CCPAとは

カリフォルニア州消費者プライバシー法（CCPA）は、州の居住者のプライバシー権と消費者保護を強化することを目的として、2018年に署名されて法律となった州法です。2020年1月に施行されたこの法律は、企業が収集する個人情報を消費者がより細かく管理できるようにし、次のような新しい消費者のプライバシー権を確立します。

• 企業が自己についてどのような個人情報を収集しているかと、その使用方法および共有方法について知る権利
• 個人情報を削除させる権利
• 個人情報の販売をオプトアウトする権利
• CCPAの権利を行使するための差別禁止の権利

上記の権利は、事業者のプライバシーポリシーに含まれていなければならず、読みやすく、理解しやすく、印刷可能な形式で消費者に提供されなければなりません。

CCPAは、事業者に対して、以下のような通知を読みやすく、わかりやすい形で提供することを求めています。

• プライバシーポリシー
• 個人情報の収集に関する情報の通知
• 個人情報の販売に関するオプトアウトの権利の通知
• 金銭的インセンティブに関する通知

CCPAは、カリフォルニアで事業を行い、次の基準のいずれかを満たす営利企業に適用されます。

• 年間総収入が2500万ドルを超える場合
• 50,000以上のカリフォルニア州の住民、世帯、またはデバイスの個人情報を売買している場合
• カリフォルニア州の住民の個人情報を販売することで、年間収益の50%以上を得ている場合

CCPAを遵守していないことが判明した企業は、偶発的な違反1件につき2,500ドル、故意の違反1件につき7,500ドルの罰金、さらに影響を受けた消費者1人当たり750ドルの民事賠償金の対象となります。

CCPAのコンプライアンスを満たすために、企業は、同法セクション1798.150に記されているように、消費者の個人情報を暗号化しなければなりません。 「セクション1798.81.5（d）（1）（A）で定義される通り、その暗号化されていない非編集形式の個人情報が、個人情報を保護するための、情報の性質に合った合理的なセキュリティ手続および慣行を実装および維持する義務に企業が違反したことにより、不正アクセスおよび漏洩、盗難または開示の対象となった人は、以下のいずれかに関して民事訴訟を起こすことができます。

A. インシデントまたは実際の損害のいずれか大きい方1件につき、消費者1人あたり100ドル（$100）以上750ドル（$750）以下の損害を賠償すること。

b. 差止命令または宣言的救済。

C.裁判所が適切とみなすその他の救済。」

簡単に言うと、暗号化されていない消費者データが企業から盗まれた場合、被害を受けた個人はその企業を訴えることができ、消費者一人当たり最高750ドル、または実際の損害額のどちらか大きい方を請求することができます。

消費者は、特定の条件が満たされた場合にのみ、CCPAに基づいて企業を訴えることができます。盗まれた個人情報は、消費者の名（または名のイニシャル）と姓を、消費者に関する以下の情報と組み合わせて含んでいる必要があります。

• 社会保障番号
• 運転免許証番号、納税者番号、パスポート番号、軍用身分証明書番号、または個人の身元を特定するために一般的に使用される政府文書において発行されるその他の一意の識別番号
• 金融機関の口座番号、クレジットカード番号、またはデビットカード番号（誰かが消費者の口座にアクセスできるようにする、必要なセキュリティコード、アクセスコード、またはパスワードと組み合わせた場合）
• 医療保険または健康保険情報
• 指紋、網膜または虹彩の画像、または個人の身元を特定するために使用されるその他の固有の生体認証データ（ただし、顔認識の目的で使用または保存される場合を除き、写真は含まれません）

特に、この情報は、暗号化されていない非編集形式で盗まれている必要があります。

CCPA自体は、暗号鍵については触れていません。 ただし、同法のセクション1798.150（上記「CCPAを順守するにはデータ暗号化が必要ですか？」を参照）、および「...合理的なセキュリティ手順と慣行を実施し維持する義務に対する、事業者の違反の結果としての不正なアクセスや流出、盗難、開示...」（下線を引いて強調しています）の記述を再度ご確認ください。 記録が暗号化されていたと仮定すれば、侵害後の監査には、暗号鍵がどこでどのように管理されているかの確認が含まれると考えるのが賢明です。 鍵が、盗まれた記録と同じ場所に保管されていた、または同様の保護レベルの別のシステムに保管されていた場合、そのような手順や慣行は、監査人の目には「合理的」のレベルには達しないかもしれません。 したがって、暗号鍵を暗号化されたデータとは別に保護することが望まれます。

関連する法律はさらに進んで、記録が暗号化されていなかった場合、または暗号化されたデータと暗号鍵の両方が盗まれた場合、消費者情報の侵害により企業が直面する結果について定めています。 具体的には、議会法案1130の改正の一環として、カリフォルニア州民法のセクション1798.82には、次のように定められています。

「カリフォルニア州で事業を営み、個人情報を含むコンピューター化されたデータを所有またはライセンス供与する個人または企業は、データのセキュリティ侵害を発見または通知した場合、そのシステムのセキュリティ違反を以下の各号のいずれかに該当するカリフォルニア州民に開示するものとします。（1）その個人情報が暗号化されていない状態で、権限を持たない人により入手された、または入手されたと考えるのが相当である人。（2）その個人情報が暗号化された状態で、権限を持たない人により入手された、または入手されたと考えるのが相当であって、暗号鍵またはセキュリティ資格情報も、権限を持たない人により入手された、または入手されたと考えるのが相当であって、当該暗号化された情報を所有またはライセンス供与している人または企業が、当該暗号鍵またはセキュリティ資格情報によって当該個人情報が読めるまたは使える状態になる可能性があると、合理的な理由に基づき信じている場合。開示は、第（c）号に定める通り、法執行機関の正当な必要性や、侵害の範囲を決定しデータシステムの合理的な完全性を回復するために必要な措置に合わせて、最も迅速に、不当に遅延することなく行うものとします。」

CCPAの規制は範囲が広く、消費者に権利を知らせるとともに、個人情報を保護するためにいくつかの措置を講じることを企業に要求しています。 包括的なCCPAソリューションには、データの暗号化、消費者へのタイムリーな通知、顧客サービスなどの機能が組み込まれます。

カリフォルニア州は広範なデータプライバシー法を制定した最初の州ですが、他の多くの州でもCCPAと同様の要件を採用することを目的とした法律が制定されているか、または立法が進行中です。 2022年半ばの時点で、コロラド州、コネチカット州、ユタ州、バージニア州の4州が消費者データプライバシー法を制定しており、それぞれ2023年に発効する予定です。 他の州でも、少なくとも12州がデータプライバシーに関する法律を制定中であり、さらに多くの州がこれに続くと予想されます。