カリフォルニア州消費者プライバシー法(CCPA)

カリフォルニア州消費者プライバシー法(CCPA)は、州の居住者のプライバシー権と消費者保護を強化することを目的として、2018年に署名されて法律となった州法です。2020年1月に施行されたこの法律は、企業が収集する個人情報を消費者がより細かく管理できるようにし、次のような新しい消費者のプライバシー権を確立します。

  • 企業が自己についてどのような個人情報を収集しているかと、その使用方法および共有方法について知る権利
  • 個人情報を削除させる権利
  • 個人情報の販売をオプトアウトする権利
  • CCPAの権利を行使するための差別禁止の権利

CCPAは誰に適用されますか?

CCPAは、カリフォルニアで事業を行い、次の基準のいずれかを満たす営利企業に適用されます。

  • 年間総収入が2500万ドルを超える場合
  • 50,000以上のカリフォルニア州の住民、世帯、またはデバイスの個人情報を売買している場合
  • カリフォルニア州の住民の個人情報を販売することで、年間収益の50%以上を得ている場合

CCPAを順守するにはデータ暗号化が必要ですか?

CCPAを順守するためには、同法セクション1798.150に述べる通り、消費者の個人情報を暗号化する必要があります。「セクション1798.81.5(d)(1)(A)で定義される通り、その暗号化されていない非編集形式の個人情報が、個人情報を保護するための、情報の性質に合った合理的なセキュリティ手続および慣行を実装および維持する義務に企業が違反したことにより、不正アクセスおよび漏洩、盗難または開示の対象となった人は、以下のいずれかに関して民事訴訟を起こすことができます。

  1. インシデントまたは実際の損害のいずれか大きい方1件につき、消費者1人あたり100ドル($100)以上750ドル($750)以下の損害を賠償すること。
  2. 差止命令または宣言的救済。
  3. 裁判所が適切とみなすその他の救済。」

CCPAの下でデータ侵害はどのように取り扱われますか?

消費者は、特定の条件が満たされた場合にのみ、CCPAに基づいて企業を訴えることができます。盗まれた個人情報は、消費者の名(または名のイニシャル)と姓を、消費者に関する以下の情報と組み合わせて含んでいる必要があります。

  • 社会保障番号
  • 運転免許証番号、納税者番号、パスポート番号、軍用身分証明書番号、または個人の身元を特定するために一般的に使用される政府文書において発行されるその他の一意の識別番号
  • 金融機関の口座番号、クレジットカード番号、またはデビットカード番号(誰かが消費者の口座にアクセスできるようにする、必要なセキュリティコード、アクセスコード、またはパスワードと組み合わせた場合)
  • 医療保険または健康保険情報
  • 指紋、網膜または虹彩の画像、または個人の身元を特定するために使用されるその他の固有の生体認証データ(ただし、顔認識の目的で使用または保存される場合を除き、写真は含まれません)

特に、この情報は、暗号化されていない非編集形式で盗まれている必要があります。

関連する法律はさらに進んで、記録が暗号化されていなかった場合、または暗号化されたデータと暗号鍵の両方が盗まれた場合、消費者情報の侵害により企業が直面する結果について定めています。具体的には、議会法案1130の改正の一環として、カリフォルニア州民法のセクション1798.82には、次のように定められています。

「カリフォルニア州で事業を営み、個人情報を含むコンピューター化されたデータを所有またはライセンス供与する個人または企業は、データのセキュリティ侵害を発見または通知した場合、そのシステムのセキュリティ違反を以下の各号のいずれかに該当するカリフォルニア州民に開示するものとします。(1)その個人情報が暗号化されていない状態で、権限を持たない人により入手された、または入手されたと考えるのが相当である人。(2)その個人情報が暗号化された状態で、権限を持たない人により入手された、または入手されたと考えるのが相当であって、暗号鍵またはセキュリティ資格情報も、権限を持たない人により入手された、または入手されたと考えるのが相当であって、当該暗号化された情報を所有またはライセンス供与している人または企業が、当該暗号鍵またはセキュリティ資格情報によって当該個人情報が読めるまたは使える状態になる可能性があると、合理的な理由に基づき信じている場合。開示は、第(c)号に定める通り、法執行機関の正当な必要性や、侵害の範囲を決定しデータシステムの合理的な完全性を回復するために必要な措置に合わせて、最も迅速に、不当に遅延することなく行うものとします。」