記事CCPA ウェブサイト コンプライアンスのガイド

公開: 2022-08-12

このカリフォルニア州消費者プライバシー法メガガイドで、Web サイトを CCPA に準拠させるための段階的な手順を入手してください。 これは以下をカバーします:

  • CCPAとは
  • 企業向けCCPAウェブサイト要件
  • ウェブサイトをCCPAに準拠させる方法
  • プライバシーポリシーをCCPAに準拠するように更新する方法
  • CCPA の罰金と罰則

カリフォルニア州消費者プライバシー法とは?

2020 年 1 月 1 日、ブラウン州知事が 2018 年 6 月 28 日に法案に署名した後、カリフォルニア州消費者プライバシー法が発効しました。

目標は、プライバシー権と消費者保護を強化することでした。 具体的には、カリフォルニア州の居住者は次のことができる必要があります。

  1. 彼らについてどのような個人データが収集されているかを知ってください。
  2. 自分の個人データが販売または開示されているかどうか、および誰に開示されているかを把握します。
  3. 個人データの販売にノーと言いましょう。
  4. 個人データにアクセスします。
  5. 消費者から収集した消費者に関する個人情報を削除するよう企業に要求する。
  6. プライバシー権を行使することを理由に差別されないこと。

現在、カリフォルニア州の住民から個人情報を収集する企業は、新しいプライバシー法を遵守する必要があります。 ビジネスがカリフォルニア州で運営されていなくても、カリフォルニア州の居住者に関する個人データを収集する場合、Web サイトは CCPA に準拠している必要があります。 これには、米国内の多くの企業が含まれます。

明確にする必要があります。この「個人データ」は、実際にはユーザー データです。名前、電子メール、電話番号から、地域やオンラインでの行動に至るまで、あらゆるデータが含まれる可能性があります。

そのため、あなたのビジネスがカリフォルニア州の住民のデータを収集する可能性があり、次のセクションで指定されているガイドラインを満たしている場合は、コンプライアンスを確保する必要があります.

CCPAとGDPR

「でも待ってください。私たちはすでに GDPR に準拠しています。これは同じことではありませんか?」

残念だけど違う。

GDPR は似ていますが異なります。CCPA 法を遵守する必要があります。

この法律はカリフォルニア州のみを対象としていますが、このようなプライバシー法を制定した最初の州です。 将来的には、ほとんどの州がこのような一定レベルの保護を採用することを期待しているので、今先を行くのは良いことです.

では、どのような企業やウェブサイトがCCPAに準拠する必要があるのでしょうか?

CCPA に準拠する必要がある Web サイトとは?

CCPA は、消費者の個人データを収集して処理する営利目的のビジネスで、カリフォルニア州でビジネスを行い、次の基準の少なくとも 1 つを満たすすべてのビジネスに適用されます。

  • 年間総収入は 2500 万ドルを超えます。
  • 50,000 以上の消費者または世帯の個人情報を売買します。
  • 年間収益の半分以上を消費者の個人情報の販売から得ています。

組織は、消費者データを保護するために「合理的なセキュリティ手順と慣行を実装および維持する」必要があります。

カリフォルニア州の居住者は、州法で次のいずれかに該当する人として定義されています。

  • 一時的または一時的な目的以外でカリフォルニアにいる。
  • カリフォルニア州に居住しているが、一時的または一時的な目的で州外にいる.

ウェブサイトをCCPAに準拠させる方法

この記事の要点は、CCPA Web サイト要件の段階的なウォークスルーです。 核心的な詳細に入る前に、必要な Web サイトの更新の概要を以下に示します。

  1. 「私の個人データを販売しないでください」というハイパーリンクをホームページに追加します。このリンクは、ユーザーをランディング ページに誘導する必要があります。
  2. データを要求、移動、変更、または削除するオプションを備えたランディング ページを作成する: まだまだありますが、次のセクションで完全な要件といくつかの例を示します。
  3. プライバシー ポリシーの改訂: 収集する情報の種類、個人データの使用方法、消費者の権利の説明などを示す文言を含めます。 必要なすべてのリストについては、後ほど説明します。

