カリフォルニア州消費者プライバシー法(California Consumer Privacy Act: CCPA)のスポンサーとなったプライバシー権活動家グループ、「カリフォルニア州消費者プライバシーのための会」(California for Consumer Privacy)は、さらに厳しいプライバシー法案、カリフォルニア州プライバシー権法([California Privacy Rights Act](https://oag.ca.gov/system/files/initiatives/pdfs/19-0021A1 (Consumer Privacy - Version 3)_1.pdf): CPRA)を推進している。

カリフォルニア州州務長官が回覧したメモによると、CRPAは2020年11月3日の投票日に向けて、必要な60万人以上の有効な署名を集めている。カリフォルニア州の有権者が11月の投票でこのイニシアチブを承認した場合、CPRAは2023年1月1日からCCPAに基づくカリフォルニア州民の権利を大幅に拡大し、特定の条項は直ちに発効することになる。

CPRAの主要な規定は何か?

  • **カリフォルニア州個人情報保護局(CPPA)の設立。**CPRAは、米国初の個人情報保護局を設立する。この機関は、議長を含む5人のメンバーで構成される理事会によって運営され、カリフォルニア州司法長官の代わりに、CCPAを実施し、施行するための完全な管理権限、権限、管轄権を持つことになる。

  • **「センシティブな個人情報」対「個人情報」。**CPRA は、「機微な個人情報」を個人情報よりも厳しく定義している。定義は広範であるが、政府が発行した識別子(SSN、運転免許証、パスポートなど)、口座情報、金融情報、正確な地理的位置、人種や民族的出身、宗教的信条、特定のタイプのメッセージ(メール、電子メール、テキストなど)の内容、遺伝子データ、生体情報などが含まれる。

CPRAは、機密性の高い個人情報を処理する企業や組織に新たな義務を課す。また、消費者は、機微な個人情報の使用と開示を制限することができるようになる。

  • **追加の消費者の権利。**CCPAの下での権利に加えて、消費者はCPRAの下で以下のような追加の権利を持つことになります。a) 個人情報を修正する権利、b) データ保持期間を知る権利、c) 正確なジオロケーションを使用している広告主からのオプトアウトの権利、d) 機微な個人情報の使用を制限する権利。
  • 従業員データ:2023年1月1日までのモラトリアムの拡大。一般的に、CCPAの規定のほとんどは、少なくとも2021年1月1日までは従業員データを対象としていない。CPRAはそのモラトリアムを少なくとも2023年1月1日まで拡大する。
  • **拡大された違反責任。**暗号化されていない、再編集されていない個人情報の侵害に対するCCPAの私的行動権に加えて、CPRAは、企業が合理的なセキュリティの維持に失敗した場合にアカウントへのアクセスを許可するような電子メールアドレスとパスワード、またはセキュリティの質問への不正アクセスや開示にまで拡大する。カリフォルニア州でビジネスを行う企業は、間もなくCPRAがもたらすニュアンスに対処しなければならなくなるだろう。

参考文献

["The California Privacy rights Act of 2020"]([https://oag.ca.gov/system/files/initiatives/pdfs/19-0021A1 (Consumer Privacy - Version 3)_1.pdf](https://oag.ca.gov/system/files/initiatives/pdfs/19-0021A1 (Consumer Privacy - Version 3)_1.pdf)

Photo by Dan Nelson on Unsplash