ビジネスがCCPAに準拠していることを確認する5つの方法
公開: 2022-08-24今日の企業にとって、消費者データのプライバシーを維持することは非常に重要です。
理由 — 消費者は、企業に提供するデータについてより意識し、関心を持つようになっています。 彼らは、そのデータがどのように使用されているか、未知のサード パーティ ソースがデータを悪用していないかどうかを知りたがっています。
この意識の波の功績は、2020 年に施行された CCPA コンプライアンス法にあります。カリフォルニア州のビジネス オーナーは、顧客の信頼とビジネスの評判が損なわれないように、コンプライアンス戦略を練り始めました。 特に、ユーザーの個人情報を Facebook と共有したことに対する Zoom に対する訴訟は、ほとんどの企業にとって目を見張るものがありました。
この法律の内容と、ビジネスを CCPA に準拠させるために講じることができる措置を理解してください。
CCPAとは何ですか?
カリフォルニア州消費者プライバシー法 (CCPA) は、カリフォルニア州で事業を展開する企業に対し、個人データについて顧客に通知し、選択肢を提供することを義務付ける法律です。
これは、消費者が、企業が収集する個人データ、その使用方法、アクセス権を持つユーザー、アクセス権を持つ期間などの情報へのアクセスを要求できるようになったことを意味します。 また、企業は、このデータを販売したり第三者と共有したりする前に同意を得る必要があります。
さらに、事前に明示的な許可を得ることなく、トラッキング Cookie や広告ターゲティングを行わず、第三者や関連会社とデータを共有することもありません!
CCPA は、全国で消費者のプライバシー保護を強化するための何年にもわたるロビー活動を経て、2012 年に可決されました。 これは 2020 年に完全に施行され、カリフォルニア州の住民は自分の個人情報をより細かく管理できるようになりました。 あなたのような企業が消費者からこのデータを収集すると、消費者により多くの選択肢が提供されます。
プライバシー権の例は次のとおりです。
- あなたの名前がマーケティングデータベースに追加されることをオプトアウトできます
- あなたの情報をデータベースから削除することを選択できます
- あなたにはCCPAの権利を行使するための差別をしない権利があります
CCPAがあなたのビジネスに適用されているかどうかを知る方法は?
次の場合、カリフォルニア州のすべての営利事業はCCPAに準拠する必要があることを知っておく必要があります。
- ビジネスはカリフォルニアで運営されているか、カリフォルニアの居住者に販売されています。
- ビジネスの年間総収入は 2500 万ドルです
- 会社は、50,000 人以上のカリフォルニア州民の情報にアクセスしたり、情報を売買したりしています。
- ビジネスの年間収益の少なくとも 50% は、カリフォルニア州民の個人情報の売買によるものです。
遵守しない場合の罰則
ビジネスがCCPAに準拠していない場合、法規制当局は通知と、法律を遵守するための30日間のタイムラインを送信します. ただし、それでも遵守しない場合は、レコードごとに最大 7,500 ドルの罰金が科せられます。
ビジネスをCCPAに準拠させるには?
1. 意識する
CCPA が自分のビジネスに適用されるかどうかを知るには、最初のステップは、CCPA に適用される法律について学ぶことです。 ただし、CCPA が自分に適用されるかどうかまだわからない場合は、とにかく従う必要があります。 後悔するよりも安全であることをお勧めします。
実際、トップレベルの経営陣や組織の取締役会と話し合い、CCPA コンプライアンスの重要性と、コンプライアンスを遵守しない場合の影響について説明してください。
可能であれば、組織全体のデータ セキュリティ リスクを継続的に監視および測定しながら、CCPA コンプライアンス関連の操作のみを担当する専任スタッフを雇ってください。
2.組織内のギャップ分析を行う
コンプライアンスの儀式を懇願するために、まず、すでに持っている顧客データ、そのデータがどこに保存されているか、誰がアクセスできるかを明確にチェックしてください。
ギャップ分析を効果的に実施するための手順は次のとおりです。
- 会社の財務諸表または年次報告書に目を通してください。
- 顧客、見込み客、求職者、ニュースレターの購読者、従業員など、データを収集する消費者のグループを特定します。
- 該当する場合、従うデータプライバシーの現在の慣行を理解する
- あなたの組織が現在コンプライアンスを維持している分野はどれですか
- まだカバーされていない領域とその理由
- 使用している顧客データ プラットフォームがあるかどうかを理解します。ある場合、データは安全ですか
この分析に基づいて、CCPA コンプライアンスを達成する方法について計画を立て、詳細な手順を示します。
その間、従業員やベンダーとの間で他の未解決の問題を探してください。
従業員が顧客データのコピーを持っているかどうかを確認し、それらを削除してください。 また、領収書や書類がどこに保管されているか、古い記録がどうなったかを理解してください。
顧客データをサード パーティ ベンダーと共有している場合、その情報をどのように使用しているかを把握してください。共有している場合、誰がアクセスできますか?
