アメリカの中でも最も人口が多く、数多の世界的なIT企業が本社を構えるカリフォルニア州は、積極的に消費者保護に関する法律・法理を世界でいち早く導入し、消費者保護を図っています。たとえば、製造物の欠陥により生じた損害について製造業者に厳格責任を認める製造物責任法は、1960年代にカリフォルニアの最高裁判所がこの法理を認め、全米だけでなく世界中に広がりました。

今回取り上げるカリフォルニア州消費者プライバシー法（California Consumer Privacy Act　以下「CCPA」といいます。）も他州に先駆けて施行されたプライバシー法であり、今後、他州や他国でも追随する動きが予想されます。EUのプライバシー法であるGDPRが施行された際にもEU内に商圏を持つ日本の会社に大きなインパクトを与えました。CCPAも日本の会社に適用される可能性が十分にある法律であり、カリフォルニアの法律だから、と無視するわけにはいきません。

CCPAは条文自体が複雑で、細かい要件については規則で定められ、他方で用語の定義が明確でない部分も多く、まだ実務の運用も手探りの状態であることから、非常にとっつきにくい法律となっています。ただ一方で、要点さえ押さえれば、一般的な事業者としては、実はやることはシンプルです。そこで、今回はCCPAの概要をざっと押さえることにしたいと思います。

なお、本稿では説明が複雑になることを避けるため、基本的に「カリフォルニアに営業所・事業所を有する日本企業」や「営業所・事業所はないもののカリフォルニア州民にオンライン等を通じてサービス提供を行っている日本企業」といった事業者を想定しています。より深くCCPAについて知識を得たい方は、JETROが非常にわかりやすいハンドブックを提供しておりますので、そちらもご参照ください。

カリフォルニア州消費者プライバシー法(CCPA)実務ハンドブック
https://www.jetro.go.jp/world/reports/2019/02/c74bb9695c95edf9.html

１　CCPAの適用対象　―誰がCCPAの規制に従わなければならないのか？―

CCPAの適用対象となるのは、①営利を目的とし、②直接・間接の方法を問わず、個人情報を取得しており、③個人情報の処理の目的および手段を決定し、④カリフォルニア州内で事業を行っており、⑤2500万ドルを超える年間総収入を有するか、消費者・世帯・デバイス情報を合算して５万件以上の個人情報を取り扱う法的主体を指します。またCCPAの適用を受ける事業者の直接・間接的な支配を受け、共通のブランドを有している事業者にも適用があります。

⑴　わが社はカリフォルニア州内に支社がないから問題ない？

ここで問題となるのが、「カリフォルニア州内で事業を行う」という意味です。CCPA上は、この「事業を行う」という意味について、文言上の定義づけがありません。ほかのカリフォルニア州法などの要件に従うならば、①カリフォルニア州内で設立され、または、同州内に主たる事務所を有する場合、②カリフォルニア州内で反復継続的に経済的利益を得る業務を行っていることが認められれば、この要件を満たすことになりそうです。

そうしますと、カリフォルニア州内に営業所（主たる営業所ではなくても②にかかるため）を有している場合や実際の会社はないものの、オンライン販売などにより、カリフォルニア州民がその物品・サービスを購入している場合には、この事業要件を満たすことになります。全世界向けにアプリを頒布している会社やオンラインでのサービス提供を行っている会社は、カリフォルニア州で事業を行っているという認識はなくとも、知らず事業要件をクリアする可能性があるということです。

⑵　わが社はカリフォルニア州民の個人情報を5万件も取り扱うことなんてないから問題ない？

5万件の個人情報といいますと、一見すると非常に高いハードルのように見えます。しかしながら、CCPAの「個人情報」がIPアドレス、CookieといったWebサイトへのアクセス情報も含むことから、実は自社のWebサイトに1日に137件、カリフォルニア州からのアクセスがあれば容易にこの要件をクリアしてしまいます。

また消費者・世帯情報・デバイス情報は、別途カウントすると考えられている点に注意が必要です。たとえば、ある会社が私の個人の名称などの情報のほかに、（その会社が提供するデバイスを利用している）村尾家の世帯情報を取得し、その会社のWebサイトにアクセスした私のデバイス情報も取得したとすると、村尾卓哉の個人情報1件ではなく、消費者・世帯・デバイス情報として3件がカウントされる、と考えられています。

