カリフォルニア州消費者プライバシー法(CCPA)について

Paul H. Müller

2019年11月15日

カリフォルニア州消費者プライバシー法 (California Consumer Privacy Act、以下CCPA)は、米国カリフォルニア州民のプライバシー権と消費者保護を強化するための法律です。CCPAは、2020年1月1日に施行される予定です。

CCPAは、アプリビジネスを展開するマーケターにどのような影響を与えるでしょうか。個人データを取り扱う事業者が守るべきユーザーの権利や義務とは何でしょうか。この記事では、CCPAの概要と、アプリ事業主様がCCPAに遵守するためにAdjustが貢献できることについて解説します。

CCPAは誰のための法律か?

はじめに、当法律の対象企業について説明します。

CCPAは、営利目的の法人が対象とする「ビジネス (事業者)」に該当するかどうかを確認できるチェックリストを提供しています。対象企業になり得る要件は以下のとおりです。

  • 収益を目的としているか
  • カリフォルニア州で業務を行っているか
  • 以下のいずれかに該当する
    • 年間の粗利益が 2,500万ドルを超えている
    • 年間5万以上の消費者、世帯、またはデバイスから、個人情報を購入、販売、受取または共有している
    • 個人情報の販売によって、年間収入の50%以上を得ている

「年間5万人以上の消費者から個人情報を受け取っている」という要件だけをみても、ほとんどのアプリマーケターがCCPAの対象内です。

中には「カリフォルニア州で自社アプリを使っているのは数人に過ぎない」と思われるかもしれません。

CCPAにおける消費者の定義はこちらです。

  • 一時的な移動目的を除く、カリフォルニア州内に滞在している人の全て
  • 一時的な移動目的で州外にいるカリフォルニア州民

つまり、カリフォルニア州内にいるユーザー、あるいは、カルフォルニア州に在住しながら一時期間州外にいるユーザーがアプリを使用していないことが確実でない限り、CCPAの対象となる可能性が非常に高いと言えます。

CCPAとGDPRの違いは ?

CCPAはGDPRと比較すると理解しやすいため、その規制内容や主旨について把握されている方も多いと思います。

GDPRについての詳細は、こちらのブログをご覧ください。

CCPAとGDPRの基本的な目的は、非常によく似ています。両法律の目的は、消費者に対して事業者がどんな個人データを収集し、共有する場合があるかを理解し、管理する権利を与えることです。当然のことながら、この2つの法律が定める個人データの定義には、多くの共通点があります。

継承されるもう1つの重要な概念は、ユーザーの個人データを所有する法人と、そのデータを処理する法人の間の関係です。GDPRにおける定義は非常に単純です。「データコントローラー (管理者)」および「データプロセッサー (処理者)」は、正にその名が表す通りの役割を担っています。CCPAでは「事業者(Business)」および「サービスプロバイダー (Service Provider)」という名称で呼ばれていますが、その定義はGDPRと同じです。

端的に言うと、「事業者」がユーザーデータを取り扱うために「サービスプロバイダー」によるデータ処理の補完が必要であることを意味します。特定のサービスプロバイダーを使用するマーケターは、この定義により変更を余儀なくされる状況になります。

データの販売

GDPRに遵守するデータプロセッサーと同様に、CCPAに遵守するサービスプロバイダーは、自らデータを所有することなく、事業者のために個人データを処理するものと定義されています。これによって企業は、モバイルアトリビューションプロバイダーや分析ツールを使って、ビジネス改善を図ることができます。実際にAdjustでは、CCPAのルールに沿ったかたちでデータ処理が行われるよう、全てのクライアントとの契約内容の更新を進めています。

いずれの法律でも、事業者またはサービスプロバイダーとして処理する個人データをどう取り扱うべきかを定義しています。サービスプロバイダーが事業者のデータを収集して別のクライアントに提供した場合、CCPAに違反することになります。

セクション 1798.140 (t)

(1) 「販売」、「販売すること」、「販売」、又は「販売したと」とは、金銭又はその他の価値のある対象のために、事業者が他の事業者又は第三者に対して、消費者の個人情報を、販売し、賃貸し、公開し、開示し、広め、利用可能にさせ、移転し(…) 伝えることを意味する。

(…)

(2) 本巻の目的のため、以下の場合、事業者は個人情報を販売していない。

(…)

(C) 事業者が、事業者の目的を遂行するために必要な消費者の個人情報を使用し又はサービス提供者と共有する場合で、以下の条件の両方が満たされるとき:事業主に代わってサービスを提供しているときサービスプロバイダーも個人情報を販売しないという条件のもとで、事業者に代わってサービスを提供すること。

このような個人データ販売の適例は「ピープル ベースド アトリビューション(「人」ベースでのアトビリューション分析」)です。Adjustは、法律上および倫理上の理由から、個人データの提供を拒否しています

