Skip to Main Content
ニュース&イベント: クライアント・アドバイザリー

2023年1月改正法によるデータ・プライバシー規制の強化:  カリフォルニア州消費者プライバシー法による従業員データの規制

3.30.23

概要

2023年1月1日、カリフォルニア州消費者プライバシー法(California Consumer Privacy Act)(以下「消費者プライバシー法」といいます)を大きく改正する法律が施行されました。その結果、それまで従業員に関する特定の個人データと事業者間で共有される(以下「B2B」といいます)特定の個人データについて同法で定められていた一時的な例外規定が失効し、従業員、求人応募者、請負業者およびB2Bの連絡先に対して、カリフォルニア州消費者と同様の消費者プライバシー法の保護と権利を付与することになりました。本改正により、消費者プライバシー法の適用範囲が拡大され、カリフォルニア州の雇用主の従業員、請負業者、求人応募者、B2Bの連絡先のすべての個人情報が適用対象に含まれることとなりました。本改正法はすでに施行されていますが、執行機関による規則の実施は2023年7月1日まで延期される見込みです。

カリフォルニア州消費者プライバシー法とは何か?

カリフォルニア州は、2018年に消費者プライバシー法を制定しました。その後2020年カリフォルニア州プライバシー権法(California Privacy Right Act of 2020)(以下「プライバシー権法」といいます)の制定により、消費者プライバシー法を改正した際に、カリフォルニア州は、EU一般データ保護規則(GDPR)に匹敵するデータ・プライバシー保護規制を導入した最初の州となりました。さらに、プライバシー権法により、プライバシー保護を管轄する最初の州機関としてカリフォルニア州プライバシー保護局(California Privacy Protection Agency)(以下「プライバシー保護局」といいます)が創設されました。消費者プライバシー法により、カリフォルニア州の住民である各消費者の個人情報に関する権利が強化される一方で、カリフォルニア州で事業を行う特定の事業者には様々なデータ保護義務が課されることになります。

今後の適用対象者は誰か?

消費者プライバシー法における「消費者」の定義には、カリフォルニア州に居住する(1) 従業員および求人応募者、ならびに(2) その顧客、ベンダーまたは請負業者の連絡先、および、それらから受け取った連絡先が含まれます。改正前の消費者プライバシー法には、以下の2つの一時的な例外規定が含まれていました。

  • 労働者等の個人情報の例外

事業者が、その求人応募者、従業員、オーナー、取締役、オフィサー、医療従事者または業務委託先について収集した個人情報に適用された例外です。

  • B2B個人情報の例外

事業者と、会社、パートナーシップ、個人経営者、非営利団体または政府機関の従業員・所有者・取締役・役員・請負業者との間の書面もしくは口頭によるコミュニケーションまたは取引、ならびに、製品もしくは役務の提供を行う範囲に限定した事業者間のコミュニケーションまたは取引に適用された例外です。

2023年1月1日から、上記2つの一時的例外規定が失効し、従業員、求人応募者、請負業者、B2Bの連絡先に対しても、カリフォルニア州の他の消費者と同様に消費者プライバシー法による保護と権利が付与されるようになりました。

消費者プライバシー法は、同法が適用される事業者の定義の中に、(1)共通のブランディングを行っている関連会社、(2)ジョイント・ベンチャーまたはパートナーシップ、および(3)カリフォルニア州で事業を行う営利企業で次の基準要件の少なくとも1つを満たすものを含めています。

  • 前暦年の年間総収益が2500万ドルを超える。
  • 年間10万人以上のカリフォルニア州住民の個人データを購入、販売もしくは共有している。または、
  • カリフォルニア州住民の個人データを販売または共有することによって得た収益が、年間収益の50%以上を占めている。

雇用主はどのように対応すべきか?

プライバシー保護局は、現在、プライバシー権法による消費者プライバシー法改正を実施するための規則およびガイダンスの策定準備を進めており、数カ月後には最終決定をすることが予測されます。現時点では、雇用主は、改正消費者プライバシー法による義務を確認し、対処できるよう準備を始めることをお勧めします。特に、雇用主は、以下の点を検討・考慮することをご検討ください。

  • 自社が消費者プライバシー法の適用対象となっているか否かを判断するために同法の基準要件を確認する。
  • カリフォルニア州の住民の個人データ(氏名、生年月日、政府機関が発行したID番号など)を、自社がどのように収集・処理・利用・開示しているかを確認する。消費者プライバシー法は、利用データを最小限に抑え、利用目的とデータ保持を制限する義務を課している。
  • 従業員、求人応募者、請負業者、顧客およびベンダーに送る通知書を作成または更新する。
  • 自社のデータ・セキュリティ対策と手続きについて監査する。適用対象の雇用主は、サイバー・セキュリティ・ポリシー、インシデント対応ポリシーおよび他のプロセスを見直し、データ漏えいの潜在的リスクを最小限に抑える必要がある。
  • 自社が、データ・プライバシー権の行使要求を受けた場合にどのように対処すべきか決定する。適用対象の雇用主は、このようなプロセスを確立する上で、カリフォルニア州の労働規則を確認し、人事ファイルにアクセスする従業員の権利を考慮する必要がある。さらに、雇用主は、機密性の高い特定の個人情報(たとえば、人種、健康または医学的症状、性的指向等)の利用や開示について検討し、かかる行為によって、同情報の利用制限に関して従業員が有する権利を侵害しないように注意する。
  • 適用対象の雇用主が第三者の人事サービス・プロバイダーとの間で締結しているサービス提供契約について、消費者プライバシー法上の義務の履行について同プロバイダーの支援を受けられるかを確認する。

近年の消費者プライバシー法の改正が示すとおり、プライバシー法分野の規制はより一層強化される傾向にあります。したがって、カリフォルニア州の雇用主は、新法を遵守するために、既存のポリシーや手続きを必要に応じて改訂しながら、どのようにデータを収集・管理・開示すべきか注視する必要があります。

本件に関して、何かご質問がございましたら、ノーリーン・アムジャッド弁護士(NAmjad@MasudaFunai.com)、リーバナ・サックス弁護士(RSachs@MasudaFunai.com)または雇用/労働法/福利厚生部門のメンバーまでお問い合わせください。

© 2024 Masuda, Funai, Eifert & Mitchell, Ltd. All rights reserved. 本書は、特定の事実や状況に関する法務アドバイスまたは法的見解に代わるものではありません。本書に含まれる内容は、情報の提供を目的としたものです。かかる情報を利用なさる場合は、弁護士にご相談の上、アドバイスに従ってください。本書は、広告物とみなされることもあります。