米国で最も厳しいデータ保護法は、世界中の企業に適用されます。 CCPA は、処理される場所を問わず、カリフォルニア州の消費者の個人データを保護します。その方法を説明します。
CCPA
カリフォルニア州消費者プライバシー法 (CCPA) は 2020 年 1 月 1 日に発効し、2020 年 7 月 1 日から施行されます。この法律は、個人を特定できる情報 (PII) に関する一定の権利を消費者に与えます。個人データを保護し、データに関する消費者の権利を擁護する義務を企業に課し、企業がデータに対してできることにも制限を設けます。
これは米国で最も厳しいデータ保護法として知られています。欧州 一般データ保護規則 と多くの類似点があります。重要なのは、GDPR がヨーロッパ以外の企業にも適用できるのと同様に、CCPA はカリフォルニア州内にある企業に限定されないことです。どちらの規制も個人中心の視点を採用しています。データを保有する企業の所在地に関係なく、データと個人の権利を保護します。つまり、あなたのビジネスが CCPA の範囲内にある場合。
GPDR はすべての組織に適用されます。 CCPA には適格基準があります。これらに一致する場合は、法律を遵守する必要があります。これは、カリフォルニア、米国の他の場所、または世界中のどこに拠点を置いているかに関係なく当てはまります。そして、CCPA と GDPR の違いは、GDPR に準拠している適格な企業が CCPA に準拠するための措置を講じる必要があるのに十分であるため、適格な欧州企業はフリーパスを取得できません。
どのようなビジネスが範囲に含まれますか?
それに答える前に、いくつかの定義を理解する必要があります。
消費者とは、カリフォルニア州居住者である自然人を意味します。彼らは企業からの商品やサービスを「消費」します。同法によって保護されているのは彼らの PII です。個人識別情報の定義は、CCPA では GDPR よりも広くなります。それには以下が含まれます:
- 消費者の本名、別名、住所、一意の個人識別子、オンライン識別子 IP アドレス、電子メール アドレス、アカウント名、社会保障番号、運転免許証番号、パスポート番号、またはその他の同様の一意の識別子。
- 個人財産、購入、入手、検討した製品やサービスの記録、その他の購入履歴や傾向を含む商業情報。 「検討済み」とは、企業と消費者の間にやり取りがあったものの、消費者が購入を検討していた商品やサービスを最終的に購入しなかったことを意味します。買い物をすると、まるで購入したのと同じくらい大量のデジタル ブレッドクラムが残る可能性があります。
- 生体情報、地理的位置データ、閲覧履歴、検索履歴、Web サイト、アプリケーション、または広告との消費者のやり取りに関する情報を含む (ただしこれらに限定されない) 電子ネットワーク活動情報。
- 専門、教育、雇用関連の情報。
ビジネスとは、次のすべてが当てはまる組織を意味します。
- これは、所有者または株主の経済的利益を目的として組織され、運営される、個人事業主、パートナーシップ、有限責任会社、株式会社、協会、またはその他の法人である組織です。つまり、合法的に運営され、金もうけを目的に活動している組織です。
- 消費者の個人データを収集するか、組織に代わって他の誰かが個人データを収集します。
- 単独で、または他のものとともに、消費者の個人データを処理する目的と手段を定義します。つまり、どのようなデータが収集され、それがどのように処理されるかということです。
- カリフォルニアでビジネスを行っています。
驚くべきことに、「カリフォルニアで事業を行う」という表現はこの法律の中で定義されていません。ただし、 カリフォルニア州会社法 では、これは「州間または外国の通商を除き、この州内で繰り返し継続的に事業を行うこと」を意味すると定義されています。
カリフォルニア州税法では、カリフォルニア州に物理的に拠点を持たずにオンラインでビジネスを行う企業に適用されます。カリフォルニア州外に拠点を置き、他の第三の州に Web サーバーをホストし、カリフォルニア州居住者から 50,000 人の Web 訪問者を受け入れる企業は、CCPA の対象となる可能性があります。また、それは電子商取引サイトである必要もありません。サイトが消費者に関する訪問者情報を追跡したり、ターゲットを絞った広告をプッシュしたりする場合、それだけで消費者を「カリフォルニアでビジネスをしている」カテゴリーに誘導するのに十分である可能性があります。
以下のいずれかに該当する場合、ビジネスは CCPA の範囲内にあります。
- 年間総収益は 2,500 万米ドルを超えています。
- 年間 50,000 人以上の消費者、世帯、デバイスの個人データを商業目的で売買または共有しています。デバイスは消費者によって所有および使用されており、デバイスに関する情報は消費者の識別に役立つため含まれます。
- 同社は年間収益の 50% 以上を消費者の個人データの販売から得ています。
透明性と通知
CCPA は、 プライバシー ポリシー に特定の情報を含めることを義務付けています。これには、以下を要求する権利など、CCPA に基づく消費者の権利の説明が含まれます。
- 企業が保持している個人データとデータのカテゴリー。
