ホーム Topics CCPAコンプライアンス カリフォルニア州消費者プライバシー法(CCPA)とは?
IBM Security Guardium Insightsはこちら 対話式デモを試す
IBM Securityを使うオフィス従業員を示すアイソメトリック画像
CCPAとは?

カリフォルニア州消費者プライバシー法(CCPA)は、消費者の個人情報(PI)のプライバシーに関するカリフォルニア州民の権利を保護および行使する、2020年に制定されたカリフォルニア州法です。

デジタル世界では、消費者データというのは、マーケティング担当者にとってのゴールド、つまり計り知れない潜在的価値を持つ新たな存在として理解されています。しかし、このデータを採掘したいという企業の意向にもかかわらず、そのようなデータによって調査される消費者は、生成した情報がどのような形で使用されるのか、あるいは使用されないのかについて、発言権を持つべきだと主張する運動が増えています。

カリフォルニアでは、この運動の目標がCCPAの可決により法律へと形を変えたのです。これは、カリフォルニア州にデータ・プライバシーの法律や規制を施行するための有効なフレームワークを与え、カリフォルニア州住民にデータ侵害からの法的救済を求めるための私的訴権への道を提供することで、消費者の権利とサイバーセキュリティーに大きな打撃を与えるものです。
関連コンテンツ

IBMニュースレターの購読
CCPAの権利と保護

CCPAガイドラインは、カリフォルニア州の消費者に、個人データのプライバシーに明示的に対処し、合理的なセキュリティー保護を提供する一連の権利を与えることを目的として設計されました。これらの権利には、カリフォルニア州民が自らの顧客データに関して消費者要求を行う権限が含まれます。これらの要求には、以下を行う方法が含まれます。

  • 「私の個人情報を販売しないでください」という指示を発行することにより、第三者企業への個人情報の販売を防止する(再販を防止する権利)。
     

  • 収集された個人情報に関するデータを要求する(アクセスする権利)
     

  • その消費者に関して収集されたすべてのデータを削除するよう要求する(忘れられる権利)

カリフォルニア州プライバシー保護局のおかげで、カリフォルニア州には同州の住民に影響を与えるデータ変更について適切な通知がなされるよう保証する保護や、これらの権利の行使を選択したことを理由に個人を征服したりその他の罰則を与えたりしてはならないことを義務付ける差別禁止規則も適用されます。
どのような種類の個人情報が規制されていますか?

ほとんどの消費者は「個人データ」が何を意味するのかについての一般的な概念を持っていますが、このフレーズは人によって意味が異なり、実際には想像以上に多くのことを意味する場合があります。

CCPAの文脈では、個人データは「特定の消費者または世帯を識別または説明する、またはこれに関連するか、合理的に(直接的または間接的にも)関連付けることができる情報」と定義されています1

CCPAガイドラインでは、個人データの具体例として以下を取り上げています。

  • 名前

  • 住所

  • 電話番号

  • Eメール・アドレス

  • IPアドレス

  • 生年月日

  • 社会保障番号

  • 運転免許証番号

  • パスポート番号

  • 銀行口座情報

  • クレジットカード/デビットカード番号

  • 教育関連データや資格情報

各タイプの情報がデータ分析によって組み合わされ、特定の消費者や消費者グループに関する複合的なビューの作成や、消費者マーケティングの傾向に関するより広範な推論などに利用できるようになれば、マーケティング担当者にとって個人データの価値はさらに高まります。日常的に収集される他の形式のPIにも、以下のような明らかな情報が含まれるものがあります。

  • 消費者の購買嗜好

  • 個人の閲覧履歴

  • 明確な個人的態度

  • 特定の個人的行動

もうひとつの懸念はCookieについて、さらにはこれらCookieが固有の識別子としてどのようにウェブサイトによって使われているのかという点です。これには、ファーストパーティCookie(事業目的が終了すると自動的に削除されるように設計されているCookie)とサードパーティCookie(自動的に削除されず、機密性の高い個人情報を含む様々な種類の個人データを収集する機能を有するCookie)が含まれます。

