リスク情報・レポート

リスク情報・レポート / 情報セキュリティニュース

2019.11.1

米国におけるプライバシー法制とCCPAについて

要旨

  • 米国カリフォルニア州で、消費者プライバシー法(The California Consumer Privacy Act of 2018(以下CCPA))が2020年1月から施行される。
  • CCPAは、カリフォルニア州の住民の個人情報を保有する企業に対し、消費者からの情報の開示や削除、売却停止の請求に応じる義務を規定しており、日本国内に拠点を置く企業であっても現地法人が一定の要件に該当する場合は、適用対象となり得る。
  • CCPAの要求事項は日本の個人情報保護法やEU一般データ保護規則(GDPR)にはないものも多く、企業は各条文の内容の理解にとどまらず自社の置かれている状況を適切に把握した上で実務対応計画を進めていくことが望ましい。
  • 本レポートでは、米国におけるプライバシー法制とCCPAの概要を解説する。

1.米国におけるプライバシー保護法制の現状

米国のプライバシー保護法制は、公的部門に関してはPrivacy Act of 1974が制定されているが、民間部門に関しては、機密性の高い情報を扱う分野(金融、通信、医療など)1を除き、包括的な連邦法は存在しない。

米国において個人情報を取り扱う企業は、プライバシーポリシーなどを通じて自らが個人情報をどのように取り扱うのかを公表するが、このプライバシーポリシーの内容は、基本的には各企業が自由に定めても構わない。すなわち、自主規制のもと個人情報を取り扱っている。

2020年1月23日、以下の箇所を訂正しました

2.CCPAの適用範囲(2)「事業者」の適用範囲 (2ページ目下段)の、
誤:• 年間の売上総利益が2,500万ドルを超える
正:• 年間の売上高が2,500万ドルを超える

サイバーセキュリティニュース(旧:情報セキュリティニュース)

情報セキュリティや個人情報保護の動向等についてまとめたニュース資料です。
(A4数枚、不定期発行)