マーケティング担当者とデータ処理担当者がCCPA(カリフォルニア州)とCDPA(バージニア州)の2つの消費者データ保護法の違いについて知っておくべきこと
先月、その施行は2023年となるが、バージニア州で消費者データ保護法(CDPA)が成立した。専門家たちは、CDPAを広範囲に及ぶ包括的な州データ保護法の最新例として、カリフォルニア州の同様の法律であるカリフォルニア消費者プライバシー法(CCPA)との大雑把な比較を盛んに行なっている。
公正な立場で言えば、この2つの法律には多くの類似点がある。両法律ともに、自分の個人データの処理に関するオプトアウトの権利とともに、自分のデータを受け取ったり、知ったり、削除する権利を消費者に付与している。また、違反があった場合には、企業に対し、30日間の補正期間を設けている。また、両法律ともに、企業に一定の情報セキュリティ措置を講じる義務を課している。
しかし、多くの相違点もある。
この2つの法律の類似点と相違点を、網羅的に項目ごとに比較すると、膨大な量となる。しかし、マーケティング専門家やデータ保護実務家が最初に比較すべき最重要項目3つを、次に紹介する。
法の適用範囲
類似点: 両法律は、何らかの要件によって、つまり、売上高、および(もしくは)、それぞれの企業の両州に居住する消費者のデータ取扱いにおける要件から、ほとんどの営利企業が対象となる。
相違点: 適用範囲は極めて大きい。カリフォルニア州のそれは、おそらくバージニア州よりも広範囲におよぶ。
カリフォルニア州CCPAは、(連邦法の専占による制限を受けるが)以下の3つの要件のいずれかを満たす営利企業に適用される:
1.法定調整済みの年間総売上高が2,500万ドルを超える企業(収入源は問わない)、もしくは、
2.その売上高にかかわらず、カリフォルニア州の消費者の個人情報を販売することで、年間売上高の50%以上を得ている企業、もしくは
3.商業目的で、1年間に50,000人以上の “カリフォルニア州の居住者である一般人”世帯、または、デバイスに紐づいた個人情報を単独または組み合わせて購入、取 得、販売、または、共有している企業
(現在のIoT時代には、この「デバイス」という概念が大きな意味を持つ)。
一方、バージニア州のCDPAにおいては、以下の2つのより狭いカテゴリーに属する営利企業に適用される。(同様に、連邦法の専占による制限を受ける)。
1.年間、バージニア州の消費者25,000人以上の個人データを管理または処理し、かつ、個人データの販売から総売上高の50%以上を得ている企業、もしくは、
2.売上高にかかわらず、年間100,000人以上のバージニア州の消費者の個人データを管理または処理している企業
その他の特徴:カリフォルニア州では、CCPAにおいて、「修理する権利」のためのデータ共有の適用除外が規定されている。一方、バージニア州では、(営利目的の学校も含む)州内の高等学校は、CDPA適用が除外されている。
また、両州ともに、雇用者や福利厚生管理者による、「緊急連絡先」目的でのデータ処理を保護する例外が設けられている。
パブリックアベイラビリティーの例外
類似点: CCPAとCDPAの両法が、「公に入手可能な情報」についての例外を設けている。
相違点: CCPAは、「公に入手可能な情報」として認められるものを厳密に制限しているが、CDPAは、「公に入手可能な情報」を極めて広範に定義している。
どちらの法律も、個人情報の保護を目的としているが、それぞれ個人情報の定義から「公に入手可能な情報」を除外している。公開されている情報は、個人情報には含まれていない。
バージニア州がいう「公に入手可能な情報」とは、その言葉通りのものを意味しているが、それ以上の説明が必要であろう。MarTech Todayの記事では、このトピックをより詳しく説明しているが、ここでは簡単に説明する。専門家ではない人が合理的に「公に入手可能な情報」であると考える情報は、その情報が「合法的に」公開されたものである限り、CDPAにおいては、おそらく「公に入手可能な情報」とみなされるだろう。
一方、カリフォルニア州では、この定義を曖昧にはしていない。CCPAでは、「公に入手可能な情報」とは、「連邦政府、州政府、または地方政府の記録から合法的に入手可能な情報」に限定されている。
CCPAは、さらに保護を強化している。カリフォルニア州では、ユビキタスデータスクレイピングや顔認識が政府請負業者に委託される現在において、消費者をさらに保護するために、次の文言を付け加えている。「『公の情報』とは、事業者が消費者に知らせることなく収集した消費者の生体情報を含まない」。
罰則の重さ
類似点: 1回の違反につき最大7,500ドルの罰金
相違点: あまり多くないが、CDPAの罰則はより厳しいものになる可能性がある
その他の違い: CCPAは明示的にいくつかの私的訴訟権を認めているが、CDPAは認めていない。
例外 :両法とも、関連する私的訴訟権を暗黙的に認めているケースがある。
この点は、少し複雑である。
CCPAとCDPAは、通常のケースでは、1回の違反につき最高7,500ドルの罰金を規定している。
CDPAは、これに加えて、バージニア州検事総長事務所による調査費用と弁護士費用の回収を明確に認めている。CCPAには、そのような規定は明示されていない。
さらに、CCPAの規定する罰金最高金額である7,500ドルは、意図的な法律違反にのみ適用される。CCPAにおける違反が、単に(故意ではなく)認識している、無謀、もしくは、過失である場合には、最大でも2,500ドルの罰金が課されるだけで、故意の違反の3分の1の金額となる。
ただし、これは、CCPAが認める消費者の私的訴訟権によって補完されている。また、消費者の「暗号化されていない、またはリダクションされていない個人情報」のデータ漏洩に関連する特定の違反行為のみが対象であり、カリフォルニア州司法長官の承認が必要となる。両法律は、それぞれの州の司法長官(CCPAの場合は他の法執行機関)による執行を主な目的としているが、CCPAでは、個人が推定される違反者に対して独自に訴訟を起こすことができるケースを明確に示している。
このようなケースにおいて、PPCA関連訴訟で勝利した個人原告は、1件あたり100ドルから750ドル(あるいは、原告が750ドルを超える実際の損害を証明できればそれ以上の金額)を回収することができる。(これは、政府が提起する訴訟における「違反行為ごと」のはるかに厳しい基準とは対照的である)。また、宣言的または差止命令による救済(つまり、「この違反行為を止めろ、二度とやるな、今後も気をつけろ」という意味)や、常に付随する「裁判所が正当かつ適切とみなすその他の救済」という包括的な規定も含まれる。
反対に、バージニア州のCDPAは、CDPA下での私的訴訟権は認められていない。
さらに、両法律には、他の法律の下での私的請求権の根拠とすることはできないという規定がある。しかし、CCPAは、カリフォルニア州の原告が、CCPAの規定を部分的な根拠として、様々な消費者保護法の違反に対する個別の訴訟を起こすことを禁止していない。この点が、CDPAにおいて、バージニア州の消費者に対しどうなるかは、現時点ではまだわからない。
(免責事項:この記事は、情報提供、教育、娯楽のみを目的としている。本サイトの本記事やその他の記事は、法律上のアドバイスを提供するものではなく、弁護士とクライアントの関係を構築、暗示、確認するものではない。実際の法律上のアドバイスについては、各管轄区域における活動を承認されている弁護士に個人的に相談する必要がある。)
※当記事は米国メディア「Marketing Land」の4/1公開の記事を翻訳・補足したものです。
