2023年1月、CPRA（カリフォルニア州プライバシー権法）が施行。CCPAから何が変わったのか？

2023年1月1日以降、アメリカのカリフォルニア州で、カリフォルニア州プライバシー権法（CPRA、California Privacy Rights Act）が有効になりました。

CPRAは、カリフォルニア州消費者プライバシー法（CCPA、California Consumer Privacy Act）の改正法案となる法律です。

本記事では、CCPAからCPRAへの変更点や、弊社でどのような点に注意しながら対応をしていたかを中心に、CPRA対応を行う予定の企業に向けて、情報を共有します。

CCPAとCPRAの違いについて

CPRAはCCPAを改正した法律で、より強力な個人情報保護を目的としています。改正により、以下のような点が強化されています。

• 「センシティブ個人情報」の取り扱いに関する規制の強化
• 「不要な個人情報」の取得に関する規制の強化
• 個人情報の取り扱いに関する基準の強化

「センシティブ個人情報」とは、企業が個人情報を扱う際に注意が必要な情報です。また、「不要な情報」とは、取得したデータの有効期限や利用目的などの情報です。これらの取得に関して、規制がより強化された法律という立ち位置です。

CPRAにより、企業は個人情報の取り扱いに対して、よりいっそうの注意が必要となります。CPRAは、個人情報の取得、処理、保管、共有に関して、より厳格な基準を設けており、企業は、個人情報を収集する前に、その情報を収集するための明確な目的を提示する必要があります。

また、個人情報を収集する前に、その情報が収集される期間、使用目的、および共有目的を示すプライバシー通知を提供する必要があります。

カリフォルニア州でネットサービスを提供する企業は対応必須

カリフォルニア州でインターネットサービスを提供する企業は、CPRAに準拠する必要があります。

インティメート・マージャーでは、2023年1月に海外でのサービス利用の準備を行っていたため、CPRAへの対応が必須でした。

主には、データをどのようなルールで取り扱うかを明確化し、不要なデータや未成年のデータ（今回新たに取得をする際に注意が必要になった）を取得する際のルールを決めるなどの対応が必要になりました。

その点からすると、B2C・B2Bを問わず、アメリカでサービスを提供している企業は、データ取得に関するルールを変更する必要があるのではないかと思います。

具体的に対応した内容について

弊社はまず、英語版サイトに「Opt-out（Do Not Share My Personal Information）」のページと、データに関する「問い合わせ」ページを作りました。

Opt-out（Do Not Share My Personal Information）

問い合わせ（英語版）

これにより、広くデータの共有を望まない消費者は、自身のデータを削除したり、利用停止したりすることができます。

もちろん、日本国内向けのWebサイトにも、「プライバシーポリシー」にも「オプトアウトについて」を用意してあります。

また、インティメート・マージャーは、広告主やメディアを通じてデータを取得し、サービスの利用を行っています。そのため、広告主やメディアとの契約内容に、センシティブ個人情報の取り扱いに関する事項を追加しました。

アメリカにおいて、データを活用したターゲティング広告を構想している企業の中にも、CPRAへの対応が整っていない企業もあるため、弊社としても啓蒙が必要になると考えております。

最後に

CCPAと比較すると、CPRAは対応するべき事項が多く、アメリカでネットサービスを提供している会社の多くは、対応を検討する必要がありますが、日本国内では、CPRAはあまり話題になっていません。

ただ、2018年に施行されたGDPRのときも、2022年末に日系企業（NTTデータ社のスペイン子会社）が制裁金を課されたニュースが出るまでは、それほど注目を集めていなかった印象があります。CPRAの場合も、少し時間をおいて話題になることがあるのかもしれません。

この記事を読んでいただき、何か問題が起こる前に対応できる企業が増えると良いなと思っています。

本記事に記載している内容は、CPRA対応を行った一社であるインティメート・マージャーの事例です。各社で対応すべき事項については、自社の法務部、または弁護士事務所に確認をしてください。

また、検討の結果として作成した内容については、弊社Webサイトの「Do Not Share My Personal Infomation」や、問い合わせ窓口などを参考にしていただければと思います。