【一問一答】「 CPRA 」とは?: CCPA より強力な、加州の新プライバシー法案

カリフォルニア州消費者プライバシー法(California Consumer Privacy Act:CCPA)は今年ようやく施行されて、違反事案への適用も7月1日に開始されたばかりです。

それにもかかわらず、カリフォルニア州では、年内にふたつめのプライバシー法案が可決されるかもしれません。その名も「カリフォルニアプライバシー権利法(California Privacy Rights Act:CPRA)」です。これは基本的に、CCPAの強化版となっています。

いつもの「一問一答」シリーズで解説します。

──カリフォルニアプライバシー権利法とは、どんな法律ですか?

カリフォルニアプライバシー権利法(CPRA)は、事実上、2018年6月にカリフォルニア州議会で可決された、カリフォルニア州消費者プライバシー法(CCPA)の補足条項です。CCPAは2020年1月1日に施行され、カリフォルニア州司法局は同法の適用を7月1日に開始しました。ですがCPRAに関しては、現時点では、住民投票による立法手続きが進行しているにすぎません。カリフォルニア州州務長官は、6月24日、CPRAを11月に予定されている同州の住民投票にかけると発表しました。仮に承認されたとしても、CPRAの施行は2023年1月1日まで猶予されます。ただし、CCPAが施行前年に収集されたデータに遡及適用されたのと同様に、CPRAも2022年1月1日以降に収集されたデータに遡って適用されることになるでしょう。

──カリフォルニア州では、なぜ追加のプライバシー法が必要なの?

CPRAを推進するプライバシー保護団体「カリフォルニアンズ・フォー・コンシューマ・プライバシー(Californians for Consumer Privacy)」は、今年施行されたばかりのCCPAだけでは、自分たちのプライバシーを十分に守れないと考えているのです。のちにCCPAとして成立する法案を住民提案したのも、活動家のアラステア・マクタガート氏率いるこの団体です。新法提案の経緯は彼らがよく分かっているでしょう。

──CPRAによる追加規制のポイントは?

まず、カリフォルニア州のプライバシー保護法令の執行を専門に扱う行政機関として、「カリフォルニア州プライバシー保護庁(California Privacy Protection Agency)」を設置します。CCPAの法執行を担当するのはカリフォルニア州司法長官室ですが、同州の法執行全体を担う機関であるため、処理すべき案件をいくつも抱えているからです。CCPAの運用に必要な執行規則の最終案が、運用開始まで1カ月を切った6月2日にようやく提出されたのも、この忙しさゆえかもしれません。CCPAとCPRA専属の執行機関を創設すれば、結果的に、コンプライアンスの調査件数や、潜在的に処罰される企業の数は増えるでしょう。

さらに、CPRAのもとでは、ある企業が収集したカリフォルニア州住民の個人情報を、別の企業と共有する場合、前者は後者のデータ利用に責任を負わなければなりません。たとえば、企業がサービスプロバイダー(パブリッシャーのデータを処理して、広告のターゲティングを行うアドテク企業など)を使う場合、この企業は、事前の取り決めがないかぎり、サービスプロバイダーがプロファイリングを目的とした自社のデータベースにカリフォルニア州住民のデータを登録しないように監視する義務を負います。

しかも、サービスプロバイダーたちは、企業が収集した個人情報に関して、消費者当人から何らかの要請(たとえば削除の要請など)があれば、この要請に応じる手助けもしなければなりません。さらに、CPRAは、消費者に対して、企業が集めた個人情報をあとから修正する権利をも付与するものです。結果的に、消費者がアドテクのエコシステムに対して、「その靴は3カ月前に購入したので、リターゲティングはもうやめて」と言える日ががついにやって来るのかもしれない。

──ちょっと待ってください。さきほどの話では、企業がCCPAを遵守するために必要な執行規則は6月2日まで利用できなかったのでは?

必ずしもそうではありません。州司法長官室はCCPAの執行規則の原案を10月に公開しています。その後パブリックコメントの期間が設けられ、改訂改訂を重ねました。決定稿は3月に出された最後の草案と内容的に大きく異なるところはなく、CCPAでは「追跡拒否(Do Not Track)」のシグナルがオプトアウトとして解釈されることが確認されています。いずれにしても、CCPAは7月1日から執行可能であるとはいえ、実際の運用はカリフォルニア行政法局によるCCPAの執行規則承認を待たなければなりません。7月2日現在(原文記事掲載日時)、この執行規則案は依然として審査中の状態です。

──CCPAすら未確定であるのに、企業はもうひとつ別のプライバシー法にも準拠しなければならないのですか?

そういうことですね。反面、CCPAでは曖昧な「(データの)販売」の定義が、CPRAでは明確化されていることから、企業にとっては準拠の要件が理解しやすくなるかもしれません。

──CPRAでは、データの「販売」の定義がどのように明確化されるのでしょう?

カリフォルニア州の住民から収集した個人情報で、企業がしてもよい活動を明確化するために、CPRAは新しいカテゴリーを設定するとしています。というのもCCPAでは「販売」を「データを何らかの形の金銭的対価と交換すること」と定義。これは、ターゲティング広告にも適用されかねない曖昧な定義で、誰もが納得する説明とは言いがたいものです。加えて、金銭を対価として直接データを売買する事業者でないかぎり、たいていの企業は「誰かの情報を販売している」とは言いたがりません。CPRAは、個人情報の「共有」を、「販売」とは別のカテゴリーに仕分け、ただし要件としては、販売するデータと同じ要件を適用することにより、これらの問題を両方まとめて解決したいとしているのです。要するに、言葉の問題ではあるのですが、ことは法律の議論なので、おろそかにはできません。

──CPRAは、個人情報の定義に変化をもたらすものなのでしょうか?

その通りですね。CPRAでは、個人情報に「機微(センシティブ)な個人情報」というサブカテゴリーを新設します。センシティブな個人情報には、ログイン情報、精密な位置情報(GPS座標など)、人種または民族に関する情報、生体認証情報、「性生活」や性的指向に関するデータなどが含まれます。

──なぜ個人情報のサブカテゴリーを新設するのでしょう?

ある意味、カリフォルニア州のプライバシー法が企業に負わせる重荷を軽減するためとも言えます。機微な情報とそうでない情報を分けることにより、カリフォルニア州の住民は、企業に対して、センシティブな個人情報(たとえば宗教的信条)を、普通の個人情報(たとえば端末固有識別子)と異なる扱いにしてほしいと要求できます。そして、カリフォルニア州の住民がセンシティブな情報の収集と利用のみを規制したいなら、企業は、暗黙的にセンシティブでない情報を広告のターゲティング目的で利用する機会を逃さずにすむかもしれません。

──カリフォルニアの住民がCPRAに反対する可能性は?

その可能性はありえます。ですが、もっとありそうなのは、CPRAが11月までに住民投票の対象から外されることです。CCPAも当初は住民投票による立法をめざしましたが、州議会議員たちが州議会で可決する道を選びました。議会で制定した法律であれば、修正が可能だからです。CPRAでも、同じことが起こりえます。CPRAの狙いのひとつは、カリフォルニアのプライバシー法を、議員たちの手で骨抜きにさせないことではあるのですが。いまはじっと、推移を見守るべきでしょう。遠からず、プライバシーをめぐるカリフォルニア州の法制度がもっとはっきり見えてくると思います。

[原文:WTF is California’s new, and potentially stronger, privacy law?

TIM PETERSON(翻訳:英じゅんこ、編集:長田 真)