CCPA ガイド: カリフォルニア州消費者プライバシー法

公開: 2021-03-12

カリフォルニア州消費者プライバシー法は 2018 年に可決されました。これはカリフォルニア州の居住者を保護する州法であり、カリフォルニア州の消費者が自分のオンライン データと個人情報を管理できるようにすることを目的としています。

CCPA は、消費者に次のようなデータ保護を提供します。

企業が収集する個人情報について知る権利

収集した個人情報を削除する権利

個人情報の販売をオプトアウトする権利

CCPAの権利を行使するための差別を受けない権利。

CCPA コンプライアンスを気にする必要があるのは誰か

CCPA はカリフォルニア州法のみですが、カリフォルニア州で事業を行っている、またはカリフォルニア州のユーザーに関するデータを収集しているすべての組織に適用されます。 この保護はカリフォルニア州の居住者にのみ適用されますが、一時的に州外にいる場合でも適用されます。

CCPA は以下に適用されます。

  • 年間収益が 2,500 万ドルを超える、カリフォルニア州で事業を行っている営利企業。
  • カリフォルニア州の 50,000 人以上の居住者、世帯、またはデバイスの個人情報を購入、受信、または販売する企業
  • 年間収益の 50% 以上をカリフォルニア州住民の個人情報の販売から得ている企業。

カリフォルニア州は米国で最も人口の多い州であり、シリコン バレーの本拠地であるため、CCPA は、米国の消費者のデータ保護を管理する連邦規制の代わりに、全米の企業がデータを収集、保管、販売、処理する方法について基準と義務を設定しました。個人データ。

CCPA の下では、「ビジネスが合理的なセキュリティ手順とそれを保護するための慣行を維持できなかった結果として、暗号化も編集もされていない個人情報がデータ侵害で盗まれた」場合、企業は訴えられる可能性があります。

CCPAのメリット

CCPA は安全なデジタル環境を自動的に確立しません。 これは、より安全なインターネットへのロードマップです。 これは、消費者としてどのような種類のデータが保護されることを期待すべきかについての前例を確立します。 また、ユーザー データを保護し、将来の規制への道を開きたい場合に、企業が準拠する必要がある要件の種類も示します。

CCPA により、ウェブサイトがデータを収集、管理、販売する方法についての認識が高まりました。 これにより、企業は消費者データをどのように扱っているかを開示する必要があります。 すべての Web サイトにデータ セキュリティを厳密に強化する義務はなく、CCPA はほとんどの場合、裁判所の結果に依存していますが、事件に結論をもたらすには集団訴訟に依存しています。 準拠しないという責任は、一般的なデータ セキュリティを改善するのに十分な場合があります。

CCPA の欠点

CCPA は消費者のデータ保護を改善するために米国で取られた最初の主要なステップですが、欠陥がないわけではありません。 CCPA には、範囲とその記述方法の両方に問題があります。

データセキュリティを維持する義務はない

強力なデータ セキュリティ プラクティスを実装および維持する必要はありません。 CCPA は、実際には、消費者がデータ侵害を受けた場合にのみ法定損害賠償を受ける権利を消費者に与えます。 セキュリティ慣行を維持する義務はありませんが、十分な安全慣行を提供しなかった場合、侵害の結果、法廷で証明された場合、消費者に対する法定損害賠償の責任を負うことになります.

訴訟

訴訟は、消費者が企業を訴えることができる裁判所制度を通じて行われます。 これは、多くの消費者、特に裁判制度への対応にうんざりしている消費者にとって参入障壁となる可能性があります。

企業に有利な「治癒」条項

CCPA の 30 日間の「是正」条項の下で、消費者は企業に対する法的措置を開始する前に、特定の問題について書面で通知する必要があります。利用不可。"

CCPA が消費者を定義する方法

GDPR は、国籍に関係なく収集または処理の時点で EU 内のすべてのデータ主体に適用されますが、CCPA では、一時的に州外にいる場合でも、消費者はカリフォルニア州の居住者であると定義されています。 カリフォルニアの消費者を保護するだけでは、国の広い範囲が保護されないままになります。

