CCPA(カルフォルニア州 消費者プライバシー法)とは?【マーケター必須知識】

CCPA(カルフォルニア州 消費者プライバシー法)とは?【マーケター必須知識】

 

2018年5月25日にGDPR(EU一般データ保護規則)が施行されました。

 

そしてCCPAが思考されるのは2020年1月1日からです。(そう明後日からです!)

 

これはCookieやIPアドレスなどのウェブ上のデータでも個人を特定できる可能性があるものについては、GDPRに該当し、適切に処理しなければ罰金が発生するものです。

 

日本ではまだ、CookieやIPアドレスは個人情報としては扱われていません。

 

しかし、米国カリフォルニア州でも2020年1月より新たにCCPRという消費者プラインバシー法が施行される予定です。

 

GDPRの米国版としても注目されています。

 

特にマーケターの方はこの流れは、確実に日本にもくる流れとなるのでしっかりと理解して対応を進めて置くべきだと思います。

 

そんなCCPA(カリフォルニア州 消費者プライバシー法)についてまとめます。

 

CCPA(カルフォルニア州 消費者プライバシー法)とは?

 

ccpa top

 

CCPAとは、「California Consumer Privacy Act」の略です。日本語にすると、カルフォルニア州 消費者プライバシー法となります。

 

2020年1月より施行される予定です。カリフォルニア州に在住の方向けなので米国全土ではないです。

 

しかし、カリフォルニア州は人口が3956万人もいます。まずはカリフォルニア州から施行されますが、アメリカ全土に徐々に拡大されると推測できます。

 

基本的には、CCPA自体はカリフォルニア州に在住の方向けの個人情報を保護するための法律となります。

 

その内容では具体的に以下を定めています。

 

  1. 収集した個人情報が情報源、利用用途、運用されたのかを知る権利
  2. 消費者の過去12ヶ月間にどのようなデータが収集されたかを受け取る権利
  3. 事業者(企業)が収集した自らの個人情報の削除を要求する権利
  4. 個人情報の収集した企業以外に販売されないようにオプトアウト(拒否)する権利
  5. CCPAの規定を利用し権利を行使した際に不当な扱いをされない権利

(出典:JETRO 日本貿易復航振興機構より)

 

となり、個人情報がどのように扱われるかについて、大きく5つの権利がある法律となります。

 

その中で、個人情報に該当する対象データは、氏名や住所だけでなく、CookieやIPアドレスも対象になるためGDPRに似ています。

 

日本はまだCookieやIPアドレスは個人情報の対象ではないです。

 

では具体的なデータ収集対象者はどのようになるかについてまとめます。

 

CCPAの対象企業は?

 

CCPAは、営利目的の法人が対象となります。

 

以下の項目について該当するかどうかで対象になるかがわかります。

 

  • 収益を目的としているか(営利目的であるか)
  • カリフォルニア州でビジネス(業務)を行っているか
  • 以下のいずれかに該当する場合
    • 年間利益が 2,500万ドルを超えている
    • 年間5万以上の消費者やデバイスから、個人情報を収集または共有している
    • 個人情報の販売によって、年間収入の50%以上を得ている

 

収益を目的としているか?(営利目的であるか)

基本的に、ビジネスを行っている=営利目的が多いと思いますので、こちらは該当する企業が多いと思います。

 

カリフォルニア州でビジネス(業務)を行っているか

カリフォルニア州でビジネスを行っている事業(企業)は、基本的にCCPAから避けて通れない道にいます。

 

以下のいずれかに該当する場合

年間利益が 2,500万ドルを超えている

年間利益が2,500万ドルということで、小さいビジネスであればこれには該当しない可能性があります。しかし、データ収集してビジネスを行っている企業は多いと思いますので注意が必要です。

 

年間5万以上の消費者やデバイスから、個人情報を収集または共有している

年間5万の消費者やデバイスとなると、結構該当するように思います。ゲームアプリなどのB2C事業であれば基本的には年間5万という数字は超えるのではないでしょうか。自社のサービス内容によっても大きく変わりますが、どのくらいの個人情報を収集しているかは確認が必要です。

 

個人情報の販売によって、年間収入の50%以上を得ている

個人情報の販売とはなかなかイメージがつきにくいですが、特にアメリカでは2nd Party Dataも多く取り扱われています。また日本でも主流ですが3rd Party Dataの利用などもあります。自社が収集したCookieデータ(1st Party Data)を他の企業に販売し、自社で収集したデータのマネタイズを積極的に行っています。そのような個人情報を扱う事業で、年間収入が50%を超えると対象になるということです。

 

これは参考までにですが、2nd Party Dataの利用イメージですが、

  1. ゴルフ用品販売会社が自社ウェブサイトで収集した、ゴルフに興味ある人のデータを販売
  2. 自動車会社がそのゴルフに興味ある人に対して広告出稿をする
  3. ゴルフに興味ある人は、年収も高く・自動車を保有する可能性があるため適切なターゲットに訴求できる

などといった、マーケティングにも活用できます。

 

カリフォルニア州で事業をされている企業は、多くが対象になると思いますので、準備して罰金を支払わないようにしたいですね。

 

CCPAのまとめ

 

GDPRやCCPAといった個人情報を利用するときの法律は今後日本でも整備が加速すると推測できます。

 

日本でもウェブ上で取得できるCookieやIPアドレスなどについても個人情報として扱う日も遠くないと思います。

 

この米国での動きについてしっかりと理解して今後の対応について検討していく必要がありますのでCCPAの概要をまずは掴みましょう。

 

以上がCCPAの概要の解説です。

ご参考になれば幸いです。

 

CCPAよりも前に施行されているGDPRについて知りたい方はこちらから↓

関連記事

GDPR(EU一般データ保護規則)とは?【マーケター必須知識】 昨今、記憶に新しいFacebookの個人情報が不正利用などといった、個人情報の取り扱いに関するニュースが頻繁にあります。 こうし[…]

gdpr top

 

ITP関連に興味がある方はこちらから↓

関連記事

ITP2.3 とは? ITPとは、「インテリジェント・トラッキング・プリベンション(Intelligent Tracking Prevention)」という正式名称ですが、要は、Coookieを制御することで、Safa[…]

関連記事

ITP2.2 とは? ITPとは、「インテリジェント・トラッキング・プリベンション(Intelligent Tracking Prevention)」という正式名称ですが、要は、Coookieを制御することで、Safa[…]

関連記事

ITP2.1 とは? デジタル広告は基本的にWEB上の閲覧や行動データを元に、どのような趣味嗜好かを判断して、セグメント(ラベルづけ)をします。その際に用いられるのが、Cookieを利用して、その人のWEB上の[…]