お客様にとってもっとも関心のある知財や独禁法・金融・労使関係などの最新の話題をお届けします。
御社の法務・経営戦略にお役立てください。
-
CCPA訴訟の最新動向
自発的なデータ共有を根拠にした「不当な開示」への私訴 (20/12/15)
2020年1月に施行されたカリフォルニア州消費者プライバシー法(「CCPA」)はプライバシー保護の状況を一変させた。この法令は消費者の5つのプライバシーの実体的権利を追加した。(1)通知を受ける権利(2)アクセス権(3)オプトアウトする権利(もしくはオプトインする権利)(4)削除を要求する権利(5)平等なサービスと価格の得る権利である。CCPAは、個人に対してこれらの5つの権利が侵害されたとして訴訟を提起する私的訴権を与えはしないが、執行をカリフォルニアの司法長官に依存している。しかし、CCPAは消費者の個人情報が「個人情報を保護するため情報の性質に適切で妥当なセキュリティ手続きとプラクティスを実施し維持する義務に事業者が違反した結果として、無権限アクセス、流出、窃取又は開示の対象」となった場合に適用される限られた私的訴権を生成する。Cal. Civ. Code § 1798.150(a). この明確な文言にもかかわらず、原告らの弁護士らが、事業者による保護された消費者データの自発的な開示が、CCPAのセクション1798.150の下のデータ漏洩のクレームを生じさせられることを主張することで、CCPAの私的訴権を拡張しようとしていることが確認されている。CCPAのこのような独創的な解釈は、許容される法令解釈の境界を引き延ばすものだが、セクション1798.150.の下で発生しうる大規模な法廷損害賠償を考慮して注意深く見守る必要がある。
CCPAの下の私的訴権の範囲
CCPAのセクション1798.150は消費者らのうち、その個人情報がカリフォルニア州顧客記録法のセクション1798.81.5(d)(1)(A)で定義された情報漏洩によって影響を受けた場合には私的訴権を認めている。Cal. Civ. Code § 1798.150(a)(1).CCPAが登場する以前から、カリフォルニア州法は消費者らの個人情報を保護を怠ったことに対して私的訴権を認めていた。Cal. Civ. Code § 1798.81.5 (West 2016); id. at § 1798.84(b). CCPAの新規性と露出の増大はその救済措置によるものである。救済とは、1件につき消費者1人あたり100ドルから750ドルの間の法廷損害賠償、現実的損害賠償金、確認判決および違法性を理由とする差し止め請求や「その他裁判所が適当だと判断するあらゆる救済」である。§ 1798.150(a).
最近のクラスアクションの原告らはCCPAの私的訴権がビジネスにおいての自発的な情報開示に及ぶと主張している
最近のクラスアクションのうちいくつか、例えば下記で論じられているCullen v. Zoom Video Communications訴訟とHayden v. The Retail Equation, Inc訴訟が含まれるが、それらでは被告である事業者による消費者データの自発的な開示を私的訴権の範囲に含めようとその範囲の拡張を試みた。もし、私的訴権に原告らの広範囲な解釈が与えられるのであれば、これらの訴訟は消費者らから肯定的な権限を与えられていない限り、事業者が通常業務でパートナーとデータを共有することに対して事業者はその責任を負うことになる。
Cullen v. Zoom
Cullen v. Zoom Video Communications, No. 5:20-cv02155-SVK (N.D. Cal.)訴訟(現在は併合されたRe: Zoom Video Communications Inc. Privacy Litigation, Case No. 5:20-cv-02155-LHK),)の中で、指名された原告のRobert・Cullenは、Zoomがそのユーザーに関する個人情報をユーザーらが自身のモバイルデバイスでZoomにログインした際に、自発的にFacebookと共有したと申し立てた。Cullenはこのデータの共有が、カリフォルニア州民法§ 1798.150(a)の下、彼らの個人情報の「不当な開示」を構成するものであると主張した。Compl. at 5. Zoomによって共有されたと申し立てられている個人情報にはユーザーのIPアドレスとともに彼らの言語設定、タイムゾーンとモバイルデバイスに関する情報が含まれていた。Cullen訴訟は2020年3月30日に提起され、その後そのほか7つの訴訟と併合されている。併合の後、原告らはどうやらこの新たなCCPAの理論を追求しないことを決定したようだ。2020年7月31日に提起された併合された改正クラスアクションの申し立て(The Consolidated Amended Class Action Complaint )(Dkt. 114)は、CCPAの私的訴権のセクションの下でCullenのもともとの請求権を生じさせはしない。参照 generally Consolidated Amended Complaint(概して併合された改正申し立て)さらに以下も参照Defendant’s Motion to Dismiss at 9 n. 6(9 n. 6の被告の却下の申し立て)(もともとの個々での訴訟の中で申し立てられたCCPAのクレームは併合された申し立てでは取り下げられたということに言及している。)
Hayden v. The Retail Equation, Inc.
