CCPA とは何を表し、ビジネスにとって何を意味するのか?

公開: 2022-08-05

CCPA とは何の略ですか? CCPA は、カリフォルニア州消費者プライバシー法 (CCPA) の略です。 これは、カリフォルニア州の消費者が、企業が消費者から収集できる情報を認識できるようにするデータ プライバシー法です。 また、これらの消費者に開示を求める権利も与えます。

カリフォルニア州消費者プライバシー法は、米国で最も包括的なプライバシー法を構成しています。

次の 4 つの重要な領域をカバーしています。

  • 企業がどのような目的で情報を使用するかを知る権利
  • 事業者が保有する情報を削除する権利
  • 個人情報の販売をオプトアウトする権利
  • CCPAの権利を行使するための差別を受けない権利

たとえば、あなたが過去にビジネスに関与したことがあり、あなたがカリフォルニア州の居住者である場合、あなたはそのビジネスに、彼らが収集したあなたに関する情報を提供するよう依頼する権利と、その情報を削除する権利を有します.

プライバシーに関する消費者の期待に対する意識が高まるにつれて、CCPA は、国を席巻した多くのデータ保護法の最初の 1 つです。

CCPA は 2018 年に可決され、消費者の個人情報を収集および販売する企業を対象としています。

カリフォルニア州民がデータの保存方法と使用方法をより詳細に制御できるようにすることを目的としており、住民が個人情報の運命についてより実質的な発言権を与えることにより、画期的なデータ保護を導入しています。

しかし、CCPA はカリフォルニア州にある企業にのみ適用されますか?

CCPA は誰に適用されますか?

GDPR がヨーロッパの顧客を持つアメリカの企業に影響を与えるように、CCPA は州内に消費者を持つカリフォルニア州以外の企業に影響を与える可能性があります。

CCPA は、オンラインで運営し、カリフォルニア州民からデータを収集する、またはカリフォルニア州で事業を行うすべての企業に関係しています。たとえその会社が物理的にカリフォルニア州にない場合でも同様です。 CCPA が適用されるためには、企業は次の 3 つの基準のいずれかを満たす必要があります。

  • 年間収益で少なくとも 2500 万ドルを生み出す。
  • 50,000 人以上の顧客からデータを取得します。
  • 消費者データを販売することで、年間収益の少なくとも半分を獲得します。

ビジネスがこれら 3 つの基準のいずれかに該当する場合、消費者がカリフォルニア州に居住している場合、CCPA の要件を満たす必要があります。 そうしないと、企業はCCPAの罰金を支払うことになります.

関連ブログ: CMMC 認定が必要なのは誰?

CCPAプライバシー法の適用範囲

CCPA は、インターネット上でのデータの使用と販売に関して、カリフォルニア州の消費者に重要な権利を付与します。 それぞれの意味について詳しく見ていきましょう。

  • 情報にアクセスする権利:カリフォルニア州の消費者は、どのカテゴリの個人情報がどこから、誰に、なぜ収集または販売されたかを知る権利があります。
  • データ削除の権利:カリフォルニア州の消費者は、会社が収集した個人データを削除するよう要求することができます。
  • データの収集または販売をオプトアウトする権利:カリフォルニア州の消費者は、自社の情報を収集したり第三者に販売したりしないように企業に指示することができます。 CCPA には、金銭的交換を超えた「販売」の定義が含まれています。
  • ポータビリティの権利:個人が、構造化された共通の機械可読形式で個人データを取得し、この個人データを別の管理者に自由に転送できるようにします。

CCPA により、カリフォルニア州民は、CCPA の対象となる企業の個人情報が侵害された場合、通常は違反によって訴訟を起こすことができます。

ただし、州司法長官には、住民に代わって訴訟を起こすより一般的な権限が与えられます。

CCPA は、個人情報を「特定の消費者または世帯と、直接的または間接的に、識別、関連、説明、関連付けることができる、または合理的に関連付けることができる」情報と定義しています。

言い換えれば、識別可能な個人に関連付けることができる統計、行動、または知識の一部です。 この広い定義には、デジタル空間内のほぼすべてのアクションが含まれます。

プライバシー法は中小企業にどのように影響しますか?