これらは、コンプライアンスを確保し、罰金を回避するために Web サイトに加える 3 つの主要な変更です。 これら 3 つの成果物について詳しく説明し、必要な更新を行う方法を示します。

1. 「私の個人データを販売しないでください」というホームページのハイパーリンクを追加します

あなたのビジネスが個人データを販売していない場合でも、ホームページに「私の個人データを販売しないでください」というリンクが必要です。 このリンクは、ユーザーをランディング ページに導く必要があります。

リンク自体については、リンクのサイズや配置について義務付けられた基準はありません。 私たちが知っていることは次のとおりです。

  • リンクはホームページに配置する必要があります。
  • 個人データを販売していない場合でも、リンクが存在する必要があります。
  • リンクは明確に表示され、クリック可能である必要があります (非表示にすることはできません)。これは、悪いユーザー エクスペリエンスが実際にあなたに損害を与えるもう 1 つの方法です。

2.データをリクエスト/削除するためのランディングページを作成する

誰かがホームページのリンク「私の個人データを販売しないでください」をクリックすると、このランディング ページに移動します。

ランディング ページには、次の 3 つの主要な要素が必要です。

  1. 個人データの販売に関するポリシーの説明: ここでは、データ収集ポリシー (収集するデータの種類、そのデータの使用方法、およびデータ販売ポリシー) を説明します。
  2. カリフォルニア州居住者の保護されたプライバシー権の説明:基本的に、CCPA によって提供される新しいレベルの保護と、収集した可能性のあるデータにアクセスする権利をユーザーに通知する必要があります。
  3. フォーム: これにより、データを要求、移動、変更、または削除したい人は、まさにそれを行うことができます。 フォームには、データの処理方法をユーザーが選択できるオプションを含める必要があります。

データを要求するための 2 番目のオプションを提供する

CCPA は、データ関連の要求を行い、データ保護の権利を行使するために、2 つ以上の方法を消費者が利用できるようにすることを義務付けています。

基本的に、ユーザーがデータをリクエストまたは削除するには 2 つのオプションが必要です。

このランディング ページは 1 つのオプションとしてカウントされます。 2 番目のオプションは、フリーダイヤル番号にする必要があります。 もちろん、2 つ以上のメソッドを提供することもできますが、最初の 2 つのメソッドは必須です。

CCPA ランディング ページを作成するためのヒント

ヒント 1:データを販売しないのであれば、それは素晴らしいことです。そう言うべきです。 ただし、個人データを要求、移動、変更、または削除するオプションをユーザーに提供する必要があります。

ヒント 2:ランディング ページに、ユーザーがデータを要求または削除できるフォームを配置する必要があります。 個人データの表示、移動、変更、削除など、データの処理方法を選択できるドロップダウン フィールド オプションを作成することをお勧めします。

ヒント 3:ランディング ページは凝ったものである必要はありませんが、明確で直接的である必要があります。

ヒント 4:このランディング ページではすべてを説明できます。詳細については、プライバシー ポリシーへの明確で明白なリンクを追加する必要があります。

ヒント 5:必須ではありませんが、要求が受信され、指定されたデータの提供または変更に取り組んでいることを確認する「成功メッセージ」を人々に提供することをお勧めします。

これを行う最も簡単な方法は、フォームを送信した後にお礼のページに誘導することです。 ページには、「リクエストを受け取りました。30 日以内に情報を提供します」のような簡単な確認メッセージが表示されます。

このサンキュー ページには、ユーザーがデータ収集ポリシーの詳細を知りたい場合に備えて、プライバシー ポリシーへのリンクも含める必要があります。

3. プライバシー ポリシーを改訂する

正直なところ、これを支援するために法務チームを関与させたいと思うでしょう. しかし、あなたは今すぐに多くの重い仕事をすることができます.

