個人情報に関する保護法 ~ CCPA / GDPR ~

■ はじめに

カリフォルニア消費者プライバシー法(CCPA)について
調べる機会があったので、メモ。

調査中に、EU一般データ保護規則(GDPR)についてもでてきたので
ついでにメモしておく。

この流れは、そのうち、日本にも来そうなので、知っといて損はないような気がする

注意点

* GDPR を遵守していても CCPA では不十分な場合がある

■ カリフォルニア消費者プライバシー法(CCPA)

* 以下のサイトにある
 PDF「カリフォルニア州消費者プライバシー法(CCPA)実務ハンドブック(P73)」
 を一読しといたほうがいいかと。
 (「2. CCPA に関するよくある 勘違いや 認識」などがためになった)

https://www.jetro.go.jp/world/reports/2019/02/c74bb9695c95edf9.html

CCPA とは?

* CCPA = California Consumer Privacy Act
* 消費者(カリフォルニア州の住民)に 8 つのプライバシーの権利を与え、
 当該「消費者」の「個人情報」を処理する「事業者」に 8 つの義務を負わせる法律である

1)略式開示請求権
2)拡張開示請求権
3)アクセス及びポータビリティの権利
4)事業目的で個人情報の販売又は開示を行う事業者に対する情報請求権
5)個人情報の販売に関するオプトアウト権(※1)
 => オプトアウト要求への 事業者による 対応の期限が 15 日以内 と短く設定されていること
6)子供のためのオプトイン権
 => 未成年者の個人情報の 販売 に関するオプトインの手続を
  『13 歳未満』と『13 歳以上 16 歳未満』に分けて規定
7)削除権
8)CCPA 上の消費者の権利の行使を理由として差別されない権利

※1:オプトアウト
 個人情報の第三者提供に関し、
個人データの第三者への提供を本人の求めに応じて停止すること

保護対象者

* 米国・カリフォルニア州の住人(アメリカ国籍・外国籍問わず)
 => カリフォルニア州人口は約4000万人のため、
  アメリカで事業を行うなら、対策は必須

EU一般データ保護規則GDPR

* GDPR = General Data Protection Regulation
* 2018年5月25日に施行

対象となる企業

(1)EUに子会社や支店、営業所などを有している企業
(2)EUに商品やサービスを提供している企業
(3)EUから個人データの処理について委託を受けている企業

参考文献

https://service.plan-b.co.jp/blog/dmp/11567/

参考文献

https://data.wingarc.com/ccpa-2020-11972