毎年1月28日の「データ・プライバシー・ディ」に先立ち、カリフォルニア州司法長官のロブ・ボンタ(ROB BONTA)氏は、1月27日、カリフォルニア州消費者プライバシー法(California Consumer Privacy Act :CCPA)(注1)に準拠していないモバイル・アプリを利用している企業に手紙を送る徹底した調査手段・ツールを発表した旨報じた。
Rob Bonta長官
今年の調査は、小売、旅行、外食産業で人気のあるアプリに焦点を当てており、消費者のオプトアウト要求に従わなかったり、データの販売を停止させたいとする消費者に具体的メカニズムを提供しなかったりする事業者を阻止させるものである。
さらに、この調査は、CCPAの要求に応じて、授権代理人(authorized agent) (注2)を介して送信された消費者要求を処理できなかった企業にも焦点を当てている。授権代理人によって提出された要求には、消費者が個人情報を「オプト・アウト」および削除させるための要求を送信できるようにする消費者擁護NPO“Consumer Reports”によって開発されたモバイル・アプリケーションであるPermission Slip(許可書) (注3) (注4)によって送信された要求が含まれる。
以上が要約であるが、米国で最も厳しいといわれる保護法といわれるCCPA(筆者ブログ 参照)の運用のNPOの協力やCCPAの固有規定である授権代理人制度に言及している。
また、本文後段で述べるとおり、特に個人では限界がある企業等への責任追及制度に関し、わが国では授権代理人制度は詳しく論じたものがないだけに本ブログで改めて追加的に解析してみた。
さらに、本ブログで頻繁に紹介しているEUの個人情報保護団体NOYB(代表Max Schrems氏)(注5)のEU加盟国の保護機関(DPA)やEU全体の保護機関「欧州データ保護会議(EDPB)をリードするとともに、裁判行動や調査能力はわが国では全く見られない活動だけに今後とも注視したい。
Ⅰ.ボンタ長官のモバイル・アプリケーションによるカリフォルニア州消費者プライバシー法への準拠に焦点を当てた具体的調査手段を提供等リリース
カリフォルニア州司法省サイトを引用、仮訳する。
ボンタ長官は「カリフォルニア州では、消費者は個人情報の販売を停止する権利があり、司法長官府は、企業が消費者のオプトアウト要求を認識して処理することを確実にするためにたゆまぬ努力をしている。このデータ・プライバシー・ディだけでなく日々、企業等は、授権代理人を通じて要求が行われた場合を含め、個人情報をオプトアウトおよび削除するカリフォルニア州民の権利を尊重しなければならない。
本日発表する徹底調査では、特にこれらのアプリが携帯電話やその他のモバイルデバイスからアクセスできる幅広い機密情報を考慮して、モバイル・アプリのCCPAへの準拠にも焦点を当てている。私は、消費者がアプリの個人データ販売を阻止できるようにするモバイル・オペレーティングシステム用のユーザー対応のグローバル・プライバシー・コントロールを開発および採用するなど、テクノロジー業界に善行のための革新を求める」と述べた。
CCPAは、企業等が個人情報を収集、共有、利用する方法を知る権利など、カリフォルニア州の消費者のプライバシー権を強化する画期的な法律である。CCPAの対象となる企業等には、これらの権利を行使するという消費者の要求への対応や、プライバシー実務慣行を説明する特定の通知の提供など、いくつかの責任がある。
ボンタ長官は、米国で最も厳しいデータ・プライバシー法の強力な施行に取り組んでいる。2022年8月、司法長官は、セフォラ(Sephora)(注6)が個人情報を販売していることを消費者に開示せず、CCPAに違反してユーザー対応のグローバル・プライバシーコントロールを介してオプトアウト要求を処理しなかったという申し立てを解決するため、セフォラ(Sephora)との和解を発表した。
また、ボンタ長官は、消費者がCCPAに違反した可能性のある企業に直接通知できる以下のオンライン・ツール1/28(29)を立ち上げた。
カリフォルニア州司法長官は、消費者がカリフォルニア州消費者プライバシー法 (CCPA) に違反した可能性のある企業に送信する不遵守の通知を起草するのに役立つツールを作成している。(注7)現在、このツールは、見つけやすい「個人情報を販売しない」へのリンクをウェブサイトに掲載していない企業への通知の下書きに限定されている。このツールは、他の潜在的なCCPA違反を含めるために、時間の経過とともに更新される可能性がある。 このツールの最新更新日は 2021 年 7 月 17 日である (v1.0)。
