消費者の権利管理 CCPA ー CPRAが執行
カリフォルニア州プライバシー権法規則(CPRA)の当初の施行日に間に合うよう2023年7月1日までにコンプライアンス対策を講じようと急いでいた企業は、昨年6月にサクラメント郡上級裁判所が施行日を2024年3月29日に延期するという土壇場の決定を下したことに安心したことでしょう。しかし、先週のカリフォルニア州第3区控訴裁判所の判決により、カリフォルニア州プライバシー保護局(CPPA)はCPRA規則の施行を直ちに開始できることになりました。CPRAには、消費者のプライバシー権要求の取り扱い、データの販売/共有に関するオプトアウトの仕組み、オプトアウトシグナルの強制認識に関する詳細な規則が含まれています。今後は、準拠対応と制裁の強化が予想されます。また、司法長官が先日、消費者の個人情報を販売・共有する事業者に対するオプトアウト要件のストリーミングプラットフォームによる遵守について調査を行う予定であることを示唆したように、消費者の権利の遵守が優先事項の上位に位置すると考えて差し支えないと言えます。ここでは、CPRAによる改正とCPRAの要件から、CCPAの下で利用可能な消費者の権利の範囲について概説し、消費者の権利要求のコンプライアンス対応を確保するために企業が取るべき実践的な措置について見ていきます。
I. 消費者の権利
CPRAによって改訂されたCCPAは、カリフォルニア州居住者に主に6つのプライバシー権を提供しています。
プライバシーの権利 | 説明 |
---|---|
データ削除 | 消費者は、事業者が収集した、または第三者に収集させた個人情報の削除を要求することができる。 ただし、事業者が情報を保持すること、または消費者との契約を履行することが法的に義務付けられている場合などは、データ削除の要件に例外が適用される。 |
データ訂正 | 個人は、事業者が消費者について保持している不正確な情報を訂正するよう求めることができ、事業者はそのような訂正を行うために商業上合理的な努力を払わなければならない。 |
知る権利・アクセス権 | 消費者は、事業者に対し、12カ月間に2回、以下の事項を開示するよう求めることができる。 • その個人について事業者が収集した個人情報のカテゴリー • その個人について事業者が収集した特定の個人情報 • データを取得した情報源のカテゴリー • 事業者が情報を使用する目的 • 事業者がデータを開示する第三者のカテゴリー • 事業者が第三者に販売、共有または開示する情報のカテゴリー |
データ販売・共有のオプトアウト | |
個人は、事業者に対して、個人情報の販売またはクロスコンテキスト行動広告のための共有の停止を要請することができる。このような要請を受けた事業者は、後に本人の同意がない限り、それ以上データを販売・共有することが禁止される。 | |
センシティブデータの開示の制限 | 消費者は、遺伝子データ、正確な位置情報、社会保障番号、財務情報などのセンシティブな個人情報を、個人が要求したサービスの提供や特定の列挙された事業目的など、限定された目的にのみ使用するよう企業に指示することができる。 |
公平な待遇 | 事業者は、消費者がCCPAの権利を行使することを理由に差別することはできない。 |
CCPAは、これらの権利をカリフォルニア州居住者に提供しています。カリフォルニア州居住者とは、一時的または一時的な理由でカリフォルニア州外にいる場合でも、カリフォルニア州に居住する者を指しています。従って、個人の地理的位置には依拠しません。要求を処理する事業者は、必要に応じて、消費者がカリフォルニア州の居住者であることの証拠の提出を求めることができます。
II. CCPAの権利要請を管理する一般的な手順
CCPAに基づく消費者のプライバシー権要求を管理する場合、要求の受領や要求者の特定など、全ての権利要求に共通するステップと、個々の権利で異なる対応があります。以下では、CCPAの要請を管理する際に必要となる「一般的なステップ」について説明します。
(A) 要求の受領
事業者は、プライバシーポリシーにおいて、消費者の権利について通知する義務があり、また、消費者に対し、要求の提出方法について説明する義務があります。また、事業者は、行使される権利の種類に応じて、権利要求を行うための特定の方法を提供しなければなりません。
削除・訂正・知る・アクセス権
事業者は、特定の数の「要求提出のための指定された方法」(郵送先住所、電子メールアドレス、ウェブページ、ウェブポータル、フリーダイヤル番号)、および司法長官が承認した事業者に連絡するための消費者に優しい以下のような新しい手段を提供する必要があります。
- 事業者がオンラインのみで事業を行っており、消費者と直接的な関係がある場合、要求提出のために電子メールアドレスを提供することのみが求められます。
- 事業者がオンラインのみで事業を行っているわけではない場合、2つ以上の指定された以下の方法を提供することが求められます。
- すべての企業はフリーダイヤルの電話番号を提供することが求められる。
- 企業がウェブサイトを持っている場合、要求の提出方法の1つはそのウェブサイトを経由する必要があります。(例:ウェブフォーム)
- 消費者が事業のアカウントを持っている場合、企業は消費者にそのアカウントを使用して要求を提出するように求めることもできます。
司法長官もCCPAも、「オンラインのみでの運営」または「消費者と直接的な関係を持つ」とは具体的に何を意味するのか述べていませんが、これは以下を意味すると推測されます。
