企業が直面するカリフォルニア州の新たなプライバシー法に基づく重大な訴訟リスク

2020年1月1日、カリフォルニア州消費者プライバシー法(以下「CCPA」といいます。)が施行されました。この新法は、消費者に対し、事業者による消費者の個人情報の収集・使用について、新たな権利を付与しています。CCPAは、また、事業者に対し、重大な訴訟リスクを発生させています。

CCPAは、情報漏洩について、明確な因果関係の主張・立証を必要としない、私訴権を付与しています。事業者のデータセキュリティが不適切であった場合には、原告は、1消費者1案件あたり100米国ドルから750米国ドルの間の 法定賠償額又は実損害額のいずれか高い金額を得ることができます。したがって、カリフォルニア州居住者5万人に影響を与える情報漏洩では、潜在的な損害賠償額は、37.5百万米国ドルとなります。

また、事業者は、CCPAの技術的な違反から生じる訴訟リスクに直面します。. CCPAは、同法違反の主張に関する私訴権を規定していませんが、原告は、カリフォルニア州の不正競争法(以下「UCL」といいます。)の「不法」条項に基づくクラスアクションを通じて同法違反の執行をする可能性が高いといえます。UCLは、他の法律の技術的な違反を「借用」して、当該違反を不正な事業活動と取り扱います。また、この法律は、不当利得返還や差止命令も認めています。裁判所は、また、UCLに基づくクラスアクションにおいて、勝訴した原告の弁護士費用の支払いも命じます。

さらに、事業者は、過失責任やプライバシー侵害といったコモンローの理論に基づくCCPA違反に対するクラスアクションのリスクに直面します。例えば、CCPAは、消費者データの販売を規律する条項 (「販売禁止」条項)を有しています。当該条項の違反は、この法律上の義務の違反は法律上当然の過失に基づく請求原因となるといった理論に基づいて、当該個人情報の価値の損失に基づく経済的損害賠償を伴うクラスアクションを発生させる可能性があります。

CCPAから生じることが想定される訴訟を勘案すると、企業にとっては、サイバーセキュリティーに関する保険証券がCCPAに基づく請求を適切にカバーしているかを検討し、判断することが緊急の課題であるといえます。

本記事は、米国において事業活動を行っているにとって有用な情報ですので、紹介する次第です。詳細は、Jones Day Alert “Companies Face Steep Litigation Risks Under California's New Privacy Law”（オリジナル英語版）をご参照下さい。