企業、団体等が個人情報を販売する場合、消費者が個人情報の販売を「オプトアウト」するよう要求できるように、ウェブサイトに明確かつ目立つ「私の個人情報を販売しないでください」文言へのリンクを掲載する必要がある。このインタラクティブなツールは、このリンクを掲載しないことで CCPA に違反している可能性のある企業に送信するCCPA非準拠通知の下書きを作成するのに役立つ。
消費者は、次の質問にできる限り答えてほしい。その回答に基づいて、このツールは、CCPA に関する情報と、CCPA に違反していると思われる企業に電子メールをコピーしたり、印刷して郵送したりすることができるドラフト通知案を提供する。
消費者は、一般的にほとんどのCCPA違反について直接企業を訴えることはできないが、企業等へ違反の通知を送ることは役に立つしかつ意義がある。
司法長官は、不遵守の通知を受けてから 30 日以内に CCPA 違反を是正しない場合、CCPA に違反する企業を訴えることができる。あなたが送信する通知は、その前提条件を満たしている可能性がある。CCPA の詳細については、こちらをご覧ください。(注8)
なお、このツールは法的助言ではない。司法長官府はこのツールをリソースとして提供しているが、提出された情報の真実性や企業がCCPAに違反しているかどうかについては何の立場にもない。 司法長官府 は、法律の調査と執行を支援するために、ツールで提供された情報を収集することに注意されたい。また、この情報は、「カリフォルニア州情報公開法(California Public Records Act)」)(注9)の要求の対象となる場合もある。
入力画面を仮訳する。
1.その事業はカリフォルニアで事業を行う営利事業ですか?
はい
いいえ
わかりません/質問がわかりません
(以下、略す。)
Ⅱ.CCPAの授権代理人規定と関連規則
以下を司法長官府や解説サイトから抜粋、仮訳する。
(1) CCPA 1798.185 – Adoption of regulations
2020 年 7 月 1 日までに、司法長官は、広く一般市民の参加を求め、本編の目的を促進するための規則を採択するものとする。これには、以下の分野が含まれるが、これらに限定されない。
・・・・
(7) 消費者の管理上の負担を最小化する目的と共に、第1798.110条及び第1798.115条の目的を進め、また消費者及び消費者に授権された代理人が第1798.130条により情報を得やすくするため、利用可能な技術、セキュリティの懸念及び事業者が受領した消費者による情報の要求が検証可能な消費者要求であることを事業者が証明する事業者の負担を考慮し、消費者によりから受領した情報の要求が検証可能な消費者要求であることを事業者が判断するルール及び手続きを本法の成立後1年以内に、またその後は必要に応じて設ける。
当該ルール及び手続きには、事業者と共に消費者によって保持されるパスワードで保護されたアカウントを通じて提出された要求を、消費者がアカウントにログインしている場合には検証可能な消費者要求として扱うこと、及び事業者にアカウントを持たない消費者に対しては事業者の身元認証を通じて情報を要求するメカニズムを提供することが含まれる。
(2)司法長官府CCPA規則(CCPA Regulations)はこれらの要件を満たしている。Medium . comの解説「 What is an “authorized agent” under the CCPA?」を仮訳する。
①「授権代理人」の定義:
第999.301(c)条は、授権代理人を「カリフォルニア州で事業を行うために司法長官に登録され、消費者が第999.326条に定められた要件に従って行動することを許可した自然人または事業体」と定義している。
②授権代理人の基本的な仕組み — 検証:
第999.326条は、授権代理人からの要求を検証するための基本的な仕組みと、授権代理人の義務を示している。
消費者が授権代理人に委任状を提供していない限り、授権代理人から知る要求または削除要求を受け取った事業者は、消費者または認定代理人に要求して、要求の検証を支援するための行動を実行するよう要求する場合がある。
事業者は、要求を行うために消費者からの署名された許可を提供するように代理人に要求する場合がある。あるいは、事業者は、消費者に事業者との身元を確認するか、あるいは許可された代理人に要求を提出する許可を与えたことを事業者に直接確認するよう求めることができる。
