この 10 年で、サイバー脅威が企業と消費者にとって最大の懸念事項になったことは間違いありません。このため、アメリカ人の 92% がインターネット使用時のプライバシーに非常に不安を感じています。これを受け、カリフォルニア州は、2018 年 6 月 28 日にカリフォルニア州消費者プライバシー法 (CCPA) を可決し、消費者が自身のデータをより詳細に管理できるようにしました。
法律は 2020 年 1 月に制定され、カリフォルニア州司法長官事務所によって施行されています。カリフォルニア州の居住者から個人データを収集する企業は遵守する必要があります。
この記事では、CCPA について知っておくべきすべてのこと、および企業への影響について説明します。
カリフォルニア州消費者プライバシー法 (CCPA) は、自身に関してどのような個人情報が収集されているかを知る権利、その情報を削除させる権利、その販売を拒否する権利をカリフォルニア州の居住者に与える法律です。
本法はカリフォルニア州で事業を展開し、以下の条件を 1 つ以上満たすすべての営利企業に適用されます。
企業には主に 4 つの要件があります。
さらに、企業は、消費者をオプトアウトページに誘導する「個人情報の販売を許可しない」というタイトルのリンクをホームページにはっきりと見やすい形で掲載する必要があります。
CCPA では、機密データは GDPR より広範に定義されています。GDPR では特定のデータの保護に重点が置かれていますが、カリフォルニア州のデータ保護法では、何を機密情報とするかに関心が向けられています。
たとえば、嗅覚データ、Web サイトの閲覧履歴、およびユーザーアクティビティレコードなどはすべて該当します。AB 375 によると、「個人情報」とは以下を指すものです。
カリフォルニア州司法長官事務所の CCPA の執行により、最大で違反ごとに 2,500 ドル、または意図的な違反ごとに 7,500 ドルの民事制裁金が科せられることがあります。
また、CCPA では、企業が合理的なセキュリティ対策を実装していないことが原因で個人情報が漏えいした場合、個人訴訟権を申し立てる権利が消費者に付与されます。このような場合、消費者は、インシデントごとに消費者あたり最大 750 ドルまたは実際の損害額のいずれか高額なほうに対して損害賠償を請求できます。
「サードパーティ」とは、CCPA の対象ではない個人または組織と定義されています。これには、免除対象の企業や、企業に代わって個人情報を処理するサービスプロバイダが含まれます。
サードパーティには、データブローカー (個人情報を売買する企業) が含まれる場合もあります。データブローカーは、現在は CCPA の対象ではありませんが、2023 年に対象となります。
代表的な免除は、グラム=リーチ=ブライリー法 (GLBA)、医療保険の相互運用性と説明責任に関する法律 (HIPAA) などの他のプライバシー法が適用される企業に対するものです。
その他の CCPA の免除には次のようなものがあります。
CCPA では、年間収益が 2,500 万ドル未満の企業、個人情報を販売しない企業、限られた量の個人情報のみを収集する企業も免除の対象となります。
CCPA は、企業による法律の遵守に関して自由裁量の余地を与えています。ただし、この法はカリフォルニア州の居住者の個人情報を収集するすべての企業に適用されることに注意する必要があります。
CCPA はカリフォルニア州の GDPR と呼ばれることも珍しくありません。ただし、正確にはこれは誤りです。EU 加盟国民のデータプライバシー権を保護することを除いては、一般データ保護規則と CCPA には複数の違いがあります。
まず、CCPA は個人情報にのみ適用されますが、GDPR はすべてのデータに適用されます。これには、個人データと個人データ以外のデータが含まれます。
次に、CCPA では、自身についてどのような個人情報が収集されているかを知る権利、個人情報を削除する権利、個人情報の販売をオプトアウトする権利が消費者に与えられます。GDPR では、これらのすべての権利に加え、個人データにアクセスする権利、考えを変える権利 (オプトイン)、データのコピーを携帯できる形式で受領する権利が与えられます。
また、CCPA は、カリフォルニア州の居住者の個人情報を収集または販売する企業にのみ適用されます。GDPR は、企業の所在地に関係なく、EU 加盟国民のデータを処理する、または処理する予定であるすべての企業に適用されます。
さらに、CCPA は年間収益が 2,500 万ドルを超える企業に適用されますが、GDPR は企業の規模に関係なく、EU 加盟国民のデータを処理する、または処理する予定であるすべての企業に適用されます。
規制当局が法律に違反する企業に通知すると、企業には問題を修正するために 30 日の猶予期間が与えられます。その期間内に解決できない場合、レコードあたり 7,500 ドルの罰金が企業に科せられます。
7,500 ドルは大企業なら無理なく支払えそうな金額ですが、そうとも限りません。1 件の侵害で影響を受けるレコードの数を考えると、この金額が指数関数的に上昇する可能性があります。
さらに、CCPA では、企業の CCPA 違反により、暗号化されていない個人情報や黒塗りされていない個人情報が不正アクセスや流出、窃盗、または漏えいの被害に遭った場合、消費者が個人訴訟権を申し立てることができます。
