Skip to Main Content
Masuda Funai
メニュー
Masuda Funai
弁護士等紹介 業務分野 クライアント・リソース 事務所紹介 ニュース&イベント 採用情報 お問い合わせ
検索する
LinkedIn (リンクトイン)
プライバシーポリシー 免責条項/利用規約
© Masuda Funai 2024
English | 日本語
ニュース&イベント: クライアント・アドバイザリー

カリフォルニア州プライバシー権法への対応

7.19.22
関連する弁護士 ケントン クノップ
関連業務分野 知的財産テクノロジー
Email Page Download PDF
ニュースメール登録

2023年にカリフォルニア州のデータ・プライバシー法が新たに改正されます。カリフォルニア州で事業を行う企業は、来年に向けてデータ収集やプライバシー情報の開示など情報を取り扱う上で今後も引き続き法令を遵守できるように、今から準備を始める必要があります。

2020年11月3日、カリフォルニア州の有権者は、住民投票によりカリフォルニア州プライバシー権法(California Privacy Rights Act)(以下「CPRA」といいます)を承認しました。このCPRAによって、すでに施行されていたカリフォルニア州消費者プライバシー法(California Consumer Privacy Act)(以下「CCPA」といいます)が改正され、カリフォルニア州の住民(CCPA/CPRAの下では「消費者」とも呼ばれます)は新たな権利を得ることになります。

CPRAは、2023年1月1日に施行され、2023年7月1日から執行機関によって実施・監督されます。

CPRAに含まれる、主要な改正点:

1. 「センシティブ個人情報(Sensitive Personal Information)」という新しいカテゴリーの創設

CPRAには、「センシティブ個人情報」という新しいカテゴリーが設けられ、事業者が消費者のセンシティブ個人情報を利用・開示するに際して、消費者には新たなオプトアウト権が与えられます。「センシティブ個人情報」には、社会保障(social security)・運転免許証・パスポートの番号、金融口座やクレジットカード等の情報、正確な位置情報、健康やバイオメトリック情報などの情報が含まれます。また、人種、民族、宗教、組合との関わり、(メールやテキストなど)パーソナルなメッセージ、性的指向などの情報も「センシティブ個人情報」に含まれます。

事業者は、どのような種類のセンシティブ個人情報を何の目的で収集するかを開示しなければなりませんが、それ以外にも、自社のウェブサイト・ホームページの目立つ箇所に「私のセンシティブ個人情報の利用を制限する(Limit the Use of My Sensitive Personal Information)」というリンクを表示し、消費者または他の権限を持つ代理人が消費者のセンシティブ個人情報の使用や開示を制限できるようにしなければなりません。

2. 新たに義務づけられるプライバシー・ポリシーの開示

さらにCPRAは、カリフォルニア州住民を対象にすでに定められているCCPAプライバシー・ポリシーに、新たに次の開示義務を加えています。

a) 収集した個人情報のカテゴリーごとに、その保持期間または保持基準。

b) センシティブ個人情報の処理に関する詳細事項。

c) 事業者が保持している同消費者情報が不正確な場合、消費者は、当該個人情報を訂正する新たな権利を有することを消費者に通知すること。

3. カリフォルニア州プライバシー保護局およびエンフォースメント(法の執行)

さらに、CPRAにより、カリフォルニア・プライバシー保護局が創設され、同保護局がCPRAの新たな規則を施行し、発行します。16歳未満の未成年者の個人情報に関する違反行為に対し、CPRAによる罰則はCCPAによる罰則の3倍に強化されます。さらに、現在CCPAは、違反があった場合30日間の是正期間を設けていますが、CPRAにより、かかる規則は廃止されます。したがって、CPRAの適用対象である事業者にとっては、違反が発見される前に、コンプライアンス・プログラムを策定することが不可欠となります。

4. 従業員のデータおよびB2Bデータに関する例外規定

CPRAは、事業者が有する従業員のデータおよび事業者間で共有するデータに関して現在適用されている例外規定を2023年1月1日まで延長しました。しかし、例外規定はその時点で失効し、以後は、カリフォルニア州の消費者に一般的に付与される権利と保護が、事業者間で共有される情報と同様に、カリフォルニア州に拠点を置く従業員の連絡先・個人情報にも適用されることになります。カリフォルニア州議会が、例外規定を2023年1月1日の満了日が到来する前にさらに延長することになるか、あるいは、それまでに従業員のデータおよび事業者間の共有データに関してより長期的な解決策を見出すことになるかは、今後も注視されるでしょう。

現在CCPAを遵守する事業者が、CPRAの施行に備えて、現時点で講じることができる主要な手段は、収集されたすべてのセンシティブ個人情報のデータ管理を行い、個人情報の保持期間と保持基準を決定することです。CPRAを遵守するに際して、ビジネス対策の実施や選択肢などに関してアドバイスをご希望の場合は、当増田舟井法律事務所で貴社の法務サービスを担当する弁護士までお問い合わせください。

© 2024 Masuda, Funai, Eifert & Mitchell, Ltd. All rights reserved. 本書は、特定の事実や状況に関する法務アドバイスまたは法的見解に代わるものではありません。本書に含まれる内容は、情報の提供を目的としたものです。かかる情報を利用なさる場合は、弁護士にご相談の上、アドバイスに従ってください。本書は、広告物とみなされることもあります。