WordPressウェブサイトをCCPAに準拠させる方法

公開: 2020-04-29

2018年にGDPRが導入された後、ローカルデータプライバシー規制への準拠を維持するためにWordPressウェブマスターにさらに影響を与えるように設定された別の法律があります。

その名前? カリフォルニア州消費者保護法(または略してCCPA)。

この新しい法律は、カリフォルニア州民に個人情報の使用に関する保護を強化することを目的としています。 2020年の初めに発効しました。

このガイドでは、CCPAWebサイトのコンプライアンス要件について説明します。 また、実際のWebサイトにとっての意味と、必要な変更を実装する方法についても説明します。 それで、これ以上面倒なことはせずに、CCPAの主要なテーマについて説明することから始めましょう。

カリフォルニア州消費者プライバシー法(CCPA)とは何ですか?

CCPAは2018年に可決されました。当初は自主的なイニシアチブとして導入されましたが、この法律はカリフォルニア州議会のそれぞれの機関を通過するのに7日しかかかりませんでした。

カリフォルニア州の法律は、顧客が無意識のうちに企業と共有する個人データの量に追いついていないと政治家が懸念の高まりに耳を傾けた後、法律は立法機関を劇的に駆け抜けました。

第二に、Facebookを包み込んだCambridge Analyticaのスキャンダルと、EUでの一般データ保護規則(GDPR)法の導入により、この法律を前進させることの重要性が高まりました。

2018年6月のこれらの事件以来、法律はさらに2回改正されました。 カリフォルニア州司法長官は、企業が業務に必要な調整を行う方法をよりよく理解するのに役立つガイダンスを発行しました。 法律は2020年1月1日に正式に施行されました。

CCPAの詳細に関しては、法律は主にGDPRの前身によって提供されたリードに従います。 それはカリフォルニアの市民に以下の権利を与えます:

  • それらについてどのような個人情報が収集されているかを知る
  • 彼らの個人情報が販売または開示されているかどうか、そして誰に開示されているかを知る
  • 彼らの個人情報の販売にノーと言ってください
  • 個人情報の削除をリクエストする
  • 個人情報にアクセスする
  • プライバシー権を行使しても、同等のサービスと価格

法律を理解すると、これらの法律があなたに適用されるかどうか、特にあなたのウェブサイトやビジネスがカリフォルニア州外で登録されているかどうか疑問に思うかもしれません。

CCPAはあなたのビジネスに適用されますか?

プライバシー法の影響を明らかにすることは、おそらく最も難しい部分です。 しかし、今ではほこりが落ち着くのに十分な時間があります。 この法律をいつどのように適用すべきかについて、いくつかの明確なガイドラインがあります。

最初に注意すべき点は、この法律はカリフォルニア州の市民および居住者の個人情報の保護に関係しているということです。 つまり、上記の市民と取引をしている企業や組織は、場所に関係なく、法律が適用されます。

カリフォルニア州司法長官が発表したガイダンスの一部として、この法律は次の基準を満たす営利組織に適用されます。

  1. 年間総収入が25,000,000ドルを超える
  2. 毎年、ビジネスまたは商業目的で、50,000人以上のカリフォルニアの消費者の個人情報を売買または共有します。
  3. カリフォルニアの消費者の個人情報を販売することで、年間収益の50%以上を獲得しています。

「すばらしい、私のビジネスはこれらの基準のいずれにも当てはまらない、変更を加える必要はない」と考えてそこに座っている場合、あなたは部分的にしか正しくありません。 この新しい法律は、延長により引き続き適用される場合があります。 CCPAに準拠する必要のある企業と取引する場合でも、準拠するために必要な変更を加える必要がある場合があります。

たとえば、何百万ものレコードを保持しているカリフォルニアのプロバイダーからマーケティング目的でメーリングリストを購入する場合、拡張機能としてCCPAで規定されている調整を行う必要があります。 同様に、WordPress Webデザインサービスを大企業に提供する場合は、準拠したWebサイトを確実に提供するように注意する必要があります。

CCPAとGDPR

CCPAとGDPRの法律は非常に似ていますが、いくつかの重要な違いがあります。 まず、GDPRはCCPAよりもはるかに広範囲に及んでいます。

GDPRには、データ保護責任者の任命、処理活動の記録の維持、および特定の状況におけるデータ保護影響評価の必要性に関する義務が含まれています。 同様の規定が実施されている場合でも、CCPAに付随するそのような法的義務はありません。

次に、GDPRは、個人データのあらゆる側面を処理するための法的根拠が必要であるという基本原則に基づいて機能します。 ただし、CCPAは一部の個人データには適用されません。 たとえば、信用報告の目的で記録された医療記録および個人情報は、別個の既存の法律によってカバーされていると見なされるため、CCPAのカバーされません。

最後に、異なる法律は、事前の同意の問題である1つの最終的な法的原則で異なります。 CCPAは、GDPRの基礎となる主要な法的柱である個人情報を処理するために、企業が事前の同意を求めることを要求していません。

実際、CCPAによると、企業はデータを処理する前にユーザーからの事前の同意を必要とせず、Webサイトはデータを第三者に販売する前にユーザーからの事前の許可を必要としません。 ただし、カリフォルニア市民は、その処理を「オプトアウト」し、データの表示と削除の両方を要求する権利を有します。

言い換えれば、CCPAは、データの透明性と事後の保護を提供することを目的としています。 対照的に、GDPRは、EU市民に個人データ処理の事前の同意を得る権限を提供することに重点を置いています。