第999.323(d)条は、検証に関する規制の一般規則で、企業が認定代理人に検証のための料金の支払いを要求してはならないと規定している。
③授権代理人の要件:
授権代理人には、第999.326条に定める2つの要件がある。
(ⅰ)授権代理人は、消費者の情報を保護するために、合理的なセキュリティ手順と慣行を実装および維持する必要がある。
(ⅱ)授権代理人は、消費者の要求、検証、および詐欺防止を満たす以外の目的で消費者の個人情報を使用することはできない。
④授権代理人の使用方法:
第999.306(f)条は、知る権利要求と削除の要求に加えて、消費者が授権代理人を使用して個人情報の販売をオプトアウトする要求を提出することを許可してる。第999.326条が知る権利要求と削除する要求に対して提供する検証方法とは対照的に、第999.306(f)条は、代理人が消費者に代わって要求を送信するための消費者の署名された許可を提供できない場合、事業体が要求を拒否することを許可する。
⑤CCPAに基づく事業体が授権代理人とやり取りする方法:
事業体は、授権代理人に関して最終的な義務を負う。第999.308(c)(5)条は、授権代理人が消費者に代わって要求を行う方法についての指示を、事業体のプライバシー・ポリシーに含めることを事業体に要求している。
*********************************************************************
(注1)関連サイトをあげる。
①「カリフォルニア州「California Consumer Privacy Act (CCPA)」の解説サイト
② California Consumer Privacy Act (CCPA)(原本)
③ California Consumer Privacy Act of 2018 カリフォルニア州消費者プライバシー法(2018年)(仮日本語訳)
(注2)“authorized agent”を含む個人情報に対する「カリフォルニア居住者」の権利に関するよくまとまった企業のプライバシーポリシー例を一部抜粋し掲げる。
6.5 個人情報に対する「カリフォルニア居住者」の権利(CCPAの適用がある場合)
また、CCPAが適用される場合、カリフォルニア州の居住者(以下「カリフォルニア居住者」といいます。)は、後記9.の弊社の個人情報取り扱い窓口に連絡することにより(電子メール又はお電話のいずれの方法でも結構です)、以下の要求をすることができます。
(1)個人情報へのアクセス
ご要望を頂いた日から過去12か月以内に弊社が収集した以下の情報の開示を求めることができます。
ご本人に関する個人情報の項目及び当該個人情報を取得した情報源
ご本人に関する個人情報の中でご要望頂いた個人情報
個人情報の利用目的
第三者と共有又は第三者に開示した個人情報の項目、並びに当該第三者のカテゴリー
(2)個人情報の消去
弊社が収集した個人情報の消去を求めることができます。この場合、弊社が当該個人情報をサービス・プロバイダーに提供している場合には、弊社は当該サービス・プロバイダーに対して消去を指示します。
(3)差別されない権利
CCPA上の権利行使をしたことのみを理由として、他の「カリフォルニア居住者」に該当する個人と異なる料金にしたり、異なるサービスを提供したり、商品やサービスの提供を拒絶するなどの差別的取り扱いをされないよう求めることができます。
(4)個人情報の販売に関するオプトアウト権
弊社による個人情報の販売の停止を求め、あるいは将来的に個人情報の販売をしないように求めることができます。弊社は、「カリフォルニア居住者」の個人情報を第三者に販売せず、且つ将来的にも販売致しません。
なお、CCPA上の「カリフォルニア居住者」が、上記(1)又は(2)に基づき、自らの個人情報の開示を求める場合には、次の方法による本人確認をさせて頂いた後に、CCPAが求める期間内に、弊社は当該請求に対する対応をさせて頂くこととします。なお、いずれの場合でも、弊社は「カリフォルニア居住者」本人しか保有していない情報の提供を求めることがあります。
「カリフォルニア居住者」が個人情報のうち、どの項目の情報を保有しているかを求める場合、弊社が保有する「カリフォルニア居住者」の個人情報のうち、本人確認をするのに適したと弊社が判断した2点以上の質問をし、それに対して正しい回答をしていただくことによる本人確認方法。