- 個人データの収集元。
- 個人データの収集または販売の背後にある目的。
- 個人データが共有される第三者。たとえば、あなたが保険ブローカーの場合、カテゴリの 1 つは保険会社になります。
- 個人データが企業によって削除されること。これは一部の場合にのみ可能です。 9 つの例外があり、消費者にはそれらが何であるかを説明する必要があります。たとえば、消費者が企業と契約を結んでいて、企業に対して財務上の義務を負っている場合、企業は、その財務上の義務が清算されるまで個人データを保持する正当な利益を有します。
- 企業が販売した消費者の個人データのカテゴリ。
- データの購入者ごとに、カテゴリごとに個人データが販売された相手。
- ビジネス目的でデータが共有された (販売されなかった) 相手。保険ブローカーの例では、これは、保険会社が保険の見積もりを提供できるようにするために、消費者の個人データが共有される保険会社のリストになります。
また、消費者には、CCPA に基づく権利の行使によって差別されない権利があることを知らされる必要があります。彼らは他の消費者と同じ価格、商品、サービスにアクセスできなければなりません。
消費者がリクエストを送信したり権利を行使したりするための 2 つの方法 (フリーダイヤル番号を含む) を提供する必要があります。ビジネスがオンラインのみで運営されており、消費者と直接関係がある場合は、フリーダイヤルの番号を提供する必要はありません。代わりに、リクエストを送信するための電子メール アドレスと、Web サイト自体を通じてリクエストを送信する手段を提供する必要があります。
すべての企業は顧客に関する何らかの情報を収集します。オンラインで収集した情報には通知を添付する必要があります。消費者に次のことを知らせる必要があります。
- 収集される個人データのカテゴリ。
- 個人データのカテゴリーが使用される目的。
- 最初の開示が行われた後に行われる追加カテゴリの情報の収集またはその他のデータの使用。つまり、提供されたデータを使用してさらにデータを収集する場合は、元のデータが収集される前にそれを宣言する必要があります。同様に、追加データが収集された後に他のタイプの処理を実行する場合は、消費者に通知する必要があります。
個人データを販売または開示する場合は、過去 12 か月間にどのカテゴリの個人データが販売または共有されたかを記載する必要があります。個人データが販売または共有されていない場合は、その事実を記載する必要があります。
私の個人情報を販売しないでください
Web サイトに「個人情報を販売しないでください」というタイトルの明確で目立つリンクを提供する必要があります。これにより、ユーザーは、個人データの販売または共有に同意もオプトインもしないことを登録できるようにする必要があります。このリンクには、Web サイトでの登録やアカウントの作成を行わずにアクセスできる必要があります。
プライバシー ポリシーに別の「個人情報を販売しないでください」リンクを含める必要があります。
罰則
CCPA の不遵守違反には 2,500 ドルの民事罰金が課せられ、その後の違反ごとには 7,500 ドルの民事罰金が科せられます。これは最初の問題を解決しなかったため、故意の違反と呼ばれます。特にCCPAは、民間原告が企業に対して民事集団訴訟を起こし、影響を受ける消費者1人当たり100ドルから750ドルの損害賠償、または実際の損害のいずれか大きい方を求めることも規定している。
消費者データのリクエスト
消費者が自分の個人データへのアクセスを許可する権利の行使を希望する場合、「検証可能な要求」を受け取ってから 45 日以内に応答する必要があります。これは、リクエストをどこかに記録する必要があり、リクエストを行った消費者が本当にその消費者であることを確認する必要があることを意味します。 A 氏の詳細を B 氏に送信した場合、準拠していない取引を行ったことになります。
リクエストが異常に複雑である場合、または大量のリクエストを処理している場合は、45 日をさらに 90 日延長できます。延長する場合は、最初の 45 日以内に消費者に通知し、延長に至った理由を説明する必要があります。
リクエストを受け取った日から過去 12 か月間のデータを提供する必要があります。データは、PDF または印刷形式などの「すぐに使用できる形式」で返却する必要があります。消費者が、データをロードして表示するためだけに、処理に使用するのと同じタイプのソフトウェアを入手することを期待することはできません。あなたから受け取った情報を好きな人に送信でき、誰もが「支障なく」文書を開いて読むことができる必要があります。
データは「書面」でなければなりません。したがって、データがエンコードされている場合、日付を ユリウス日の数値 として保存する場合は、単語と日付にレンダリングし直す必要があります。
データは、消費者の選択に応じて、企業のアカウントを通じて、または郵送、または電子メールで顧客に返すことができます。
そして結局のところ、データリクエストの処理に対して料金を請求することはできません。
準備方法
戸惑うかもしれないが、これは単なるハイライトだった。 CCPA には多くのことが詰め込まれています。どこから始めますか?
