個人にデータ削除請求権 米加州、20年1月新法施行
プライバシー保護へ正式決定

2019/10/13 20:46
保存
共有
印刷
その他

ニューサム知事の署名によってCCPAの20年1月施行が正式決定した=AP

ニューサム知事の署名によってCCPAの20年1月施行が正式決定した=AP

【シリコンバレー=白石武志】米カリフォルニア州のニューサム知事は11日、9月に州議会が可決していた企業に厳格な個人情報管理を義務付ける新法に署名したと発表した。2020年1月の施行が正式に決まった。同州の住民のデータを保有する企業に対し、消費者からのデータの開示や削除、売却停止の請求に応じるよう義務付ける。同州で事業を手掛ける日本企業も対応を迫られる可能性がある。

新法は「カリフォルニア州消費者プライバシー法(CCPA)」。18年3月に発覚したフェイスブックによる最大8700万人分の個人情報の不正流用事件をきっかけにプライバシー保護の機運が高まり、州議会が9月までに修正を重ねて可決していた。

CCPAは「年間売上高が2500万ドル(約27億円)超」「5万人以上の州民の個人情報を処理」「年間売上高の50%以上を個人情報の販売で得ている」――のいずれかの要件を満たす営利企業が規制の対象となる。州内に事業拠点があるかどうかにかかわらず、約4000万人の州民の個人情報を収集していれば対象となるため、外国企業にも影響しそうだ。

消費者には企業が保有する自らの個人情報について開示や削除、売却停止などを請求できる権利を定めた。企業は消費者が個人情報を売却・共有しないよう請求できる「オプトアウトボタン」と呼ぶ仕組みをホームページ上に設ける必要がある。企業が違反した場合には1件当たり最大7500ドルの罰金が科される。

企業に個人情報の開示や削除などの義務を定めた規制は欧州連合(EU)が18年5月に一般データ保護規則(GDPR)を施行しており、「GAFA」と呼ばれるネット大手のお膝元である米国にも押し寄せた格好だ。

ただCCPAでは個人だけでなく世帯のデータも含むなど対象となる情報の範囲はより広い。GDPRに対応済みでも、CCPAの順守には不十分な事態も想定される。

対象企業はシステム改修などの対応が必要となる。州司法長官室の資料によると、CCPAの初期対策費は全体で最大550億ドル(5.9兆円)に上るとの試算もある。

米国ではこれまで医療や金融などの分野で個人情報保護を定めるルールはあったが、あらゆる産業を対象とする包括的な連邦政府レベルの規制はない。ニューヨーク州など10を超える州でCCPAをモデルとしたプライバシー保護のルールづくりが進んでいる。

州ごとに異なる内容の規制が乱立する事態を避けるために、ネット大手の間では連邦政府レベルの統一規制を求める声もあり、カリフォルニア州で始まった動きは全米に広がる可能性もある。

保存
共有
印刷
その他

電子版トップ



[PR]