「カリフォルニア居住者」が特定の個人情報そのものを求める場合、弊社が保有する「カリフォルニア居住者」の個人情報のうち、本人確認をするのに適したと弊社が判断した3点以上の質問をし、それに対して正しい回答をしていただくとともに、請求者の方が、開示請求をした個人情報を保有する「カリフォルニア居住者」であることを、偽証の制裁の下に宣誓する供述書(declaration)に署名をして頂くことによる本人確認方法。(signed declaration under penalty of perjury that the requestor is the consumer whose personal information is the subject of the request)
これに対し、CCPA上の「カリフォルニア居住者」が、上記に基づき、自らの個人情報の削除を求める場合には、削除が求められた個人情報の項目等に応じて弊社が適切と判断した本人確認方法により本人確認をさせて頂いた後に、CCPAが求める期間内に、弊社は当該請求に対する対応をさせて頂きます。なお、この際、弊社は、本人確認のために「カリフォルニア居住者」本人しか保有していない情報の提供を求めることがあります。
もし、あなたの子供又はあなたが法律上の保護者となっているカリフォルニア居住者が13歳未満の場合には、あなたは当該子供に代わり、上記の要求をすることができます。
(中略)
6.7 代理人による請求
CCPA上のカリフォルニア居住者は、授権代理人(authorized agent)により、6-5に記載した権利行使をすることができます。もし、あなたがカリフォルニア居住者の代理人として、開示又は削除要求をされる場合には、上記に記載の方法に従って要望のご提出を頂きます。弊社の本人確認手段の一環として、弊社は、あなたが真の授権代理人であるかどうかに関する証明をご提出いただくことを求めることができます。その証明には、(1)カリフォルニア州でビジネスを営んでいることを示すCalifornia Secretary of Stateの登録証、及び(2)遺言検認規則(Probate Code)第4121-4130条に規定されるカリフォルニア州居住者からの委任状(Proof of a power of attorney)が含まれる。もし、当該委任状(Proof of a power of attorney)の提出がない場合には、弊社は、カリフォルニア居住者のご本人に本人確認ができる証明書をご提示いただくか、ご本人が代理人としてのあなたにそのような要望の許諾をしたのかを直接ご本人に確認をさせて頂きます。
(注3)NPO団体「Consumer Report」の概要
“Consumer Report:CR”は、以前は消費者組合(CU)であった。独立した製品テスト、調査ジャーナリズム、消費者志向の研究、公教育、および消費者擁護を専門とするアメリカの非営利消費者組織である。(Wikipediaを仮訳)
(注4) Consumer ReportのPROJECTS:許可書(Permission Slip)の概要につき仮訳する。
許可書
消費者がデータ主体の権利を有意義に行使できるようにする方法を探る。
〇取り組みの背景
2020年1月1日、カリフォルニア州消費者プライバシー法(CCPA)が施行され、カリフォルニア州の消費者に、情報へのアクセス、削除、販売の停止の権利など、重要な新しいプライバシー権が与えられた。
CCPAは、米国で最初の包括的な商業プライバシー法である。しかし、CRの調査によるとカリフォルニア州の消費者がCCPAに規定されているデータ保護権を使用することがいかに難しいかが明らかになった。
〇CRのアプローチ
CCPAには、第三者が消費者に代わってデータ権を行使することを委任できる「授権代理人(authorized agent)」条項がある。
CRは、消費者がデータの権利を有意義に行使できるように支援したいと考えており、授権代理人サービスの実現可能性を模索している。
許可証アプリは、消費者にとって企業がデータでできることの権限を設定できるモバイルアプリとして想定されている。許可が与えられると、許可証は企業に連絡し、あなたに代わってデータ保護関連の要求を容易にさせる。
〇アプリの活用の結果・効果
① 消費者は、どの企業がデータを持っているかをよりよく理解できる。
②消費者は、企業がデータを使用して実行できる操作のアクセス許可を設定する。
③ 消費者はデジタル権利をより簡単に行使できる。
