Quantcast
Channel: 企業法務ナビ
Viewing all articles
Browse latest Browse all 2989

7月1日執行開始 カリフォルニア州プライバシー権法(CPRA)とその規則の概要2

$
0
0

2023年5月1日

GBL研究所理事・CIPP/E 浅井敏雄[1]

・このシリーズでは, 本年(2023年)7月1日から執行開始される"California Privacy Rights Act of 2020"(「カリフォルニア州プライバシー権法」)(CPRA)(改正CCPA)およびその施行規則(以下「規則」または「CPRA規則」という)(両者を総称して「CPRA」という場合がある)について, 「全解説CPRA カリフォルニア州プライバシー権法(改正CCPA)」(以下「全解説」という)第一部から抜粋し何回かに分けてCPRA・規則の概要を紹介している。 ・前回第1回に続き, 今回は, 事業者の一般的義務/消費者に対する必要な情報開示について解説する。 ・なお, 以下において, (  )内の数字は条文番号, [  ]内の内容は筆者による補足・追記である。また, 下線または「*」印が付けられている箇所はCCPA・CCPA規則からの主な改正(追加・変更・削除・明確化)部分である。  
【目  次】 1. CPRA成立の背景 2. CPRAの基本概念 (以上前回解説) 3. 事業者の一般的義務 4. 消費者に対する必要な情報開示 (以上今回解説) 5. 消費者の権利 6. 消費者の権利行使(請求)方法 7. サービス提供者・契約業者の義務と契約 8. 販売・共有先の義務と契約 9. 事業者の研修義務/請求対応の記録・公表義務 10. CPRA違反に対する救済と制裁 11. GDPRおよび個人情報保護法との比較
 

3.  事業者の一般的義務

  消費者の個人情報を収集しまたは収集をコントロール(管理)する(以下総称して単に「収集」という)事業者は, 以下のような一般的義務を負う。 なお, 「収集をコントロール(管理)する」ことには, 個人情報の間接的な収集(例:サードパーティCookieを介してのそのサードパーティによる個人情報の収集)が含まれる。   (1)  個人情報の処理の原則   CPRA・規則では, 個人情報の処理に関し以下のような原則が規定されている。   (a) 個人情報の処理(収集・利用・保持・共有等)目的は, (i)消費者の合理的予想の範囲内の目的か, (ii)その目的と関連性が強いため個人情報が収集された状況(context)に適合するとみなされる他の目的(業務目的等)であって, 収集時通知(後述)で開示(通知)されなければならない。 (b) 上記の処理目的以外の他の処理目的で処理するには, 当該他の処理目的について, 新たに収集時通知をしかつ消費者の同意を得なければならない。 (c) 収集時通知で開示された以外のカテゴリーの個人情報の収集は, 新たに収集時通知をしない限り, 行うことができない。 (d) 処理目的のために合理的に必要な期間を超える個人情報の保持は行うことができない。 (e) 個人情報の処理は, 常に, 処理目的の達成に合理的に見て必要かつ比例する[最小限の]範囲内で行わなければならない。

page top

(2) 情報開示・コミュニケーション/請求・同意に関する義務   事業者は, プライバシーポリシー/収集時通知その他各種通知/"Your Privacy Choices"リンクその他のリンク/消費者の権利行使(請求)手段の提供/消費者からの請求への対応等において, 消費者に対し一定の情報を開示し, または, 消費者との間でコミュニケーションを行う。 この情報の開示または消費者とのコミュニケーションについては, 消費者にとり読み易く理解し易いものでなければならないこと, その他の要件が定められている。*   CPRA上, 事業者は, 収集時通知で通知した一定の目的以外の目的で個人情報の処理をする場合, 16歳未満の消費者の個人情報を販売・共有する場合等, 一定の場合には, 消費者の同意(オプトインを含む)を得なければならない。 CPRAでは, この同意を定義し, 言葉または明確な積極的行為等により, 具体的に限定された目的のために自己の個人情報を処理することへの同意を示す, 自由意思による, 特定個別の, 必要な情報を与えられた上での明確な意思表示でなければならないとし, GDPR上の同意とほぼ同じ要件を設けている。*   事業者が用意すべき消費者からの請求(権利行使)の方法・手段と, 事業者がCPRA上得るべき消費者からの同意を得る方法・手段は, 理解し易く, 同意・拒否等のプライバシー選択間で同等性(Symmetry in choice)が確保され, 消費者を混乱させるものでなく, 消費者の選択能力を損ないまたは妨げるものでなく, かつ, 権利行使が容易なものでなければならない。* 上記に適合しない方法・手段・インターフェイスは, ダークパターン(dark pattern)と呼ばれ, ダークパターンを利用して得られた同意は無効とされる。*

