カリフォルニア新プライバシー法成立 —GDPRに続き再びプライバシーポリシー変更は必要か?

投稿日:

カリフォルニア州で新しいプライバシー法が成立し、2020年1月1日に施行される見込みとなりました。今回はこの法律が企業のプライバシーポリシーにどのような影響を与えるのか検証したいと思います。

EUのGDPRに続き米国でも新しいプライバシー法が成立

本メディアでも何度か取り上げてきたとおり、EU市民のプライバシーを強力に保護するGDPRが、2018年5月に施行されました。グローバル企業を中心に、各社EU市民のプライバシー保護のための対応に苦慮されているものと思います。

そんな最中ではありますが、米国カリフォルニア州でも、消費者のプライバシー保護を強化する法律が成立してしまいました。

▼ 個人情報、米でも規制の波 カリフォルニア州で法成立(日本経済新聞2018/7/1

米国の州レベルで個人情報保護に向けた企業への規制強化の動きが出てきた。カリフォルニア州議会は6月28日、個人情報保護の新規制法を全会一致で可決した。今後、企業はどんな顧客データを集めるか事前に通知し、データの共有先も示すよう求められる。3月に発覚した米フェイスブックによる個人情報の流出問題がきっかけだが、欧州の基準よりも規制は緩やかで「企業寄り」との見方もくすぶる。

米国IT企業の必死のロビイングによって、消費者からの「同意取得」まで必須とせず「事前通知」を原則とするなど、GDPRほどの厳しい義務を課すものではない、との評価もあります。しかし条文を読んでみると、影響は決して小さくないようです。

特に「契約」にフォーカスする本メディアでは、オンラインプライバシーポリシーの書き方について具体的な規定が設けられている点に注目しました。

プライバシーポリシー記載事項が法律に明記される

今回のカリフォルニア州新プライバシー法(The California Consumer Privacy Act of 2018.)の全文はこちらから確認することができます。

その中で、オンラインプライバシーポリシーに記載すべき事項について具体的に言及されているのが、1798.130条(a)-(5) になります。

カリフォルニア州法全文

以下少し長くなりますが、その1798.130条 (a)-(5)について条文を確認した後、ポイントをまとめてみたいと思います。

1798.130. (a) In order to comply with Sections 1798.100, 1798.105, 1798.110, 1798.115, and 1798.125, in a form that is reasonably accessible to consumers, a business shall:

(中略)

(5) Disclose the following information in its online privacy policy or policies if the business has an online privacy policy or policies and in any California-specific description of consumers’ privacy rights, or if the business does not maintain those policies, on its Internet Web site, and update that information at least once every 12 months:

(A) A description of a consumer’s rights pursuant to Sections 1798.110, 1798.115, and 1798.125 and one or more designated methods for submitting requests.

(B) For purposes of subdivision (c) of Section 1798.110, a list of the categories of personal information it has collected about consumers in the preceding 12 months by reference to the enumerated category or categories in subdivision (c) that most closely describe the personal information collected.

(C) For purposes of paragraphs (1) and (2) of subdivision (c) of Section 1798.115, two separate lists:

(i) A list of the categories of personal information it has sold about consumers in the preceding 12 months by reference to the enumerated category or categories in subdivision (c) that most closely describe the personal information sold, or if the business has not sold consumers’ personal information in the preceding 12 months, the business shall disclose that fact.

(ii) A list of the categories of personal information it has disclosed about consumers for a business purpose in the preceding 12 months by reference to the enumerated category in subdivision (c) that most closely describe the personal information disclosed, or if the business has not disclosed consumers’ personal information for a business purpose in the preceding 12 months, the business shall disclose that fact.

長くなりましたが、ざっくりまとめると、

このような消費者が持つ権利に関する情報をオンラインプライバシーポリシーに明記し、最低でも12ヶ月に1回はこれをアップデートしなければならない、との義務が定められています。

カリフォルニア州法では2005年から同様の義務が存在

こうしたカリフォルニア州独自のプライバシーポリシーに対する厳しい制約は、実は今に始まったことではありません。

2005年1月に施行された1798.83条、通称「Shine the Light」法により、企業がマーケティングを目的として第三者と共有する個人情報の内容を請求する権利を、年1回に限りカリフォルニア州の居住者に付与する法律があり、この義務をプライバシーポリシー等に明記する義務が、すでに存在しています。

これは「Your California Privacy Disclosures」条項と呼ばれており、Appleなどのプライバシーポリシーのページをみると確かにしっかり明示されています。日本企業においてはあまり意識されてこなかった義務かもしれません。

今回の新プライバシー法は、この「Shine the Light」法をさらに強化したものと言って差し支えないものとなっています。

EU向け・米国向けのプライバシーポリシーは共存できるか

アメリカの他の州がこれに追随するのかは不明ではあるものの、シリコンヴァレーを擁するITの中心地カリフォルニア州の住民が対象とならないオンラインサービスは考えにくく、グローバルIT企業のほとんどが対応を求められることになると思われます。GDPRの施行に合わせてプライバシーポリシーを変更したばかりの企業にとっては、「またプライバシーポリシーを作り直すのか」と脱力感に襲われるような内容です。

企業としては、できるだけ全てのユーザーに同意をもとめるプライバシーポリシーを一つに集約したいはずです。しかし、今回の法律が規定するリストの分け方・作り込み方などは、GDPRの建て付けとは異なる点も多く、一見するとGDPR対応のプラポリと米国向けのプラポリを共存させるのは難しいのでは、と思われます。

GDPR向けにプライバシー条項を独立させたUber社の事例を以前ご紹介しましたが、こうしてどんどんプライバシーポリシーが長くなっていくことが、消費者にとっての分かりやすさと相反する結果とならないかは、疑問を感じざるを得ません。

プライバシーの世界はいよいよ混沌としてきた感があります。そして、こうした世界情勢の影響を受けての、日本の個人情報保護法の行く末も気になるところです。

画像: H.Tea / PIXTA(ピクスタ)

(橋詰)