shutterstock

写真拡大

◆2020年1月1日に施行されるカリフォルニア州消費者プライバシー法

 11月19日に、Google AdSense から一通のメールが届いた。「Important updates about the California Consumer Privacy Act (CCPA)」、カリフォルニア州消費者プライバシー法――通称 CCPA――、2020年1月1日に施行される法律についての更新のお知らせだ。

 CCPA は、ヨーロッパの「General Data Protection Regulation (GDPR) 」(一般データ保護規則)とよく比較される、プライバシーについての法律だ。GDPR は、2016年4月に制定され、2018年5月25日に施行された(参照:ジェトロ、NTTデータ先端技術株式会社)。

 GDPR 登場時の混乱は今でも覚えている。「制裁金が非常に高いらしい」「日本にいても引っかかるそうだ」「何をしなければならいのだ?」そうした意見が、多く飛び交った。個人でWebサイトを公開している人の中には、「とりあえず、ヨーロッパからのアクセスを全て遮断する」といったことをする人まで出た。

 個人や小さな事業者では、ヨーロッパの事情がよく分からず、大手の対応を見て追随しようとするパターンも多かった。大きな混乱が起きるかと思ったが、そうしたものはなく、大手サイトから順に、徐々に対応がおこなわれていった。

 最終的に、GDPR の登場以降、インターネット上での個人情報の扱いは厳しくなった。CCPA は、その方向をさらに後押しすることになりそうだ。というわけで、今後のインターネット上でのプライバシーについて今回は話をしよう。

◆ファーストインパクト、GDPR

 GDPR(一般データ保護規則)が登場した前後、ウェブ界隈はかなり騒然とした。多くのWebサイトでダイアログ(個人情報の取り扱いについて説明して同意を得るためのもの)が出るようになった。そうしたダイアログを出すためのキットも登場した。そして大手企業を中心に対応がおこなわれた。

 GDPR については、大きなポイントは2つあった。1つは、個人データの範囲の拡大である。IPアドレスや、クッキーといったオンライン識別子が、個人データとして定義された。そのため上述のように、クッキーの受け入れについて同意を得るためのダイアログが、多くのWebサイトで導入されることになった。

 2つ目は、対象となる事業者だ。EU に子会社や支店、営業所を有している企業だけでなく、EU にいる人に何らかの商品やサービスを提供している企業も対象になった。これは、アクセス解析や広告などで、EU 圏内にいるユーザーのデータを取得している場合も範囲に含まれる。

 上記のポイントは非常に端折った概略なので、実務に関わる人は専門の記事を読むとよいだろう。施行から時間が経ったために、ネット上に多くの詳細な記事やFAQが出そろっている(例:ジェトロ:GDPRに関わる実務ハンドブック(入門編))。

◆セカンドインパクト、CCPA

 CCPAの対象となるのは、カリフォルニア州で事業を行い、カリフォルニア州民の個人情報を収集している事業者だ。そこからさらに、年間収入や処理している個人情報の数など複数の条件があり、対象はかなり絞り込まれる(参照:ジェトロ)。そのため GDPR と違って、対象となる事業者は大幅に少ないだろう。

 しかし、個人情報の範囲は広い。直接または間接的に個人をたどることができる、あらゆる情報が対象となる。また、事業者に課せられた責任も重い。プライバシーポリシーを毎年更新しなければならない。そして、事業に関係のない消費者からも情報開示請求を受ける。この請求を受ければ45日以内に開示することが求められる。違反すれば1件ごとに罰金が科せられる。そのため膨大な開示請求が来て、処理がパンクするシナリオも考えられる。