去る６月10日、トーランスのMiyako Hybrid Hotelで第219回JBAセミナーを開催した。今回のタイトルは「カリフォルニア州消費者プライバシー法を中心とした米国プライバシー法に関するコンプライアンス対応の最新動向」。３部制で３名の弁護士が各部の講師を務めた。

[講師]
田中浩之さん
森・濱田松本法律事務所の東京オフィス・パートナー。日本、米ニューヨーク州の弁護士。個人情報、知的財産、ITの分野を専門に扱う。特に近年は、日本企業向けのGDPRを含むグローバルデータ保護法対応案件を多数手がける。

[講師]
杉本武重さん
バード＆バード法律事務所のブリュッセルオフィス・パートナー。日本、米ニューヨーク州弁護士。EUデータ保護法、CCPAをはじめとするグローバルデータ保護コンプライアンス、EU競争法、EUサイバーセキュリティー法を専門に扱う。

[講師]
ディパロ真紀さん
アルストン＆バード法律事務所アトランタオフィス・シニアアソシエイト弁護士。グローバル企業でのプライバシー、サイバーセキュリティーを含む個人情報の保護・管理に関するコンプライアンス・プログラムの導入、運営支援など各種実務をサポート。

個人情報保護を取り巻く最新状況とは？

今回のテーマである「カリフォルニア州消費者プライバシー法（CCPA：California Consumer Privacy Act of 2018）」は、米国では前例のない包括的な個人情報保護法である。、2020年１月までに遵守態勢を整えるためには、各事業者のIT、システム・セキュリティー部門に加え、マーケティングや渉外部門などが横割組織で情報を管理する体制を構築する必要がある。
CCPAが施行されると、企業にとってはカリフォルニア州司法長官による執行リスクに加え、消費者の集団訴訟による法廷損害賠償のリスクも出てくる。ただ、2019年６月初頭現在、同法にはまだ不確定な要素が大きいとされる。セミナーでは、３人の専門家が現時点での最新情報と2020年１月からのプライバシー法施行に向けて今から準備しておくべき事項について、豊富な資料を使いながら詳細に解説した。
第１部「米国プライバシー法の現在と未来」を担当したのは、日本と米ニューヨーク州の弁護士である、森・濱田松本法律事務所の田中浩之さん。「実は、全体として包括的な連邦データ保護法は、これまで存在しませんでした。分野ごとに個別に連邦法が存在するのみで、例えば、金融機関に適用される『Gramm-Leach-Bliley法』や13歳未満の児童に関する『COPPA法（Children’s Online Privacy Act of 1998）』など、対象を絞った連邦法が挙げられます」と最初に、全米統一の個人情報保護法がないことが紹介された。COPPAは13歳未満の児童向け、もしくは13歳未満の児童から個人情報を取得していることを現実に認識しているウェブサイト運営者・オンラインサービス提供者を適用対象事業者とする法律で、適用対象となる個人情報はオンライン上で取得された児童個人を識別することが可能な情報。判断能力が未熟である子どもの個人情報を保護するために、連邦で規制されている。
これらのデータが漏えいした場合は、それぞれの州の侵害法が適用される。田中弁護士は「データが漏れたことを認識した場合の対処ですが、本人への通知義務に関しては、実害が出るときのみ本人に通知、関係なく本人に通知など、州により異なります。州にも通知してください、というところもあります。また、クラスアクション（集団訴訟）がよく起こります。それに対する対応が大変になります」と説明した。
ワシントン州では、欧州の「GDPR」を参考にした法案として、「ワシントン州プライベート法案」が上院を通過したが、下院においては立法議会の閉会前に可決されず、次の州議会で再提出されるものと見込まれている。GDPRとは2016年に採択、2018年５月より適用されたEU一般データ保護規則「General Data Protection Regulation」である。また、オバマ政権下における「Consumer Bill of Rights Act 2015」など、従来からデータ保護法の統一をめざす動きはあったがこれまでに成立していない。
このように、データ保護法の全米統一法の機運は高まっているが、成功していないのが現状だ。しかし、ここに来てFacebookの多数のユーザデータが不正取得され政治的に利用されたケンブリッジ・アナリティカ問題を契機に、「個人のプライバシーをおろそかにすると業績に影響する」と、潮目が変わってきている。従来は消極的だった企業側も統一法を望むようになっている。「上院下院それぞれで多くの法案が提出されてはいます。ただ、今期成立する可能性は低いとされています」と、流れは変わっているものの、統一法成立はまだ厳しいという見通しのようだ。さらに、早期成立への障害として考えられる要因として、「2020年11月の大統領選」などが挙げられた。

