カリフォルニア州消費者プライバシー法（CCPA）は、カリフォルニア州住民のプライバシー権と消費者保護を強化する州法です。

これは消費者に6つの権利を与えるもので、例えば、企業などが自分についてどのような個人情報を収集しているかを知る権利などがあります。

CCPAはまた企業に対し、データ収集慣行に関する通知を提供することを義務付けています。消費者は自分のデータの売却を拒否することができます。

CCPA-compliant framework.
この記事では、CCPAの適用範囲、違反した場合の罰則、そして当社のウェブ解析ツールMatomoがCCPAに準拠したフレームワークの作成にどのように役立つかについて詳しく説明します。

CCPAとは？

CCPAは2020年1月1日に施行されました。企業がデジタル・エコシステムにおいて、個人の個人情報を安全に取り扱い、プライバシーを尊重することを保証するものです。

CCPAは、プライバシーとデータ保護に対する懸念の高まりに対応するもので、米国の消費者の40％がデジタル・プライバシーに不安を感じていると回答しています。企業によって収集され共有される個人情報の量が増加する中、個人のデータに対するコントロールと透明性を高めるための規制を設ける必要がありました。

CCPAは、消費者のプライバシー権を保護し、個人情報を取り扱う際の企業の説明責任を促進することを目的としています。

CCPAの範囲

CCPAの適用範囲には、カリフォルニア州住民から個人情報を収集する営利企業が含まれ、どこで事業を営んでいるかは問いません。

これは、CCPA規制の対象となる企業の包含基準を決定する3つの閾値を定義するものです。

企業は、3つの選択肢のいずれかに該当する場合、CCPAを遵守する必要があります：

1. 収入の基準： 年間総収入が2,500万ドル以上であること。
2. 消費者基準： 10万人以上の消費者、世帯、または機器の個人情報を購入、販売、または配布する事業者
3. データ基準値： カリフォルニア州住民の個人情報を販売することで年間売上の半分以上を得る企業

CCPAに基づく6つの消費者の権利とは？

以下、6つの消費者の権利について簡単に説明します。

1. 知る権利：の権利に基づき、あなたは事業者に対し、事業者があなたについて収集した特定の個人情報およびその情報源のカテゴリーを開示するよう求めることができます。また、収集の目的や、事業者がどの第三者にこの情報を開示するかも知ることができ、消費者はどのような情報が保持され、どのように使用されているかを理解することができます。この情報は年に2回、無料で請求することができます。
2. 削除権：消費者は個人情報の削除を要求することができ、企業はいくつかの例外に従わなければなりません。
3. オプトアウトの権利：消費者は、個人情報の販売を拒否することができます。企業は、ユーザーがこの権利を行使できるよう、ホームページ上にリンクを設けなければなりません。オプトアウトを選択すると、企業はあなたが後でそれを許可しない限り、あなたのデータを販売することができなくなります。
4. 無差別の権利：消費者はCCPAの権利を行使することによって差別されることはありません。例えば、企業が異なる価格を請求したり、異なるサービスの質を提供したり、サービスを拒否したりすることはできません。
5. 訂正する権利：消費者は、不正確な個人情報の訂正を要求することができます。
6. 利用を制限する権利：消費者は、事業者が自分の機密個人情報をどのように使用するかを指定することができます。これには、社会保障番号、金融口座の詳細、正確な位置情報、遺伝情報などが含まれます。消費者は企業に対し、要求されたサービスの提供など、特定の目的にのみこの機微情報を使用するよう指示することができます。

CCPA違反に対する罰則

2022年現在、52％の組織がCCPA原則をまだ採用していません。コンプライアンス違反は罰則を受ける可能性があります。

CCPA第1798.155条は、CCPAの条項を遵守しない事業者は、消費者の私権に基づき罰則を受けることができると述べています。消費者は直接民事裁判に訴えることができ、検察の介入を必要としません。

企業は30日間、自らの行為を修正するチャンスを与えられます。

また、それが不可能な場合、企業は違反1件につき最高2,500ドルの民事罰を受ける可能性があります。違反の種類は問わず、偶発的なものであってもよいでしょう。故意に違反した場合は、7,500ドルの罰金が科せられます。

消費者は、企業のサーバーで暗号化されていないデータが漏洩した場合、100ドルから750ドル、または実際の損害賠償（いずれか高い方）を請求する個人訴訟を起こすこともできます。

CCPAとGDPRの比較

CCPAとGDPRはともに、個人情報に対する個人の管理を強化し、データがどのように収集、使用、共有されるかについて透明性を提供することを目的としています。データ保護法の規制枠組みを理解する上で、CCPAとGDPRの比較は極めて重要です。

CCPAとGDPRの違い：

スコープ

• CCPAは、特定の条件を満たし、カリフォルニア州居住者から個人情報を収集する事業者を対象としています。
• GDPR（一般データ保護規則）は、欧州連合（EU）の市民および居住者の個人データを取り扱う事業者に適用されます。

