- 2020年11月10日
CCPA(カリフォルニア州消費者プライバシー法)を遵守するために必要な事項を詳細に定めたCCPA規則(CCPA Regulations)が、2020年8月14日、California Office of Administrative Law(OAL)の承認を受け正式に成立し、即日施行となりました。
米国企業だけでなく、日本企業もCCPA(カリフォルニア州消費者プライバシー法)の対象となり得ます。特にカリフォルニア州の消費者に対してリターゲティング広告を行っていたり、ソーシャルメディアのプラグインを埋め込んでいるWebサイトやモバイルアプリを提供している日本企業は、法律面、システム面の両面において対応が必要になる可能性がありますので留意が必要です。
今回成立したCCPA規則(CCPA Regulations)では、法定文書やシステムにおける消費者への通知要件、消費者要求への事業者の対応要件、消費者要求における本人確認要件、子どもに関する個人情報の販売時の要件、消費者の無差別取扱いに関する要件が細かく規定されていますが、今回はこのうち、システム上要求される主要な対応として、特にクッキーの取扱いに関係してくる消費者への通知要件について概説します。
CCPA(カリフォルニア州消費者プライバシー法)とは
CCPA(カリフォルニア州消費者プライバシー法)は、2018年6月にカリフォルニア州で成立した、米国で初めての包括的なプライバシー保護法と言われています。CCPAは2020年1月1日から施行され、カリフォルニア州司法省の取締りは2020年7月1日から開始となっています。
これまで米国では、業法(金融、医療、信用情報、運転者等)やセンシティブデータ(13歳未満の子供、医療情報等)ごとにプライバシー保護法が制定されていました。対してCCPA(カリフォルニア州消費者プライバシー法)、はカリフォルニア州住人の個人情報(クッキーやインターネット閲覧履歴、生体情報(キー入力パターンも含む)など、位置情報も含む広い定義)を対象にしており、またカリフォルニア州以外の会社(日本企業も含む)にも業態を問わず適用される包括的な条文となっている点が特徴です。
CCPA(カリフォルニア州消費者プライバシー法)のその他の特徴として、
- 違反の際の罰金の上限の定めがないこと(1件最大2500ドル、故意の場合最大7500ドル)
- データ漏えいの際カリフォルニア州住人から集団訴訟が予想されること(損害賠償額が1人1事案ごとに最低100ドル~750ドルと定められている)
というコンプライアンスリスクが高いことも挙げられます。
CCPA規則(CCPA Regulations)とは
CCPA(カリフォルニア州消費者プライバシー法)を遵守するために必要な事項を詳細に定めた規則です。規則の最終案が2020年6月1日にカリフォルニア州司法長官によりCalifornia Office of Administrative Law(OAL)に提出されていましたが、8月14日にOALにより承認され、即日成立、施行となりました。
CCPA規則では、CCPAの対象となる企業は多くの法定文書の作成とともに、多くのシステム上の対応もしなければならないことが定められています。また、CCPA規則違反もCCPA違反とされ、当局の是正措置の対象となるとされています(999.300条)。
消費者への通知要件
CCPA規則では、消費者への通知要件について「プライバシーノーティス(個人情報収集時通知)」「個人情報販売のオプトアウト権通知」「個人情報収集時の金銭的インセンティブ通知」「プライバシーポリシー通知」に関して、通知の内容や方法について詳細に規定がなされています。このうちの主要な対応として、以下3点について解説します。
(1)プライバシーノーティス
(2)クッキーノーティス
(3)オプトアウト権の通知
これらの消費者への通知は、技術的・法律用語を避けた平易な言葉で、注意を惹く形式で行わなければならないと定められています(CCPA規則999.305(a)(2)a,b, 999.306(a)(2)a,b。以下条文番号のみの場合CCPA規則の条文をさします。)。
プライバシーノーティス(個人情報収集時通知)
個人情報が収集される時点、もしくは収集される前に消費者が見ることができるような、見やすくアクセス可能な場所で通知しなければなりません(999.305(a)(3))。通知内容は以下を含まなければなりません(999.305(b))。
1 |
収集する個人情報の種類のリスト |
2 |
個人情報利用の目的 |
3 |
個人情報を販売*する場合「Do Not Sell My Personal Information」ページのリンク(紙フォームで通知する場合はWebのURLの明示) |
4 |
プライバシーポリシーのリンク(紙フォームで通知する場合はWebのURLの明示) |
オンラインで個人情報を収集する場合は、上記内容を含むプライバシーポリシーへのリンクだけでもよいとされています(999.305(c))。
* CCPA(カリフォルニア州消費者プライバシー法)における「販売」とは、事業者が他の事業者等に対して、金銭又は「価値ある対価」と引き換えに、個人情報を開示すること等を言う広い概念です。企業がブランドサイトで広告目的のクッキーを利用している場合等が「販売」に当たる可能性があります。
クッキーノーティス
CCPA(カリフォルニア州消費者プライバシー法)では、クッキーやモバイル広告識別子等(以下単に「クッキー」と言います。)も個人情報に該当するとされています(Unique personal identifier Cal.Civ.Code 1798.140(x)(o))ので、クッキーを収集する前に通知(クッキーノーティス)が必要となります。
通知の内容や方法は、上記(1)のプライバシーノーティスと同様、クッキーにより情報が収集される時点、もしくは収集される前に消費者が見ることができるような、見やすくアクセス可能な場所で通知しなければならず(999.305(a)(3))、通知内容は以下を含まなければなりません(999.305(b))。
