米国カリフォルニア州の新たな法規制「CCPA」が進める医療イノベーション海外医療技術トレンド(54)(2/3 ページ)

» 2020年01月17日 10時00分 公開
[笹原英司MONOist]

「非医療機器」の個人データ保護も網羅するCCPA

 前述のグーグル/YouTubeやYelpなど、米国の大手プラットフォーム事業者の本社機能が集中するのがカリフォルニア州だ。そこでは、連邦政府レベルとは別に、州レベルのプライバシー/セキュリティ法規制整備が進んでおり、そのインパクトは州内にとどまらない。代表例が、2020年1月1日に施行された、「カリフォルニア消費者プライバシー法(CCPA:California Consumer Privacy Act)」である(関連情報)。

 CCPAでは、個人情報(Personal Information)について、カリフォルニア州民または世帯について識別し、関連し、記載し、結び付け、直接または間接的に合理的にたどることができるあらゆる情報を指し、名前、電話番号、IPアドレス、メールアドレス、口座、社会保障番号、運転免許証、パスポート、商品・サービスの購入履歴、虹彩・網膜・指紋・掌紋・顔・声・DNAなどの身体的・生体的特徴を含む生体情報、Webサイトの閲覧・検索履歴、位置情報データ、職歴・学歴などを含むとしている。

 そして、CCPAでは、カリフォルニア州内に事業拠点があるか否かに関わらず、以下の3つの要件のうち、いずれか一つに該当する民間企業を適用対象としている。

  1. 年間の総収入(annual gross revenues)が2500万ドル以上である
  2. 5万人以上のカリフォルニア州民の個人情報を処理している
  3. カリフォルニア州民の情報を売却することで年間の収入の50%を得ている

 ただし、保健医療分野では、以下に該当するようなケースは原則としてCCPAの適用対象外となっている。

  • 特定の非営利組織
  • HIPAAの保護対象保健情報(PHI:Protected Health Information)
  • HIPAAの適用対象主体(CE:Covered Entity)(例.医療機関、医療保険者など)
  • 研究データ(例.政府機関のファンディングを受けた研究で収集された臨床研究データ)
  • 非識別化(De-identified)データ

 「医療機器」から生成される個人データの場合、すでにHIPAAが適用されている医療機関またはその管理監督下で使用されるためCCPAは適用されない。他方、「非医療機器」から生成される個人データの場合、もともとHIPAAが適用されていない健康増進関連サービス事業者などの企業が取扱うケースが多く想定されることから、今後、CCPAに準拠した取扱が要求される。

 また、非識別化データの処理方法に関しては、HIPAAとCCPAの間で必ずしも基準が一致していない。当然、日本の個人情報保護法で規定された「匿名加工情報」や次世代医療基盤法で規定された「匿名加工医療情報」とも基準が異なるので、カリフォルニア州と連携した越境データ利用などの場合はデータリスク管理上の注意が不可欠となる。

 CCPAはカリフォルニア州の市民に対して、以下のような権利を付与している。

  1. 企業が収集した個人情報のカテゴリー、情報源、情報の用途および収集した情報の開示先など、企業のデータ収集の運用について開示請求する権利
  2. 消費者による請求から過去12カ月の間にその消費者について収集した具体的な個人情報のコピーを受け取る権利
  3. 本人の個人情報を削除してもらう権利(例外あり)
  4. 企業のデータ売却の運用について知り、その消費者の個人情報を第三者に売却しないよう求める権利(オプトアウト)
  5. 消費者らがCCPAにより付与された新たな権利を行使したことに基づいて差別されない権利

 市民に権利を付与するという発想は、カリフォルニア州独自のものである。そして、CCPAで注意しなければならないのが、子供の権利の取扱だ。CCPAでは、前述のCOPPAの規定に従い、13歳未満の子供はオプトイン規制の対象としているが、加えて、13歳以上16歳未満の子供についてもオプトイン規制の対象としている。市民のライフサイクルのステージによって、個人データ利用の前提となる同意取得方法がオプトインとオプトアウトに分かれる形となっているので、注意が必要だ。

Copyright © ITmedia, Inc. All Rights Reserved.