カリフォルニア州では、2018年6月下旬に消費者プライバシー法「AB 375」が成立しました。 2020年1月1日から施行され、欧州連合の一般データ保護規則(GDPR)と比較して、米国企業への反発が強いとされています。 カリフォルニア州消費者プライバシー法(CCPA)は、GDPRよりも広い視野を持つとされており、個人情報の所在を特定し、保護するためのセキュリティに大きな課題を突きつけています。
CCPAとは?
CCPAは、米国で最も包括的なデータプライバシー法の1つです。 CCPAは、主に個人または個人データの収集と使用に関する消費者の権利に焦点を当てています。 CCPAのもと、カリフォルニア州のすべての住民が、企業が保存しているすべての個人データの開示を求める権利を行使できるようになりました。 さらに、消費者は、会社が個人データを共有するすべての第三者の全リストを要求することもできます。 最も大きな変更点は、データ漏洩がないにもかかわらず、消費者がカリフォルニア州政府が提示したプライバシーガイドラインに違反していると判断した場合、その組織を訴えることができる権限を付与したことです。
誰がCCPAを遵守する必要があるのか?
この法律は、カリフォルニア州居住者の個人情報を収集・処理し、カリフォルニア州内で事業を行っているすべての営利事業者に適用されます。 1798.145.に規定された3つの条件を満たす企業は、CCPAに準拠する必要があります。 これらの条件は
- 年間総収入を超える事業 以上であること 25百万ドル
- 年間50000人以上のカリフォルニア州民の個人情報を共有または受領する事業者。
- カリフォルニア州の住民の個人情報を販売することにより、年間売上の50%以上を得ている会社。
QuestionProでは、CCPA対応のためにどのような取り組みをしていますか?
SaaSプロバイダーとして、法律が施行される前にCCPAに準拠するために必要なあらゆる手段を講じています。
- お客様には、中医協への対応を意識していただくようになりました。
- 個人情報保護方針、利用規約、サービス契約やデータ保管、安全に関する契約など、お客様を対象としたドキュメントを中共のガイドラインに沿って更新しています。
- 個人情報保護に関する研修プログラムの充実を図っているところです。
効果的な戦略を立てるために、私たちは努力しています。 適切なカリフォルニアの居住者に付与されたCCPAの権利に適切に対応できるよう、効果的な戦略の策定に取り組んでいます。
CCPAで保護されるのは誰ですか?
CCPAは、「カリフォルニア州の居住者である自然人」すべてに適用され、さらに以下のように定義されています。
- 一過性または一時的でない目的でカリフォルニア州に滞在する個人
- カリフォルニア州に居住する個人で、現在または時々、一時的または一時的にカリフォルニア州を離れている人。 一時的または刹那的な 理由 (カル Civ. Code § 1798.140(g))を参照してください。
したがって、CCPAは、カリフォルニアに住所を有するすべての居住者に適用され、現在どこにいるかは問いません。 それに伴い、B2B(Business to Business)とB2C(Business to Consumers)の両方の企業に適用されることも明記されています。
カリフォルニアは世界第5位の経済大国(イギリスと僅差)であり、約4,000万人が住んでいます。
カリフォルニア州消費者プライバシー法に基づき認められた消費者の権利
CCPAで保護されるカリフォルニア市民は、以下の4つの基本的権利を行使することができます、
-
会社が収集、開示、販売した個人情報の内容を知る権利
この権利により、消費者はどの企業に対しても、どのような個人情報を収集、公開、使用、販売しているのかを尋ねることができます。 消費者は、企業が自分の個人情報を収集した出所、それをどのように使用したか、そして個人情報を共有または販売している第三者のリストを知る権利があります。
-
個人情報の削除を要求する権利
CCPAガイドラインでは、消費者は自分の個人情報の所有権を持つすべての権利を持つことになります。 個人データを収集・処理する会社に対して、直接削除を求めることができる。 このような要請を受けた場合、組織は、消費者に属するすべての個人データを消去するために必要なすべての措置を講じなければなりません。 しかし、特定の状況下では、組織は情報を消去するか保管するかを決定することができます。 あたかも、組織が最初にデータを収集した目的を果たすために。 その他、データ主体と事業者との間の契約を遵守するため。
-
個人情報の販売に関するオプトアウトの権利
カリフォルニア州にお住まいの方は、ご自身の個人情報の販売についてオプトアウトする権利を行使することができます。 ただし、この権利を行使するためには、当該団体がホームページ上に「私の個人情報を販売しないでください」というリンクを設ける必要があります。 このリンクは、消費者が自分の個人情報を販売することを選択するための媒体として機能します。
中銀のガイドラインでは、16歳未満の消費者の個人情報を販売することは禁止されています。 ただし、消費者が13歳以上16歳未満または13歳未満の場合、その親または保護者は、情報の販売を承認またはオプトアウトする権利を有します。
-
消費者のプライバシー権の行使を理由とする無差別の権利
中共は、事業者がプライバシー権を行使するすべての消費者に対して非差別的な取り扱いをすることを禁止するという、より広い視野を持っています。 それに加えて、組織が中共の権利を利用して消費者に異なる価格を請求したり、さまざまな商品やサービスを提供したりすることも禁止されています。 それとは別に、乖離はデータから提供される価値と適度に関連しています。
CCPAに違反するとどうなるか
- カリフォルニア州司法長官事務所は、CCPA違反に関連する罰則を執行する権限を有しています。 があります。 制裁金には、非意図的な違反には最高2,500ドル、意図的な違反には最高7,500ドルの民事罰が含まれます。
- 今現在のところ、
- カリフォルニア州司法省は、罰金を科す前に 違反の疑いがあることを通知し、罰金を科す前に、当該事業者に30日間の明確化期間を与えなければならない。
- なお、中韓法違反により徴収された罰金の約20%は、新たに設立される「消費者プライバシー基金」に充当される予定です。
CCPAおよびQuestionProに関する問題がある場合は、お手数ですが
ご連絡ください。
に連絡し、当社のコンプライアンス・マネージャーとの面談を予約してください。