この斬新なCCPAの理論は、後に提起された訴訟で復活した。2020年8月3日に提出されたHayden v. The Retail Equation, Inc訴訟の修正訴状No 8:20-cv-01203 (C.D. Cal.)で原告らは、Sephoraと13のその他全国の小売業者らが、The Retail Equationという詐欺的で悪用的な返品を防ぐために消費者による商品の返品データを分析する会社と不適切に消費者データを共有したと申し立てている。原告はこの自発的なデータの共有が「不当な開示」であり、クレームのセクション1798.150の下、私訴の権利を生じさせるものであると主張した。Amended Class Action Complaint (Dkt. 15) at 37. (修正されたクラスアクションの申し立て(Dkt. 15) at 37.)裁判所の最も最近の審理の日程に関する命令によると、The Retail Equationは11月6日までに却下の申し立てを提出、全国の小売業者チェーンらは11月6日までに共同の却下の申し立てを提出、その他、共同の申し立てで取り上げられていないルール12条の主張を持つあらゆる小売業者は11月30日までに申し立てを提出しなければならない。Order Granting Joint Stipulation Regarding Briefing Schedule And Structure For Defendants’ Motions In Response To First Amended Class Action Complaint (Dkt. 134) at 2.(最初の改正されたクラスアクションの訴え(Dkt. 134) at 2への反応としての被告のブリーフィングのスケジュールと体制に関しての申し立てに訴訟上の合意を認める旨の判決。)Holcomb判事は被告の却下の申し立てに対しての審判期日を2021年3月19日に定めた。多くの慣例的な実務が裁判所の判決によって危うくなっている。
CCPAの私的訴権が事業者の自発的なデータ開示を含むものであるとする主張は立法者らが明確にした意図に対して向こう見ずなものだ
カリフォルニア州の最高裁判所は「法解釈の根本的な目的はその法律の目的を達成するために立法者らの意図を確認することにある。…法令の文言に文字通りの意味をもたせることによって立法者らが意図していなかった不合理な結果がもたらされてしまうことになるのであれば、そうするべきではないとするのが法解釈の確立した原則である。したがってその意図は文書全体に反映されているため、もしも可能であればその文書は法の精神に準拠するように読むことができるだろう。」
Horwich v. Superior Court, 21 Cal. 4th 272, 276 (1999) (内部の引用は省略) 立法草案の文言、委員会報告書の文言とSB1121によって実行された2018年カリフォルニア州消費者プライバシー法の原案への修正は、すべて非自発的なデータ漏洩のみを含む私的訴権の狭い解釈を支持している。
立法草案の文言。私的訴権規定の原文は立法者らがこのセクションによって解決したいと思っていたことは非自発的なデータ漏洩であったということを示している。議会のメンバーChauと上院議員Hertzberg によって2018年6月21日に提出されたCCPAの草案には「法案が…指定のセキュリティ漏洩に関して私的訴権を提供する」と規定された。私的訴権のセクションは「その個人情報がセクション1798.82にて述べられているビジネス3のセキュリティ漏洩の対象となるあらゆるビジネスの消費者は…」という文言から始まった。セクション1798.82はカリフォルニア州のデータ漏洩通知法の一部であり、その同じ法令が「…の事業者の…エージェントによる…なビジネス目的での誠実な個人情報の取得」はデータ漏洩の範囲には含まれないとしている。 子の文言の原文を参照すると、法令の草案作成者らが個人情報の自発的な共有に対してではなく、非自発的な漏洩に対して私的訴権を提供することを望んでいたがわかる。
その後の草案と最終版のCCPAは、データ漏洩通知法へのレファレンスを残しており、個人情報の定義として法令の他の箇所で使用されている広範のものではなく、レファレンスで用いられている狭い定義を用いている。漏洩した場合、即座にサイバー犯罪とアイデンティティ窃盗被害を受ける可能性がある情報に限定した、この個人情報に関する狭い定義からは、データ漏洩を対象とする継続的な意図が示されている。改正案はさらに、悪意のある当事者が事業者の権限なしに情報にアクセスできる方法に焦点を当て、「個人情報」が「暗号化されておらず無修正の」情報を含むものであるとしてその範囲を狭めた。
委員会報告書の文言。上院司法委員会のAB 375に関する報告書にもまた、私的訴権が非自発的な開示を標的とすることへの明らかな期待が示されている。
[1798.150]は事業者がその情報をきちんと保持できなかった(Failure)ために個人情報が危険にさらされた(Compromised)場合に私的訴権を生成する[ …]。
Cal. S. Judiciary Comm., AB 375 (Chau), 2018 (Comm. Rep.) at 21. 「危険にさらされた(Compromised)」と「できなかった(Failure)」という用語から、私的訴権が事業者が意図していなかった開示に関係するものであったということがわかる。ビジネス上のパートナーへの自発的な開示は情報維持の失敗の産物ではなく、自発的な開示は通常、情報が「危険にさらされた(Compromised)」ということを必然的に伴うものではない。アメリカヘリテッジ英語辞典ではこの「危険にさらされた(Compromised)」という言葉は「危険へとさらされた、もしくは危険、疑念または不評に対しての責任を負わされた」と定義されている。
上院の改正案への議会の同意。
カリフォルニア州議会が上院によるCCPAの提出に同意した際に、州議会はセクション1798.150が「指定されたデータ漏洩」に対して「限定された私的訴権」のみを提供するという明白な意図をも表明した。Cal. Assem. Conc. in Sen. Amends. to A. Bill No. 375 (2017–2018 Reg. Session) at 8. CCPAの施行は「業界の懸念に対処するということと、この法案の中に追加された消費者の権利の均衡をとるというトレードオフからなる「立法上の妥協」であった。Id. at 7. そのようなトレードオフの一つは「AGによるアクションへの公的執行の制限とAGから一規制機関としてコンプライアンスに関するガイダンスを得る明示的な承認」であった。Id. CCPAの枠組みの下ではデータ漏洩への民間による執行が例外であり、規則ではなかった。「AG」は「通常、権利の執行と法案の義務を公的執行といった方法で提供するだろう。」Id. at 8.