CCPA がデータ管理者を定義する方法

CCPA は、年間 50,000 人を超えるカリフォルニア州民のデータを取引する企業、または 2,500 万ドルを超える収益を上げている企業、または年間収益の 50% 以上を個人情報の販売から得ている企業に適用されます。 GDPR は、EU 内の人々に商品やサービスを提供する場合、世界中のすべての Web サイト、企業、および組織 (データ管理者) に適用されます。

監督機関: 限られた調査権限

CCPA 違反および不遵守は、カリフォルニア州司法長官によって評価されます。 Californian AG だけが CCPA 違反を調査する権限を持っており、消費者は違反に関与している場合にのみ訴訟を開始でき、訴訟手続きが開始されます。

CCPA コンプライアンスを達成する方法

企業の場合、ユーザーに関して収集しているデータの種類に関する情報が Web サイトに含まれていることを確認し、ユーザーがこの情報の販売をオプトアウトできるようにし、消費者の要求があったときに個人情報を削除できるようにする必要があります。 .

収集しているデータを監査する

法律があなたにどのように影響するかを理解してください。 収集している消費者データの種類を把握します。 法律に関係しているのは、PII だけでなく、Web 追跡データでもあります。

あなたの最大の責任は、組織内からではなく、Web サービスまたはプラグイン プロバイダーとして使用しているサードパーティ ベンダーにある可能性があります。

消費者データのマッピング

2020 年 1 月 1 日以降、カリフォルニア州の消費者は、データの収集方法とデータの使用方法について問い合わせることができます。 あなたはそれらの質問に答えることができるはずです。 インデックス可能で検索可能にすることで、チームがデータを簡単に見つけられるようにします。 次の質問をして、監査で明らかになったデータのマッピングを開始します。

  • どのようなデータを収集しますか?
  • どこに保管していますか?
  • データの責任者は誰ですか?
  • どのようにデータを収集しますか?
  • 誰とデータを共有しますか?
  • データは販売していますか?

プライバシー開示の実装

プライバシー ポリシー、利用規約、Cookie ポリシーなど、プライバシー開示を更新するときが来ました。 収集する情報の種類、その情報の収集方法、そのデータにアクセスできる第三者の種類、およびこの情報を収集する理由について具体的に指摘してください。

ポリシーを明確にして最新の状態に保ち、ユーザーがオプトアウトできるようにします。 ポリシーを確認し、特定のデータ慣行をオプトアウトするオプションを許可する「私のデータを販売しない」ボタンを Web サイトに追加することも検討する必要があります。

情報要求のプロセスを開発する

消費者データのコピーを提供したり、要求に応じてデータを削除したり、収集したデータについて説明したり、消費者がデータを収集することをオプトアウトしたりする必要がある場合があります。 対象となるエンティティは、消費者から次のように尋ねられる場合があります。

  • 個人情報のコピーについて
  • 個人情報を削除すること
  • 販売されている個人情報のカテゴリ
  • 16歳以上の個人情報の販売をオプトアウトするには
  • 13 歳から 16 歳までの個人情報の販売をオプトインするには
  • 13歳未満の消費者から個人情報を販売することについて、保護者から同意を得る

あらゆるレベルでプライバシーに対処する

ソフトウェアとシステムを最新の状態に保ち、安全に保ちます。 これは、強力なパスワードとマルウェア保護を備え、人的リスクに対処することを意味します。 法律、それがどのように適用されるか、データ保護においてどのように役割を果たすかをチームが理解できるように、チームをトレーニングします。

リスクベースのアプローチを取る

データ セキュリティ プラクティスを主導し、データ セキュリティの専門家をチームのメンバーと共に組織のあらゆるレベルに関与させることで、ビジネスを保護します。 リスクはあらゆるレベルに存在します。 組織内の全員から洞察と情報を収集し、チームとして最大のリスクを特定し、修正に優先順位を付けます。

違反に対する罰則

データ侵害がない限り、企業は CCPA 違反で訴えられることはありません。 特定の例では、消費者は損害賠償を受ける権利があります。 違反の疑いが通知されてから 30 日以内に違反を「是正」した場合、企業は責任を負いません (場合によっては「是正」できない場合もあります)。

損害賠償

個人が受け取ることができる法定損害賠償は、インシデントごとに 100 ドルから 750 ドルの範囲、またはデータ侵害の結果として実際に被った金銭的損害の合計額である可能性があります。 裁判所は、違反の重大性に応じて、より厳しい罰則を決定することもできます。 典型的なデータ侵害が何十万もの消費者に影響を与える可能性があることを考えると、これらのコストは積み重なる可能性がありますが、消費者は罰金が科される前に訴訟を起こす必要があります.

