1分でわかるECサイトのカリフォルニア州プライバシー保護法(CCPA)コンプライアンス

前回はオンラインショップを運営される方が必ず守らなければならない消費者プライバシー法EUのGDPRについて「3分でわかるECサイトのGDPRコンプライアンス」でお伝えしましたが、今回はアメリカ版

アメリカでは国(連邦)レベルでGDPRのような厳しい法律はありませんがアメリカの中でも消費者保護にとても、とても厳しいカリフォルニア州には2020年1月1日から適用開始されたプライバシー保護法とルールがあります。それがカリフォルニア州消費者プライバシー法(CCPA)です。

細やかな詳細や法律的な部分は別途専門家にお問い合わせいただくとして、ECショップを運営する上で今すぐ対応しておくカリフォルニア州消費者プライバシー法(CCPA)コンプライアンスについて1分で説明をします。

それでは、1分で学べるカリフォルニア州消費者プライバシー法(CCPA)

世界第5位のGDPを誇るカリフォルニア州はアメリカ西海岸にあり、日本からも近く、多くの日本人や日系人が住んでいますし、日本のお菓子や雑貨を日本から購入したい!という消費者もたくさん!そんなねらい目市場のカリフォルニア州の消費者もターゲットにしたいですよね?

そして気付かぬうちにカリフォルニア州からサイトにビジターがあったり、注文があったりしますよね?カリフォルニア州からのお客さんを持つ企業やECショップは必ずCCPA対応を忘れずに!それでは1分で学ぶカリフォルニア州消費者プライバシー法(CCPA)はこちらから 

カリフォルニア州消費者プライバシー法(CCPA)とは

2020年1月1日から施行された消費者保護法。カリフォルニア州でビジネスをする会社と、カリフォルニア州消費者に対してビジネスをする会社に消費者プライバシー保護の責任を課する法律。

本文はこちらから確認できますが英語で、、、とてもわかりにくく。

要するに、

  • 会社は個人情報を収集する際はその目的と開示する場合はその第三者を開示。
  • もし、消費者がそれを希望しないと要求した場合はそれに従い、
  • 消費者が個人情報開示を拒否したからといってサービスや商品の提供に差別化をしてはいけない。
  • また、13歳~16歳以下の未成年に対しては一般的なオプトアウト方式ではなく、情報収集オプトインの同意を収集する必要があります。これに違反した会社は罰金を受ける。

という法律です。

Image by fancycrave1 from Pixabay

適用対象者となる企業は?

カリフォルニア州で営利目的の事業を行っている、カリフォルニア州消費者の個人情報を収集または処理していて、年間の総売上が2,500万ドル(約28億円)以上もしくは年間50,000件以上のカリフォルニア州の消費者のデータを購入、取得、販売している企業が対象となります。

また、カリフォルニア州に拠点がなくても、カリフォルニア州消費者を対象にして営利目的の事業を大なっていれば日本拠点の日本企業でも対象になります。

カリフォルニア消費者とは?

カリフォルニア州消費者とは、国籍は 問わず、一時的でもカリフォルニア州内に滞在、居住する消費者。またはカリフォルニア州に居住をしていて、一時的に他州や他国に旅行中の消費者も対象となります。

対象となる個人情報とは?

氏名、仮名、電話番号、銀行口座番号、社会保障番号、運転免許証、パスポート、職歴・学歴IPアドレス、メールアドレス、商品・サービスの購入履歴、ウェブサイトの閲覧・検索履歴、位置情報データ、虹彩・網膜・指紋・掌紋・顔・声・DNAなど基本的に、個人にまつわる情報すべてが含まれます。

違反をしたときの罰金は?

違反1件あたり最大2,500ドル、故意の場合最大7,500ドル

カリフォルニア州消費者プライバシー法(CCPA)要するに、

以上、がカリフォルニア州消費者プライバシー法(CCPA)の概要です。2020年1月以降、アメリカのウェブサイトには必ず下のサンプルのように画面下、画面上などにCCPAに沿った個人情報の詳細とオプトアウトボタンが表示されます。

https://www.pacsun.com/ より引用。
多くのウェブサイトが画面下部分にバナーを表示、CCPAコンプライアンスを行っている。

日本から運営しているオンラインショップでも、年間売上が28億円の企業で、アメリカからの越境購入を受け付けている場合はCCPAをよく理解し、必ず下記のようにプライバシー保護についての開示、消費者への個人データ収集オプトアウトオプションを提供しましょう。

これをするだけでもまずはCCPA対象消費者へのデータ利用確認ができるので、その先のCCPA違反リスクを抑えることができます。また、カリフォルニア州をターゲットに販売していないから、越境販売をしていないからといってCCPAを避けるのではなく、いつどこにいるどの消費者からのウェブサイトへのビジターがきても堂々とプライバシー保護について明示ができるように、前回お伝えしたGDPR、今回のCCPAを踏まえて消費者のプライバシー保護対策を行うことが「優良」ウェブサイト運営の秘訣となるでしょう!

指示をされてからでは遅い消費者プライバシー保護対策、ご紹介しました

Photo by Anete Lusina from Pexels