プライバシー法

カリフォルニア州消費者プライバシー法が1月1日に発効

次の記事

3300円の中国製ワイヤレスイヤフォンの実力は?

議論を呼んだ米国カリフォルニア州のプライバシー法が1月1日に正式に発効する。議会で可決後に署名されて1年半が経った。本人の許可なく個人情報を売りさばく法律軽視のテック企業に鉄槌が下されるまであと6カ月だ。

カリフォルニア州消費者プライバシー法(CCPA)は州レベルの法律で、企業には個人情報を収益化する意図をユーザーに通知する義務を課し、個人には収益化をオプトアウト(拒否)する簡明な手段を与える。

基本的な考え方の概要は以下の通りだ。

  • 企業は、収集する情報、その事業上の目的、データを共有する第三者を開示する義務を負う
  • 企業は、消費者が正式にデータ削除を要求した場合、それに従う義務を負う
  • 消費者は自身の個人データ売却をオプトアウトでき、企業は報復措置として価格やサービスレベルを変更できない
  • ただし企業は、データ収集の許可を得るために「金銭的インセンティブ」を申し出ることができる
  • カリフォルニア州当局は、違反に罰金を科す権限を持つ

法律の詳細はここで詳述されているが、企業や規制当局への影響が完全に理解され、また実際に影響が出るまでにはおそらく何年もかかる。とはいえ、直ちに影響を受けることが明らかな業界はパニックに陥っている。

インターネットに頼る著名な企業がCCPAに公然と反対している。企業は「そんな規制は不要だ」と発言するのを注意して避けてきた一方で、この規制は不要だと表明している。企業が必要だと表明しているのは連邦法だ。

字面だけ見ればこれは正しい。連邦法であれば、より多くの人々が保護され、企業のペーパーワークが減る。企業は、自社のプライバシーポリシーと報告がCCPAの要件を満たすようにしなければならない。だが、企業による連邦規制の要求は明らかに牛歩戦術だ。連邦レベルでの適切な法案は、大統領が弾劾されようとしている選挙の年はもちろん、最適な時期であっても1年以上の集中的な作業が必要となる。

そのため、カリフォルニア州は賢明にも事を進め住民を保護する制度を整備したが、結果としてカリフォルニアに拠点を置く多くの企業の怒りを買うことになった。

1月1日のCCPA正式発効後、6カ月の猶予期間がある。これは正常かつ必要な措置で、悪意のない間違いによる法律違反が罰せられるのを防ぎ、システム内で必ず発生するバグに対応する目的がある。

だが6月以降は、違反1件につき数千ドル(数十万円)規模の罰金が科される。Google(グーグル)やFacebook(フェイスブック)などの企業規模ではすぐに巨額になってしまう。

CCPAへの対応は難しいが、欧州でのGDPR(EU一般データ保護規則)の運用が示しているように、不可能とはほど遠い。CCPAの要求はあらゆる点でGDPRより厳しくない。それでも、あなたの会社がまだコンプライアンスに取り組んでいないなら、始めることを推奨する。

画像クレジット:Lee Woodgate / Getty Images

参考:シリコンバレーが恐れる米カリフォルニア州のプライバシー法

[原文へ]

(翻訳:Mizoguchi)