記事カリフォルニア州消費者プライバシー法の完全ガイド

カリフォルニア州消費者プライバシー法が住民のデータを管理する企業に与える影響と、同法の規制に違反するリスクを軽減するためにできることをご覧ください。

※この記事は2018年に書かれたものです。CCPAは2020年1月1日に発効しました。

2018 年の大規模な GDPR パニックから数か月が経過しました。私たちは皆、コンプライアンスをまとめ、一息つき、将来に目を向ける時間がありました (ただし、まだ GDPR コンプライアンスに取り組んでいないか、GDPR が何であるかを知らない場合) 、米国ベースの Web サイトの GDPR に関する私の記事をご覧ください)。 では、米国を拠点とする事業体の個人プライバシー規制の次はどうなるのでしょうか?

それは、2018 年 9 月 23 日に署名されたカリフォルニア州消費者プライバシー法 (CCPA) です。今回は、GDPR で見たヒステリーを回避できるはずです。 うまくいけば、 2020 年 1 月 1 日に法律が施行されるずっと前に、私たちは皆、調査とデューデリジェンスを行っています。

先に進む前に、この記事は中規模から大規模の企業間 (B2B) Web サイトの所有者を対象としていることにご注意ください。 あなたの組織が公開か非公開かは関係ありません。組織がカリフォルニアに拠点を置いているかどうかも同様です。

これと同様のトピックに関するほとんどのブログ投稿は非常に疑わしいと思われるため、この記事の調査は法律のテキストのみに依存しています. 情報をどこから入手したかに関係なく、その問題を専門とする弁護士に確認してください。 あなたの会社がコア ビジネスの一環として個人情報を扱っている場合、この記事は適していません。

ここで説明する内容は次のとおりです。

• カリフォルニア州消費者プライバシー法とは何ですか?
• CCPA によって保護されるのは誰ですか?
• 正確には、何が保護されていますか？
• どのような組織が準拠する必要がありますか?
• 消費者の権利とは？
• CCPA コンプライアンスを確保するための手順は何ですか?
• 違反した場合の罰則は？

飛び込みましょう！

カリフォルニア州消費者プライバシー法とは何ですか?

1972 年、カリフォルニア州の有権者はカリフォルニア州憲法を修正し、プライバシーの権利をすべての人々の「譲渡できない」権利に含めました。 この改正により、すべてのカリフォルニア州民の法的かつ強制力のあるプライバシー権が確立されました。 このプライバシー権の基本は、個人が自分の個人情報の使用 (販売を含む) を制御できることです – AB 375、セクション 2(a)

この修正をサポートするために、オンライン プライバシー保護法、デジタル ワールド法におけるカリフォルニア州の未成年者のプライバシー権、およびシャイン ザ ライトなど、カリフォルニア州の多くの法律が既に可決されています。

CCPA は、居住者の権利をさらに保護するために、それらに基づいて構築された新しい法律です。 提案された投票イニシアチブとして開始されましたが、その支持者は、2018 年 6 月 28 日までに新しい法律が可決されることを条件に、それを撤回することに同意しました。

それは、投票の内容を最終決定する締め切りでした。 これに対応するために、以前は支持を得られなかった不完全な法案 (Assembly Bill 375) が復活しました。 あっというまに渡されました。 投票イニシアチブと AB 375 はどちらもカリフォルニア州消費者プライバシー法と呼ばれていますが、投票イニシアチブと結果として生じる法律は大きく異なることが証明されています。

カリフォルニア州議会議員は、法律が間に合わず、イニシアチブが投票にかけられた場合、有権者は企業が遵守することが不可能ではないにしても困難な法律を可決することを恐れていました.

2018 年後半、修正版がカリフォルニア州上院を通過しました (上院法案 1121)。 しかし、法律はまだ完全ではなく、さらなる改正が行われる可能性が高いようです。

法律の詳細に入る前に、いくつかの部分が変更される可能性があることを認めておく必要があります。 法律自体が施行されることはないかもしれません。

現在、州のデータ プライバシー法に優先する連邦データ プライバシー法を制定するイニシアチブが実施されています。 連邦議会議員は、カリフォルニア州法が行き過ぎている、または十分に進んでいないと感じ、連邦法を急ぐ可能性があります... カリフォルニア州議会によって取られた行動を反映した動き.