マーケティング担当者は、個人データの取り扱いに関して、サービスプロバイダーとプロバイダーの事業を厳しく検討する必要があります。

オプトインとオプトアウト

CCPAとGDPRの最大の違いは、ユーザーから同意を得る方法にあります。具体的には、ユーザーが何らかのアクションを起こす前に同意を求めることを前提にしている点です。

GDPRは、すべての個人データの処理を「オプトイン」する必要があるという大きな流れを作り出しました。その備考に記載された「正当な利益 (legitimate interest)」に当てはまる場合に限り、デジタルマーケターは以前と同様にデータを扱うことが可能です。

CCPAでは、GDPRのような厳密な定義設定がありませんが、代わりにユーザーの権利と事業者の義務について焦点が当てられています。

もう1つの相違点は、GDPRの制定側による追加説明や解釈の量です。元々の法律には、詳しいアウトラインが記載されておらず、後付けで説明が追加されている場合があります。例えば、GDPRには法的な意図を説明する170を超える備考が存在します。

現時点で、CCPAにはこのような解釈や説明がほとんどありません。しかし、2020年が迫るにつれ、司法長官からより多くの情報が公開されることが予測されます。

それでは、CCPAに遵守するため、どのような備えが必要でしょうか?

CCPAとユーザーの権利

CCPAの中核を成しているのは、消費者の権利の尊重です。これらの権利について、具体的に見ていきましょう。

  • 消費者のどのような個人情報が収集されているかを知る権利
  • 消費者の個人情報が販売、または第三者に開示されているかどうかを知る権利
  • 消費者が個人情報の販売を拒否できる権利
  • 消費者が自身の個人情報にアクセスできる権利
  • 消費者がプライバシー権を行使した場合でも、同様のサービスを同一価格で受けられる権利

最初の2項目に遵守するには、該当アプリに免責事項を追加し、どのような個人データを収集しているか、誰とデータ共有を行なっているか、また、それに関する今後の扱いについてユーザーに通知する必要があります。

そのためには、法律顧問の協力を仰ぎ、既存のデータプライバシーに関する免責事項に齟齬が生じないようにする必要があります。

既に収集済みのデータの削除を含め、ユーザーがアプリ内で個人情報の販売に関しオプトアウトができるようにアプリを設定しておくことが重要です。自社専用のデータウェアハウスやデータを共有するサービスプロバイダー向けに、プログラマティックインターフェイス(データを総合的に分析しメディアを自動的に売買するためのインターフェイス)を構築することをお勧めします。この方法によって、ユーザーの意思決定を忘れずに処理することができます。

[法律]の引用

セクション1798.135. (a) セクション1798.120条の遵守を求められる事業者は、消費者にとって合理的にアクセスできる形で、以下を行う消費者 (…) が、その消費者の個人情報の販売をオプトアウトできるように、インターネットのホームページにおいて、「私の個人情報を販売しない (Do Not Sell My Personal Information)」と題した事業者のインターネット・ホームページの明示的なリンクを提供する。事業者は、消費者に対して、その消費者の個人情報を販売しないように事業者に指示するためにアカウントを作成させるよう求めてはならない。

Adjust は、SDK内のAPI、またはS2Sを介してユーザーデータを削除したり、さらなるデータ収集をオプトアウトできる機能を提供しています。現時点では要件となるGDPRに基づいて名前が付けられていますが、今後はよりニュートラルな名前に変更する可能性もあります。

ユーザーが個人データにアクセスするには、アプリ事業者がそのプロセスやインターフェースを提供する必要があります。Adjustのデータは、消費者に対するお客様へのレスポンスの一部であり、アカウント管理者は容易にアクセスすることができます。

価格とサービスを同等にする権利も明確にする必要があり、アプリを設計する際に考慮しておきたい事項です。

まとめ

Adjustがそうであったように、CCPAに準拠することは、ほとんどのお客様にとっても困難なことではありません。AdjustはサービスプロバイダーとしてGDPRに対応しており、収集された全ての個人データに対してユーザー権限を尊重しています。

つまりAdjustは、CCPAが規定する全要件も満たしています。

プライバシー規制に初めて取り組まれるお客様にとっても、これらの対策として準備されたプロセスやインターフェースを提供するAdjustをご利用いただければ、コンプライアンスに対応することができます。

さらにAdjustは、サービスプロバイダーとしての義務を守るため、最も厳格な解釈に従う唯一のアプリアトリビューションプロバイダーでもあります。皆さまのアプリの領域内でユーザーの個人データを処理し、いかなる場合もデータを共有をしたり販売したりすることはありません。

カリフォルニア州の新しい法律は、米国市場における消費者のプライバシー規制の始まりに過ぎず、Adjustではこれが将来に向けた最善の戦略であると考えています。

いずれ、他の州もこれに追随することでしょう。

CCPAに関するご質問や、ユーザー権利に関するAdjustの対策については、Adjustのセールス担当、または、japan-sales@adjust.comまでご連絡ください。

(参照:CCPA 翻訳文「個人情報保護委員会」)

Adjustの最新情報をお届けします