つまり、個人の消費者が賠償金を請求する訴訟を起こし、その金額が高額なものになる可能性があります。さらに、司法長官には、法律違反について企業に対して民事訴訟を起こす権利があります。
このように、CCPA に違反する企業に罰金が科されるだけでなく、評判に関するリスクもあります。消費者のデータプライバシー権に対する認識は高まっており、違反する企業を訴える可能性も高くなっています。
さらに、カリフォルニア州のプライバシー法では、企業が Web サイトの目につきやすいフッターを使用して、データ共有のオプトアウトオプションを消費者に提供することが規定されています。規定しない場合、消費者あたり 100 ドルから 750 ドルの罰金が科せられることがあり、消費者が訴訟を起こす可能性がさらに高まることになります。
罰金や訴訟だけでなく、侵害関連のその他のコストも発生します。それには消費者への侵害の通知、クレジットモニタリングサービスの提供、PR の観点からの影響への対応などが含まれます。
これらすべてのコストが加算される可能性があることから、CCPA コンプライアンスの重要性は明らかです。法律を理解し、遵守するための対策を講じれば、高額な罰金や評判の低下から企業を守ることができます。
企業はさまざまな危機にさらされており、CCPA を理解し、コンプライアンスを確保するために必要な対策を講じておかなければなりません。
CCPA コンプライアンスは決して容易ではありませんが、いくつかの対策を講じることで遵守できます。
最初のステップは、CCPA が自社に適用されるかどうかを確認することです。これはカリフォルニア州で事業を展開し、以下の条件を 1 つ以上満たすすべての営利企業に適用されます。
CCPA が自社に適用される場合は、コンプライアンスを確保するための対策を講じる必要があります。
次のステップは、収集および保存する個人情報の特定です。CCPA では、個人情報を「直接または間接的に、特定の消費者または世帯を識別する、これらに関連する、これらを説明する、これらと関連付けることができる、または合理的に結び付けることができる情報」と定義しています。
それには氏名、住所、メールアドレス、電話番号、社会保障番号、運転免許証番号などが含まれます。収集および保存する個人情報を特定したら、その情報を保護するための対策を講じる必要があります。
CCPA は、消費者の個人情報を不正なアクセス、破棄、使用、変更、または開示から保護するためのセキュリティ対策を合理的に講じることを企業に求めています。これには、個人情報を暗号化することや、この情報へのアクセスを承認された従業員のみに限定することも含まれます。
CCPA コンプライアンスを確保するには、プライバシーおよび情報セキュリティフレームワークの監査も必要です。これには、データ保持ポリシーの確保、個人情報の収集および使用方法の把握、消費者の法に基づく権利の履行を確保することが含まれます。
CCPA では、自身に関してどのような個人情報が収集されているかを知る権利、この情報がどのように使用されているかを知る権利、この情報を削除させる権利、データ共有をオプトアウトする権利が消費者に与えられます。
これらの権利に対応するポリシーと手順があることを確認する必要があります。
CCPA コンプライアンスはチームによる取り組みです。IT 部門からマーケティング部門まで、すべてのチームと部門を CCPA コンプライアンスプロセスに関与させることが重要です。
CCPA 関連の責任はチームごとに異なります。たとえば、マーケティングチームは、個人情報を収集または使用する際、CCPA で禁止されている方法を採ってはなりません。IT チームは、個人情報を適切に保護する必要があります。
すべてのチームと部門を関与させたら、CCPA コンプライアンス計画を作成する必要があります。この計画には、CCPA コンプライアンスのために講じる対策、その責任者、コンプライアンスの監視方法を含めます。
CCPA は流動的な法律であることに注意してください。絶えず進化しており、常に新しい規制が追加される可能性があります。そのため、CCPA コンプライアンス計画を定期的にレビューし、最新の状態にしておくことが重要です。
CCPA コンプライアンスに向けて準備するにあたっては、企業のあらゆるレベルで混乱が発生することが予想されます。CCPA の導入を成功させるには、専任のタスクフォースを設立することが重要です。
この CCPA タスクフォースは、CCPA コンプライアンス計画の作成と実装に対して責任を負います。また、CCPA に関して従業員を教育し、法律に基づく義務を全従業員が理解することについても責任を負います。
CCPA コンプライアンス計画を作成したら、CCPA コンプライアンスポリシーおよび手順を実装する必要があります。これらのポリシーと手順は、企業による法律の遵守を支援できるように設計します。
CCPA コンプライアンスポリシーおよび手順には、データ保持ポリシー、オプトアウトプロセス、トレーニングプログラムなどを含めることができます。
CCPA 規制はカリフォルニア州の居住者に適用されます。ただし、州外の顧客にもサービスを提供している、またはその計画がある場合、セキュリティフレームワークを分ける意味はありません。したがって、CCPA コンプライアンスを確保するには、すべての顧客をカリフォルニア州の居住者と同様に扱う必要があります。
これには、すべての個人情報が適切に保護され、この情報へのアクセスを承認された従業員のみに限定することが含まれます。消費者がその居住地に関係なく、CCPA に基づく権利を履行できるようにすることも該当します。
