はじめに

GDPR（EU 一般データ保護規則）が2018年5月に施行され、欧州地域から国境を超えた個人データの取り扱いについて、世界各国が対応しなければならない時代となりました。
現在でも手探りの部分はあるかと思いますが、プライバシー保護の認識が世界中で高まり、自分の個人データは自分で管理するという基本原則が少しずつ広まっているように感じます。

一方で個人データの処理や転送を行う企業（組織）は、本人からの求めに応じた対応手段を整備し、キチンとした安全対策を行わなければ巨額の制裁金が課せられる、ある意味キビシイ時代になったとも言えます。

そんな中、2020年1月からCCPA（カリフォルニア州消費者プライバシー法）が米国カリフォルニア州で適用開始となっており、こちらについても他国への影響が避けられない内容となっています。世界中でプライバシー関連法の整備が進む中でも、特に注目したいCCPAの概要を説明したいと思います。

• ＊なお、本内容は2020/1/15現在の公開情報を参考にして作成しており、条文改正などによる修正変更の可能性があることをご考慮ください。

CCPAとは何か？

CCPAとは「カリフォルニア州消費者プライバシー法（CCPA：California Consumer Privacy Act）」の略称であり、米国カリフォルニア州で2020年1月から適用開始となるプライバシー法のことを言います。カリフォルニア州の住民（以下、「住民」と呼ぶ＊１）に対するプライバシー保護を定めた州法であり、住民にプライバシーに関連する権利を与え、住民の個人情報を利用する事業者には適正管理の義務を定めたものになります。

• ＊1 条文では「住民」ではなく「Consumer（消費者）」と表現されています。

CCPAが注目される理由

カリフォルニア州はアメリカ西海岸地域の一つであり、米国の数ある州の中でも最も人口が多く（2018年度で約4000万人）、経済活動が活発な州であります。
州のGDPは2017年で2兆7470億ドルであり、単独の州でありながら先進国TOP5に入る経済規模を誇る州となっています。世界的に有名なIT業界が集約するシリコンバレーや映画産業のハリウッド、ディズニーランドでお馴染みのディズニー・カンパニーなど、優良企業が集まる強力打線になっています。

米国の中でも影響力をもった州であり、CCPAが施行されることによって、他の州も「ワイらもちゃんとやらなあかんな。。」といったように追随する可能性が高くなりそうです。このような動きに対して、連邦法としてプライバシー関連法を整備しようという動きもありますが、実現するかどうかは今のところわかりません。

ただ、GDPRが欧州地域の統括的なプライバシー法になったと同様に、CCPAが米国でのプライバシー法の礎となる可能性があることから、日本を含め他国でも対岸の火事とは言えず、GDPR施行時のように「えらいこっちゃで。。どないしよ。。」というように注目を集めている理由になっています。

個人情報の定義

個人情報の定義は第1798.140条（o）(1)に記載されています。幅広い情報を個人情報と定義しており、具体的事項も含めて細かく記載されていますが、「限定されるわけではない」、「これに限られない」などの表現もあるため、記載されている以外の情報も場合によっては個人情報として取り扱うことを意味しているようです。

CCPAの適用対象

CCPAの適用対象については第1798.140条のあたりに記載されています。条文を読むと大きく3つほどのカテゴリーがあると思われますが、住民の個人情報提供関係や契約によって、この他にも適用対象に含まれるエンティティ（entities）があるようです。

CCPAの適用対象（事業者）その1

事業者（Business）の説明としては、第1798.140条（c）に記載があります。
CCPA対応のキモになる箇所なので原文の日本語訳をまず記載します。

CCPAの適用対象（事業者）その2

事業者（Business）の説明をもう少し分かりやすくすると以下のようになります。
一見すると条件が厳しく、影響があまり無いように感じますが、いくつか注意点があります。