州および連邦の立法者が、有権者主導のイニシアチブと個々の州法の群れに警戒するのは当然です。 企業は、非現実的な技術指令や、50 の異なる州の法律を遵守するという圧倒的な負担を抱えている可能性があります。

Web 開発者として、私はこれらのシナリオの両方に怯えています。 しかし、個人の消費者として、私はカリフォルニア州法に失望しています. 個人を特定できるデータを保護するには、それだけでは十分ではありません。

何が起ころうとも、今後数年はかなり混沌としたものになるでしょうが、これが私たちが今立っている場所です...

CCPA によって保護されるのは誰ですか?

CCPA は、カリフォルニア州に住むすべての人に適用されます。 法律の条文には次のように書かれています。

消費者とは、2017 年 9 月 1 日に読み上げられたカリフォルニア州規則第 18 編のセクション 17014 で定義されているカリフォルニア州居住者である自然人を意味します。 – AB 375、セクション 3、1798.140

「自然人」とは、単純に個々の人間と考えることができます。 対照的に、「法人」は単なる法人である可能性があります。 居住者の定義は次のとおりです。

法律で定義されている「居住者」という用語には、(1) 一時的または一時的な目的以外で州内にいるすべての個人、および (2) 州外にいる州内に居住しているすべての個人が含まれます。一時的または一時的な目的。 他のすべての個人は非居住者です。 – カリフォルニア州規則集、タイトル 18、セクション 17014

組織内の優秀な技術者は、州ごとにユーザーをフィルター処理して、カリフォルニア州のユーザーに異なるエクスペリエンスを提供することを提案する場合があります。 しかし、このアプローチには 3 つの欠点があります。

まず、カリフォルニア州の住民は、その時点で州内にいるかどうかに関係なく保護されます。 2 つ目は、ユーザーの位置を特定するために使用するツールが不完全であることです。 3 つ目は、カリフォルニア州のユーザー専用に別の Web サイト エクスペリエンスを維持することです。 不要負担。

法律の本文 (タイトルを含む) 全体を通して、「消費者」という言葉は、カリフォルニア州の居住者であるすべての自然人を意味するために使用されていることに注意してください。 個人が法律で保護される商品やサービスを購入する必要がないため、これは奇妙な選択です。

何が保護されていますか？

CCPA は、カリフォルニア州住民の個人情報を保護します。 個人情報とは、個人または世帯に直接的または間接的に関連付けることができる情報です。

Cookie や IP アドレスなどを使用して匿名ユーザーのデータを収集し、後でそのデータを個人に関連付けることは完全に可能であることに注意してください。 これは、データが個人に「関連付けられる」ことを意味します。

そのため、CCPA があなたのビジネスに適用される場合、データが収集されたときに、このコレクションを個人に開示する必要があります。 個人を特定できるということは、従わなければならないということです。 個人情報には以下が含まれますが、これらに限定されません。

(A) 実名、エイリアス、住所、一意の個人識別子、オンライン識別子インターネット プロトコル アドレス、電子メール アドレス、アカウント名、社会保障番号、運転免許証番号、パスポート番号、またはその他の同様の識別子などの識別子。

(B) セクション 1798.80 のサブディビジョン (e) に​​記載されている個人情報のカテゴリ。

(C) カリフォルニア州法または連邦法の下で保護されている分類の特徴。

(D) 個人の所有物、購入、取得、検討した製品またはサービス、またはその他の購入または消費の履歴または傾向の記録を含む商業情報。

(E) 生体認証情報。

(F) インターネットまたはその他の電子ネットワーク アクティビティ情報。これには、閲覧履歴、検索履歴、および消費者とインターネット Web サイト、アプリケーション、または広告とのやり取りに関する情報が含まれますが、これらに限定されません。

(G) 位置情報データ。

(H) 音声、電子、視覚、熱、嗅覚、または類似の情報。

(I) 専門的または雇用関連の情報。

(J) 家庭教育の権利およびプライバシー法 (20 USC セクション 1232g、34 CFR パート 99) で定義されているように、公開されていない個人を特定できる情報として定義される教育情報。

(K) 消費者の好み、特徴、心理的傾向、好み、素因、行動、態度、知性、能力、および適性を反映する消費者に関するプロファイルを作成するために、このサブディビジョンで特定された情報のいずれかから引き出された推論。

– AB 375、セクション 3、1798.140

どのような組織が準拠する必要がありますか?