page top

(3) 個人情報の開示先との契約締結   事業者は, 消費者の個人情報を開示・販売・共有する,サービス提供者/契約業者/サードパーティとの間で, これらの者による個人情報の処理を制限するため後記内容の契約を締結しなければならない。   (4) セキュリティ措置の実施   事業者は, 個人情報について, 合理的なセキュリティ措置を導入しこれを実施しなければならない。   なお, セキュリティに関連し, CPRAでは, 消費者のプライバシーまたはセキュリティに重大なリスクを生じさせる個人情報の処理を行う事業者に対し, 以下の事項を行うことが義務付けられた。* (A) 自社でサイバーセキュリティ監査を毎年実施すること。 (B) 保護庁に定期的に個人情報の処理に関するリスク評価書を提出すること(なお処理のリスクが処理の利益を上回る場合には処理の制限・禁止が予定されている)。 但し, このことの詳細は別途規則で定めることとなっているにもかかわらず, その規則は, 本稿執筆時点では, その起草のために最初の意見募集がなされたばかりで未制定である。   なお, 「全解説」第三部24で解説する, バージニア州法(2023年1月1日施行)では, 管理者(CPRA上の事業者に相当)に対し, ターゲティング広告/販売/消費者に損害を生じさせるプロファイリング/機微データ/消費者に危害を生じさせる処理等に関し, データ保護評価を行うこと, 州司法長官からの請求に応じ評価を提出することを義務付けている。 これは, コロラド州法(2023年7月1日施行), コネチカット州法(同)でもほぼ同様である。   従って, 事業者は, 全米の一部限定であるものの, 既にデータ保護評価義務を負っていると言える。

page top

4.  消費者に対する必要な情報開示

  規則Article 2 (7010~7016)は「消費者に対する必要な情報開示」(Required Disclosures to Consumers)と題し, プライバシーポリシー/収集時通知/販売・共有オプトアウト権通知・リンク/機微個人情報の制限権通知・リンク/経済的インセンティブ通知を含め, 事業者が消費者に事前に行うべき情報開示について定めている。   (1) プライバシーポリシー   事業者は, プライバシーポリシーに一定の情報を記載しWebサイト(アプリを含む。以下同じ)上で公表しなければならず, Webサイトの全てのページのフッターに, そのプライバシーポリシーへの"Privacy"リンクを置かなければならない。   なお, Webサイトには, この"Privacy"リンクの他, これと並べて, 後記の収集時通知へのリンク(例えば"Notice at Collection"リンク)と"Your Privacy Choices"リンク(*)も置かなければならない。 (*) "Your Privacy Choices"リンクにはこれに隣接して規則所定のアイコンを付けなければならない。   【プライバシーポリシーの記載事項】 大要以下の通りである。 (i) 過去12ヶ月間に収集した個人情報のカテゴリー(CPRAの定義にある用語を用いて記述)/その情報源のカテゴリー/収集目的。 (ii) 過去12ヶ月間に個人情報を販売・共有した場合には, その個人情報のカテゴリー/販売・共有先のカテゴリー/販売・共有目的。 (iii) 16歳未満消費者の個人情報を販売または共有することを現に認識しているか否か。 (iv) 過去12ヶ月間に業務目的でサードパーティに開示した個人情報があるか否か。ある場合にはその個人情報のカテゴリー/開示先のカテゴリー/その開示目的。 (v) 機微個人情報を所定の目的外で利用または開示するか否か。 (vi) 以下の消費者の権利内容に関する説明。