ウェブサイトがサードパーティCookieを悪用する可能性があるため、CCPAはウェブサイト上でCookieの使用を通じて収集されたデータをPIとみなし、保護に値するとみなしています。

 データの検出と分類の方法についてはこちら
CCPAコンプライアンス戦略

最も影響を受ける組織は、CCPAへの準拠をひとつのステップとしてだけではなく、全体的なプロセスとして取り組んでいます。そのプロセスの最初の部分では、多くの場合、消費者に対する考え方の変化と、消費者のプライバシーのニーズがいかに重要で強制可能な権利が伴うことを認識することが必要になります。

CCPAコンプライアンスの維持には、カリフォルニア州のさまざまな消費者に、個人データ・インベントリーの管理方法に関するオプション(オプトインの選択を含む)を提供することが含まれます。また、新しいテクノロジー(生体認証など)やCCPAポリシーの改訂に対応するために、CCPAの進化的な変化に対応し続けることも意味します。

CCPAに準拠するには一連のステップが必要になり、完全に準拠するには6か月、場合によっては1年かかる場合もあります。いずれにしろ、各ステップはCCPA準拠を確立する上で重要な役割を果たします。(特定のコンプライアンス要件が同時に実行される可能性があるため、ステップは数字ではなく箇条書きで示されています。)
すべての顧客データの場所を把握

最初のステップは、どのような消費者データが収集されているかを正確に把握し、そのさまざまな場所をカタログ化することです。これは、社外の消費者から収集された「外部」消費者データと、企業の従業員や求職者から「内部」で収集された消費者データの両方に該当します。
収集されたすべてのデータの保護

消費者からのものであれ、求職者からのものであれ、収集されたすべての個人データは安全に保管することが不可欠です。また、未成年者から収集した情報の保護に関する追加規定もあります。

データのセキュリティーと保護についての詳細はこちら
データが収集されたことを消費者に警告

「回収時の通知」声明はすべての消費者(従業員や求職者も含む)に発行されるべきです。重要なのは、このプライバシー通知は、データ収集活動がすでに開始された後ではなく、その事前または開始時に行う必要があるという点です。
会社のプライバシーポリシーの策定と公表

現在、ほとんどの組織は自社の詳細なデータ・プライバシー・ポリシーを維持し、自社のウェブサイトで公開しています。
消費者データのリクエストの管理方法の決定

消費者情報に関連するリクエストを処理するための効果的かつタイムリーな手段を構成することも重要です。
収集されるPIの量を必要なものだけに制限する

組織が特定の目的を達成するために必要最小限の量のPIのみを収集するようにするには、データ最小化ルールを開発し実装する必要があります。また、収集されたデータが侵害された場合に消費者に起こり得る危険を考慮し、適切な予防策(収集されたデータの使用後の自動削除など)を導入する必要があります。
全員が同じ認識を持てるように

コンプライアンスを達成するための重要な側面の1つは、会社のマネージャーとすべての従業員がCCPA要件、特に業務範囲に直接影響する要件を確実に認識することです。最新情報については、トレーニング・セッションやウェビナーを通じて伝えることができます。
CCPAの動向に関する最新情報

法律や規制は多くの場合、変更や修正される可能性があります。(CCPA自体は、2023年の再発足前にそのような改訂がありました。)したがって、CCPAの最新の動向を常に把握しておくことをおすすめします。
CCPAの施行とコンプライアンス違反の罰則

データ仲介業(PI の売買)は急成長している事業です。専門家はその事業価値を2021年に全世界で2,400億米ドルとして評価しています。この額は2020年代が終わるまでにほぼ2倍となり、年間4,500億米ドル以上に膨らむと予想されています。 2

データほど貴重なものにはすべて強力な保護が必要です。そのため、カリフォルニア州プライバシー保護局(CPPA)は、CCPAテナントに違反する企業の利益に打撃を与える権限を与えられています。CCPAの罰金の上限は比較的低くなっていますが(意図的でなかったことが証明された違反接触の場合は2,500米ドル、意図的な違反の場合は7,500米ドル)、これらのCCPAの罰金は単一の違反に適用される点に注意が必要です(たとえばデータ侵害の場合、1人が関与しているデータ侵害1件あたりの罰金)。

