2020年01月01日、アメリカのカリフォルニア州で「カリフォルニア州消費者プライバシー法(CCPA)」という新しい法律がスタートしました。これは、企業に対して個人のデータを厳重に守ることを義務付ける非常に厳しい規則です。約4000万人もの州民に、自分の情報の開示や削除を企業へ求める権利が与えられます。
インターネット上では「ついにアメリカでも本格的な規制が始まった」「個人の権利が守られるのは嬉しいけれど、手続きが面倒になりそう」といった様々な声が飛び交っています。この法律は、私たちが日常的に利用するウェブサイトやサービスのあり方を大きく変える可能性を秘めており、SNSでも今後の動向に高い関心が寄せられているようです。
しかし、このCCPAは非常に大きな問題を抱えています。実は、法律がスタートした時点でも具体的な細かいルールが確定しておらず、詳細が曖昧な状態が続いているのです。もしも法律に違反してしまうと、集団訴訟によって天文学的な金額の賠償金を請求される恐れがあるため、現地のIT企業だけでなく多くの日本企業も対応に追われています。
そもそもこの法律は、ヨーロッパで先行して導入された「GDPR(一般データ保護規則)」のような仕組みを求める住民の声から始まりました。ところが、政治的な駆け引きやIT大手の思惑が絡み合い、2018年06月に議会が独自の法案を強引に通過させたのです。その後も修正が繰り返され、ようやく知事が署名したのは2019年10月24日のことでした。
このようなドタバタ劇の影響を最も受けているのが、情報収集で遅れを取りがちな日本企業です。規制の対象となる条件の一つに「年間総売上高が2500万ドル(約27億円)以上」という項目がありますが、これがカリフォルニア州内だけの売上なのか、それとも企業全体の売上を指すのかさえ、現時点でははっきりと分かっていません。
例えば、メガネ専門店のジンズホールディングスは、2019年08月期の売上をもとに一度は「対象外」と判断したものの、2020年01月になって「対象になる可能性が高い」と見解を翻しました。さらに、自動車メーカーのトヨタ自動車や、フリマアプリを展開するメルカリなども、慎重に状況を見極めながら手探りでの対応を続けている状況です。
私は、今回のCCPA施行を巡る混乱の本質は、プライバシー保護の重要性と実務的な準備不足の乖離にあると考えます。個人の尊厳を守るためにデータの売却を停止できる権利は不可欠ですが、守るべきルールが不透明なままでは企業は身動きが取れません。グレーゾーンを放置した拙速な運用は、経済活動に不要な冷や水を浴びせる結果になりかねないでしょう。
州司法長官による実際の罰則の適用は、2020年07月からの開始が見込まれています。専門家の間でも解釈が分かれており、本当のルールの全貌は今後の裁判の結果を待つしかありません。アメリカの他州も導入を検討しているこの新しい規制は、多くの不安と課題を抱えたまま、波乱含みの船出を迎えることになりました。
コメント