a. 知る権利(開示請求権)。

b. 削除請求権。

c. 訂正請求権

d. 販売・共有オプトアウト権。

e. 機微個人情報の利用・開示制限権

f. CPRA上の権利行使を理由に差別的扱いを受けない権利(従業員等が報復されない権利を含む)。

(vii) 以下の事項を含め, 消費者の権利行使手続と, 権利行使の結果についての説明。

a. 各権利の行使方法の説明。

b. 各権利に基づく請求手続/オンライン請求フォームまたはポータルを用意する場合はそれらへのリンク。

c. 販売・共有オプトアウト権に関する通知内容または"Your Privacy Choices"リンク(*)。

d. 機微個人情報の利用・開示制限権に関する通知内容または"Your Privacy Choices"リンク

e. 開示/削除/訂正の各請求における本人確認手続。

f. オプトアウト設定シグナルに応じること/消費者によるシグナル利用方法

g. 委任代理人による請求手続。

h. 16歳未満の消費者の個人情報の販売についての同意手続。

i. 問合せ窓口。

(viii)  プライバシーポリシーの最終更新日。 (ix) 暦年で1千万人以上の消費者の個人情報を購入等する事業者に該当する場合, 規則上公開が要求される前年の消費者からの請求とその対応の件数等の情報(指標)または当該情報へのリンク。   (*) 事業者は, "Do Not Sell or Share My Personal Information"リンクと"Limit the Use of My Sensitive Personal Information"リンクの代わりに, "Your Privacy Choices"または"Your California Privacy Choices"リンクを用いても構わないとされている。 このうち, 大多数の企業が, "Your Privacy Choices"リンクを選択すると予想されるので, 以下, このリンクが使われることを前提とする。   プライバシーポリシーには, 上記の他, 以下の事項も記載することが考えられる。   (a) (加州オンライン・プライバシー保護法(CalOPPA)で記載が要求される)"Do Not Track"(DNT)シグナルへの対応 (b) 経済的インセンティブまたは価格・サービスの差を申出る場合にはその説明 (c) サードパーティとして収集をコントロールする(要するに間接収集する)個人情報についての収集時通知の内容 (d) 他社従業員等に対する収集時通知の内容   なお, 参考までに, 「全解説」第二部第4章2(3)でプライバシーポリシーの設計について解説し, また, 「全解説」巻末参考資料の1~3にPrivacy/Notice at Collection/Your Privacy Choicesリンク, プライバシーポリシーおよび開示・削除・訂正のオンライン請求フォームの記載案(著者私案)を掲載している。

