カリフォルニア州プライバシー権法 (CPRA): ビジネスの準備方法

公開: 2022-07-14

あなたはカリフォルニアの居住者ですか? もしそうなら、CPRAはあなたが心配すべきものです. 特に、そこでビジネスを開始し、消費者から機密情報を収集したい場合.

GDPR と同様に、CPRA は米国の標準を設定し、消費者の個人データの誤解や悪用を避けるために作成されました。 さらに、CPRA は 2023 年の初めまで施行されませんが、2022 年 1 月 1 日以降に収集されたあらゆる種類のデータが CPRA の対象となります。

CPRA について学ぶべきことはたくさんあります。 この記事では、CPRA について詳しく説明します。

CPRA に向けてビジネスを準備する方法

CPRAコンプライアンス

カリフォルニア州で事業を行っている企業、またはカリフォルニア州の居住者から個人情報を収集している企業は、マーケティング目的かどうかに関係なく、次の場合に CPRA の対象となります。

  • 年間2,500万ドル以上の収益を上げています
  • カリフォルニア州住民の個人情報の販売と共有により、収益の 50% 以上を稼いでいます。
  • カリフォルニア州の 100,000 世帯以上の個人情報を購入、共有、販売

CCPA から CPRA への重要な変更は、マーケティング目的でのみ個人情報を使用するという要件を削除することです。 そのため、会社が消費者の個人情報から利益を得ていなくても、法律を遵守する必要があります。

CPRA コンプライアンスは非常に興味深いものです。中小企業の場合、CPRA に準拠する必要はなく、CCPA に準拠する必要があるからです。 最初に、ビジネスが CCPA または CPRA に準拠する必要があるかどうかを特定する必要があります。 多くの人は両方とも同じだと思っていますが、実際にはいくつかの重要な違いがあります. 比較的、CPRA は CCPA が持つ多くの制限を緩和しますが、一部の中小企業は CPRA のコンプライアンスに該当しません。 ただし、同時に、CCPA の多くの弱点も強化します。

注: CPRA について詳しく知りたい場合は、 Osano の Web サイト で詳細を読むことができます

CCPA と CPRA の違いは何ですか?

CPRA は、GDPR アプローチの提供、個人の権利の拡大などにより、CCPA の修正版と見なされます。 両者の主な違いは次の 2 つです。

  • CCPA を遵守するということは、ビジネス マーケティングの目的で株式を購入、販売、または受け取ることを意味します。 約50,000の消費者と世帯の個人情報から株式を購入、販売、または受け取る場合にも適用されます。 ただし、CPRA には 100,000 を超える消費者と世帯が必要です。
  • CCPA に準拠するということは、消費者の個人情報の販売から年間収益の少なくとも 50% を受け取っていることを意味します。 CPRA では、個人情報の販売と共有が原因です。 Web サイトで個人情報を共有する場合は、SSL 証明書が必要です。 そのため、同じ暗号化レベルの認証済み SSL 証明書を提供する ClickSSL などの評判の高い SSL プロバイダーからSSL 証明書を購入することが重要です。

CPRA には、5 人の理事会メンバーが管理する専任のプライバシー機関であるカリフォルニア州プライバシー保護庁 (CaIPPA) の創設も含まれていました。 これらのメンバーは、プライバシー、消費者の権利、およびテクノロジーの専門家でなければなりません。 そうでなければ、彼らは資格を得ることができません。 さらに、彼らはプライバシー機関内で 8 年を超えることはできません。

改正

CCPA に従い、個人は、個人データが保存および収集されてから 1 年間のみ、個人データへのアクセスを要求できます。 ただし、CPRA では、いつでもそうする権利があります。

さらに、CCPA が「販売」を定義するとき、それは正確に共有を意味するわけではありません。 一方、CPRAには「Sell」と「Share」があります。 さらに、CPRA は、企業が個人情報を他の当事者と共有および販売することを停止 (オプトアウト) する権利を明確にしています

最後に、CCPA と CPRA の両方が企業を訴えることを許可していることを忘れないでください。 企業が許可なく機密情報を公開し、パスワードとユーザー名を明らかにするデータ侵害を引き起こした場合、消費者はこれを行うことができます.

CPRA の新機能と、ビジネスへの影響は?

ビジネスが遵守する義務がある新しい権利を含めるために、CPRA と CCPA の両方に新しい修正が加えられました。 なんでそうなの? SalesForce によると、消費者の約 46% が、個人データを十分に管理できていないと感じています。 残念なことに、自分の個人データを十分に管理できていると考えているのはわずか10%です。

それにもかかわらず、これらの法律に違反した企業は、数千ドルの巨額の罰金に直面し、意図的な個人データ違反で訴えられます.