しかし実際には、データ侵害にたった1人の当事者が関与することはほとんどありません。むしろ、一般的には数千、さらには数十万の消費者が参加する大規模イベントとなります。したがって、CCPAが科す可能性のある罰金とカリフォルニア州住民数を掛け合わせると、すぐに巨額の罰金が計算される可能性があります。

CCPAは違反企業に対し、犯した過ちを正すための猶予期間を30日間与えることで、こうした高額な罰金の支払いを回避する方法を提供しています。違反者がセキュリティー対策を強化し、1か月以内に問題を「修正」できれば、罰金は免除されます。もちろん、企業はそのような違反を是正する経済的義務がありますが、データ侵害などの違反の多くにはデータ開示などの取り消すことのできない違反行為を伴うことがあるため、場合によっては違反の是正が困難または不可能になる可能性があります。
最近のCCPAのニュースと傾向

CCPAの適用範囲は、モノのインターネット(IoT)などのテクノロジーの爆発的な成長に歩調を合わせるために拡大し、進化し続けています。

たとえば、CPPAは最近、データ収集メカニズムを搭載した「コネクテッドカー」(CV)に新たに注目を向けることをを発表しました。現代の車両には、運転手に関して包括的な情報と地理位置情報データを収集し、そのデータを送信する手段が備わっています。実際、カリフォルニア州には3,500万台以上の登録車両があることを考えると、これは大事業と言ってよいでしょう。しかしCPPAのエグゼクティブ・ディレクターのAshkan Soltani氏は、これが特に注意が必要なニーズだと言います。

2023年7月にSoltani氏は、「現代の自動車は事実上、車輪に接続されたコンピューターです」と述べました。「組み込みのアプリや、センサー、カメラを介して豊富な情報を収集することができ、車内にいる人たちや車両の近くにいる人たちの両方を監視できるのです。」 3

ここでは、「車両の近く」という表現に特に注目すべきです。というのも、これは運転手のデータだけでなく、その車両に同乗している可能性のあるすべての人、さらにはその車両の近くを歩いていて車載カメラに一瞬映っただけの個人までもが保護されることを暗示しているからです。

この発表は、CCPAの権限がIoT(この場合はコネクテッドカー)を介して生成された個人データを保護するために利用されているという点でも、重要であると思われます。この発表が、増加するIoT関連の案件に対して政府機関が今後数年のうちに裁定する意図があることを示すものであれば、これはさらに重要な意味をもつかもしれません。
CCPAとGDPRの比較

欧州連合(EU)は2018年5月に一般データ保護規則(GDPR)を制定し、個人情報や消費者情報の保護を目的にした、可能な限り先を見越したフレームワークを立ち上げました。一方、CCPAは、米国内で施行されている最も厳格なデータ・プライバシー・ポリシーとして知られています。そのため、この2つの規格がどのように違うかを比較したいと考える人もいます。

多くの点で、これら2つの規格は非常によく似ています。GDPRとCCPAはどちらも以下の特徴があります。

  • 個々の市民に保護と権利を与えるという目的が原動力となっている。
     

  • 収集されたデータに誤りがある場合、収集されたデータに異議を唱え、修正する権利を消費者に与える。

  • 消費者に、自身の個人情報にアクセスする権利や、自身の個人情報を移動する権利(本人がこれを選択した場合のみ)、そして自身の個人情報を永久に消去する権利を与える

  • 収集されたデータのセキュリティーが侵害された場合に消費者に個人的に通知することを要求する

一方、この2つには相違点もあります。GDPRには、カリフォルニア州単一では必要のない転送要件が、州境を越えた転送の場合には適用されます。同様に、CCPAではPIの販売に制限が適用されますが、GDPRでは適用されません。