⑶　そもそもカリフォルニア州からのアクセスかどうかが判別できないのでは？

たとえば、IPアドレス、Cookie情報だけを取得する場合、アカウントの登録のためにメールアドレスだけを要求する場合など、事業者側が「どこからアクセスを受けているのか分からない」ということも十分あり得ます。これは本当に悩ましい問題です。

最も保守的に考えるならば、少なくともアメリカ（または国外）から年間で5万件以上のWebへのアクセスが予想される事業者は、（すべてのアクセスがカリフォルニア州からとみなして）CCPAの適用があるとして対応することになるでしょう。

そもそも取得した情報が国内のものか、国外のものであるかもわからない場合（メールアドレスだけの登録をさせる場合など）にもご自身が行っている事業がアメリカを市場として想定して展開されている場合、たとえばアメリカやアメリカのWeb上で広告などを出している場合、英語サイトを充実させ、英語圏を商圏として展開をしている場合などには、カリフォルニア州内（アメリカ国内）での事業者とみなされる可能性が高いため、取得した情報がトータルで５万件を超える場合には、CCPAの適用があるとみなして対応するのが無難と言えます。

ただし、CCPAに対応するためには、ウェブサイトの改訂を含めコストがかかりますから、一概にどのような対応をすればよいと単純化することは難しい問題です。この辺りは、事業者の事業の性格やその広告、マーケティングの展開の仕方、取得情報の種類によって判断が変わってきますので、迷われた場合には、一度ご相談いただいた方が良いかもしれません。

２　CCPA上の「個人情報」とは？

CCPAにおいて、個人情報とは、消費者または世帯を特定し、関連し、または合理的に関連付けることができる情報とされています。日本の個人情報の定義は、「特定の個人を識別できる情報」を指しますから、CCPA上の情報は、個人に関連付けることができる情報、と極めて広く定義づけをしていることが分かります。たとえば、日本では、Cookieそのものだけでは、個人を識別できないので、個人情報に該当しませんが、CCPAではCookie自体も特定の消費者に関係する情報に該当しますから、個人情報と取り扱われることになります。

⑴　わが社は、BtoBビジネスだから、CCPAの心配をしなくても問題ない？

CCPAはカリフォルニア州「消費者」プライバシー法ということですが、CCPA上の消費者は「カリフォルニア州在住の自然人」を意味し、一般的に私たちが考える消費者という定義よりも広くなっています。そのため、カリフォルニア州民である自社の社員や情報取引先の担当者の情報については、個人情報に該当し、BtoBビジネスであってもCCPA上の消費者情報を取り扱う可能性は十分にあるということになります。

⑵　カリフォルニアの取引先と交換した名刺の取り扱いをどうしたら良いか？

CCPA上は、取得した個人情報の媒体は問いません。GDPRの場合には紙媒体の名刺自体は「個人データ」の定義の範囲に含まれないと考えられているところですが、CCPA上は、そのような限定はなく、紙媒体のものも個人情報に該当すると判断されます。社員の受け取った名刺の数を把握するなんて無理じゃないか、という声が聞こえてきそうですが、5万件以上、という数字の要件からすると、カリフォルニアに大きな取引先がある場合や自社の支店や支所があり、常に会社として一定量の取引や人の交流があり、概算で（名刺やデータ情報を含め）5万件以上の個人情報を得る可能性がある場合に対応を考えればよいと思います。たとえば、アメリカに新規進出すべくカリフォルニアの企業展示会に参加し、一定の交流を行っただけでは、通常5万件を超えることはないでしょう。

村尾卓哉弁護士の連載コラム「サクッと読めるアメリカ法の実務」
【第１回】　『情報開示請求の”裏ワザ”　～アメリカ連邦制度を利用した情報開示』
【第２回】　『映画エリン・ブロコビッチから学ぶクラスアクション』
【第３回】　『情報開示請求の”裏ワザ”　～アメリカ連邦制度を利用した情報開示　実践編』
【第４回】　『情報開示請求の“裏ワザ”　～DMCAに基づく発信者特定』