5 |
収集する個人情報の種類のリスト |
6 |
個人情報利用の目的 |
7 |
個人情報を販売する場合「Do Not Sell My Personal Information」ページのリンク(紙フォームで通知する場合はWebのURLの明示) |
8 |
プライバシーポリシーのリンク(紙フォームで通知する場合はWebのURLの明示) |
オプトアウト権の通知
トラッキングクッキーやGoogle Analytics、またSNSプラグインを用いている場合には、CCPA上クッキー等の個人情報を販売していると考えられるため、「Do Not Sell My Personal Information」というタイトルのオプトアウト権通知ページを作成したうえで、Webページまたはモバイルアプリケーションのダウンロード/ランディングページに同ページへの明示的なリンクを提供しなければなりません(999.306(b), CCPA1798.135)。オプトアウト権通知ページの内容は、以下の内容を含まなければなりません(999.306(c))。
1 |
オプトアウト権の説明 |
2 |
オプトアウト権提出のためのWebフォーム |
3 |
オプトアウト権提出のためのその他の方法 |
即効性のある対応策
CCPA(カリフォルニア州消費者プライバシー法)およびCCPA規則により、対象となる事業者は様々な対応が必要となりますが、特にWebサイトなどでシステム上の実装が必要となる消費者への通知要件は、対応に時間や手間がかかることが予想されます。前述の通り、具体的にはクッキーによる情報の取得時、または取得前に、消費者に対して見やすくアクセス可能なかたちで通知を行い、情報の「販売」にあたるような広告目的のトラッキングクッキーやGoogle Analytics、またSNSプラグインを用いている場合に消費者にオプトアウトの機会を提供する必要がありますが、これら全てを自社で、Webサイトの改修等をしながら対応を行っていくのは困難です。そこでクッキーバナーのようなツールを利用することが、比較的安価に、しかも短期間で対応を進められる望ましい方法と思われます。以下ではOneTrustのクッキーバナーを用いたCCPAにおけるクッキー対応例を紹介いたします。
クッキーバナーによるクッキーノーティス
OneTrustのクッキーバナーでは、ツール上の操作で容易にクッキーバナーが作成できます。作成したバナーはスクリプトとして抽出され、そのスクリプトをWebサイトに埋め込んで頂ければ下記サンプルイメージ1のようなバナーが、サイトを訪問した消費者に見やすくポップアップ表示されます。CCPA対応テンプレートがあらかじめ用意されていますので、「Do Not Sell My Personal Information」のリンクの表示や、そのリンクからオプトアウト権提出のためのWebフォームの呼び出し等を作り込む作業は不要です。
サンプルイメージ1:
オプトアウト権提出のためのWebフォーム(優先設定センター)
サイトを訪れた消費者がクッキーバナーに貼られた「Do Not Sell My Personal Information」のリンクを押すと、オプトアウト権提出のためのWebフォーム(優先設定センター)が呼び出されます。ここで情報の「販売」にあたるようなクッキーの利用について、オプトアウトが可能となります。下記サンプルイメージ2の「Sale of Personal Data」の横にあるトグルボタンをOFFにすればオプトアウトが完了、クッキーを発行していたタグが止まり*、以降、そのクッキーからの情報は事業者や、クッキー発行元のホストへの提供がされなくなります。
サンプルイメージ2:
*タグの制御を正しく行う設定は別途Web管理者側で行う必要があります。お使いのタグマネージャー等により設定方法が異なりますので、詳細はお問い合わせください。
ジオロケーションルールによるアクセス元IPアドレスによるバナーの出し分け
設定したバナーは、特定の国・地域からのアクセスだけに表示させることが可能です。OneTrustではアクセス元のIPアドレスでエリアを判定し、自動的にバナーの出し分け(もしくはバナー表示の有無の切り替え)を行う機能があります。例えばCCPAに対応したクッキーバナーは米国カリフォルニア州からのアクセスにのみ表示させ、それ以外の国、地域からのアクセスに対しては表示しない設定が可能です。また欧州のクッキー規制(GDPR+eプライバシー指令)にも同時に対応をする場合、欧州からのアクセスに対しては欧州のクッキー規制に対応したバナー表示を行い、カリフォルニア州からのアクセスに対してはCCPAに対応したバナー表示を行い、それ以外の国・地域からのアクセスに対してはバナーを表示させない設定も可能です。
最後に(お問い合わせ先)
CCPA(カリフォルニア州消費者プライバシー法)およびCCPA規則では、事業者が対応すべき項目は多岐にわたりますが、Webサイトは消費者から最も目につきやすく、規制への対応が出来ているかどうか、簡単に見分けられてしまう部分ですので、今回は特に消費者への通知要件、特にクッキー対応について特化して取り上げました。今回成立したCCPA規則では、この他にも消費者要求への事業者の対応要件、消費者要求における本人確認要件、子どもに関する個人情報の販売時の要件、消費者の無差別取扱いに関する要件が細かく規定されており、また個人情報を保護するために情報の性質に応じた妥当なITセキュリティー対策を実施する義務もありますので、ご留意ください。
今回ご紹介したOneTrustのクッキーバナーについて、機能やサービス・料金等の詳細はこちらよりお気軽にお問い合わせください。
またIIJでは、現在CCPA(カリフォルニア州消費者プライバシー法)への対応を急がれている企業様やこれから対応をご検討される企業様向けに、クッキーツールの導入以外でも、様々なコンサルティングサービスを行っております。CCPA対応全般に関するご相談についてもこちらより、お気軽にお問い合わせください。