2023年6月1日
GBL研究所理事・CIPP/E 浅井敏雄[1]
・このシリーズでは, 本年(2023年)7月1日から執行開始される"California Privacy Rights Act of 2020"(「カリフォルニア州プライバシー権法」)(CPRA)(改正CCPA)およびその施行規則(以下「規則」または「CPRA規則」という)(両者を総称して「CPRA」という場合がある)について, 「全解説CPRA カリフォルニア州プライバシー権法(改正CCPA)」(以下「全解説」という)第一部から抜粋し4回に分けてCPRA・規則の概要を紹介している。
・この第4回(最終回)では, サービス提供者・契約業者の義務と契約/販売・共有先の義務と契約/事業者の研修義務, 請求対応の記録・公表義務/CPRA違反に対する救済と制裁/GDPRおよび個人情報保護法との比較, について解説する(第1~3回及び第1~4回のPDFはこちら)。 ・なお, 以下において, ( )内の数字は条文番号, [ ]内の内容は筆者による補足・追記である。また, 下線または「*」印が付けられている箇所はCCPA・CCPA規則からの主な改正(追加・変更・削除・明確化)部分である。| 【目 次】 1. CPRA成立の背景 2. CPRAの基本概念 (以上第1回) 3. 事業者の一般的義務 4. 消費者に対する必要な情報開示 (以上第2回) 5. 消費者の権利 6. 消費者の権利行使(請求)方法 (以上第3回) 7. サービス提供者・契約業者の義務と契約 8. 販売・共有先の義務と契約 9. 事業者の研修義務/請求対応の記録・公表義務 10. CPRA違反に対する救済と制裁 11. GDPRおよび個人情報保護法との比較 (以上今回第4回) |
7. サービス提供者・契約業者の義務と契約
事業者は, 事業者が消費者の個人情報を開示するサービス提供者および契約業者(以下「サービス提供者等」という)との間で, その個人情報に関し以下の内容を含む契約を締結しなければならない。 (1) 開示の業務目的の特定。 (2) サービス提供者等の販売・共有/業務目的以外での処理/その他の商業目的での処理/事業者との直接的ビジネス関係外での処理の禁止。 (3) サービス提供者等のCPRA・規則遵守義務。 (4) 上記義務に関する事業者の評価・監査等の権利。 (5) サービス提供者等のCPRA・規則遵守不能の通知義務。 (6) サービス提供者等による不正利用等に対する事業者の停止・是正権。 (7) 事業者による消費者の請求への対応に対するサービス提供者等の協力義務。 サービス提供者は, 事業者へのサービスを再委託する場合およびその再委託先が更に再々委託等する場合, その旨事業者に通知し, 再委託先との間で上記と同様内容の契約を締結しなければならない。 サービス提供者等は, 個人情報を, 上記契約で特定された業務目的/上記の再委託/事業者へのサービスの構築・品質向上のための自社内利用/データセキュリティンシデント・不正アクセス対策/法令遵守等の目的以外で処理してはならない。 サービス提供者等は, 事業者とクロスコンテキスト行動広告以外の非パーソナライズ広告や単なるコンテキスト広告等の提供契約をすることはできるが, 販売・共有オプトアウト請求がなされた個人情報と他の個人情報とを結合してはならない。 上記の契約締結その他の要件を満たさない者はサービス提供者等ではなく「サードパーティ」とみなされる。 サービス提供者等は, 上記の事業者との契約の条件を遵守しなければならない。8. 販売・共有先の義務と契約
事業者は, 事業者が消費者の個人情報を販売・共有する相手方のサードパーティと, その個人情報に関し以下の内容を含む契約を締結しなければならない。(以下この項について)* (1) サードパーティの利用目的の限定・特定。 (2) サードパーティのその目的のみでの処理義務。 (3) サードパーティのCPRA・規則遵守義務。 (4) 上記義務に関するサードパーティの誓約等。 (5) サードパーティによる不正利用等に対する事業者の停止・是正権。 (6) サードパーティのCPRA・規則遵守不能の通知義務。 サードパーティは, 上記の契約を締結していない場合, 事業者から利用可能とされた個人情報を収集しその他処理してはならない。 サードパーティは, 上記の事業者との契約の条件を遵守しなければならない。9. 事業者の研修義務/請求対応の記録・公表義務