上記の追加の基準は、中小企業を保護するために特別に設計されています。

上記の 3 つの要件のいずれかを満たさない企業の場合、CCPA コンプライアンスは適用されず、カリフォルニア州民に対するプライバシー要件は変更されません。

同様に、個人データの販売を含め、ビジネスのすべての側面がカリフォルニア州外で行われる場合、CCPA は SMB に影響を与えません。 ただし、その企業が上記の 3 つの基準のいずれかを満たし、カリフォルニア州に顧客が 1 人でもいる場合は、CCPA が適用されます。

それにもかかわらず、CCPA が特定のビジネスに適用されるかどうかについては、かなりの混乱があります。

625 人のビジネス オーナーと企業幹部を対象とした調査では、回答者の少なくとも 34% が CCPA の影響を受けているかどうかを知らず、別の 22% が「気にしない」と主張しました。

あなたが混乱しているなら、あなたは一人ではありません。 準拠しなければならない場合は、必ずその分野の専門家に相談して、準拠していることを確認してください。 CCPA に違反すると、多額の罰金が科される可能性があります。

CCPA 違反には、違反ごとに 2,500 ドル、意図的な違反には 7,500 ドルの罰金が科せられます。

SMB が CCPA に準拠するにはどうすればよいですか?

GDPR に準拠しようとしている、または既に準拠している SMB は、CCPA 準拠のほうが範囲が広いとはいえ、CCPA 準拠が少し容易であることに気付くでしょう。

個人情報を収集して販売する企業の場合、CCPA コンプライアンスには以下が含まれます。

  • プライバシー通知とポリシーの更新。 CCPA は、「収集時または収集前に」情報を収集および販売するという会社の意図を消費者に明示的に通知することを要求しています。 この通知には、収集される情報とその理由を含める必要があります。
  • 新しい分類によるデータ インベントリの更新。 バックエンドに保存されるデータには、情報の販売、第三者への転送、収集と販売の時間、および情報が HIPAA またはその他のデータ プライバシー法の対象であるかどうかの表示を含める必要があります。
  • カリフォルニア州の消費者の権利を遵守するための手順を作成します。 企業は、消費者が個人情報へのアクセス、削除、または販売のオプトアウトを要求する方法を必要としています。
  • サイトとビジネスのセキュリティを確認します。 CCPA は、「合理的な」個人データ保護を要求しています。 SMB の場合、マネージド サービス プロバイダーはこの負担を軽減する可能性があります。
  • トレーニングスタッフ。 CCPA とは何か、そのコンプライアンス要件とは何か、新しい手順の処理方法、潜在的なインシデントの処理方法についてスタッフをトレーニングします。
  • 今から始めます。 カリフォルニア州の消費者は、最大 12 か月前に収集されたデータを要求できます。 企業は、2019 年 1 月 1 日までさかのぼって収集および販売されたデータの記録を提供できなければなりません。

CCPA に準拠するために必要なこと | CCPA とは何の略ですか? | |インパクトネットワーキング

関連ブログ:ビジネスを保護するためのサイバーセキュリティ戦略の策定

CCPA、CalOPPA、および GDPR の違いは何ですか?

