カリフォルニア州消費者プライバシー法の準備において、ブランドがGDPRの1年から何を学ぶことができるか

公開: 2022-05-22

以下は、 Qubitの法務顧問であるJackCarvelからのゲスト投稿です。

2019年5月は、一般データ保護規則(GDPR)の施行から1年を迎えます。これは、数十年で最も大幅なデータプライバシー規則の変更です。 GDPRは、データに関して個人の権利に関する意識を高めるのに非常に役立ちましたが、施行の話はまったく異なります。

昨年、多額の罰金が驚くほど不足し、サードパーティのデータが悪用され続けていることは、多くの人が完全に存在しなくなると考えていましたが、明白になっています。 ただし、これは、予想されるeプライバシーコンポーネント(間もなく発効すると予想されるEUのデータ保護体制の次の要素)や1月に米国で行われる主要なデータプライバシー開発などの新しい法律の実施によっても変わる可能性があります。 2020年:カリフォルニア州消費者プライバシー法(CCPA)。 この投稿では、1年後にGDPRから学んだ教訓と、CCPAおよび近い将来に予想されるその他のより厳格な法律に最善の準備をするためのヒントについて説明します。

GDPR:認識の場合は「A +」、施行の場合は「D」

まず、期限が来ているところを信用しましょう。GDPRは、それを真剣に受け止めている企業にとって非常に優れています。 これにより、顧客をより明確に理解し、顧客の行動をより深く理解できる、より健全な顧客データベースが実現しました。

昨年の春は、世界中の企業がデータの保存場所とデータの内容を理解するプロセスを経ていたため、近藤メソッドや春の大掃除をデータに適用するのと少し似ていました。 誰もがほんの数か月間データ保護に集中し、オンラインの世界をより安全にしています。 そして、精査は大幅に改善されました。 一握りの罰金があり、その中にはGoogleにとって5000万ユーロの重要な罰金があります。 当初、業界の多くはそのような罰金が標準になると想定していましたが、私たちはまだそれを見ていません。

GDPRが特に低調であった分野は、サードパーティのデータブローカーとの取引です。 ビジネスモデル全体が中古または中古のデータの販売に依存している企業には、多くの悪い習慣があります。 このデータは、消費者が知らないうちに簡単にコピー、開示、および当事者に提供できます。おそらく、収集されたデータとその理由についての同意や理解なしに取得されたものです。 GDPRにより、多くの人が終了することを期待していましたが、規制当局はこれらの不正なデータ慣行を追いかけていません。

また、米国(およびEU以外の他の管轄区域)には、基準に準拠していない中小企業があります。 さまざまなデータ体制に準拠するためのリソースがなく、コンプライアンスを監視する社内のカウンセルもいないため、リスクを負うだけです。 これらの企業では、違反が発生した場合、規制当局はステートメントの正確性を検証できないため、透明性はほとんどありません。 ただし、コンプライアンス違反は非常にリスクの高い戦略です。 消費者はデータの権利とデータの価値をより意識するようになっているため、企業は罰金を回避できますが、データ侵害が発生した場合、ブランドエクイティと評判を危険にさらす可能性があります。これは罰金よりもさらに悪い場合があります。

より厳格な施行が来る可能性があります

施行によってゲームを変える可能性のあるデータプライバシー規制が予想されます。 今後の重要な進展の1つは、eプライバシー規制です。これは、Cookieに関するポリシー、必要な同意、電子メールを送信できるユーザーとその理由、追跡などを定義し、個人データのより広い概念にさらに明確なレイヤーを追加します。 規制当局はGDPRとeプライバシー規制の両方を共同で使用するため、これはより多くの施行を引き起こす可能性がありますが、まだ数か月先です。

ビジネスの運営方法を変えるもう1つの法則は、CCPAです。 ここで重要なのは、これが米国に根ざしたこの種の法律の最初のものであるということです。おそらく連邦法ではないため、この次の規制についてはあまり話題にならないかもしれませんが、これに備えていない企業はCCPA違反ごとに最大7,500ドル、侵害されたレコードごとに最大750ドルなどのペナルティに非常に不愉快に驚かされます。これは、かなりの金額になる可能性があり、中小企業にとっては壊滅的なものになる可能性があります。

小売業者へのアドバイス

小売業者、特にグローバル企業が持っているGDPRの準備の厳格なプロセスを経ていない米国の小売業者は、今後のポリシーに準拠するために必要な重要な事前準備を検討する必要があります。 カリフォルニア州では、GDPRで観察されたものよりも、多額の違反罰金を科すことが厳しくなる可能性があります。 大規模なグローバルブランドは、GDPRの準備と、ヨーロッパでしばらくの間存在していた綿密なデータの精査のおかげで、CCPAの準備がすでに整っている可能性があります。 ただし、中小企業は、今後行われる厳格なデータプライバシーおよびコンプライアンス調査によって不意を突かれる可能性があります。 米国企業に役立つ可能性のあるいくつかのヒントを次に示します。カリフォルニアでビジネスを継続したい企業は、今後の法律の準備に役立ちます。

  1. CCPAの確固たる要件ではありませんが、「処理の記録」を作成することが最初のステップである必要があります。収集しているデータと、それを使用して行っていることを正確に特定します。 このプロセスを実行することにより、CCPA内でどの範囲に該当するかを理解できます。 これらすべてを完全に理解して、プロセスに入る必要があります。
  2. もちろん、データは価値がありますが、データが多いからといって必ずしも価値が高いとは限りません。 なぜ収集しているのかわからない場合は、それを取り除いてください。 会社にとって役に立たないデータは、ストレージコストにお金をかけているだけであり、データ侵害への露出を増やしています。 データを削除するのは怖いと感じるかもしれませんが、それは信じられないほど力を与えるステップであり、最終的にはデータ主導の意思決定をより効率的にします。 多くの企業は、クリーンなデータセットを使用すると、コンバージョン率が向上し、ターゲティングがより効果的になることを確認しています。
  3. GDPRの下では、場合によってはデータ保護責任者が必要になります。 これは一般的には良い考えです。誰かにデータのプライバシーと、適用される法制度の下での義務を果たすための会社の準備について責任を負わせることです。 さらに、この個人が高い視認性を持っていることを確認してください。 CCPAでは、GDPRのように、この人物が上級管理職に報告する必要はありません。 ただし、上級管理職が内部監査人の発見を十分に認識していることを確認することは非常に良い考えです。
  4. 特定のシナリオで何が起こるかを理解するために、ベンダーやパートナーに積極的に連絡してください。 彼らは特定の時間枠内の要件であなたを助けることができるでしょうか? プロセスについて話します。 あなたがあなたのビジネスが協力している他の当事者とこの会話を始めるとき、彼らが助けて従うことができるかどうかはすぐに明らかになります。
  5. あなたのビジネスに対するデータプライバシー法のプラスの利点を理解してください。 これらのポリシーにより、企業は顧客データベースをより健康的でアクティブにし、データストレージに関連するコストを削減し、それらを受け取りたい個人とのより個人的なコミュニケーションを発展させることができます。
  6. 楽しくしてください。 エンドユーザーは、平易で単純な言語を使用する場合、データ処理の慣行を理解して同意する可能性がはるかに高く、あなたが行っていることの利点をエンドユーザーに示します。 コレクションを正当化できない場合は、本当に必要かどうかを再検討する価値があります。

コンプライアンスのためのプロセスを開発して実行することは容易ではないかもしれませんが、これが行われると、世界はより良い場所になります。 そして、準備の整った企業にとって、それは彼らのビジネスを後押しすることさえ意味することができます。