カリフォルニア州「プライバシー保護法」 本質は企業活動円滑化?企業と消費者をゆさぶる8項目

カリフォルニア州で消費者の個人情報を守る法律「消費者プライバシー法」が成立した。欧州の「GDPR(EU一般データ保護規則)」と似ているが、ポイントを整理したところ、一方的に消費者有利といえない内容が浮かび上がった。本質的な目的は、情報収集の透明化と企業活動の円滑化のようだ。

カリフォルニア州「プライバシー保護法」 本質は企業活動円滑化?企業と消費者をゆさぶる8項目

カリフォルニア州でも「プライバシー保護法」が成立

カリフォルニア州で現地時間6月28日、「California Consumer Privacy Act of 2018(カリフォルニア州消費者プライバシー法)」という法律が成立した。これは、企業活動に利用される消費者の個人情報を守る目的で、企業に課す義務、企業に対する禁止事項、消費者に付与する権利などを定めた州法だ。

この目的から、EUで5月末に施行された「GDPR(EU一般データ保護規則)」が思い浮かぶ。GDPRがEU市民を保護するための規則なのに対し、カリフォルニア州の法律はカリフォルニア州に住む人が対象となる。

同法により、個人情報を収集する企業は、集めている情報の種類や内容、使用目的などをカリフォルニア州の州民に開示しなければならなくなる。情報を外部へ販売する企業には、さらなる義務が課される。

カリフォルニア州は人口が多いうえ、世界的なハイテク企業もたくさんある。生活している日本人も少なくない。GDPR同様、少しでもカリフォルニア州の人に関する情報を扱う企業は、同法の対象となる。

同法の施行は2020年1月1日の予定だ。まだ猶予はあるので、慌てずしっかり準備しよう。いずれ詳細な解説が出てくるだろうが、現時点ではまだ少ない。そこで、一次情報である法律の原文を参照し、冒頭に記されているポイントを整理してみた。

消費者に与えられる4つの権利

同法は、個人情報を集めたり、集めた情報を外部へ販売または提供したりする企業に対し、消費者がさまざまな要求をできるよう定めた。

(1)収集された情報の開示

企業に対して、集めた個人情報の種類と内容、集めるのに利用した情報源の種類、情報の収集または販売の目的、情報提供先の外部事業者の種類を、開示するよう要求できる。つまり、消費者は自分のどのような情報が企業に集められているのかを、細かく確認できるようになるのだ。

(2)収集された情報の消去

企業に対して、集めた個人情報の消去を求めることができる。ある企業のサービスや製品を利用するにあたり、自分の情報を企業のデータベースから削除できる。その情報がサービス利用などに必要不可欠と感じなければ、消去を求めるのもよいだろう。

(3)外部提供先に関する情報の開示

個人情報の販売など情報を外部へ提供する企業に対して、集めた情報の種類、提供した情報の種類、情報提供先の外部事業者を特定できる情報を、開示するよう要求できる。企業は、収益を得る手段としてのほか、マーケティングなどさまざまな目的で、集めた個人情報をほかの企業などへ販売したり、開示したりする。そのような行為に不安を感じる消費者は、外部への情報提供を精査しよう。

(4)情報外部提供の停止

企業に対して、個人情報の販売を止めるよう要求できる。ただし、停止を求められるのは販売であり、無償提供する行為は対象にならない。

企業に課せられる義務など4項目

企業に対しては、さまざまな義務や禁止行為が定められている。代表的なものを4つ紹介する。

(1)収集した情報の開示請求に対応する義務

企業は、消費者からの要求に応じて、集めた個人情報の内容と使用目的などを、開示しなければならない。前述した「消費者に与えられる権利」と対をなすものだ。

(2)情報外部提供を拒否した消費者に対する差別の禁止

企業は、消費者から個人情報の外部提供差し止めを求められたとしても、その消費者を差別的に扱ってはならない。たとえば、ほかのユーザーと別の料金体系を適用する、そのユーザーに提供する商品やサービスの品質を変える、といった行為は禁じられる。つまり、情報を外部提供できないからといって、脅迫したり報復したりしてはならない、ということだ。ただし、個人情報の外部提供を停止することによって生ずる差異については、合理的であれば許される。

(3)情報収集の見返りは提供可能

特定の消費者が不利になる差別は禁じられるが、逆に、特定消費者を優遇する行為は明確に認められる。同法は、個人情報を集める目的で企業が消費者へ提供する金銭的インセンティブに、お墨付きを与えたのだ。

(4)16歳未満の個人情報は販売禁止

原則として、16歳未満の個人情報は販売が禁止される。ただし、個別に同意が得られれば販売可能となる。

実は消費者有利ではない?

駆け足で要点をみてみた。消費者に多くの権利を与え、企業にさまざまな義務を課しているが、必ずしも消費者が一方的に有利になる、という内容ではない。

個人情報を守るには手間がかかる

集めた情報や外部提供先についての開示義務が企業に発生するのは、消費者から求められた場合だけだ。消費者は情報の消去を要求できるが、情報収集そのものを妨げる権利は与えられない。情報の販売は拒否できるが、無償提供は止められない。情報の外部提供を阻むには、消費者が企業に消去を求める必要がある。

消費者が企業に集められた自分の情報を守ろうとすると、自ら行動を起こし、明確な要求を企業に出さなければならない。その手間を面倒に思う人は多い。消去を求める人の割合は、少ない可能性もある。

本質は、情報収集の透明化と企業活動の円滑化

そういった点に着目すると、カリフォルニア州プライバシー保護法の本質は、個人情報を利用する企業活動の円滑化なのではないだろうか。

情報収集の透明化は求められるが、集める行為は続けられる。情報を販売して利益を得るマネタイズのハードルは高まるものの、社内で活用したり、他社との協業で利用したりすることは可能だ。

大量の個人情報を抱えていても直接的なデータ販売で稼がない、グーグルのようなビジネスモデルを採用している企業なら、適切な消費者対応プロセスさえ構築できれば同法は受け入れやすいだろう。

確かに厳しい内容ではあるものの、消費者保護と企業利益のバランスを絶妙にとった法律なのかもしれない。丁寧に対応すれば意外と適切な落し所を見つけられるはずだ。

GDPRとは | 日本企業が最低限とるべき4つの対応策 - 訴訟のケースも? | ボクシルマガジン
GDPR(EU一般データ保護規則)とは、基本的人権の確保やプライバシー保護を目的に策定・施行された管理規制である。...
グーグル、フェイスブックを脅かすGDPR 「炎上」の火の粉は日本企業にもかかる恐れ | ボクシルマガジン
EU加盟国市民のプライバシー保護目的で定められた「GDPR(EU一般データ保護規則)」には、厳しい罰則が設けられて...