あなたの組織がカリフォルニア州で事業を行っていない場合、あなたは明確です。 また、カリフォルニア州内からあなたのウェブサイトを閲覧する人は、州内でビジネスを行う意図を意味するものではありません. しかし、あなたの会社がカリフォルニアで事業を行っている場合、いくつかの質問を自問する必要があります。

1. あなたの組織の年間総収入は 2,500 万ドルを超えていますか? （図は消費者物価指数に合わせて調整されていることに注意してください）。
2. あなたの組織は、毎年 50,000 以上の消費者、世帯、またはデバイスの個人情報を扱っていますか?
3. あなたの組織は、年間収益の 50% 以上を消費者の個人情報の販売から得ていますか?

これら 3 つの質問のいずれかに「はい」と答えられる場合、組織は準拠する必要があります。 組織がこれらのしきい値のすべてに該当するが、いずれかを超える大規模なエンティティ (50% 以上のコントロールを持つ) によって所有されている場合、組織は準拠する必要があります。

消費者の権利とは？

この法律に基づいてカリフォルニア州の居住者に付与される権利は、GDPR に基づいて EU の市民に付与される権利と多くの類似点があります。 GDPR と同様に、企業は、データを収集する時期と、情報が収集される前にデータを使用して正確に何をするかをユーザーに知らせる必要があります。

消費者の個人情報を収集する事業者は、収集時または収集前に、収集する個人情報のカテゴリーと、個人情報のカテゴリーを使用する目的について、消費者に通知する必要があります – AB 375、セクション 3、 1798.100(b)

また、企業が収集したすべてのデータを要求する権利があります。

消費者は、消費者の個人情報を収集する事業者に対して、事業者が収集した個人情報のカテゴリと特定の部分をその消費者に開示するよう要求する権利を有するものとします – AB 375、セクション 3、1798.100(a)

これに基づいて、消費者は、情報が収集されたソースのカテゴリ、データ収集のビジネス目的、および情報が共有される第三者のカテゴリを知る権利を有します。

また、ユーザーは、自分のデータをあなたの記録およびすべてのサービス プロバイダーの記録から削除するよう要求する権利を有します。

消費者は、事業者が消費者から収集した消費者に関する個人情報を削除するよう事業者に要求する権利を有するものとします – AB 375、セクション 3、1798.105(a)

中核事業が消費者の個人データの取り扱いである場合、認識し、対応する準備が必要な追加の権利があります。 ただし、繰り返しますが、この記事はあなた向けではありません。

CCPA コンプライアンスを確保するための手順は何ですか?

何よりもまず、すべてのデータ収集について事前にユーザーに通知する必要があります。 GDPR とは異なり、CCPA は肯定的な同意メカニズムを必要としません。 たとえば、ユーザーがフォームに入力するときは、そのデータで何をするかを明らかにする簡単なステートメントで十分です。 ユーザーは、コレクションを理解し、同意することを説明するボックスにチェックを入れる必要はありません。

データを要求する方法、またはデータを削除する方法を少なくとも 2 つユーザーに提供する必要があります。 これらの方法の 1 つは、フリーダイヤル番号でなければなりません。 もう 1 つは単に Web サイトのアドレスにすることができます。

すべてのリクエストは確認され、45 日以内に返信される必要があります。 この期間は、最初の 45 日以内に消費者に知らせる限り、さらに 45 日間延長できます。 ユーザーへの開示には、過去 12 か月間のデータ収集を含める必要があるため、2019 年 7 月 1 日から必要なデータを保存および取得できるようにしてください。

消費者から個人情報にアクセスするための検証可能な消費者要求を受け取った企業は、このセクションで要求される個人情報を消費者に無料で開示および提供するための措置を迅速に講じる必要があります – AB 375、セクション 3、1798.100(d)

1 人のユーザーのデータ要求に対して、12 か月間に 2 回以上応答する義務はありません。

プライバシー ポリシーを更新して、CCPA のセクション 1798.110、1798.115、および 1798.125 に従って消費者の権利の説明を開示する必要があります。 また、データに関するリクエストを行うための利用可能な方法を提示する必要があります。

