2020年から施行される個人情報保護法「CCPA」はGDPRよりも企業に厳しい内容である

ヨーロッパでは消費者の個人情報を守るためにGDPRが導入されましたが、カリフォルニア州でもGDPRと同様の趣旨であるカリフォルニア州消費者個人情報保護法(CCPA)が2018年6月に成立し、2020年から新たに施行されることになっています。データ処理を専門に行う企業TonicAIがブログにてCCPAはGDPRよりも適用されるデータの範囲が広く、より注意が必要だと述べています。

Synthetic Data Blog | Tonic
https://www.tonic.ai/blog/ccpa-will-hit-your-dev-team-harder-than-gdpr

企業がデータを利用することに関する規制は昔から存在していましたが、国際武器取引規則(ITAR)や医療保険の携行と責任に関する法律(HIPAA)のように「規制が厳しいが適用される範囲は狭い」というものか、あるいはカリフォルニア州オンラインプライバシー保護法(CalOPPA)やShine the Light法のように「適用される範囲は広いが規制が緩い」というものでした。しかし、GDPRやCCPAといった新しい規制はかつての規制とは異なり、広い範囲で厳しい規制が課されるものとなっています。

CCPAの規制の対象となるのは「年間総収益が2500万ドル(約27億円)超」「5万件以上の個人情報を処理」「個人を特定できる情報(PII)を売ることで得る収益の割合が50%を超えている」の3つの条件のうち1つ以上を満たす企業です。例えば5万人のカリフォルニア州の住人がウェブサイトを訪れ、サーバーに訪問者のIPアドレスが記録された場合、そのウェブサイトを運営している企業はCCPAの対象になるとのこと。

さらに、CCPAが対象とするデータは非常に広範囲にわたっており、TonicAIのブログでは例として「ID」「地理データ」「ブラウザの履歴やアプリの操作履歴」「生体データ」「購入履歴」「教育に関する情報」「職業に関する情報」「上記の情報から導き出された推論」「人口統計データ」が挙げられています。とはいえ、CCPAは「直接・間接を問わず、特定の顧客を識別したり、関連付けたり、描写したりするものではない、顧客に結びつかない情報」のビジネス利用を制限するものではないとされています。

また、CCPAは消費者にGDPRと同じような権利を付与します。CCPAが付与するのは「情報への権利」「忘れられる権利」「第三者への情報共有をオプトアウトできる権利」「平等にサービスを受ける権利」「データの移植を行う権利」「データが適切に保護されていない場合に訴訟を起こす権利」といった権利です。企業はオプトアウトボタンを設置する必要があり、そしてサービスがデータの共有を直接的に要求する場合を除き、消費者がオプトアウトした場合でも価格やサービスに差をつけることはできません。2020年1月1日以降、企業は違反ごとに最大7500ドル(約82万円)の罰金を課される可能性が存在し、さらに罰金に加えて消費者に損害賠償を命じられる可能性があるとのこと。

機密データの定義が非常に広いため、企業がテストや開発のために本番環境のデータを利用するには何らかの対応が必要となってきます。通常、本番環境のデータを利用するとテストの信頼性も上がりますが、代わりにビジネス上のリスクが増えることにもなるので、CCPAにどう対応するのかは難しい問題となりそうです。