page top

(2) 収集時通知   事業者は, 個人情報(Cookieデータを含む)の収集の時またはその前に, 消費者がそれを容易に目にすることができるよう(例えばWebサイトの全ページや個人情報の入力フィールドの近くに通知への目立つリンクを置いて), 以下の事項の通知(「収集時通知」)をしなければならない。 (A) 収集する個人情報(機微個人情報を含む)のカテゴリー。 (B) その収集・利用目的。 (C) その個人情報が販売・共有されるか否か。 (D) その個人情報の保存期間(またはその決定基準)。 (E) 個人情報を販売・共有する場合には"Your Privacy Choices"リンク(またはオフラインで通知する場合は通知内容掲載Webページの情報)。 (F) プライバシーポリシーへのリンク(またはオフラインで通知する場合はプライバシーポリシー掲載Webページの情報)。   個人情報を間接的に収集する者, サードパーティCookieの発行元等のサードパーティについては, CCPAでは条件付きで収集時通知の義務が免除されていたが, CPRAでは, これらの者に対しても収集時通知が義務付けられた。(以下本段落について)* しかし, サードパーティが実際に収集時通知を行うことは困難なので, 事前に, Webサイト上で(例えばプライバシーポリシー上で)上記の通知事項を公表してもよく, そのことにより収集時通知をしたものとみなされる。 また, サードパーティとして, 他の事業者の店舗(例:コーヒーショップ)・車両等の物理的施設において個人情報の収集をコントロールする事業者(例:Wi-Fiサービス提供業者)は, Webサイト上での公表に加え, その収集の時またはその前に, その物理的場所ではっきりと目立つように収集時通知をしなければならない(例:Wi-Fi接続前に収集時通知を表示)。   【自社・他社従業員等に対する収集時通知】 CPRAでは, CCPAと異なり, 自社・他社従業員等の個人情報にもCPRA・規則が全面的に適用される。 自社従業員等への収集時通知は, 入社時誓約書への記載や社員向けプライバシーポリシーへのリンクの案内等により可能であろう。また, 自社への求職者・採用候補者への収集時通知は, 採用手続の過程において書面等で行うことが可能であろう。 一方, 顧客企業・納入業者等の従業員等の個人情報については社外向けプライバシーポリシーに収集時通知の内容を記載しておき, 個人情報収集の際に, 同ポリシーへのリンクを案内すること等が考えられる。   【Cookieバナーの必要性等】 Cookieバナーは, Cookieデータに関する収集時通知のために必須ではない。また, 一般的なCookieバナーは, CPRA上の収集時通知としては認められない。 但し, Cookieバナーを工夫してCookieデータに関する収集時通知とすることは可能である。 そうしない場合も, 禁止されているわけではないので, Cookieバナーを使うことはできるが, "Accept All"と"Preferences"のみは不可で, これに"Reject All"も並置しなければならないと解される可能性がある。 なお, Cookieバナーは, 後記の販売・共有オプトアウト請求または機微個人情報の制限請求への対応措置としても認められない。   参考までに, 「全解説」第二部第4章3(7)でWebサイト上での個人情報の収集に係る収集時通知, 同(8)でアプリ上での個人情報の収集に係る収集時通知, それぞれの設計について解説し, また, 「全解説」巻末参考資料4にWebサイト上の収集時通知, 同5にアプリ上の収集時通知, それぞれの記載案(著者私案)を掲載している。

page top

(3) オプトアウト・制限請求の通知・リンク・シグナル   消費者には, 事業者に個人情報を販売または共有しないよう請求する権利(「販売・共有オプトアウト権」), および, 機微個人情報の利用・開示を所定の目的に制限するよう請求できる権利(「制限権」)がある。 この両権利に関し, 事業者は, Webサイトまたはアプリ(総称して「Webサイト」)のフッター等に"Your Privacy Choices"リンクを設置しなければならない。 そして, その"Your Privacy Choices"リンクのリンク先の販売・共有オプトアウト権通知と制限権通知を兼ねたWebページで, それらの権利の内容と請求方法を説明し, また, オンライン請求フォームを提供しなければならない。*   なお, 「全解説」第三部23, 24で解説する, ネバダ州法(2021年10月1日改正施行), バージニア州法(2023年1月1日施行), コロラド州法(2023年7月1日施行), コネチカット州法(同), ユタ州法(2023年12月31日施行)の各州法上も個人データの販売またはターゲティング広告目的の個人データの処理に対するオプトアウト権が規定されているので, このWebページで行使できることとし, その権利内容も記載するのがよいであろう。   事業者は, オプトアウト設定シグナル(CCPA上のGlobal Privacy Controls(GPC)を含む)を販売/共有オプトアウト請求として扱いこれに応じなければならない。   なお, 参考までに, 「全解説」巻末参考資料6に"Your Privacy Choices"リンクのリンク先Webページの記載案(著者私案)を掲載している。

page top

(4) 経済的インセンティブ通知   「経済的インセンティブ」(Financial incentive)とは, 個人情報の収集その他の処理との交換で消費者に提供されるプログラムその他の申出(価格・サービスの差を含む)である。   事業者は, 経済的インセンティブを申出る場合, 消費者に対し, 一定事項を含む通知(「経済的インセンティブ通知」)を行わなければならない。   事業者は, Webサイト等オンラインで経済的インセンティブを申出る場合, 経済的インセンティブ通知を, その内容を含むプライバシーポリシーの特定箇所へのリンクの提示により行うことができる。

page top

以 上

【注】   [1] 【本稿の筆者】 一般社団法人GBL研究所理事/IAPP CIPP/E (Certified Information Privacy Professional/Europe)/UniLaw企業法務研究所代表 浅井敏雄(Facebook)

Viewing all articles
Browse latest Browse all 2989

Trending Articles