サービス

個人情報保護に向けた対応サービス

カリフォルニア州消費者プライバシー法(CCPA)への対応

CCPAの制定とその影響

2020年1月1日からカリフォルニア州消費者プライバシー法(CCPA: California Consumer Privacy Act)が施行されました。CCPAとは、カリフォルニア州の居住者(以下、消費者という)の個人情報を保護するための法律で、カリフォルニア州内に事業拠点があるかどうかにかかわらず、消費者の個人情報を取り扱っている場合は、日本企業であってもCCPAの適用対象となる可能性があります。

 

CCPAの適用範囲

CCPAの適用を受けるか否かを判断するためには、以下を確認する必要があります。
なお、以下の条件を満たす事業者だけではなく、当該事業者と同一ブランドで事業を行っている企業の親会社・子会社も適用対象となりますので、海外展開している企業はCCPAに準拠する必要があるか確認する必要があります。

CCPAの適用範囲
※クリックで拡大表示します。

 

CCPAの主な要求事項

CCPAには、個人情報保護法やEU一般データ保護規則にはない、特徴的な要件が定められています。例えば、消費者に対して、過去12カ月間に収集、売却または開示された個人情報のカテゴリーや利用目的等を通知し、プライバシーポリシーを毎年更新することが求められています。
また、16歳未満の消費者の個人情報は原則として販売してはならないが、13歳以上16歳未満については消費者の、13歳未満については親権者又は保護者の同意がある場合に限り、販売することができるとされています。
このようにCCPAでは様々な要件が定められているため、CCPAの適用対象となる企業は、十分に内容を理解する必要があります。

CCPAの主な要求事項
※クリックで拡大表示します。

 

違反の内容に応じた制裁(2020年7月1日から執行)

CCPAの違反に対する制裁は、州司法長官が提起する訴訟における差止め又は民事罰があります。
例えば、消費者から情報の開示請求があった場合、事業者は45日以内に開示することが求められていますが、これに対応できない場合、事業者は州司法長官から30日以内に違反を是正するよう通知を受ける可能性があります。
さらに、この通知後も違反が是正できない場合、消費者からの請求1件当たりの違反ごとに最大2,500米ドル(故意だと認定される場合には最大7,500米ドル)の罰金(民事罰)を科せられる可能性があります。
故意と判断されないために、企業はCCPAに準拠した管理態勢を構築することが重要です。

違反の内容に応じた制裁
※クリックで拡大表示します。

 

CCPAへの対応(例)

CCPAの要求事項に対応するためには、個人情報に関する管理態勢を整備し、個人情報を処理するシステムに対する安全対策を行う必要があります。
例えば、プライバシーポリシーの作成/見直しや、消費者が要求する方法としてフリーダイヤルを含む窓口の設置、財産的インセンティブ*を提供する場合の消費者への通知及び同意の取得等の対応が挙げられます。
CCPAの要求事項に準拠するためには、個人情報に関する管理態勢を整備し、個人情報を処理するシステムに対する安全対策を実施する必要があります。

CCPAへの対応(例)
※クリックで拡大表示します。

*消費者に対して商品/サービスの異なる価格、料金、レベルを提供すること等

CCPAへの対応に関するサービス概要

本サービスは3つのステップで構成されています。はじめに、CCPAの要求事項に沿って、企業の個人情報に関する対応状況を把握し、GAP分析により、企業が取り組むべき課題を洗い出します。次に、GAP分析の結果に基づき、実行可能な対応計画を策定します。最後に、デロイト トーマツ グループの知見を活用し、対応策の実施を支援します。例えば、対応策の実施には社内ルールの改定や従業員への教育等を含む管理態勢の整備、個人情報を処理するシステムに対する安全対策を行うこと等を含みます。

 CCPAへの対応に関するサービス概要
※クリックで拡大表示します。