのに便利なツールがいくつかあります。

Termageddon

termageddon
Termageddon

Termageddon:個々の事業向けにプライバシーポリシーを生成する「サービスとしてのソフトウェア」です。法律が変更されるたびにクライアントのプライバシーポリシーを更新し、ポリシーを常に最新の状態に維持します。

CCPA Toll Free

CCPA Toll Free
CCPA Toll Free

CCPA Toll Free:CCPAは、一部の企業に対して、プライバシーの権利を行使するために消費者が使用できる方法の1つとして、フリーダイヤルの電話番号を用意することを義務付けています。CCPA Toll-Freeは、この要件を満たすために活用できます。

Orrick’s CCPA Readiness Assessment

CCPA Readiness Assessment
CCPA Readiness Assessment

OrrickのCCPA Readiness Assessment:このツールを使用すると、単純な質問に「はい」または「いいえ」で答えるだけで、CCPAの準備がどの程度整っているかを理解できます。このツールは、準備のための一種のチェックリストとしても使用できます。

CCPA Opt-Out by CookiePro

WordPressプラグイン「CCPA Opt-Out」
WordPressプラグイン「CCPA Opt-Out」

CCPA Opt-Out:このプラグインを使用すると、「Do Not Sell」ボタンを自分のサイト用にカスタマイズしてウェブサイトに追加することができます。

IAPP

IAPP
IAPP

IAPP:国際プライバシー専門家協会は、世界最大のプライバシーを扱うグループです。プライバシーニュース、リソース、ベンダー情報が絶えず更新されているので、要チェックです。

KinstaとCCPA

Kinstaはデータのプライバシーとセキュリティに取り組んでおり、カリフォルニア州の消費者の個人情報を第三者に販売することはありません。詳細については、プライバシーポリシーおよび利用規約の15条をご覧ください。

まとめ

CCPAの適用範囲はGDPRほど多岐に渡りませんが、それでも非常に大きなテーマであり、軽視すべきではありません。

CCPAはアメリカ初の試みであり、他の州も現在カリフォルニアの例を追うかたちとなっています。実際、2019年末現在、9つの州が独自のプライバシー法案を提案しています。

これらの法案は、CCPAをインスピレーションとして使用しているか、または、CCPAの実質的なコピーです。CCPAがより多くのプライバシー規制への道を開き、オンラインにおけるプライバシーコンプライアンス要件がすぐになくなることは、まずあり得ないでしょう。

続いては、あなたの番です。CCPAをどう思いますか?あなたのサイトは準備を進めていますか?コメント欄からお知らせください!

Donata Kalnenaite

Donata Kalnenaite is a privacy and technology attorney that helps others understand and comply with privacy laws. She is the President of Termageddon, a Privacy Policy generator that automatically updates its clients' policies whenever the laws change. Follow them on Twitter to keep up to date with all things privacy: @termageddon.