ここで、いくつかの重要なことを明確にしましょう。 まず、企業の場合、CPRA の下で、個人情報を収集する理由とその情報を誰と共有するかを説明する義務があります。 ただし、CCPA の下では、個人データが収集される理由を尋ねる権利があります。 さらに、不正確な情報や修正が必要な場合は、企業に通知する権利があります。

CPRA の下では、消費者にはより多くの権利があります。 これには、自分の情報がどこで使用されているかについての知識を得ること、および不正確な情報を目にする可能性がある場合は修正する方法が含まれます。

これらの規制に適応するために、企業が適用できるいくつかの事項を以下に示します。

  • データを収集する目的を明確にする
  • 個人情報保護のためのセキュリティ対策
  • データが共有されているエンティティのリストと、あなたのビジネスが個人情報を収集しているエンティティと共有している理由を表示します
  • あなたのビジネスが使用および収集しているすべての情報源を提供してください
  • プライバシー情報を常に更新し、ビジネスが常に最新の法律に準拠していることを示してください。 メール、ウェブサイト、電話、ソーシャル メディアを通じて最新情報を配信することを忘れないでください。
  • 信頼性のためにデータを処理およびレビューしていることを確認する手順を実装します。 さらに、「オプトアウト」機能を追加して、ユーザーが希望する場合に個人情報の共有を停止できるようにします。

保護されたデータの新しいカテゴリ

CPRA は機密個人情報 (SPI) の概念を導入しました。 これにより、この種の情報を収集する企業は、より堅牢なデータ保護を提供する必要があります。 SPI には、次の種類の個人情報が含まれます。

  • 健康データ
  • 遺伝子データ
  • 宗教データ
  • 民族的起源
  • 位置情報
  • 個人の性的指向に関するデータ
  • ID カード、運転免許証、社会保障番号など
  • 民族および人種的起源

CPRA は、新しいカテゴリのデータに制限を課します。 また、更新された目的と開示、オプトアウト要件など、SPI を収集する企業に対する新しい要件も追加されます。

データの最小化とストレージの制限

企業は、可能な限り、個人情報の保持、使用、および共有を最小限に抑えるか制限する必要があります。 全体として、CPRA は、企業が必要以上に長く個人情報を保持することを阻止します。 さらに、企業は、収集した各個人データの保持期間について CPRA に通知する必要があります。

それで、あなたはこれについて何をしなければなりませんか? まず、企業は、個人データを保持する期間と、必要以上に長くなるかどうかを明記する必要があります。 これは、データの削除を含む会社のポリシーに記載され、すべての法律が遵守されていることを確認する必要があります。

報復は許されない

CPRA は、情報をオプトアウトする消費者に対する差別を認めていないことを知っておくことが重要です。 これには以下が含まれます。

  • 消費者に商品やサービスの種類を否定する
  • 異なるレベルまたは品質の商品およびサービスを消費者に提供する
  • 割引やその他の特典を含め、商品やサービスに異なる価格を請求する
  • オプトアウトの権利を非難するために、チームメンバー、あなたの会社に応募した候補者、または独立した請負業者にさえ反対する

マーケティングにプライバシーに配慮したツールを使用する

マーケティングと広告に多額の予算を投資する場合、投資が実際に成果を上げていることを確認する必要があります。 そのためには、すべてのマーケティング チャネルからデータを収集し、さらにデータに基づく意思決定を行うための貴重なレポートを提供するマーケティング分析プラットフォームが必要です。

RedTrack はプライバシーに配慮したソリューション(GDPR、CCPA、CCPR などに準拠) ですが、マーケティング活動を分析し、パフォーマンスに関する実際の数値を表示することで結果を提供します。

同意管理プラットフォーム (CMP) の使用を検討する

CMP は、データが収集、保存、または共有される前に、会社のドキュメントとユーザーの同意を合法的に管理するのに役立つ優れた方法です。 プライバシー法に準拠し続けることを保証し、変更が行われるたびに通知します. さらに、CMP は、データ情報に対するユーザーの要求を管理し、すべてのサードパーティ ベンダーを監視できます。

プライバシー法を最新の状態に保ち、データ要求を管理するために使用を検討できる CMP を次に示します。

  • ワントラスト
  • クオンツキャスト
  • トラストアーク
  • クッキーボット
  • クラウンピーク

まとめます

この記事は以上です。 これらは、CPRA に対して行われた新しい修正です。 ただし、これらだけが作成されるとは思わないでください。CPRA は継続的に変更されます。

CPRA の全体的な目的は、消費者が自分のデータを十分に管理できるようにし、データ侵害や個人データの管理を失うことに不安を感じないようにすることです。 結局のところ、データは消費者のものであり、消費者はデータの使用方法を決定できます。