CCPAの対象となる事業者の条件とは？

「米国カリフォルニア州消費者プライバシー法の概要およびGDPRの視点を踏まえた実務対応」と題された第２部を担当したのは、ベルギーのブリュッセルを拠点に、CCPAを含むグローバルデータ保護コンプライアンスに関するアドバイスを行っている杉本武重弁護士。。
「今日のセミナーの目標は米国拠点でビジネスをされている皆さんが、（CCPAの遵守や違反に関して）日本本社にどのようなレポートをすべきか、どういうアクションを取っていけばいいのかについて知っていただくことです。CCPAはヨーロッパのGDPRから強い影響を受けて昨年６月に可決されました。施行の2020年１月１日まで、残り６カ月半しかありません。今日の話を理解していただき、日本本社にも理解してもらうように働きかけた上で、今年末までにコンプライアンス対応を終了させる必要があります」。
同法は、個人情報の利用に関して、大幅な制限を規定し、将来の変更をより困難にする可能性がある住民投票を回避するために、急いで起草されたという背景がある。よって、同法は発効前に数回にわたり修正される可能性が高いということだ。
CCPAが適用される事業者は「カリフォルニア州で事業を行う事業者であり、カリフォルニア州居住者の個人情報を収集、売却する者」とされている。「カリフォルニア州で事業を営む」の定義は、「物理的な場所、または事業所の設立地にかかわらず、カリフォルニア州の個人または法人に商品またはサービスを定期的に提供する、またはその他の方法で自らのカリフォルニア州における活動により意図的に売り上げを得ている事業所に適用されます」と説明された。また、「消費者」と法律名にあるのはミスリードであり、あくまで「居住者に関する情報を扱うもの」であると、杉本弁護士は補足した。B to Bのビジネスを行っているため、対象外だと思い込むのは早計だということだ。
カリフォルニア州の居住者の定義は次の通り。

• 一時的、または移動の目的以外でカリフォルニア州にいる全ての個人。
• カリフォルニア州に定住していた全ての個人であって、現在一時的、または移動の目的で州外にいる者。
• カリフォルニア州の居住者である全ての者は、一時的に州に不在であっても居住者であり続ける。

同法により定義されている事業者の義務は、プライバシー通知、プライバシーポリシーの公開、消費者の権利対応・アクセス権・削除権、差別的取り扱いの禁止。さらに、個人情報の売却に関する追加義務として、プライバシーポリシーに関する追加的記載事項、ウェブサイトにおける個人情報の売却のオプトアウト権、子どものデータの売却の原則的禁止が定められている。
「制裁は州司法長官による差し止め、または民事罰です。１件につき最大2500ドル、故意の場合は7500ドルの罰金と、びっくりするような数字にはなっていません。しかし、アップデートの義務を果たせていない場合は、罰金が大きな数字になる可能性を秘めています」と注意を促した。
同法はカリフォルニア州で事業を営む全事業者に適用されるが、該当する「事業者」は次のように定義されている。

• 消費者の個人情報を収集する法人、またはその法人を代理して個人情報を収集する者。
• 営利事業を営む者。
• 以下のいずれか１つを超過する者。
  １．年間売上高が2500万ドルを超過する者。
  ２．単独または組み合わせで年間５万以上の消費者、世帯、またはデバイスの個人情報を、単独または組み合わせで、購入、事業者の商用目的のために受領、売却または商用目的で共有する者。
  ３．年間売上高の50％以上が消費者の個人情報の売却に由来する者。

上記の「年間売上高2500万ドル」という条件についてはまだ確定していないが、企業グループ全体の売上高になる可能性が高く、「そこまでの売上高はないので対象外だ」と安心しないほうが良いと杉本弁護士は付け加えた。「また、ニューヨーク州でビジネス、サーバーを持たれている場合でも、カリフォルニア州の居住者のデータを持っている可能性は否定できません。あらゆる可能性を考慮して保守的に対応せざるを得ません」。
義務化されるプライバシー通知については、「個人情報を収集する事業者、個人情報の取得時または取得前に、取得する個人情報の種類、および利用目的について、消費者に対して情報提供しなければなりません。さらに、事業者は、消費者に対して通知を行うことなく、追加的な種類の個人情報または追加的な目的のために個人情報を使用することは許されません」と説明された。
そのため、事業者はウェブサイト上で、以下の情報を公開し、少なくとも12カ月に１回は更新しなければならない、と定められている。

• 過去12カ月に消費者から取得した個人情報の種類。
• 個人情報を収集した情報源の種類。
• 個人情報の取得・売却の事業上または商業上の目的。
• 個人情報を共有する第三者の種類。
• 消費者から取得した個人情報の具体的内容。
• 消費者の権利および、権利の行使方法（アクセス権、差別禁止）。
• 過去12カ月以内に売却した消費者に関する個人情報の種類（事業者が売却を行っていない場合はその旨）。
• 過去12カ月以内に事業目的で開示した消費者についての個人情報の種類（事業者が開示を行っていない場合にはその旨）。

親会社との連携と情報暗号化

プライバシーポリシーの掲載を含む、施行に備えての実際の取り組みについては、第３部「米国プライバシー・サイバーセキュリティー法の最新執行動向・着眼点」と題し、ディパロ真紀弁護士が担当した。
「現時点でまだ明確ではない部分が多々あり、対応しづらいのですが、明確な部分から進めてください。待っていないで始められるところから始めることをお勧めします」と、施行時期が迫っていることから今すぐに準備に着手するように冒頭から促した。ディパロ弁護士が特に強調したのが、長期間保管するデータは非識別化をすることが不可欠だという点。それにより訴訟に発展した場合のリスクが軽減できるということだ。
さらに米国内だけでなく、「日本では個人情報の漏えいは待たずに管轄に報告するケースが多いです。親会社が情報の漏えいを公表してしまうと、こちら（アメリカ側）で公表していなかった場合、裁判で利用されてしまいます」と本社とのコミュニケーションの重要性についても訴えた。
会場でサーベイを取った結果では、「CCPAの準備に関しては０から」と回答した参加者が実に40％に上った。施行まで半年を切った現在、一刻も早い対策のスタートを、とディパロ弁護士は参加者に向けて訴えた。

多数の参加者が詰め掛け、CCPAへの注目度の高さを伺わせるセミナーとなった

過去レポート一覧に戻る