最近行ったことがなければ、最初にデータ マッピングを実行する必要があります。これらはデータ ランドスケープ演習とも呼ばれます。データ収集と処理活動の範囲とその背後にある目的を特定し、文書化する必要があります。これには以下が含まれます:
- 具体的にはどのような個人情報を収集しますか?
- その情報はビジネスでどのように活用されているのでしょうか?
- その情報はどこに保存されていますか?
- 個人データをビジネス内やパートナーに移動するワークフローは何ですか?
- 個人データを誰と共有しますか?その理由は何ですか?
- 個人データの使用と保護を管理するために、どのような内部ポリシーを導入していますか?それでも十分ですか?
個人データを収集する理由、どのようなデータを収集し、どのシステムに保存するのかが分からないと、個人データを保護したり、データ アクセス要求やデータ削除要求に対応したりすることが非常に困難になります。しかし、各タイプのデータの場所の文書化されたセットと、データ収集プロセスを通じてスタッフ メンバーをガイドする手順があれば、データ アクセス リクエストは面倒ではなく管理しやすくなります。
自動化または部分的に自動化できれば、それに越したことはありません。もちろん、自動化について考える前に、個人データがなぜ、何を、どこで処理されるのかを知る必要があります。
技術的な安全対策を見直してください
データ保護法は、個人データを保護するために使用しなければならない特定の種類の保護を列挙することを避けています。彼らが規定するソリューションは時代遅れになる可能性があり、ある企業で実装するのが正しいことが別の企業では適切ではなくなる可能性があります。ただし、個人データは十分に保護される必要があります。以下の標準予防策が講じられていることを確認してください。
- 転送中のデータ : これは、 SSL / TLS 、 VPN 、およびエンドポイント間の接続を保護するその他のソリューションを使用して処理できます。
- 保存データ : ネットワーク上に存在するデータベースやその他の個人データのサイロが保護され、可能であれば暗号化され、スタッフの役割に応じてアクセスが制限されていることを確認します。個人データを含むランダムなスプレッドシートの作成は最小限に抑える必要があります。どうすればそれらを監視し、データアクセスや削除リクエストに含めることができるでしょうか?
- ネットワーク セキュリティ : 保持する個人データの量、認識されているリスク、予算に応じて、標準的なセキュリティのベスト プラクティスをできるだけ多く採用します。
- 電子メールのセキュリティ : ほとんどのマルウェア攻撃は電子メールから始まります。技術的なソリューションと同様に、電子メールを開く最前線にいるのは従業員であることを忘れないでください。スタッフのサイバーセキュリティ意識向上トレーニングを忘れないでください。 Microsoft 365 などの一部の電子メール サービスは、転送中も保存中も安全な方法で電子メールを配信します。
コミュニケーションの責任を果たす
CCPA に準拠するようにプライバシー ポリシーを修正または作成し、提供する必要がある必須情報を追加します。平易な英語を使用し、アクセスしやすく理解しやすいものにします。混乱や曖昧さはどの当事者にも役に立ちません。
Web サイト上の個人データを収集するポイントに必要な通知を追加し、同様に明確にします。
データ アクセスまたは削除リクエストを受け取ったときに、そのコンシューマが本当にそのコンシューマであることを確認する方法を文書化します。どのような証拠を取得する必要がありますか?それをどのように要求しますか?また、要求するために消費者にどのような通信が送信されますか?
パートナーを確認する
データを共有している企業が CCPA に違反した場合、問題が発生する可能性があります。
データ保護契約、または既存の契約に対するデータ保護の補遺、または個人データを共有する他の企業に対する非常に厳格なデューデリジェンスを検討する必要があります。
専門家の助けを求める
この記事は 、専門的な法的アドバイスに代わるものでは なく、弁護士と依頼者の関係を構築するものでも、法的アドバイスの提供を勧誘するものでもありません。いつものように、悪魔は細部に宿ります。企業にはさまざまなユースケースが混在する可能性があります。
社内に法律を解釈するための適切なスキルセットがない場合は、 適切な専門家の指導を求めてください 。