上記のように、これらの方法の 1 つはフリーダイヤル番号でなければなりません。 また、過去 12 か月に収集したすべてのカテゴリの情報を開示し、少なくとも 12 か月ごとにその情報を更新する必要があります。

同時に、ビジネスのプライバシー慣行またはこのタイトルの遵守に関する消費者の問い合わせを処理するすべての個人に、すべての要件が通知されるようにする必要があります。 また、これらのセクションに基づく権利を行使するよう消費者に指示する方法も知っておく必要があります。

ホームページに「私の個人情報を販売しないでください」というタイトルのリンクを掲載する必要があるとアドバイスする人がいるかもしれませんが、その要件は消費者の個人情報を販売する企業に固有のものです。 この記事の前半で述べたように、消費者の個人情報を販売する場合、この記事は適していません。

最後に、CCPA によって付与されたプライバシー権を行使したユーザーを差別することはできません。 差別には、商品またはサービスの拒否、より高い価格の請求、異なるレベルまたは品質の商品およびサービスの提供が含まれます。

個人情報の収集に対して金銭的インセンティブを提供することができます。 ただし、これらのインセンティブ プログラムは強制的または高利貸しではないことに注意してください。

違反した場合の罰則は？

カリフォルニア州司法長官によって課される罰則は、GDPR 違反に伴う罰則に比べて比較的小さいものです。 違反の疑いがある場合は、問題を修正するために 30 日間の猶予が与えられ、それを怠った場合にのみ違約金を支払う必要があることに注意してください。

違反が発覚し、問題を解決しない場合は、意図的でない違反に対して 2,500 ドル、意図的な違反に対して 7,500 ドルの民事上の罰金が科せられます。 これらの罰則は非常に軽いため、法律を無視することを選択する企業もあるでしょう。 しかし、彼らは大きな危険を冒してそうしています。

CCPA に違反していることが判明することで生じるより大きなコストは、集団訴訟にさらされるリスクの増加です。 法定損害賠償額は、1 回の事故につき消費者 1 人あたり 100 ～ 750 ドル、または実際の損害額のいずれか大きい方に制限されます。 しかし、何千人もの個人のデータを管理することは一般的であるため、集団訴訟全体の損害の合計は相当なものになる可能性があります。

推奨事項

おそらく、これらの新しい法律について最も懸念されることは、さらに多くの法律が制定されるという知識です。 データのプライバシーを保護するために設計された州法が増えるか、連邦法が可決されて州法を先取りまたは無効にするかのいずれかです。

これらの将来の法律に何が含まれるかを知ることは不可能ですが、経験に基づいた推測を行うことはできます. また、すべての州と EU でコンプライアンスを確保するのに役立ついくつかの追加の慣行があります。

• 一定期間後に顧客データを破棄するプロセスを定義する
• データ収集のすべての時点で肯定的な同意メカニズムを要求する
• 収集するデータを減らしてください。

最後の提案は簡単に実現でき、多くの責任を免除してくれます。 最新の Web サイトには、ユーザー アクティビティを記録、追跡、利用する多くの機能があります。

これらの大部分は、実際には Web サイト所有者のデータを収集しません。 ターゲット広告ネットワークのデータを収集します。 分析、フォント ホスティング、コンテンツ配信ネットワーク、共有ウィジェットなどの「無料」サービスは、決して無料ではありません。

あなたは、ユーザーのプライバシーでそれらの料金を支払っています。 可能な限り Web サイトで使用しないでください。または、ユーザーの個人データを開示しないように構成してください。

資力

• カリフォルニア州議会法案第 375 号
• カリフォルニア州上院法案第 1121 号
• Data Privacy Monitor の CCPA に関する記事 普段はブログへのリンクは控えていますが、特に DPM と Alan L. Friel の記事は一貫して優れています

CCPA 規制は圧倒される可能性があります。 うまくいけば、私たちはあなたが知る必要があるすべてを統合するのに役立ちました. サイトの監査をご検討中のお客様は、喜んでチャットさせていただきます。 ブランドの Web とデジタルに関する考慮事項についてさらに詳しく知るには、次のヒントとリソースを参考にしてください。

• サイトをアクセシブルにするために必要なことを学びましょう。
• ウェブサイトのセキュリティの鍵と、サイトを安全に保つ方法を見つけてください。
• 魅力的な (そして変換する) ビジネス Web サイトを作成する方法を見てみましょう。