④消費者は入力データを使用して企業に説明責任を負わせられる。
(注5) 2023.1.8筆者ブログ「アイルランドのデータ保護委員会がMeta Irelandに対する2件の調査の終了および計3億9000万ユーロの罰金や事前同意義務化等を発表」でMax Schrems氏やNOYBの活動内容につき詳しく紹介した。
(注6) セフォラ(Sephora)は、フランスのLVMHモエ・ヘネシー・ルイ・ヴィトン傘下で、化粧品や香水を扱う専門店。(Wikipedia)
(注7) なお、米国州法により個人の提訴を認めるものと認めないことがある。前者はカリフォルニア州のCCPAやCPRAであリ、後者はニューヨーク州である。
前者について補足する。CCPAに違反した場合、州司法当局による法的措置の対象となるだけでなく、消費者個人から提訴される可能性もある(ただし、CCPA違反に基づき消費者が事業者に対して直接訴えを提起できるケースは、州司法当局による法的措置の対象と比べ、限定されている)。すなわち、消費者の一定の個人情報のうち、暗号化ないし編集が加えられていないものが、事業者がその性質に応じた個人情報保護のための合理的な措置を講じる義務に違反した結果として流出した場合には、消費者が実際に被った損害または1事象あたり750ドルを上限とする法定損害のいずれか大きい額の金銭賠償を求める訴えを提起することができる(CCPA1798.150(a))。ただし、消費者は当該訴えを提起する前に事業者に対して当該違反に関して書面の通知をしなければならず、事業者が当該通知から30日以内で当該違反を治癒してその旨消費者に通知した場合は、消費者は法定損害を理由として訴えを提起することはできない(CCPA1798.150(b))。
後者のSHIELD Actは、CCPA・CPRAと異なり、個人に提訴権を与えるものではない(N.Y. Gen. Bus. Law § 899-bb(2)(e))参照。
(注8) CCPAの民事訴訟(Private right of action)かる(第1798.150条)規定を要約、仮訳する。
〇 セキュリティ違反による不正アクセス等に対する民事訴訟
・消費者1人、事案1件につき100ドル以上、750ドル以下の金額、又は、実際の損害額のいずれか多い方に対する損害賠償
・差止命令による救済又は宣言的救済
・裁判所が適切とみなす他の救済
〇 消費者が30日間の通告書を事業者に交付し、事業者がそれに応じて是正を行い、違反がこれ以上起きないことを明記した声明書を消費者に交付した場合、消費者は提訴することができない。
(注9) わが国では、“California Public Records Act”を「公的記録法」と訳しているのが一般的である。しかし、内容からみて同法は「カリフォルニア州情報公開法」である。以下で理由を自治体国際化協会(クレア)の解説から一部抜粋する。
カリフォルニア州の情報公開法は、連邦法であるFOIAをモデルとして 1968年に制定された。情報公開法が制定される以前は、特定の記録毎に定められた法律が乱立し、対象機関が当該記録の開示決定を行う上で疑義が生じた場合、個々の法律に照合する必要があったことから、州議会は、情報公開法が制定される 15 年も前から、政府の秘密事項を最小限に止めるための包括的な法律の制定を検討していたが、情報公開法の制定により、行政機関の公文書への一般のアクセス権が包括的に保証されることとなった。
情報公開法(The Public Records Act)
[カリフォルニア州法政府規則第 6250-6276 項]
カリフォリニア州の情報公開法は、公共機関の所持する情報への公共のアクセス権を最大限保証するために法制化され、州法政府規則第 6250-6276 項に規定されている。
情報公開法では、州内のいかなる行政機関も、その職務上、準備又は所持している公文書は、非開示事由として法制化されていない限り、すべて開示されるものとされる。情報公開法では、これら非開示事由の他に、開示対象文書や対象機関などの定義がなされるとともに、情報開示請求に係る申請手続きや開示拒否に対する不服申立て等に関する規定がなされている。(以下、略す)
******************************************************************
Copyright © 2006-2023 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます