すべてのブランドがCCPAについて知っておくべき重要事項
公開: 2019-12-212018年、欧州の一般データ保護規則(GDPR)の施行により、ヨーロッパおよび世界中の企業のデータプライバシー環境が一新され、消費者データのプライバシーとセキュリティは、顧客エンゲージメントを重視するすべての人にとって不可欠なトピックになりました。
カリフォルニア州消費者プライバシー法(CCPA)が2020年1月1日に施行を開始する予定であるため、GDPRによって開始されたプライバシー革命は、米国企業の支持を得ています。 この新しい法律は大きなトピックであり、ブランド、特に準拠するための作業を開始していないブランドにとっては恐ろしいものになる可能性があります。 Brazeは、お客様や他の人に法的なアドバイスを提供することはできませんが、CCPAおよびデータプライバシー全般に関して考慮する必要のある主な事項のいくつかについて説明します。 スピードを上げるために読んでください:
基礎
CCPAとは何ですか?
CCPAは、カリフォルニア州消費者プライバシー法の略で、元々は2018年6月にカリフォルニア州政府によって可決されました。この法律は、カリフォルニアに住む人々に新しいプライバシーと消費者保護をもたらします。 CCPAの施行は2020年1月1日に開始されます。
カリフォルニアがCCPAに合格したのはなぜですか?
2018年、Cambridge Analyticaスキャンダルを含む一連のデータプライバシー事件に続いて、「Californians for Consumer Privacy」と呼ばれる擁護団体が、有権者が可決した場合に非常に厳格な新しい消費者プライバシー法を制定する州の投票イニシアチブを提案しました。
その努力を先取りするために、カリフォルニア州議会はCCPAを導入して可決し、消費者プライバシーのためのカリフォルニア州民に彼らのイニシアチブを撤回させました。 CCPAは、米国の消費者データのプライバシー権に関しては新境地を開拓すると考えられていますが、提案されたイニシアチブよりも厳しい要件はありません。
カリフォルニア州の住民はCCPAの下でどのような権利を持っていますか?
CCPAの下では、カリフォルニア州の居住者は、個人情報(PI)を収集しているのは誰か、その情報で何が行われているのかを知る権利があり、情報にアクセスし、削除し、「販売」をオプトアウトする権利があります。 」の個人情報を提供し、これらすべての権利を差別なく行使すること。つまり、オプトアウトしない人々に与えられる利益や権利を否定することはできません。
CCPAは、カリフォルニア以外に拠点を置く組織に適用されますか?
この法律は、2500万ドル以上の収益を上げてカリフォルニアで事業を行うすべての組織、および5万人以上のカリフォルニア居住者からデータを収集する企業、または収益の少なくとも50%を個人情報の「販売」から得る企業に適用されます。 これには、州に拠点を置くほとんどの企業だけでなく、カリフォルニアの住民を含む聴衆を持つ多くの米国および国際組織が含まれる可能性があります。
CCPAとデータ
どのデータがCCPAによって規制されていますか?
CCPAは、ビジネス目的に関連する「個人情報」の収集、販売、および開示のみを対象としています。 ただし、ソーシャルメディア企業、データブローカー、オンライン行動広告主が扱う膨大な量のデータをターゲットにすることを目的として可決されたため、広範囲にわたる影響を与える多くの厳しい要件があります。
CCPAの下では、PIには、名前、住所、電子メール、銀行口座番号、生年月日、生体情報、指紋などの個人を識別できるすべてのものと、世帯データ、音声、熱、および嗅覚情報が含まれます。 そのため、CCPAに基づくPIの定義により、これは間違いなく、プライバシー権に関連する世界で最も広範な法律の1つになります。
ブランドはCCPAの下で顧客にどのような情報を開示する必要がありますか?
CCPAには、毎年更新する必要のある詳細な開示要件が含まれています。 企業は、過去12か月間に収集、「販売」、およびビジネス目的で開示したPIを開示し、カリフォルニア州の住民が個人情報に関して開示、アクセス、およびオプトアウトの権利を確実に持つようにする必要があります。 組織はまた、収集するPIのカテゴリと、その情報を収集する目的を説明する必要があります。また、収集の時点で、それがWebサイト、イベント、またはその他のものであるかどうかを説明する必要があります。
CCPAは「販売」をどのように定義していますか?
CCPAは、「販売」を非常に広く定義しており、データの販売に関連する人がほとんどいない活動を対象としています。 CCPAの下では、販売とは金銭と引き換えに個人情報を転送することを指すだけではありません。法律では、販売には「賃貸、リリース、開示、配布、利用可能にする、転送、またはその他の方法で口頭で書面で伝達すること」も含まれると見なされています。または、電子的またはその他の手段により、金銭的またはその他の貴重な対価のために、事業者から別の事業者または第三者への消費者の個人情報。」
法律では「その他の価値ある対価」が定義されておらず、「販売」の定義にはデータの共有が含まれているため、データを販売しない多くのブランド(言葉の意味で)は、彼らは法律を遵守するためにそうしますが。 「その他の価値ある対価」はあらゆる価値を意味するものと見なされているため、個人データが第三者と共有され、いずれかの当事者にとって価値がある場合、それはCCPAの下での「販売」となる可能性があります。これはその1つです。 CCPAが世界で最も広範なプライバシー法の1つであると見なされている理由。
CCPAの下で個人情報を「販売」していると見なされるブランドに特別な要件はありますか?
企業がCCPAに基づいてカリフォルニア州居住者のPIを「販売」している場合、その組織は、個人が個人の「販売」をオプトアウトできるようにする、目立つ「個人情報を販売しない」リンクをWebサイトに含める必要があります。情報。 そうしないブランドは、罰金やその他の罰則の可能性に直面します。
CCPAには、未成年者からの情報収集に関する規則がありますか?