あなたのウェブサイトをCCPAに準拠させる方法

CCPA Webサイトのコンプライアンス要件を満たすために、WordPressサイトを更新する必要がある場合は、次の手順で、新しいプライバシー法に違反しないようにすることができます。

プライバシーポリシーを更新する

ウェブサイトをGDPRに準拠させるために、すでにプライバシーポリシーを設定している可能性がありますが、CCPAで要求される変更を反映するように更新する必要があります。 まず、CCPAに規定されているWebサイト訪問者の新しい権利を含める必要があります。

次に、消費者が法律に基づいて権利を行使するための要求を提出できるように、いくつかの連絡方法を含める必要があります。 GDPRの導入以降、収集したデータ、その取得方法、およびその情報のいずれかが変更された場合にそのデータがどのような目的で使用されるかを更新することもお勧めします。

顧客がデータにアクセスしてデータの削除を要求する方法について、透過的なステップバイステップのプロセスを詳しく説明することを忘れないでください。 最後に、プライバシーポリシーの日付を変更して、これらの更新が新しい法律の導入後に行われたことを示します。

(注:年間4,000,000人以上のカリフォルニアの消費者の個人情報を販売する場合は、追加の開示を含める必要がある場合があります)

プライバシーポリシーとCCPAについて詳しく知ることができる場所を顧客に伝えます

プライバシーポリシーとCCPAに基づく権利について顧客に伝えることは、データを収集する過程での要件です。 (GDPRに従って)同意は必要ありません。 代わりに、あなたは彼らにあなたが集めているものとその理由についてもっと学ぶことができる場所を知らせる必要があります。

GDPRの目的ですでに行っているように、プライバシー通知またはCookieバーを使用して顧客に伝えるための優れた方法があります。

コンプライアンス/プライバシー通知は、Cookieバーまたはフッターを介して配信されます

この通知は、GDPRに準拠するためにすでに提供している通知と非常によく似ています。 これらのコンプライアンス/プライバシー通知は、基本的にプライバシーポリシーの非常に凝縮されたバージョンです。

消費者から収集する個人情報のカテゴリのリストを必ず含め、カテゴリごとに、それが使用される商業目的をリストしてください。

フッターまたはCookieバーを介して表示する場合はスペースが限られているため、プライバシーポリシーおよび「個人情報を販売しない」ページへのリンクを含める前に、できるだけ直接的かつ的確に説明してください。

オプトイン/オプトアウトが利用可能であることを確認します

前述のように、CCPAの目的で同意を得る必要はありません。 ただし、消費者が個人データの収集をオプトアウトするためのオプションを提供する必要があります。 そのことを念頭に置いて、これらのパラメータがすでに設定されている場合は、GDPRに必要な事前の同意と一緒にこの許可をバンドルすることは理にかなっています。

CCPAの会社規模の基準を考えると、同様のWebサイトアーキテクチャをすでに導入している可能性が高いため、CCPA要件も満たすために必要な調整を行うことは理にかなっています。

「私の情報を販売しない」ページを追加し、ホームページにそのページへのリンクを配置します

カリフォルニア州の居住者の個人情報を販売する場合は、新法により、「個人情報を販売しない」または「情報を販売しない」というタイトルのWebページを作成する必要があります。

その新しく作成されたWebページに、次の情報を含める必要があります。

  • 個人データの販売をオプトアウトする消費者の権利に関する詳細
  • 上記オプトアウトのリクエストを送信するための連絡フォーム
  • オプトアウトするための他の連絡方法に関する情報
  • プライバシーポリシーへのリンク
  • 消費者が彼らに代わってオプトアウトリクエストを提出するために認可されたエージェントを持つことを選択した場合に必要な立証責任

このページへのリンクをWebサイトのフッターに配置して、1回クリックするだけで済むようにする必要があります。

データを販売する前に、13〜16歳の未成年者から事前の同意を得る

繰り返しになりますが、カリフォルニア州の居住者の個人データを販売する事業を行っている場合、事前の同意なしに13〜16歳の人に販売することは許可されません。 クッキーバーを使用して、この趣旨のメッセージとそれに付随する同意ボックスを含めることができます。

または、この年齢の個人に関するデータを収集することに関心がない場合は、この基準に適合する個人に関連するすべてのデータを破棄するポリシーを設定できます。これについては、プライバシーポリシーで詳しく説明する必要があります。

概要

CCPAがGDPRほど広範囲に及んでいないことは間違いありませんが、まったく同じように真剣に受け止めるべきです。 これは、2020年を通じてアメリカ全土で施行される予定のいくつかの州レベルのプライバシー法の1つにすぎない可能性があります。

多くの人がCCPAを、それぞれの州に関連する法律のカットアンドペーストテンプレートとして使用します。 したがって、WordPressサイトを微調整してCCPA Webサイトのコンプライアンス要件に準拠し、EU(GDPR)と北米市場の両方でコンプライアンスを維持できるようにすることは理にかなっています(CCPA他)。 CCPAの詳細については、カリフォルニア州司法省のWebサイトを参照してください。

ここWPホワイトセキュリティでは、コンプライアンスとセキュリティを真剣に受け止めています。 管理者がWordPressWebサイトをより適切に管理および保護するのに役立つ、高品質のニッチセキュリティおよび管理ユーティリティプラグインを開発しています。 プラグインのポートフォリオを見て、Webサイトの保護とユーザーの管理を改善する方法を確認してみませんか?