FAQ: バージニア州消費者データ保護法 (VCDPA) とは何ですか?

公開: 2023-05-15

データプライバシーは、現代においてますます関連性の高いトピックであり続けています。

バージニア州消費者データ保護法 (バージニア州 CDPA または VCDPA) は最近、バージニア州議会の両院によって制定され、免除対象外の企業によるバージニア州住民の個人識別情報 (PII) の収集、開示、使用に新たな制限を課しました。

VCDPA に関する質問はこの FAQ で回答されています:

  • 新しい VCDPA にはどのような制限がありますか?
  • VCDPA はどのような消費者保護を提供していますか?
  • VCDPA を施行するのは誰ですか?
  • VCDPA は誰に適用されますか?
  • VCDPA はいつ発効しましたか?
  • 出版社は VCDPA について何を知っておく必要がありますか?
新しい VCDPA にはどのような制限がありますか?
  • バージニア州の消費者からの個人情報の開示、修正、消去を求める具体的で検証可能な要求を尊重すること。
  • バージニア州の消費者が特定の目的で個人データの処理をオプトアウトすることを許可していること(さらに、明確なオプトインがなければ機密データは処理されないこと)。
  • 企業は自社のデータ処理行為(および「消費者に危害を及ぼすリスクが高い」その他の個人データの処理行為)の保護評価を実施すること。
  • 企業が適切なプライバシー通知と開示を維持および公開する(そしてそれらを遵守する)こと。 と
  • 企業とそのデータ処理業者は、使用契約に特定の法的条項を含めます。

新しい VCDPA に照らして顧客の個人情報の安全性を確保するために、データ処理者は、主にデータ保護評価、消費者の要求、セキュリティ侵害の通知に関連するいくつかの追加規制に従う必要があります。

読者はここでVCDPA の全文を調べることができます。

一部の観察者は、米国初の重要なデータプライバシー対策であるカリフォルニア州消費者プライバシー法(CCPA、2020年に発効)と、2年半以上前に承認された最近のVCDPAとを類似点として指摘している。後で。 (CCPA 自体が、2023 年 1 月 1 日にカリフォルニア州プライバシー権利法 [CPRA] によって修正および拡張されたことに注意してください。)

しかし、EU のより強力な一般データ保護規則 (GDPR) の方が VCDPA に似ていると主張する人もいます。

しかし、VCDPA は明らかに独自の対策セットでもあります。 VCDPA は企業対消費者 (B2C) のターゲティングに一定の制限を設けていますが、これらの制限を回避する方法も数多くあります。

また、これらの制限の一部は企業の B2C マーケティング活動に影響を与える可能性がありますが、企業間 (B2B) または企業対政府 (B2G) の文脈内でバージニア人をターゲットにすることは依然として公平な戦略であると思われます。そうすることがターゲットの職務に関連しており、法律に違反しない限り。 しかし、長い一日を終えて家族 (および電話) とソファでくつろいでいるバージニア人に連絡したい場合は、ターゲットを絞った広告の量を減らしたほうがよいでしょう。

VCDPA はどのような消費者保護を提供していますか?

VCDPA は、消費者に個人データに関する特定の権利を付与します。 この法律に基づく保護には次のものが含まれます。

  1. 個人データを閲覧、アクセス、確認する権利
  2. 個人データを削除する権利
  3. 個人データの不正確さを修正する権利
  4. データのポータビリティに対する権利 (すなわち、企業が保有するすべての個人データへの簡素化されたポータブルなアクセス)
  5. ターゲットを絞った広告目的での個人データの処理をオプトアウトする権利
  6. 個人データの販売をオプトアウトする権利
  7. 個人データに基づくプロファイリングをオプトアウトする権利
  8. 前述の権利のいずれかを行使することによって差別されない権利

VCDPA では、準拠するために、企業は消費者に自分の権利に関する情報と、その権利を行使するためのメカニズムを提供する必要があります。 この法律は、企業に対するさまざまな個人データの義務も成文化しています。 たとえば、正確な位置情報データ、保護されたユーザーの特性に関するデータ、遺伝子データや生体認証データなどの機密個人データを収集および使用する場合、同法の遵守が義務付けられている企業は、まず同意を得る必要があります。

VCDPA は、企業と、企業に代わってデータを処理するために使用するサービス プロバイダーとの間の特別な契約を義務付けるという点で CCPA に似ています。 これらの契約は、法の要件に従い、処理する個人データに関するサービスプロバイダーの義務を定義する必要があります。

さらに、VCDPA は、企業が特定の目的に必要な期間を超えて個人情報を保持しないこと、および定められた目的を達成するために必要な期間を超えて個人情報を保持しないことを義務付けています。 これらの概念は、それぞれ目的の制限とデータの最小化として知られています。

VCDPA はまた、企業が顧客情報のプライバシー、完全性、可用性を保護するために適切なデータ セキュリティ ポリシーを導入し、維持することも義務付けています。

企業のデータ セキュリティ対策は、組織の規模と複雑さ、および扱う個人データを考慮して、認められた業界標準に準拠していれば、おそらく適切であると考えられます。 ただし、これらの合理性基準がどのように実装されるかはまだ明らかではありません。

最後に、VCDPA は、欧州連合の一般データ保護規則 (GDPR) と同様に、組織が機密データを処理したり、ターゲットを絞った広告、販売、個人データを使用した特定の活動に従事したりする前に、データ保護評価を実施し文書化することを義務付けています。プロファイリング。

VCDPA を施行するのは誰ですか?

