CCPAにおけるパーソナルデータの定義

　カリフォルニア州消費者プライバシー法（California Consumer Privacy Act／CCPAあるいはCaCPAと略される。以下、CCPA）は、カリフォルニア州議会において2018年6月28日に可決・成立し、2020年1月1日から施行された。CCPAは一定の要件を満たす事業者に適用されることから、カリフォルニア州あるいは米国内に限らず、日本も含めた世界の事業者が注目していることだろう。

　CCPAの特徴は、パーソナルデータの定義が広めにとられていることだ。たとえば、オンライン識別子やIPアドレスなどに加えて、音声、電子、視覚、温度、嗅覚、その他類似の情報が含まれ、IoTデータなども対象となる可能性が高い。これらのデータに対して透明性の確保・利用目的の制限を課した上で、開示に関する請求の権利、消去を求める権利、第三者提供の同意手続き、差別の禁止、個人情報取得時のインセンティブに関する通知などが定められている。

　これらの具体的な特徴については、他所でも複数の解説が行われているほか、日本の個人情報保護委員会からも和訳が公開されていることから、ここではその具体的な内容に触れることはしない。

　本稿では一歩引いて、CCPAによって今後の国際的なデータ保護（国際的な議論においては、個人情報、プライバシー等の保護を包含してData Protectionと呼ぶことが多い）の環境がどのように変化していくのか、そしてそれは日本の企業にどのような影響を与える可能性があるのか、いくつかの視点を示した。

CCPAはカリフォルニア州ローカルの規制ではない

　CCPAはその名前のとおり、カリフォルニア州で制定された州法であり、米国全土に適用される連邦法とは異なる。このことから、その影響はカリフォルニア州ローカルなものであり、限定的なものになると考える読者もいるだろう。しかしながら筆者は、2つの理由から、CCPAは単なるローカルな規制に留まらないと考えている。

　1つ目の理由は、既に10以上の州において、プライバシー保護法の改正が行われているということだ。しかも、そのうちいくつかの州（ハワイ州、メリーランド州等）では、CCPAをモデルにした州法の整備が行われている。一方で、いくつかの州では、CCPAとは異なった方向性の州法が示されている（ニューヨーク州等）。いずれにしても、他の州においてもプライバシー保護のための州法の整備が進んでいる。

　2つ目の理由は、米国内におけるData security breach notification law（データ漏洩に関する通知を事業者に義務づける法律）の整備を巡る過去の経緯だ。2002年にカリフォルニア州でCalifornia data security breach notification lawが制定された後、他の州においても同様の州法の制定が進んだという経緯がある。現在では、連邦法としてはこの種の規制が存在しないものの、同様の規定を持った州法が全米50州で整備されており、実質的に米国の全土でデータ漏洩通知に関する規制が存在するような状態にある。

　このような理由から、CCPAがカリフォルニア州ローカルな規制であり、限定的なものになるとは考えにくい。今後、米国の各州で同様の議論が広がることが予想される。では、データ漏洩通知と同じような各州法の整備が進むことによってこのプライバシーの議論は収束していくのだろうか。