カリフォルニア州では2020年１月にカリフォルニア消費者プライバシー法（CCPA）が施行されたばかりですが、早くも同年12月には、CCPAを大幅に改正するカリフォルニア州プライバシー権法（CPRA）が成立しました。その全面施行は2023年１月と予定されています。CPRAは、CCPAを改正する法律ですので、以下では、CPRAによるCCPAの主な改正点をご紹介します。

主な改正点

CCPAの適用範囲が変更された点

現在は、年間50,000件以上の消費者、世帯又はデバイスの個人情報を購入・販売し、又は事業目的で取得・共有した事業者にはCCPAが適用されていますが、CPRAによって、この閾値は年間100,000件以上の消費者又は世帯の個人情報に引き上げられ（デバイスはカウントの対象から外されました。）、さらに、単に事業目的で取得しただけの個人情報はカウントの対象から外されました。

また、現在は、①事業者Aが、CCPAの適用がある事業者Bを支配し、又は事業者Bに支配されており、かつ、②事業者Aと事業者Bが共通のブランドを有する場合には、事業者AにもCCPAが適用されますが、CPRAによる改正後は、上記①②に加えて、③事業者Bが事業者Aと個人情報を共有しているという条件も満たした場合にのみ、事業者AにCCPAが適用されることとなりました。

その他の変更として、CCPAの適用を受ける複数の事業者が、それぞれ40％以上の持分を有するジョイントベンチャーやパートナーシップについても、CCPAが適用されるようになりました。

「センシティブ個人情報」に関するルールが新設された点

センシティブ個人情報を収集する事業者は、収集時の通知やプライバシーポリシーにおいて、所定の事項を開示する必要が生じます。また、消費者は、センシティブ個人情報を利用している事業者に対して、その利用範囲を法所定の範囲に限定することを要求することができます。要求を受けた事業者は、消費者の依頼を受けてサービスを提供するために必要な場合や、セキュリティ上必要な場合など、法が認める範囲内に限って、センシティブ個人情報の利用を継続することができます。なお、「センシティブ個人情報」の範囲は、日本法上の「要配慮個人情報」のそれよりも広く、人種、信条、健康情報等に加えて、精緻な位置情報、ログイン情報（ID及びパスワード）、クレジットカード情報、メールやテキストメッセージの内容（当該事業者宛てのものを除きます。）、運転免許証の情報等が含まれます。

「共有（Share）」からオプトアウトする権利が追加された点

「共有（Share）」とは、対価の有無を問わず、行動ターゲティング広告のために、第三者に対し、消費者の個人情報を伝達することを意味し、消費者がオプトアウト権を有する等、多くの局面において、「販売（Sell）」と同様の規制が適用されます。

消費者の権利に訂正要求権が追加された点

消費者には、不正確な個人情報を保持する事業者に対し、正確な内容に訂正するよう要求する権利が新たに付与されます。この要求を受けた事業者は、消費者の指示通りに個人情報を訂正する商業上合理的な範囲での努力義務を負います。

CCPA上の「サービスプロバイダ（Service provider）」に加え、「コントラクター（Contractor）」の概念が新設された点

「コントラクター（Contractor）」とは、事業者から個人情報の開示を受けた者のうち、目的外使用の禁止など、法所定の事項が記載された契約を締結した者を意味します。コントラクターは、「第三者」の定義から除外され、ほとんどの局面において、「サービスプロバイダ」と同様に取り扱われます。

個人情報の保持に関する規制が新設された点

事業者には、個人情報の収集時において、事業者が意図している個人情報の保持期間を個人情報の種類ごとに消費者に対して通知するか、それが不可能である場合には、保持期間を決定するのに用いる基準を通知する必要が生じます。また、消費者に開示された個人情報の利用目的を達成するために合理的に必要な期間を超えて、個人情報を保持することが禁止されます。

プロファイリングに関する規制が新設された点

「プロファイリング」とは、消費者の個人的な側面を自動的に評価する行為を意味し、特に、消費者の好み、経済状況、信用度、健康状況、行動等を分析するために行うものが挙げられます。事業者が、消費者の個人情報について、プロファイリングを行う場合における各種規制が今後制定される施行規則によって定められる予定ですが、そこでは、消費者が自動意思決定のロジックなどを開示請求できる権利や、消費者のオプトアウト権が定められる見込みです。

重大なリスクを伴う処理に対する規制が導入された点

今後制定される施行規則によって、消費者のプライバシーやセキュリティに対する重大なリスクを伴う個人データの処理に関して、新たなルールが定められる予定です。この新たなルールの下では、事業者は、プライバシー保護当局に対して、リスク評価の結果を定期的に提出するとともに、サイバーセキュリティに関する監査を毎年実施しなければならなくなります。

新たな法執行機関が設立された点

CPRAにより、データ保護を担う新たな組織として、カリフォルニア州プライバシー保護局が設立されました。

日本企業に必要な対応は？

CCPAの規制対象外であった日本の事業者であっても、CPRAによって、新たに自社グループが規制の対象となるかを検討する必要があります。また、CPRAで適用範囲が変更されたことによって、事業者によっては、改正後にはCCPAが適用されなくなる可能性もあります。検討の結果、適用対象から外れないことが分かった場合には上記の各種改正に対応する必要がありますし、新たに適用対象となることが分かった場合には、上記の各種改正を含めCCPAのすべての規制に対応する必要があります。