事業者は, 関係従業員等にCPRA上の義務(消費者からの請求対応義務を含む)を周知しておかなければならない。 事業者は, CPRAに基づく消費者からの請求とその対応に関する記録を最低24カ月間保存しなければならない。 事業者は, 1暦年で1千万人以上の消費者の個人情報を購入・販売・商業目的で受領・共有する場合には, 関係従業員等に研修を行い, また, 前年の消費者からの請求とその対応の件数等の情報(指標)を集計して翌年7月1日までにプライバシーポリシー中で公表しなければならない。10. CPRA違反に対する救済と制裁
(1) 消費者の私的訴権 消費者は, 事業者によるセキュリティ措置実施義務違反に起因する個人情報(氏名と社会保障番号の組合せ等に限る)の漏えい等のセキュリティ侵害に対し, 民事訴訟を提起し, 違反1件/消費者1人当たり100 ドル以上750 ドル以下の法定損害賠償または実損害いずれか大きい額の賠償, 違反の差止等を請求することができる(私的訴権。集団訴訟も可能)。 CPRAでは, 対象となる個人情報に, 近年漏えいが頻発している電子メールアドレスと, そのアカウントパスワード等の組合せが追加されたので, その結果, 消費者からの訴訟が増加すると予想される。 但し, 対象となる違反はCPRA・規則違反全般ではなくセキュリティ侵害に限定されている。 また, 消費者は, 法定損害賠償を請求する場合には提訴30日前までに事業者に対し違反したと主張するCPRA上の規定を記載した通知書を送付しなければならない。 事業者が, 上記30日以内に違反を是正した旨および今後違反しない旨の陳述書を消費者に提出した場合, 消費者は法定損害賠償請求をすることはできない(実損の損害賠償請求は可。また, 陳述書違反に対してはその履行と法定損害賠償の請求可)。 (2) 保護庁の創設と保護庁・州司法長官による執行 CCPAと同様, 州司法長官による執行も存続するが, CPRAでは, CPRA執行の専任機関として, カリフォルニア州プライバシー保護庁が創設された。(以下本段落について)* 保護庁はCPRAの執行の他, 規則制定を含む広範な任務・権限を有する。 保護庁は, CPRAに違反した事業者, サービス提供者その他の者に対し, 行政上の措置として, 行政制裁金納付および違反の停止・排除を命令することができる(行政執行)。 保護庁の執行の対象となる違反は, セキュリティ措置実施義務違反に限らずCPRA・規則の全ての規定の違反であり, 保護庁は, その違反に対し制裁金納付および違反の停止・排除を命令できる。 この行政制裁金は, 違反1件当たり2,500ドル以下(故意の違反または消費者が16歳未満であることを現に認識していて犯した違反の場合は7,500 ドル以下)であり, 制裁金額決定上, 違反者が保護庁に誠実に協力した場合にはそのことが考慮される。 州司法長官は, 従来と同様, 州民を代表して民事訴訟を提起し, 民事制裁金賦課および違反差止を請求することができる。 その制裁金・差止(民事制裁)の内容は保護庁の執行とほぼ同じである。 なお, CCPA上存在した30日間の是正猶予期間は, 保護庁・州司法長官いずれの執行についても廃止された。 2023年7月1日以降, 保護庁による執行が本格化すると考えられるが, 現州司法長官Rob Bonta氏も, 2021年4月の就任以来, セフォラ事件和解判決(2022年8月24日)を含め, 違反に係る苦情申立の受付・調査・執行を積極的に行っている。11. GDPRおよび個人情報保護法との比較
既に日本の個人情報保護法またはEUのGDPRへの対応を経験済みの企業にとっては, CPRAを両法と比較すると理解し易いのではないかと思われる。 そこで, こちらの表では, 世界の個人情報保護法制の一種のベンチマークとなっているGDPRの規定項目を中心に表の形でこれらの共通点・相違点を示す。以 上
[1] 【本稿の筆者】 一般社団法人GBL研究所理事/IAPP CIPP/E (Certified Information Privacy Professional/Europe)/UniLaw企業法務研究所代表 浅井敏雄(Facebook)