ペナルティ

消費者による個人の損害だけでなく、CCPA の違反や違反の場合、企業は民事罰に直面する可能性があります。 これらの罰則は、「意図的ではない違反に対して 2,500 ドルから、意図的な違反に対して 7,500 ドル」の範囲に及ぶ可能性があります。

CCPAに関する私たちの考え

2021 年初頭、中国のハッカーが 80% 以上のアメリカ人の生体認証データと個人識別情報を盗もうとしていることが明らかになりました。 いくつかの例では、それらは成功しています。 消費者データのセキュリティを強化するというビジネス上の義務だけでなく、国家安全保障上の義務も存在します。 残念ながら、データ保護を均等かつ同時に実施するために州を信頼することはできません。

2019 年、4,457 人の名前と社会保障番号、電話番号、電子メール アドレスが記載されたスプレッドシートがジョージア州の労働局によって誤って公開された後、ジョージア州の最高裁判所は、「固有の義務はない」との判決を下しました。それが保存する市民の個人情報を保護するために。」 裁定は、機密データを委託されたデータ収集者には、その情報を保護する義務がなく、それが問題であると繰り返し述べています。

連邦規制がないため、CCPA はどうしても埋めなければならない穴を埋めようとします。 企業が実装するデータセキュリティ基準と、消費者が期待する保護を確立します。 しかし、誰が保護され、どの企業が責任を負うかについては大きなギャップがあり、効果的な抑止力やコンプライアンスの促進にはあまりにも多くの曖昧さと余裕が残されています。

CCPA ≠ GDPR

CCPA は GDPR と同じように言及されることがよくありますが、その範囲や影響力にはほど遠いものであり、GDPR には及ばないものです。

GDPR のようにデータ セキュリティ標準への準拠を監査、調査、強制するための広範な権限がなければ、CCPA は純粋に抑止力のままです。データ セキュリティは、積極的に調査および強制されるものではなく、責任となるからです。

GDPR とは異なり、CCPA は企業に求められていることやケースの処理方法を伝えるのにそれほど効果的ではありませんでした。 GDPR の罰金に関するすべてのデータが公開されているわけではありませんが、コンプライアンス要件とコンプライアンス違反の罰則に関しては、より多くの情報を入手できます。 GDPR の施行を追跡するための専用の独立した Web サイトさえあり、各加盟国が GDPR コンプライアンスを施行する様子を追うのは興味深いことです。

GDPR は、「情報セキュリティを確保するための技術的および組織的な対策が不十分」であるとして、2018 年のデータ侵害に対するマリオットへの 1,840 万ポンドの罰金を含め、過去数年間で数百の罰則を課しました。 CCPA は、その施行や影響をめぐる同様の宣伝を行っていません。 報道価値のある罰則や事例がなければ、CCPA は、米国におけるデータの安全性の問題を解決するのに十分な抑止力にはならないかもしれません。

結果が十分に高くなく、法の施行が一貫性がなく、迅速かつ効果的でない場合、CCPA は企業がデータ セキュリティの問題を真剣に受け止めるのに十分な説得力を持たない可能性があります。

私たちは弁護士ではありません。 サイバーセキュリティの監査とコンプライアンスの達成を支援することはできませんが、CCPA要件を満たす優れたWebサイトを構築し、データ管理チームと協力して、ブランドに対する消費者の信頼を築き、要件を満たすデジタル環境を作成できます。あなたのビジネス目標。

データ プライバシー規制により、Web サイトとコンプライアンスについて懸念がある場合は、GDPR のガイドを読んでデータ セキュリティ規制の知識をレベルアップするか、連絡を取って会話をしましょう。