Action(活動) 週刊 経団連タイムス 2019年11月21日 No.3432  カリフォルニア州消費者プライバシー法の実務対応 -ワシントン・リポート<67>

経団連米国事務所は11月6日、杉本・川島法律事務所の杉本武重弁護士、川島章裕弁護士ならびにインターネットイニシアティブの小川晋平ビジネスリスクコンサルティング本部長から、来年1月1日に適用開始が迫るカリフォルニア州消費者プライバシー法(CCPA)への実務対応について説明を聞いた。概要は次のとおり。

■ データ保護法違反のリスク

一般的にデータ保護法に違反した場合には、(1)高額な制裁金を受けるリスク(2)データ保護に関するレピュテーションの毀損による事業価値の毀損のリスク――の2つのリスクが存在する。2018年5月に欧州における一般データ保護規則(GDPR)が適用開始となったことを皮切りに、各国で同様の立法が続いており、データ保護法違反を理由に高額な制裁金が課される事例も相次いでいる。そのようななか、カリフォルニア州内で事業を営む企業だけでなく、広範な企業活動に影響を及ぼすおそれがあるCCPAが18年6月に成立し、速やかな実務対応が求められている。

■ CCPAの概要

CCPAは、消費者に個人情報の販売に関するオプトアウト権、削除権といった8つのプライバシーの権利を与え、当該消費者の個人情報を処理する事業者に消費者のプライバシー権に対応した8つの義務および複数の独立した義務を負わせることを内容としている。同法への対応の指針となるCCPA規則案もすでに公表されており、事業者によるプライバシーポリシーの記載方法等も示されている。

CCPA違反に対しては、州司法長官の提訴による民事罰ならびに消費者による提訴の2つの手段が用意されている。消費者による提訴については、個人情報を保護するため情報の性質に適切で合理的なセキュリティ手続きとプラクティスを実施し維持する義務に事業者が違反した結果として、一定の個人情報が不正アクセス等の対象となった消費者は、違反1件について消費者1人当たり100ドル以上750ドル以下の法定損害賠償か、または実損害のいずれか大きい額の損害賠償を求める民事訴訟を提起することができるとされており、被害者の数によって損害額が膨れ上がる可能性が大きい。

CCPAは、同法が定める事業者がカリフォルニア州で事業を行った場合、すなわち同州の消費者の個人情報を収集、販売または開示等する場合に適用され、同州に拠点を置いているかは考慮されない。また、グループ会社のなかに同法の対象とする事業者が存在する場合、他のグループ会社にもCCPAが適用される可能性があることに注意が必要である。例えば、カリフォルニアで事業を行っている米国現地法人を有している場合、その親会社である日本企業にもCCPAが適用される。

■ CCPAへの実務対応

CCPAの適用開始まで残された時間はわずかとなっているが、同法違反とされた場合には、カリフォルニア州において提起される訴訟への対応等をはじめとして膨大な対応コストがかかることが想定される。CCPAの高い専門性から、日本企業の米国内拠点のみでコンプライアンス対応を行うことが困難な日本企業も多いことが想定され、本社による適切な支援が不可欠である。同時に、本社への直接適用の可能性もあることから、本社自体による対応の要否の精査も必要である。その際、現状の把握とリスクベースでの対策の決定、実行および適切性のチェック、定期的な監査の4つのステップが重要となる。特に、CCPA規則案では社内のシステム・態勢整備の要件が詳細に定められているため、本社に与える影響も大きいことが多いと考えられ、早めの対応を行うことが肝要である。

CCPA制定以来、マサチューセッツ州、ニューヨーク州等の10州以上でCCPAをモデルとする法案が各州議会に提出されている。また、包括的な連邦プライバシー法制定の機運は高まっており、違反の場合に会社の役員等の個人に対する刑事罰を科すことができる規定を同法に含めることが盛んに主張されている。かつて米国反トラスト法上のカルテル違反により、日本企業の役員等の重役が数多く禁固刑で米国国内の刑務所に収監されたといった厳しい事象が生じたこともあり、米国連邦プライバシー法の法案の行方には特に予断を許さない。

【米国事務所】