CCPAに基づいて与えられる権利は、カリフォルニア州の「消費者」、つまり居住者と従業員に適用されます。

これらの消費者には、収集されたデータにアクセスして削除する権利があり、オンラインで取引を行う会社による今後の収集をオプトアウトする権利があります。

対照的に、 CalOPPAは 2003 年のカリフォルニア州オンライン プライバシー保護法です。

これは、個人情報を収集する商用 Web サイトに、カリフォルニア州の住民のみが閲覧できるプライバシー ポリシーを掲載することを義務付けた、米国で最初の州法です。

このプライバシー ポリシーでは、ウェブサイトの運営者は、記載されているプラ​​イバシー ポリシーに従う必要があります。

GDPRは、2018 年 5 月に欧州連合によって制定された一般データ保護規則です。

これにより、欧州連合の市民は、インターネット上の個人データを大幅に制御できるようになります。

特に、GDPR は、Web サイトがデータを収集するために消費者の同意を得る方法を更新し、個人データがどのように使用されるかを伝えるための明確なガイドラインを概説し、ユーザーの同意を証明するための要件を制定します。

CCPA、CalOPPA、および GDPR は、アプリケーションと範囲が大きく異なります。

ただし、これらすべてに重要な共通点が 1 つあります。それは、それぞれカリフォルニア州と EU の住民だけでなく、影響を与えるということです。

これらの 2 つの地域のいずれかの居住者がいる、または居住者とやり取りするオンラインで運営されているビジネスは、これらの法律の対象となります。

CCPA がカリフォルニア州の企業に限定されていないのと同様に、GDPR は EU 内の企業に限定されていません。 EU 居住者のデータを扱うグローバル企業は、GDPR に準拠する必要があります。

プライバシー法: CCPA、Caloppa、GDPR | CCPAは何の略ですか? | |インパクトネットワーキング

カリフォルニア州消費者プライバシー法: CPRA 対 CCPA

CPRA は、カリフォルニア州消費者プライバシー法の略です。 これはプロポジション 24 とも呼ばれます。カリフォルニア州の有権者は 2020 年にこの投票法案を承認しました。CCPA 要件に修正が加えられ、「CCPA 2.0」というニックネームが付けられました。

CPRA は次のように付け加えます。

  • 修正の権利 、つまり、消費者は会社に自分に関する誤った情報を変更するよう要求することができます
  • 制限の権利 - 機密性の高い個人情報の使用と開示を制限する権利を消費者に与える
  • 自動化された意思決定に反対する権利。これにより、消費者は、仕事のパフォーマンス、経済状況、健康状態、興味などを「プロファイリング」するテクノロジーをオプトアウトする権利を得ることができます。

CPRA はまた、組織がリスク評価と差別の禁止を実施する義務を課しています。 この法案は 2020 年に可決されましたが、CCPA のほとんどの改訂は 2023 年まで「有効」になりません。

ただし、カリフォルニア州プライバシー保護庁を設立する条項は有効です。 本質的に、これにより、プライバシーと消費者の権利の専門知識を持つ 5 人のメンバーからなる委員会が作成され、CCPA を実装および実施します。

関連インフォグラフィック: MSP と MSSP – 主な違い

重要ポイント

CCPA は、米国で最も広範かつ包括的なデータ プライバシー法です。 これにより、オンラインでのデータの収集、使用、および販売に関して、カリフォルニア州の消費者に一定の権利が与えられます。

法律には中小企業向けに設計された特定の免除がありますが、それでもこれらの企業に影響を与える可能性があります.

CCPA では、消費者への通知方法と、企業が個人情報を保存、分類、保護する方法を大幅に変更する必要があります。

CCPA と CPRA、CalOPPA、および GDPR はすべてユーザー データの定義と保護が異なりますが、1 つの大きな共通点があります。それは、世界中の人々がこれらの地域に住む人々とビジネスを行う方法に影響を与えることです。

訴訟を回避するために、コンプライアンスの準備を積極的に行うことをお勧めします。 今すぐ専門家に相談して、連邦法および統計法に準拠し続けるためにビジネスが何をする必要があるかを学びましょう。

コンプライアンスとサイバーセキュリティの維持は、複雑な問題になる可能性があります。 対象分野の専門家であるJeff Leder の Cyber​​security Management に関するこのビデオを見て、管理されたサイバーセキュリティ サービスがビジネスに集中しながらコンプライアンスを処理する方法を学んでください。