このようにすれば、企業は他の州のセキュリティフレームワーク実装に伴う調整の煩わしさから解放されます。
CCPA コンプライアンスは、1 回限りのイベントと見なすのではなく、企業の文化として取り込むと良いでしょう。CCPA コンプライアンスは、定期的にレビューし、必要に応じて更新する継続的なプロセスです。
そのための方法の 1 つが、CCPA コンプライアンスを従業員オンボーディングプロセスに含めることです。これにより、新入社員全員が法に基づく義務について知り、理解できるようになります。
CCPA コンプライアンスを企業文化に取り込むと、CCPA コンプライアンスが優先事項として扱われ、従業員は法に基づく義務を常に認識するようになります。
他の活動と同様、企業が CCPA コンプライアンスを達成および維持するには、従業員が中心的な役割を担います。合理的な対策を講じて、従業員が CCPA、および自身の職務にそれがどのように適用されるかを理解できるようにしなければなりません。
このための方法の 1 つが、全従業員に対する定期的な CCPA トレーニングの実施です。このトレーニングは、従業員が CCPA および日常業務にどのように影響するかを理解できるように設計されています。
定期的なスタッフトレーニングを実施すると、従業員は CCPA に関する最新情報を常に把握し、法に基づく義務を理解するようになります。
最後に、CCPA コンプライアンスを監視する必要があります。これには、プライバシーおよび情報セキュリティフレームの定期監査、消費者の CCPA に基づく権利の履行の保証、および変更の監視が含まれます。
CCPA コンプライアンスを監視することによって、企業はコンプライアンスを維持できるようになります。
2020 年 11 月、カリフォルニア州の住民は Proposition 24 (別名 カリフォルニア州プライバシー権法 (CPRA)) を投票により承認しました。CPRA は、いくつかの重要な観点から CCPA に変更を加えたものであり、2023 年 1 月に発効されます。
最も重要な変更の 1 つは、新しい執行機関である カリフォルニア州プライバシー保護局 (CPPA) の創設です。CPPA は苦情を調査し、罰金を科し、規制を作成する権限を持ちます。
もう 1 つの重要な変更は、CCPA の個人訴訟権の拡大です。CCPA では、企業の違反により、暗号化されていない個人情報や黒塗りされていない個人情報が不正アクセス、流出、窃盗、または漏えいの被害に遭った場合、その消費者のみが個人訴訟権を申し立てることができます。
CPRA は、被害のリスクの有無に関係なく、CCPA のすべての違反がこの個人訴訟権に含まれるように拡大するものです。このような動きによって、さらに多くの消費者が CCPA 違反について企業を訴える可能性が高まり、潜在的な損害賠償金はさらに高額になるでしょう。
最後に、CPRA は CCPA のオプトアウト要件を強化します。CCPA では、企業はホームページに「個人情報の販売を許可しない」リンクを記載するよう求められています。
CPRA ではさらに一歩進んで、消費者の個人情報を販売するかどうか、どの種類の個人情報を販売するかをプライバシーポリシーに明示的に記載することを企業に求めています。企業が個人情報を販売する場合は、個人情報の収集対象となるすべてのページにオプトアウトボタンも設定しなければなりません。
また、CPRA では、人種、民族、宗教、性的指向などの機密扱いの個人情報の販売をオプトアウトするための権利が消費者に与えられています。
データプライバシーに関する懸念が高まる中、さらに多くの規制が登場し、既存の規制が更新されていくと予想されます。そのため、消費者データの取り扱い方法については慎重に検討しなければなりません。
当然ながら、特に新たな規制や進化する規制では、データコンプライアンスやガバナンスが困難になるため、最初にアーカイブ機能が必要です。これにより、関連情報をすばやく検索できるようになります。これについては、ベリタスがお手伝いできます。
ベリタスのデジタルコンプライアンスポートフォリオを活用すれば、データと規制の可視性と制御が強化されます。120 以上のコンテンツソースからのデータをキャプチャ、アーカイブ、検索できるようになり、これによってデータコンプライアンスを最適化し、データガバナンスの抜け穴に対応できます。
カリフォルニア州消費者プライバシー法は、消費者が個人情報を詳細に制御できるようにする画期的な法律です。CCPA では、企業は個人情報を保護するための対策を講じるよう求められ、消費者は個人情報の販売をオプトアウトする権利など、複数の権利を履行できます。
しかし今、CPRA の施行が迫っており、この新しい法律への対応も準備する必要があります。CPRA は、いくつかの重要な観点から CCPA に変更を加えたものであり、2023 年 1 月に発効されます。
企業がコンプライアンスを維持するためにベリタスができることについて、今すぐお問い合わせください。
ベリタスのお客様には Fortune 100 企業の 95% が含まれています。また、NetBackup™ は大量のデータの保護を検討している大企業にとって第一の選択肢です。
完全なデータ保護を仮想、物理、クラウド、およびレガシーの各ワークロードに対してベリタスの大企業向けデータ保護サービスがどのように維持しているかをご確認ください。