3. ポリシーの更新
会社全体で個人データをマッピングしたら、現在のデータ保護ポリシー、方法、または手順を確認します。 既存のデータ プライバシー ポリシーを認識したら、それを更新するか、そもそもプライバシー ポリシーがなかった場合は新しいポリシーを作成します。
主に、オプトアウトおよびオプトインの通知を含め、データプライバシーポリシーがCCPAに準拠しているかどうかを確認する必要があります.
それとは別に、顧客からの情報の削除またはアクセスの要求にどのように対応するかを計画します。 それを理解したら、それを従業員に配布して、従業員が新しいガイドラインに従っていることを確認します。 手順とポリシーに関するすべての情報を 1 か所に保管して、すべての従業員が参照できるようにすることをお勧めします。
最も重要なことは、組織がCCPAに準拠して従うすべてのルールとポリシーを含むプライバシーポリシーページをWebサイトに公開することです.
次のポリシーについて詳しく説明してください。
- 訪問者や顧客から収集する情報の種類
- メール、電話番号、チャットなど、どのような方法で情報を収集しますか
- 生年月日や婚姻状況など、必要のない情報の種類
- それらから収集した情報をどうするか
- 他に誰と情報を共有していますか? 関与しているサードパーティ企業はありますか?
- CCPA の下で消費者または訪問者が持つ権利の種類
- 該当する場合、どのような目的でデータを第三者に販売しますか?
4. 従業員に対するコンプライアンス研修
次に、CCPA プロセスに関与するスタッフ メンバーが十分なトレーニングを受けていることを確認する必要があります。 これには主に、クライアントからのプライバシー権に関する質問に答える責任者が含まれます。
ソース
コンピューター、サーバー、およびクラウドに保存されている個人情報にアクセスできる人には、CCPA の要件と、ビジネスで実施されているプライバシー ポリシーを常に知らせてください。 トレーニングを必要とする人にトレーニング セッションを提供し、CCPA に必要な調整があれば時間をかけて伝えます。
5. 顧客に対して明確にする
これは、Web サイトの訪問者やオンラインの買い物客に特に有効です。 顧客の信頼を確保するために、準拠しているセキュリティ対策を常に顧客に知らせてください。
Cookie 同意通知を送信する
情報を収集する前に顧客の同意を求め、そうするつもりであることを顧客に知らせてください。 彼らがあなたのサイトで取引をしているときに、Cookie 通知を送信します。
通常、Cookie 通知には次のように表示されます。
- さまざまな目的で Cookie を使用していることを通知する通知。 すべての目的のリストを表示します。
- お客様がクッキーの使用に同意することを確認するためのボタン。 または、訪問者が Cookie を使用して拒否できるようにすることもできます。
- 詳細については、プライバシー ポリシー ページへのリンク。
個人情報へのアクセス/削除のオプション
ユーザーが自分の設定を変更できるリンクまたはボタンを Web サイトに明確に表示できるように配置します。 これらのオプションをチェックリストとして使用し、フォームまたは支払いページに追加することもできます. このようにして、ユーザーは情報共有設定を選択または選択解除し、完全に制御できます。
すでに GDPR に準拠している場合でも、CCPA に準拠する必要がありますか?
はい、GDPR に準拠していても、デフォルトでは CCPA に準拠していません。 表面的には同じように見えるかもしれませんが、両者は要件と影響を受ける対象者が異なります。
大佐野氏によるCCPAとGDPRの違い
CCPA は「オプトアウト」規制ですが、GDPR は「オプトイン」規制であることを知っておく必要があります。 つまり、GDPR の下では、ユーザーは自分の情報を第三者に販売することに同意する必要がありますが、CCPA ではユーザーが同意にアクセスして変更する必要があります。
さらに、GDPR は一連のセキュリティ ポリシーであり、データ セキュリティを実装するための技術的対策を実施するよう組織に促します。 一方、CCPA は顧客の同意を得ることがすべてです。 CCPA と GDPR の違いについて詳しくは、Osano の詳細なガイドをご覧ください。
重要なのは、ビジネスに適用されるデータのプライバシーとセキュリティに関する法律を知ることです。 これは純粋に、それがどこにあり、どれだけの収益を上げているかに基づいています. あなたのビジネスは EU 内外で運営されており、EU の居住者にサービスを提供しているとします。 この場合、GDPR に準拠する必要があります。
要約すると
CCPA に準拠することで、罰則や多額の訴訟を回避できるだけでなく、顧客の信頼を築くことができます。 さらに、競合他社との差別化を図り、ビジネスを新たな高みへと拡大します。