CCPAへのSB-1121 改正。
立法者らは「その法の下許可されている唯一の私的訴権」の範囲が狭いことを「明確にする」ために、CCPAが最初に可決された2018年7月28日の直後に改正案を可決した。S. Bill 1121, 2017-2018 Reg. Sess. (Cal. 2018). 改正案は、私的訴権が「第(a)項に定める違反に対してのみ適用され、本巻の他の条項の違反に基づかないものとする。」(追加強調)ということを定めるために§ 1798.150のサブセクション(C)へに文言を追加した。その追加は、立法者らが原告らによる、事業者の自発的なデータの共有に基づいたものなど、法令の他の箇所で述べられている苦情を私的訴権へと押し込もうとする創造的な試みに対してそれを排除しようとする立法者らによる明らかな意図を示している。
このセクション1798.150の新たな解釈はさらに、法令に記載されていることと矛盾する
原告らはまた、セクション1798.150の下、事業者による消費者のデータの自発的な開示が「権限のないアクセスと…開示」を構成し私的訴権を生じさせるということを主張するのにテキストのハードルに直面するだろう。Cal. Civ. Code § 1798.150(a).
因果関係の要件。
原告らのセクション1798.150の新たな解釈は私的訴権の因果関係の要件と矛盾している。セクション1798.150の下、原告は自発的な「開示」が「個人情報を保護するため情報の性質に適切で妥当なセキュリティ手続きとプラクティスを実施し維持する義務に事業者が違反した結果」であったことを証明しなければらならない。(追加強調)言い換えれば、原告らは、ビジネス上の理由での自発的な情報の開示が、適切なセキュリティ手続きとプラクティスを踏まなかったことに起因すると主張しなければならない。しかし、自発的な開示は事業者のセキュリティプラクティスが弱い、強い、またはその間のどこかにあるということとは関係がない。なぜなら、セキュリティプラクティスは自発的な開示ではなく、非自発的な開示を防ぐためのものであるからだ。これらの自発的な事業者による開示が、不十分なセキュリティの手続きとプラクティスの「結果」であるということの主張は非論理的である。
CCPAの構造と1798.150(c)の除外規定。
彼らの解釈もまた法令の構造と一致させるのは難しい。CCPAはカリフォルニア州司法長官に消費者に代わって5つの実体的なプライバシー権利を執行することを課している。参照 §§ 1798.100, 1798.120 (通知を受ける権利); §§ 1798.100, 1798.115 (アクセス権); § 1798.120 (オプトアウトの権利); § 1798.105 (削除を要求する権利); CCPA § 1798.115 (平等な処遇を受ける権利).これらが消費者のプライバシー権による制限の中で許容されている事業者の自発的なデータ共有の範囲を定義しているセクションである。一方でセクション17980.150は非自発的なデータ漏洩の結果によるデータの露出をカバーする別個の機能を持っている。
自発的なデータの共有と非自発的なデータ漏洩とを融合させる解釈と、立法者らが明示的に私的訴権を同じセクションから生じるクレームに限定する§ 1798.150(c)とを一致させるのは不可能なことだ。CCPAの「その他のセクション」の侵害に対する私的訴権はない。§ 1798.150(c).この文言はとりわけ重要だ。前述の通り、私的訴権の及ぶ狭い範囲を明らかにすために法令に追加されたからである。原告らがCCPAの「その他のセクション」にて取り上げられている自発的なデータの共有に関するクレームを、§ 1798.150の私訴へと押し込むことを許すことはつまり、CCPAのその明示的な文言との矛盾することになるだろう。
結論
原告らはCCPAの下の自発的な開示への私的訴権を主張する上で重大な障害に直面してはいるが、この斬新な解釈は広範囲に及ぶ実務への予期される影響と多額の法廷損害賠償を考慮すると軽視されるものではない。
クイン・エマニュエル・アークハート・サリバン
外国法事務弁護士事務所
東京オフィス代表 ライアン・ゴールドスティン
この件につきましてのお問い合わせ先
マーケティング・ディレクター 外川智恵(とがわちえ)
chietogawa@quinnemanuel.com