CCPAは、成人がデータ収集をオプトアウトすることを許可し、オプトアウト後少なくとも12か月間、企業がデータ収集の許可を再要求することを禁止します。 ただし、16歳未満の子供については、規則が大幅に厳しくなり、個人情報の収集をオプトインする必要があります。 また、12歳未満の子供については、親の同意なしにPIを収集することはできません(たとえば、親または他の保護者が子供をオプトインする必要があります)。
CCPAは、法律が可決される前に収集されたデータに適用されますか?
CCPAの対象となる企業が個人情報を収集する場合、その企業は、CCPAの施行のために2020年1月1日より前にデータが収集された場合でも、CCPA要件に準拠する必要があります。 これは、カリフォルニアに住む消費者が個人情報に関するすべての権利を行使できることを意味します。たとえば、消費者は5年前に収集したデータを削除するようにブランドに依頼でき、CCPAではブランドはそうする。
CCPA施行
CCPAの施行期限はいつですか?
CCPAは当初2018年6月に可決されましたが、組織は法律の遵守を要求される前に2020年1月1日まで与えられました。
CCPAに準拠しなかった場合の罰則は何ですか?
カリフォルニア州司法長官は、CCPA違反に対して最高2,500ドルの罰金を科す権限を与えられています。 ただし、これらの組織は、コンプライアンス違反の通知に対応するために30日間の猶予があり、その期間中に問題に対処した場合、罰金は科されません。 理解しておくべき重要なことの1つは、これらの罰金は個々の違反に対するものであるため、100人が違反の影響を受けた場合、罰金の可能性は2,500ドルではなく250,000ドルになります。 さらに、違反が意図的なものであることが判明した場合、罰金は違反ごとに合計で最大$ 7,500になる可能性があり、ブランドに重大な経済的影響を与える可能性がさらに高くなります。
CCPAにより、カリフォルニア州の個々の居住者は、法律に違反していると思われる組織に対して苦情を申し立てることができ、1人あたり最大750ドルの支払いが発生する可能性があります。
さらに、CCPAには私的な行動の権利があります。つまり、企業がCCPAのセキュリティ要件を遵守しておらず、その個人のPIに関するデータ侵害があったと個人が信じる場合、個人は訴訟を起こすことができます。 この個々の訴訟の権利は、集団訴訟につながる可能性があります。これは、理論上、これらの種類の訴訟を提起し、原告の大規模な集団を代表して。 賞は実際に受けた損害を超える可能性があり、CCPAの対象となる企業にとってこの可能性は特に恐ろしいものになります。 さらに、現在検討中の規制案では、法令のセキュリティ要件に違反した場合にのみ許可するのではなく、CCPAのすべての違反に対して私的訴訟権を実装することを検討しています。
CCPAコンプライアンスに関して、組織はどこから始めるべきですか?
組織は、Webサイト、およびカリフォルニア州の住民からの個人情報の収集のすべての時点で、適切な開示を含めるようにする必要があります。 彼らはすべてのCCPA要求に応じることができ、CA居住者の個人情報を「販売」していると見なされる場合は、Webサイトに「データを販売しない」ボタンを目立つように含める必要があります。
すでにGDPRに準拠している組織は、CCPAに準拠するための道を進んでいますが、2つの法律の要件は同じではありません。企業は、信頼できるアドバイザーのアドバイスを求めて、確実に必要なすべてのことを実行したことを確認することをお勧めします。 2020年1月1日より前のCCPAの要件に準拠しています。
CCPAとGDPR
CCPAとGDPRはどのように異なりますか?
欧州連合の一般データ保護規則(GDPR)は、2016年に可決され、ヨーロッパの多くの地域で、個人が自分の個人データを管理する基本的な権利を持っているという暗黙の信念に触発されました。 一方、CCPAは、カリフォルニア州が居住者のプライバシーを保護し、PIの悪用(個人情報の盗難、金融詐欺、評判の低下、嫌がらせなどを含む)から保護することに遅れをとっていたという信念に基づいています。 。
これらの違いを考慮して、GDPRは主に影響を受ける各個人による個人データの所有権と管理の確保に重点を置いていましたが、CCPAは、カリフォルニア州の住民の知識と同意なしに大量の個人情報を含む取引を実行するオンライン企業の能力を対象とすることに重点を置いていました。 つまり、GDPRは、データの保存、アクセス、転送など、個人データの処理に関連するすべてのアクティビティに適用されます。 ただし、CCPAは、ビジネス目的での個人情報の収集、「販売」、および開示にのみ適用されます。
CCPAとGDPRはどのように相互に補完し合っていますか?
CCPAとGDPRはどちらも、個人から個人情報を収集する組織に対して、その個人情報をどのように扱うかを開示することを義務付けており、どちらの法律も、個人情報に関して第三者に多くの同様の権利を提供しています。 さらに、両方の法律は、個人による個人情報の同意、透明性、および管理を要求しており、両方の法律は、要件を遵守しなかった場合に罰金を科します。
EUとカリフォルニアの規制環境の違いは、それぞれCCPAとGDPRの施行に影響を与えると予想されますか?
カリフォルニア州は欧州連合よりもはるかに訴訟の多い環境であり、カリフォルニア州の規制当局が新年から法を厳格に施行しようとすることが予想されるため、CCPAに準拠しなかったために罰金を科される組織が増える可能性があります。 GDPRの施行が始まったときよりも。 それを考えると、CCPAへの準拠を積極的に追求するのではなく、待って見ることを選択する組織は、深刻なリスクを冒している可能性があります。