バージニア州司法長官が VCDPA の執行を担当することになり、違反を修正するには 30 日間の猶予期間があるものの、この時点を超えて法律違反を続けると、1 件につき最大 7,500 ドルの民事罰金が科せられる可能性があります。 この法律は、CCPA のように個々の消費者に私的訴訟の権利を与えていないことに注意することが重要です。

この最後の注意点に関して、VCDPA に基づく消費者としての資格を得るには、バージニア州の居住者は「個人または家庭内でのみ行動する」自然人でなければなりません。 (これをCCPAと比較してください。CCPAは「消費者」の定義を「個人または世帯」に限定していません。)VCDPAはまた、「商業または雇用の文脈で行動している」人々にはいかなる保護措置も与えられていないことも明確にしています。

VCDPA は誰に適用されますか?

CCPA と同様に、VCDPA はバージニア州に本拠を置いていないが、州内で事業を行っている企業に適用できます。 この法律は、企業に次のことを義務付けています。(1) バージニア州で事業を行うか、バージニア州住民にマーケティングを行う。 (2) (a) 100,000 人以上のバージニア州住民の個人データを処理または管理する。 または (b) 25,000 人以上のバージニア州住民の個人データを処理または管理し、個人データの販売から総収益の 50% 以上を得ている場合は、VCDPA の対象となります。

VCDPA はいつ発効しましたか?

VCDPA は 2023 年 1 月 1 日に発効したため、企業は現在 VCDPA に準拠する必要があります。

2021 年 3 月 2 日、バージニア州はカリフォルニア州に次いで 2 番目に包括的なデータ プライバシー法を施行した州となり、全国的なデータ プライバシー法がさらに強化されました。 データプライバシー規制のパッチワーク。 (ネバダ州とメイン州も両方ともデータ プライバシー法を可決しましたが、国際プライバシー専門家協会 [IAPP] が定義する「包括的」とはみなされていません。)

出版社は VCDPA について何を知っておく必要がありますか?

企業は、VCDPA の強制から自社を守るために、個人データ処理業務、データ セキュリティ対策、プライバシー ポリシー、サービス プロバイダー契約をできるだけ早く評価する必要があります。 また、CCPA または VCDPA に基づいて権利を行使するという消費者の要求に応えることに関して、より大きな視野で検討することをお勧めします。

CMP (同意管理プラットフォーム) である Admiral は、米国および世界中のオンライン パブリッシャーに影響を与えるプライバシー同意法を追跡しています。 を読むことをお勧めします。 質問や懸念がある場合は、 CMP FAQ を参照してください

規制上の義務に加えて、訪問者の同意を収集することで、マーケティング対象となる貴重な訪問者のセグメントを確立することができ、一部のパブリッシャーではより高い CPM を実現しています。

より厳格なデータプライバシー法が間もなく制定される予定

データ侵害、顧客データの不適切な使用、プライバシーに関する話が一般的になるにつれて、データ プライバシーに世間の注目が集まっています。 シスコの調査結果によると、回答者の 84% が現在、データとその使用方法についてもっと発言権を持ちたいと考えています。

回答者の 84% は現在、データとその使用方法についてもっと発言権を持ちたいと考えています。 - シスコの調査

これは出版社にとって氷山の一角だ。 イリノイ州、メイン州、マサチューセッツ州、ネバダ州、ニュージャージー州、ペンシルベニア州は、最近データ保護法とプライバシー法を導入した州のほんの一部です。

連邦データ保護機関と国家データ保護規則を確立する取り組みも進行中です。 これを見越して、IAB の Tech Lab は、標準化されたコンプライアンス プロトコルである General Privacy Platform を作成しました。 Admiral の同意管理プラットフォームは GPP に準拠しており、州や管轄区域全体での柔軟性を考慮して構築されています。

VCDPA、CPRA、CCPA、および GDPR への準拠

パブリッシャーにとって、すべてのプライバシー法と GDPR、CCPA、CPRA、VCDPA の複雑さに対応しようとするのは悪夢のようなものになる可能性があります。 訪問者のプライバシーと同意をより適切に処理するために、多くの出版社が Admiral に支援を求めてきました。

Admiral は、下流ベンダーにオプトアウト情報を送信し、バージニア州の IP アドレスからのサイト訪問を自動的に識別し、訪問者にオプトアウトするためのユーザー インターフェイスを提供するための Interactive Advertising Bureau (IAB) の方法論に準拠した最初の CMP の 1 つです。データ販売。

Admiral の CMP は、メディア発行者にとって最も価値のあるプライバシー同意管理ソリューションです。 今すぐデモをスケジュールしてください。

デモをスケジュールする