カリフォルニア州消費者プライバシー法(CCPA)コンプライアンスの究極のガイド
公開: 2019-12-232018年カリフォルニア消費者プライバシー法(CCPA)は、居住者のデータとプライバシーを保護するためにカリフォルニア州によって可決された法律です。 CCPAは、現在のカリフォルニア州のプライバシー法に代わるものではありませんが、代わりにそれらと一緒に機能します。
CCPAによると、企業は収集するものとその使用方法についてより前向きである必要があります。 また、情報を販売する前に未成年者の同意を得る必要があります。 さらに、ユーザーは企業がデータを販売するのを防ぐことができるようになりました。
ただし、CCPAは、収集したユーザー情報を販売できなくなったことを意味するものではありません。 ただし、カリフォルニアの住民に関しては、さらにいくつかのフープを飛び越える必要があります。
CCPAは2020年1月1日に発効しますが、企業は2020年7月1日までに完全に準拠する必要があります。 それはこれを延期する言い訳ではありません。 ただし、施行措置は数か月間開始されないため、企業にはポリシー、プロセス、およびWebサイトを適応させる時間があります。
CCPAは「個人データ」とは何を考慮していますか?
個人データとは、個人を説明または特定するもの、あるいは個人または世帯に何らかの形でリンクされているものです。 これには以下が含まれます。
- メールアドレス
- 雇用情報
- ジオロケーション
- IPアドレス
- 名前
技術的には、公開されている情報はCCPAによって個人データとは見なされません。 ただし、これは非常に灰色の領域であり、リスクを冒すよりも、完全なコンプライアンスの側で誤りを犯すのが最善です。 また、1人のユーザーの個人データが公開されている場合でも、それが他のすべてのユーザーに適用されるわけではありません。 それでも、全面的に準拠する必要があります。
CCPAはあなたのビジネスに影響を与えますか?
カリフォルニアの住民からデータを収集して処理すると、CCPAはビジネスに影響を与えます。 あなたのビジネス、または親会社または子会社も、次の1つ以上を満たす必要があります。
- 年間総収入は2500万ドル以上です
- 毎年、50,000以上のカリフォルニアのデバイス、世帯、または居住者から個人データを購入、受信、または販売します
- 年間収益の少なくとも50%は、カリフォルニア州の住民の個人データの販売によるものです。
これらのしきい値を満たすために、カリフォルニアを拠点とするビジネスを持っている必要はありません。 カリフォルニアの住民は、あなたのビジネスがどこから運営されているかに関係なく、あなたのウェブサイトにアクセスできます。 他の米国の州の企業、および世界中の企業は、CCPAを検討する必要があります。
しきい値を参照する以外は、ビジネスの規模も重要ではありません。 単独のベンチャーや中小企業でさえ、CCPAと連携する必要があります。 ただし、400万人以上の消費者のデータを処理する企業は、追加の要件を満たす必要があります。 たとえば、記録管理に関しては、より厳しいガイドラインがあります。
しきい値を満たしているがデータを収集していない場合(Webサイトに追跡ツールの種類がない場合)、技術的にはCCPAに準拠しています。 一方、カリフォルニアの顧客から情報を収集しているが、まだしきい値を満たしていない場合でも、CCPAの準備にはお金がかかります。 ビジネスが急速に成長した場合、CCPAに準拠する前に、誤って2,500万ドルの収益または50,000人のカリフォルニア州の居住者を超える可能性があります。
カリフォルニアの居住者はどのように定義されていますか?
カリフォルニア州法によると、居住者は次のような人です。
- 一時的または一時的な理由以外の理由でカリフォルニアにいる
- 一時的または一時的な理由で現在カリフォルニア州にいない場合でも、カリフォルニアに住んでいます
人はカリフォルニアに住んでいて居住者ではないか、カリフォルニアの外に住んでいても居住者であることができます。 自分自身を守るために、あなたのビジネスの多くがカリフォルニアの住民から来ていると考える理由がある場合は、CCPAに準拠してください。
あなたのビジネスをCCPAに準拠させる方法
CCPAの要件を満たすには、ビジネスでいくつかの手順を実行する必要があり、その多くはポリシーとプロセスの変更が必要になります。 ビジネスをCCPAに準拠させる方法は次のとおりです。
プライバシーポリシーを更新して、データの収集、使用、変更の方法を明確にします
すでにプライバシーポリシーをお持ちの可能性がありますが、CCPAに準拠させるにはいくつかの作業が必要になります。 基本的に、プライバシーポリシーは、収集するデータとそのデータを使用して行うことをユーザーに通知します。 CCPAの場合、データの取り扱いについて以前よりも透明性を高める必要があります。 プライバシーポリシーに追加する必要がある追加は次のとおりです。
- 個人情報を収集および処理する内容、理由、および方法
- 収集した個人データにユーザーがアクセス、変更、または削除する方法
- それらのリクエストの1つを行っているユーザーのIDを確認するためのあなたの方法
- 個人データの販売方法とユーザーが個人データの販売をオプトアウトする方法
これらはCCPAの最小要件であることに注意してください。 データ収集プロセスにユーザーが知りたいことがもっとあると感じた場合は、それを追加してください。
未成年者の同意を得る
13〜16歳の未成年者、または13歳未満の子供の親から同意を得る必要があります。彼らがウェブサイトにアクセスしたとき、またはデータを販売する前に、同意を求めることができます。 いずれにせよ、あなたは彼らの同意を得る前に彼らのデータを売ることはできません。 ユーザーが同意を拒否した場合でも、受け取ったすべての応答を保存します。 未成年者を除き、データを収集して使用する前にユーザーの同意は必要ありません。
