カリフォリニア州の弁護事務所が経団連に来て、CCPAの解説をしてくれるというので出かけてみた。説明によると、対象となるのは消費者としてのカルフォルニア州の市民のデータを扱っている事業者で、以下のいずれかの条件を満たすもの。
・ビジネス規模が年間2,500万$以上
・ビジネスの5割以上を「個人情報の販売」によって売り上げる
・50万件以上の個人情報をもつ
守りたいのはあくまで「カリフォルニア州の市民の情報」なので、日本人旅行者のデータならどれだけ持っていても対象ではない。また消費者と謳っているのでBtoB型ビジネスの場合、従業員のデータを除いては適用されない。加えて、暗号化もしくは(個人が特定されないように)編集した情報は対象外。逆に扱っているのがカリフォルニア州の市民の情報であれば、ネバダ州や日本からオペレーションしても対象になりうる。
それにしても上記の3条件だが、売り上げも世界全体なのかカリフォルニア州内だけのことかもよくわからない。「個人情報の販売」というのは前編で疑問を呈しておいたが、50万件の定義だって同一人のものならどれだけあっても1件だと言いぬける事業者もあるのではないか。
CCPAは、ニューヨーク・ニュージャージー・ニューメキシコの諸州で検討されている法制に影響していると強調。米国諸州の消費者プライバシー保護はカリフォルニアが先導していて、これに学べば米国でのビジネスは有利になると弁護事務所はいう。
個人情報の範囲もあいまい、条文に再三出てくる「合理的な対策」も具体性が無いから企業としては思い込みで対策するわけにはいかない。いろいろ質問は出るのだが明確な答えはない。現時点では推測ばかり、いざ施行されても判例を待つしかないかもしれない。結局は、「だから事前に十分弁護事務所に相談してね」という弁護事務所の売り込みでしたね。勉強にはなりましたが・・・。