それでも、GDPRとCCPAの間には相違点よりも類似点の方が多く存在します。どちらの規格でも、企業が個人データの管理を基本的に外部企業に委託する場合などのサードパーティ・リスクというやっかいな問題に対処する必要があります。この問題が発生した場合、そのサードパーティ企業は、問題のデータを最初に収集または購入した後に元の企業が負ったのと同じCCPAに基づく責任をPIに対して負う準備を整えたうえで実際にその法的責任を負うことができなければなりません。CCPAとGDPRはどちらも、企業が情報を共有するサードパーティのカテゴリー、各サードパーティとどのような情報を共有するか、およびその理由を共有することを義務付けています。

GDPRとCCPAは大きな特徴をもう1つ共有しています。コンプライアンス違反を犯したサービス・プロバイダーやその他の企業に金銭的な罰を与えることができるという点です。このことは最近、史上最大のデータ・プライバシー罰金が科されたケースからも明らかになっています。

2023年5月、アイルランドのデータ保護委員会(DPC)は、Meta(旧Facebook)がInstagramを含む米国事業で欧州のデータを違法に使用したとして、同社に対して12億ユーロ(約13億米ドル)という記録的な罰金を科しました。
関連ソリューション
IBM Security Guardium Insights

コンプライアンスの監査とレポートを自動化し、データとデータソースを検出して分類し、ユーザーのアクティビティーを監視し、脅威にほぼリアルタイムで対応します。Guardium Insightsは、機密データに関する不審なアクティビティを発見し、漏洩のリスクを軽減することで、データ・セキュリティーに対する最新のゼロトラスト・アプローチをサポートします。

 Guardium Insightsの詳細はこちら
データ・セキュリティーと保護ソリューション

より高い可視性と鋭いインサイトにより、サイバー脅威の調査と修復を支援します。ほぼリアルタイムでセキュリティ・ポリシーとアクセス制御を適用し、法規制遵守のニーズに迅速に対応します。

 データセキュリティと保護ソリューションの詳細を見る
データ・プライバシー・ソリューション

ゼロトラスト原則と実証済みの保護策を基盤に、データ・プライバシーに関して包括的かつ順応的なアプローチを採用して、信頼性の高い顧客体験を提供しビジネスを成長させましょう。IBMデータ・プライバシー・ソリューションなら、データ・プライバシー保護を強化しながら、顧客の信頼を築き、ビジネスを成長させることが可能になります。

 データプライバシーソリューションの詳細を調べます
参考情報 2023年データ侵害のコスト

データ侵害の原因や、コストを増減させる要因を理解することが、侵害に対する備えを強化するために重要です。データ侵害に見舞われた550以上の組織の経験から学ぶことができます。

 個人情報(PII)とは

PIIは、社会保障番号、氏名、電話番号など、特定の個人の身元を明らかにするために使用される可能性のある個人データです。

 情報セキュリティーとは

情報セキュリティーは、組織の重要なデジタル・ファイルやデータ、紙文書、物理メディアなどを、不正なアクセス、開示、使用、改ざんから保護します。

詳細情報はこちら

IBM Security Guardium Insightsは、SaaS機能とオンプレミス機能を兼ね備えた統合データ・セキュリティー・ソリューションを提供し、存在するどこでもデータを保護します。一元化された可視性、連続的なデータ監視、および自動化されたワークフローを備えた高度なコンプライアンス機能により、データ・セキュリティー体制を向上させます。19以上のクラウド環境でデータを接続および保護し、一箇所からデータ・セキュリティーの脆弱性を検知します。

 Guardium Insightsの詳細はこちら デモの予約
脚注

14 Types of Personal Data Under the California Consumer Privacy Act (CCPA)」、 Eric Andrews氏、securiti website (ibm.com外部へのリンク)

2Data Brokers Market Outlook 2031」Data Brokers Market、Transparency Market Research ウェブサイト(ibm.com外部へのリンク)

3CPPA to Review Privacy Practices of Connected Vehicles and Related Technologies」2023年7月23日のレポート、カリフォルニア州プライバシー保護局のウェブサイト(ibm.com外部へのリンク)