米国カリフォルニア州消費者プライバシー法(CCPA)が2020年1月に施行される予定だ。サードパーティークッキーなどを使う場合はトップページに「私の個人情報は販売禁止」という選択肢の表示が義務化されるのをはじめ、様々な対応が必要になる。
インターネットイニシアティブ(IIJ)は2019年11月11日に都内で開催したシンポジウム「世界プライバシー保護法制の最前線」で、米国カリフォルニア州消費者プライバシー法について小川晋平ビジネスリスクコンサルティング本部長や海外法制に詳しい森・濵田松本法律事務所の岡田淳弁護士らがパネルディスカッションを行った。その内容を基に日本企業にも必要とみられる対応を紹介する。
米国カリフォルニア州消費者プライバシー法(CCPA)は同州の居住者ら消費者の個人情報の収集や販売をしていて、年間売上高が2500万ドル(約27億円)を超えたり5万人以上の個人情報を扱っていたりする一定の条件を満たす企業が対象だ。同州内に拠点がなくても対象になる。
CCPAは欧州連合(EU)の一般データ保護規則(GDPR)と並んで海外のプライバシー保護法制として注目を集めている。ただ、インターネットのクッキー(cookie)などの扱い方についてはGDPRと異なる点やGDPRよりも細かな点も多い。
GDPRは企業が商業用Webサイトやモバイルアプリでの広告目的のクッキーなどについて、ユーザーが利用を始める前にユーザーが自らチェックを入れて同意をする「オプトイン(事前同意)」を求めている。
しかしCCPAが求める対応はGDPRとは逆だ。「消費者がクッキーを扱われるのを止めたいときにオプトアウト(利用停止)ができる」(小川本部長)という仕組みが必要になる。企業はユーザーがWebサイトを閲覧し始めた段階でクッキーを利用し始めても構わない。米国の方が企業による個人データの利用に寛容ともいえる。
ただし企業が個人情報の売買や共有をしたり、ユーザーがアクセスしたWebサイトのドメイン以外のインターネット広告事業者といった第三者が設定する「サードパーティークッキー」を使ったりする場合は細かなルールがある。
CCPAは消費者が自分の個人情報を販売されないようオプトアウトを選べるように「私の個人情報の販売を禁止する(Do Not Sell My Personal Information)」というタイトルのページを設ける必要がある。クッキーの扱い方を説明するバナーなどを表示して目立つようにオプトアウトを選べるページへのリンクを提供するよう求めている。しかも「このページのタイトルは変えてはいけないと決まっている」(小川本部長)。