個人情報の定義

• 個人情報とは、IPアドレスや世帯などの識別子を含む広義の個人情報を指します。例えば、氏名、EメールID、位置情報、閲覧履歴など。ただし、HIPAAで保護された医療データ、臨床試験データ、その他の個人情報は政府記録から除外されます。
• GDPRは、世帯を除く、特定または識別可能な個人に関するあらゆる個人データを対象とします。例えば、電話番号、電子メールアドレス、個人識別番号など。匿名や故人のデータは含まれません。

同意

• 個人情報の販売について、消費者はオプトアウトすることができます。
• GDPRは、組織が個人データを処理する場合、個人から明示的な同意を得るべきであるとしています。

権利関係

• 当社は、個人情報の保護に関する法律（以下「個人情報保護法」といいます。
• また、GDPRは、個人情報へのアクセス権、訂正権、抹消権（忘れられる権利）、データポータビリティ権など、様々な権利を個人に与えています。

施行

• CCPAの場合、企業は違反1件につき7,500ドルを支払わなければならない可能性があります。
• GDPRでは、違反した場合の罰則が強化されており、全世界の年間売上高の4％または2,000万円のいずれか高い方の金額まで罰金となります。

5段階のCCPAコンプライアンス・フレームワーク

CCPAを確実に遵守するためのシンプルなフレームワークをご紹介します。併せて、Matomoがどのようにお役に立てるかもご紹介します。

Matomoは、国連やNASAなどの組織に信頼されているオープンソースのウェブ解析プラットフォームです。ウェブサイトのトラフィック、訪問者の行動、マーケティング効果に関する貴重な洞察を提供します。100万以上のウェブサイトとアプリ（インターネットの約1％！）が私たちのソリューションを使用しており、50以上の言語で利用可能です。以下では、Matomoを使ってCCPAに準拠する方法をご紹介します。

1. データの評価

まず、カリフォルニア州消費者プライバシー法（California Consumer Privacy Act）をよく理解し、CCPA準拠の資格を確認します。

例えば、前述したように10万人以上の個人または世帯の個人データを購入、受領、または販売することが一つの閾値となります。

でも、10万ドルを超えたかどうかをMatomoでどのように知るのですか？

昨年のカレンダーを開き、来場者を選択し、次にロケーションを開き、”地域 “オプションの下にあるカリフォルニアをチェックしてください。来場者数が10万人を超えたら、CCPAに準拠する必要があります。



Matomo で収集する個人情報を特定し、評価します。

2. プライバシー慣行の評価

プライバシーポリシーと実務の現状を見直し、データ共有と第三者契約を徹底的に評価します。そして、ポリシーと手順をCCPAの要件に沿うように更新します。

例えば、MatomoでIPアドレスを匿名化することで、ウェブ解析目的で収集されたユーザーデータが特定の個人を追跡できないようにすることができます。



データプライバシーに関するユーザーの要求に応えるための同意管理ソリューションをお持ちの場合は、Matomoをそれと統合することもできます。

3. コミュニケーション

CCPAの権利とデータの取り扱い方法について消費者に知らせます。

消費者からのリクエストに対応し、同意を得るための手順を確立します。例えば、Matomoを使ってウェブサイトにオプトアウトフォームを追加することができます。また、Matomoを使ってウェブサイトからクッキーを無効にすることもできます。



消費者からの要請とそれに対する対応を含め、コンプライアンスの取り組みを文書化することは良いアイデアです。最後に、CCPAのコンプライアンスと協働する責任についてスタッフを教育します。

4. ベンダーとの契約を見直す

ベンダーの契約を評価することで、必要なデータ処理契約が含まれているかどうかを判断することができます。また、ベンダーが個人情報を第三者と共有し、コンプライアンス上のリスクをもたらしていないかどうかを確認することもできます。ベンダーが取り扱う個人データを保護するために、適切なセキュリティ対策が講じられているかどうかを確認します。
そのため、データ保護、プライバシー、CCPAの要件に関する条項を盛り込んだ契約書を見直し、更新することができます。

ベンダーのCCPA遵守を定期的に監視し、見直す手順を確立します。これには、監査の実施、証明書の要求、個人データを取り扱うベンダーに関連するリスクを軽減するための管理策の実施などが含まれます。

5. 法律顧問の関与

CCPA規制を完全に理解し遵守するために、法律顧問に相談することを検討します。

最後に、CCPAに関連する変更や進展について常に最新情報を入手し、それに従ってコンプライアンスへの取り組みを調整します。

MatomoとCCPAコンプライアンス

CCPAのようなプライバシー規制がますます重視されています。Matomoは、企業が重要なデータを追跡・分析する能力を犠牲にすることなく、CCPAに準拠できる堅牢なソリューションを提供します。

データ保護とプライバシーを優先しながら、ユーザーの行動とウェブサイトのパフォーマンスに関する詳細な洞察力を得ることができます。

デモをリクエストするか、21日間の無料トライアルにサインアップして、CCPAに準拠した強力なウェブ解析プラットフォームをご利用ください。

免責事項

私たちは弁護士ではありませんし、そうであると主張するものでもありません。ここで提供する情報は、CCPAを紹介するためのものです。私たちは、すべてのビジネスやウェブサイトがデータ・プライバシーを真摯に受け止め、懸念があれば弁護士に相談することをお勧めします。