カリフォルニア州消費者プライバシー法のアップデート：規則案と改正

2020年1月1日施行のカリフォルニア州消費者プライバシー法（以下「CCPA」といいます。）について、2019年10月10日、カリフォルニア州司法長官が以下の内容を含む規則案を公表しました。

（１） 消費者に対する通知の要件
収集時の通知、オプトアウト権利の通知、及び金銭的インセンティブの通知についてその内容と形式を定めています。例えば、通知の記載には平易でわかりやすい用語を使わなければならず、また、当該事業者が事業を行うと同じ言語で通知を行うなどとされています。

（２） プライバシーポリシーの内容と形式
規則案では、プライバシーポリシーに含めるべき内容として、例えば、消費者からの開示等請求の提出方法の説明、本人確認方法の手順の説明、代理人を通じて提出する場合の代理人の選任についての記載が含まれるべきとされています。

（３） 開示、削除、オプトアウトの要求に対する回答
事業者は、開示・削除請求の受領後10日以内に、受領の確認、本人確認の方法、及び回答時期の見込みについて回答することが必要です。また、消費者からの個人情報の売却へのオプトアウトの要求については、要求を受領してから15日以内に返答しなければなりません。

（４） 本人確認の方法
事業者は、情報開示又は削除請求について本人確認を行う「合理的な方法」を作成し、文書化し、それを遵守する必要があります。

（５） オフラインでの情報収集
規則案では、事業者がオフラインで消費者から個人情報を収集する場合についても言及しています。例えば、収集時の通知については、通知内容を印刷した書面を手渡すか、又は通知が掲載されているウェブアドレスが消費者に認識できるような「目立つ標識」を掲示することができるとされています。

規則案についてのパブリックコメントは12月6日米国太平洋標準時午後5時まで提出でき、公聴会は12月2日から5日まで4回開催されます。パブリックコメントと公聴会は、規則案に対して意見を述べる重要な機会です。

また、10月11日には、カリフォルニア州知事がCCPAの5つの改正法案に署名しました。これらの改正法の中で特に注目されるのは、従業員データ（自社従業員及びB-to-Bのビジネスで収集される他社従業員データ）に関する義務であり、多くの義務について1年間の猶予期間が認められているものの、一部の義務については、施行日から遵守が義務付けられますので、注意が必要です。

パブリックコメントが控えている等、CCPAはいまだ流動的な面はありますが、事業者は自社のコンプライアンスプログラムと規則案及び改正法を比較し、それらの要求に適合できるように修正をしていく必要があります。

本コメンタリーは、CCPAに関心を有する日本企業にとって有用な情報ですので、紹介する次第です。詳細は、Jones Day Commentaries “Updates to the CCPA: Draft Regulations and New Amendments”（オリジナル英語版）をご参照下さい。