- 事業者が物理的な顧客施設を持たず、ウェブサイトを通じてサービスを提供していること
- 加えて、企業が第三者を経由せずに自社の商品やサービスを顧客に直接提供すること
センシティブな情報の販売・共有をオプトアウトし、情報開示を制限する権利
(i) 個人情報を販売・共有する事業者、または (ii) センシティブな個人情報を使用・開示する事業者は、販売・共有のオプトアウト、および当該情報の使用または開示の制限の要求を提出するための指定された2つ以上の方法を提供することも求められます。提供される少なくとも1つの方法は、事業者が主に消費者とやり取りする方法を反映したものでなければなりません。オプトアウトの仕組みは、消費者にとって使いやすく、最小限のステップで済むものでなければならないことにも注意が必要です。(詳細については、CCPAを参照ください。)
多くの場合、事業者は、ウェブサイト上に「私の個人情報を販売または共有しないでください」または「私に関するセンシティブな個人情報の使用を制限してください」と書かれた、権利を行使するための明確で目立つリンクを提供しなければなりません。このリンクをクリックすると、直ちに希望する対応がなされるか、またはデータの販売・共有、使用・開示について知ることができ、対応について選択できるウェブページに誘導されます。これを簡素化するため、事業者は消費者に「代替オプトアウトリンク」を提供することができます。これは、個人が1つの仕組みを通じて、データの販売・共有からオプトアウトする権利と、データの使用・開示を制限する権利の両方を簡単に行使を可能にする、明確にラベル付けされた単一のリンクとして機能します。代替オプトアウトリンクの使用する事業者は、リンクのタイトルを「Your Privacy Choices」または「Your California Privacy Choices」とし、その隣に以下のオプトアウトアイコンを含める必要があります。
事業者はまた、グローバルプライバシーコントロールのようなOpt-Out Preference Signals(OOPS)を、一定の要件を満たす販売・共有のオプトアウトの有効な要求として取り扱わなければならない。
B) 本人確認
プライバシーの権利を行使する試みと同様に、ある個人に別の個人の個人データを提供するなど、関係するデータの違法な処理を避けるために、要請を受けた事業者が要請者の身元を確認することが重要である。
知る権利、削除する権利、訂正する権利については、事業者は「検証可能な消費者の要求」を受けなければならない。事業者は、商業上合理的な方法を用いて、個人情報を収集した消費者であることを特定する必要があります。一方で、データの販売・共有のオプトアウト要求や、センシティブな個人情報の使用・開示の制限要求は、確認可能な消費者の要求の受領を必要としません。
消費者が正規の代理人を通して要求を提出する場合、事業者はその代理人に対し、その消費者の署名付きの許可となる証拠を提出するよう求めることができる。
C) 対応時間
CCPAは、事業者が消費者の要求への対応期限を規定しており、これらの時間は権利の種類によっても異なります。
情報の削除、訂正、または知る・アクセス権について、事業者は以下を行わなければなりません。
- 10営業日以内に要請の受領を確認、そしてどのように対応するかについての情報を提供する。
- 要求の受領から45 日以内に最終対応を提供する。 (ただし、企業はこれをさらに 45日延長して合計 90 日にできる場合があります。)
これとは対照的に、データの販売・共有のオプトアウト要求およびセンシティブな個人情報の使用・開示の制限要求については、事業者は最大15営業日以内に対応しなければなりません。
(D) サービスプロバイダー、請負業者および第三者への通知
個人情報の削除または訂正の要求、または情報の販売・共有のオプトアウト、またはセンシティブな個人情報の使用・開示の制限の要求を受けた事業者は、関連するサービスプロバイダー、請負業者、および情報が販売、共有、または開示されたすべての第三者に通知する必要があります。
(E) 適用除外
事業者が消費者の要求に応じる必要がなくなる、一般的な例外がいくつかあります。例えば、連邦法、州法、地方法、民事法、刑事法、規制当局の調査、捜査等への準拠、法執行機関や政府機関への協力、法的請求の行使や防御のために、CCPAが課す義務が事業者の能力を制限するような場合です。また、医療情報など、分野特有の適用除外もあります。企業には企業秘密を開示する義務はなく、また家庭のデータには消費者の権利が適用されます。要求が明らかに根拠がない、または過剰である場合(反復的な要求など)、事業者は(i)要求の処理にかかる合理的な手数料(処理にかかるコストを反映したもの)を請求、または(ii)要求への対応を拒否し、その理由を消費者に通知することができます。要求が明白に根拠がない、または過剰であることを証明する責任は、免除を適用しようとする企業側にあります。
まとめ
これらの変更の重要性が高まった背景には、プライバシーに関連する問題や、データの使用に関する消費者の権利に対する意識の高まりがあります。意識が高まるにつれて、企業が直面する要求の頻度も増加の一途をたどっています。膨大な量だけでなく、複数の司法管轄区にまたがる要請を同時に処理することの複雑さや、各規制の枠組みに合わせてプロセスをカスタマイズする必要性は、企業にとって課題となり、多くの場合、多大なリソース投資が必要となります。規制当局による調査や取締りの脅威が迫る今こそ、企業はCCPAの厳格な要件を満たすために、適切な方針、手順、ツールを整備する必要があるでしょう。