ここまでたどり着いたあなたは、企業のマーケティング スペシャリストか、企業内の従業員のどちらかだと思います。 いずれにせよ、法務チームにアクセスして、プライバシー ポリシーの文言を精緻化する必要があります。 ただし、収集するデータの種類とその理由を法務チームに提供する必要があります。

まず、更新されたプライバシー ポリシーで開示する必要があるすべてのものを確認します。 次に、法務チームに引き渡す必要がある情報のヒントを提供します。

あなたのプライバシーポリシーは以下を開示する必要があります:

  1. CCPA に基づく消費者の権利の説明。
  2. 消費者が CCPA 要求を送信するための少なくとも 1 つの指定された方法の説明。
  3. 過去 12 か月間に収集した消費者個人情報のカテゴリのリスト。
  4. 過去 12 か月間に販売した個人情報のカテゴリのリスト (または、企業が個人情報を販売していない場合は、そのように記載する必要があります)。 と
  5. 過去 12 か月間にビジネス目的で開示した (販売していない) 個人情報のカテゴリのリスト (個人情報を開示していない場合は、そのように記載する必要があります)。

CCPA の下では、規制対象の企業は、少なくとも 12 か月に 1 回、プライバシー ポリシーを更新する必要があります。

CCPA のプライバシー ポリシーを改訂するためのヒント

私たちはクライアントと協力してCCPAに準拠するよう取り組んできましたが、これまでのところ最大の問題はプライバシーポリシーのようです.

ヒント 1:法務チームに、収集したすべての種類のデータの完全なリストを提供すると、明確性を大幅に高め、プロセスを加速できます。 次のようなデータ:

  • 名前と苗字
  • Eメール
  • 電話番号
  • Ge0地域
  • 市外局番
  • Web サイトからダウンロードした情報の種類
  • IPアドレス
  • 専門雇用データ

それだけではありません。 基本的に、Web サイトのユーザーが提供できるすべての種類の情報を文字どおりにリストします。

ヒント 2:所有しているマイクロサイトやサブドメイン、およびそれらのソースから収集した情報についても忘れないでください。

ヒント 3:最終的には、法務チームがプライバシー ポリシーを作成するため、データ収集の責任者であるマーケティング担当者または従業員がデータをどのように使用するかについて説明すると役立つ場合があります。 これは、プライバシー ポリシーに何を記載する必要があるかを判断するのに役立ちます。

ヒント 4: CCPA はデータの販売を制限していませんが、販売する場合は、開示してユーザーがオプトアウトできるようにする必要があります。

ライターは次のように述べています。ユーザーの個人データを販売するクライアントとは協力していませんが、万が一に備えて、CCPA の要件に従っています。

ヒント 5: 13 ~ 16 歳の未成年者のデータを販売する場合は、データを販売する前に事前の同意を得る必要があります。 13 歳未満の未成年者の場合は、両親または保護者の同意が必要です。

ライターのメモ:ほら、あなたが人々のデータを販売する人なら、やめてください。 それは不自由です、そしてあなたはそれを知っています。

ヒント 6:未成年者、親または保護者から得たすべての同意を必ず守ってください。

ヒント 7:同意を与えた、または拒否したすべての人の文書を、要求を送信した日付とともに保管してください。

ヒント 8: CRM を使用していますか? その場合は、これと、データが収集または処理される可能性のある他のソースを指定する必要があります。

CCPA の罰金とその回避方法

遵守しないと費用が発生します。

巨額の罰金だけでなく、違反の通知を受けてから 30 日以内にコンプライアンス違反が続く場合、司法長官はあなたまたはあなたのビジネスに対して民事訴訟を起こす可能性があります。

そして、それは違反ごとに7,500ドルの罰金です. したがって、1000 人のユーザーの CCPA の権利を侵害した場合、7,500,000 ドルの罰金を科される可能性があります。

最後に一つだけ

おめでとうございます。この 2,000 ワードの CCPA ガイドの最後に到達しただけでなく、CCPA Web サイトの要件を満たすために必要なすべてのものが揃っているはずです.

1 つ確かなことは、CCPA がすぐに廃止されることはなく、これらの規制が他の州にも広がることは確実です。 すでに、構築するすべての Web サイトに CCPA 準拠プロセスを構築しています。

最後にもう 1 つ、CCPA コンプライアンスにはかなりの量の作業が必要です。 圧倒される場合、または別の目でコンプライアンスを再確認する必要がある場合は、BrandExtract に電話してください。 プラグインして、コンプライアンスを防弾 (または精密に) するか、単にプロセスを管理するのに役立ちます。