CCPAの適用対象（サービス提供者）

サービス提供者（Service Provider）　の説明としては、第1798.140条（v）以外にも、執行規則案（§999.314. Service Providers）にも記述があります。
GDPRの「Processor」の役割に近く、事業者との契約に基づき住民の個人情報の「処理（Processing）」を実施する営利目的のエンティティとして理解すればいいと思います。

CCPAの適用対象（第三者）

第三者（Third party）の説明としては、第1798.140条（w）以外にも、個人情報を住民から直接収集しないエンティティとして執行規則案（§999.301(e)）にも記述があります。
具体的なエンティティの記載例がありますが、これらに限らないという点に注意が必要です。

また、住民の個人情報を保持しているが営利目的でない場合（非営利団体等）でも、CCPAを無視した住民の個人情報販売、目的外使用等は禁止されているため、違反していないことをカクジツにするための確認作業が必要になると考えられます。

CCPAの主な内容（プライバシーの権利）

CCPAの目的の一つ住民のプライバシーの権利の概要は主に以下のようになります。
自身の個人情報に関する開示請求、削除、販売停止などの権利があることが定められています。

CCPAの主な内容（事業者の義務）

CCPAの目的の一つ事業者の義務の概要は主に以下のようになります。
事業者の義務は条文の他にも執行規則案の遵守も必要になるため、適用対象となりえそうな場合はこちらも理解しておく必要があります。（24カ月間の記録の保管など条文で記載の無い事項もあります。）

ボリュームが多いため、今回は条文の主要な箇所を目次レベルで紹介します。

民事制裁金と民事訴訟

CCPAの義務違反を行った場合、カリフォルニア州司法長官提訴による民事制裁金と住民による民事訴訟による賠償金請求の可能性があります。 なお、住民による民事訴訟で対象となる個人情報の定義は別途定められており、よりセンシティブな個人情報を対象としています。

合理的なセキュリティ対策とは？

第1798.150条ではセキュリティ対策についても少し記載があり、住民の個人情報へのアクセスコントロール、暗号化対応などが求められているようです。

また、執行規則案でも「合理的なセキュリティ対策を実施する」などの記載がいくつかあり、セキュリティ対策が必要なことは記載していますが、具体的に「どこまで何をやれ」ということは記載されていません。
NIST、ISO/IEC、CIS、などさまざまな機関、団体からセキュリティ基準が発行されていますが、カリフォルニア州司法長官が過去（2016年）に公表したデータブリーチレポートでは、CIS（Center For Internet Security）の「CIS Controls」を推しているようです。

より具体的な内容はガイドライン待ちかとも思いますが、適用対象になる可能性がある場合は、最低限のセキュリティ対策として「CIS Controls」を目安としたセキュリティコントロールのチェックから始めてみるといいのではないでしょうか。

【参考】CIS Controls　ver7 （Control 1 ～ Control 20）

主な参考文献

• 個人情報保護委員会
  「カリフォルニア州消費者プライバシー法 2018年 条文　（2019年8月29日時点） 」
• JETRO
  「施行が迫る「カリフォルニア州消費者プライバシー法」（米国）」
  「カリフォルニア州消費者プライバシー法(CCPA)実務ハンドブック」
• California Legislative Information
  「TITLE 1.81.5. California Consumer Privacy Act of 2018[1798.100-1798.199] 」
• California Attorney General
  「California Consumer Privacy Act (CCPA) FACT　SHEET」
  「Text of Proposed Regulations - California Consumer Privacy Act(CCPA)」
  「California Data Breach Report　February 2016」
• CIS
  「CIS Controls version 7」

• ＊本文書中の翻訳文書は、NTTデータ先端技術株式会社により情報提供されています。
  これは、本項「主な参考文献」にて公開される文章の、非公式の翻訳を含みます。
  英文が公式版であるとみなされ、翻訳文と英文においての曖昧さや不明瞭さについては、英文が優先されます。
  NTTデータ先端技術株式会社は、本翻訳文書に含まれる過失に対する責任を負いません。

Writer Profile

セキュリティ事業本部
セキュリティコンサルティング担当 チーフコンサルタント
平井 功治

• セキュリティサービス