ユーザーが自分の情報を変更できるようにする
CCPAの一部は、カリフォルニアのユーザーが個人データにアクセス、変更、移動、または削除できるようにすることです。 ユーザーがこれらのタイプのリクエストを送信するためのメソッドを作成する必要があり、それらのメソッドの1つはフリーダイヤルである必要があります。 その後、お問い合わせフォームをWebサイトに追加するか、電子メールまたは郵送先住所を提供できます。
ユーザーがリクエストを行うときにユーザーのIDを確認します
ユーザーが情報を変更するために連絡を取り合ったら、自分が本人であるかどうかを確認する方法が必要です。 運転免許証など、政府発行の書類で身分証明書を要求することはできません。 代わりに、その人がデータを送信したときに使用したのと同じタイプの認証を使用できます。 また、過去に提供した情報を確認するように依頼して、本人確認を試みることもできます。
ビジネスでユーザーの身元を確認できない場合は、できる限り準拠する必要があります。 たとえば、ユーザーが自分の情報を削除したいが、企業がユーザーのIDを確認できないとします。 情報を削除する代わりに、情報を保持しますが、ユーザーは情報の販売をオプトアウトできます。 準拠する方法がない場合、企業は要求を拒否できます。
ホームページに「個人情報を販売しない」リンクを追加する
あなたはあなたのウェブサイトのホームページの目立つ場所への「私の個人情報を売らないでください」リンクを置く必要があるでしょう。 これは、ユーザーが個人データの販売を阻止したい場合にクリックする場合です。 ユーザーデータの販売をオプトアウトするプロセスは、可能な限りシンプルかつ簡単である必要があります。 ビジネスはオプトアウト要求にも対応する必要があります。 公式のCCPAファクトシートによると、「…企業は、オプトアウトする消費者の選択を示すユーザー対応のプライバシー設定を、有効に送信されたオプトアウト要求として扱う必要があります。」
また、オプトアウトできるようにアカウントの作成をユーザーに要求することはできません。 一部の企業は、ユーザーを識別する手段としてアカウントを要求する場合がありますが、CCPAは、オプトアウトの前提条件としてこれを防止します。 ユーザーがすでにアカウントを持っていて、それでユーザーの身元を確認できる場合は、それで問題ありません。
顧客とのやり取りの記録を残す
企業はすべてのユーザー要求を記録する必要があり、ユーザーへの応答も記録して保存する必要があります。 記録を最低24か月間維持します。 より安全にするために、それらを無期限に保持します。
プライバシー要求に基づいて差別しないでください
CCPAによると、企業はプライバシー権を行使した場合、ユーザーを差別することはできません。 つまり、ユーザーがデータを販売できないと言った場合、サービスを拒否したり、報復として価格を調整したりすることはできません。
企業がデータの販売を許可する人々にインセンティブを提供する可能性があります。 この場合、個人データの価値の計算方法など、インセンティブの詳細を開示する必要があります。
CCPAに準拠しなかった場合の罰則
2020年7月1日までにCCPAに準拠していない場合は、検事総長から通知されます。 30日以内に対応し、コンプライアンスに慣れる必要があります。 30日以内に従わない場合は、民事訴訟が提起される可能性があります。 そこから、違反ごとに$ 7,500の罰金が科せられる可能性があります。つまり、カリフォルニアのユーザーごとに罰金が科せられます。 たとえば、カリフォルニア州の2,000人の居住者からデータを収集した場合、7,500ドルx 2,000ドルの罰金が科せられることがあります。これは、合計で15,000,000ドルになります。 それは絶対に避けたい法案です!
CCPAとGDPRの違い
CCPAガイドラインはGDPRのガイドラインと似ているように聞こえますが、2つには重要な違いがあります。 ビジネスが現在GDPRに準拠している場合でも、自動的にCCPAに準拠するわけではありません。 一部のCCPAガイドラインを満たしている場合がありますが、すべてではありません。 GDPRを超える可能性のあるCCPAガイドラインの一部は次のとおりです。
- ホームページに「個人情報を販売しない」リンクを追加する
- ユーザーが情報の変更または削除を要求するためのメソッドを作成する
- そのタイプの要求を行うときにその人の身元を特定する
- 未成年者の情報を販売する前に、未成年者の同意を得る
GDPR向けにすでにいくつかのプロセスが設定されている場合でも、メソッドがCCPAにも準拠していることを再確認する必要があります。 2つの間には小さな、しかし重要な違いがあります。 たとえば、CCPAでは、12か月間に販売した個人情報のカテゴリを表示する必要があります。 これはGDPRの要件ではありません。 一方、CCPAには、GDPRにあるCookieの同意要件はありません。
最終的な考え
最初のステップは、2020年1月1日時点でビジネスがCCPAに準拠する必要があるかどうかを評価することです。または、ビジネスが将来準拠する必要があるレベルまで成長するかどうかを検討します。 もしそうなら、あなたが後でスクランブルする必要がなく、罰金を科される危険を冒さないように、今すべてを整えることが最善です。 CCPAに準拠するようにWebサイトをどのように設定するかは、現在のプロセスと従業員によって異なります。 可能な限り自動化することも、変更や削除のリクエストが多すぎると思われない場合は、ユーザーに直接返信する従業員を数人配置することもできます。
プライバシーポリシーをまだお持ちでない場合は、CCPAに関係なく、プライバシーポリシーを作成する絶好の機会です。 あなたのウェブサイトのプライバシーポリシーを作成する方法についての私たちの記事をチェックしてください。
Sammby /shutterstock.com経由の注目の画像