ビジネスリーダーが主に重視する点は、顧客ニーズを極めて適切に満たし、顧客を定着させることでしょう。従来は、これには完ぺきな製品を適切な価格で提供することが重要でした。
しかし、現代の消費者を獲得するには、さらに多くのものを提供する必要があります。たとえば、ブランドには関連付けられる価値が必要であり、消費者ジャーニーは円滑で好ましいものでなければなりません。また、サイバーセキュリティやデータ侵害といった最近の問題により、消費者はデータに関して企業を信頼できると認識しておく必要があります。
PEW Research Report によると、企業のデータ使用に関する懸念がアメリカ人の間で広まっており、79% がこの問題に関して不安を抱えていると表明しています。その結果、ほとんどの消費者はデータをブランド企業とのみ共有しようとしています。
居住者を保護するために、カリフォルニア州は、データプライバシー規制に進歩的かつ厳格に取り組んでいます。このような取り組みの中心にあるのが、2018 年に可決され、2020 年 1 月に施行されたカリフォルニア州消費者プライバシー法 (CCPA) です。
しかし今後、カリフォルニア州の居住者を対象とする企業は、より厳格な規制にも準拠せざるを得なくなります。これは、CCPA の拡張である 2020 年のカリフォルニア州プライバシー権法によるものです。
影響や潜在的な問題を考えると、CPRA で必要なものを理解し、そのための準備を整えることが重要です。この記事では、CPRA について知っておくべきことをすべて説明します。
CPRA が企業に何を要求するかを説明する前に、カリフォルニア州のプライバシー規制の現在の性質を確認しておくことが重要です。CPRA は CCPA を基にして作成されているため、まず後者を理解する必要があります。
CCPA は当初、大規模なデータ侵害後に起きた一般市民の激しい非難に対応するものでした。これは以下により、カリフォルニア州の居住者が個人情報をより管理できるようにします。
この法律は、実際にカリフォルニア州に所在するかどうかに関係なく、カリフォルニア州で事業を行うすべての営利企業に適用されます。企業が準拠しない場合、違反ごとに最大 7,500 ドルの罰金が科せられることがあります。
CPRA は、CCPA の拡張であり、2020 年にカリフォルニア州の有権者によって可決されました。この法律は 2023 年 1 月に施行され、カリフォルニア州の居住者がデータをより細かく制御できるようにするものです。
CPRA は、CCPA で定められた既存の規制に基づいています。ただし、消費者のプライバシーをさらに保護するための新しい条項も含まれています。CPRA では具体的に以下を行います。
さらに CPRA は、IP アドレス、生体認証データ、地理情報データなどを含むように個人情報の定義を拡大します。
いいえ。CPRA は CCPA に置き換わるものではありません。既存の規制を基にして、消費者のプライバシーを保護するためのより強力なフレームワークを作成します。CCPA に準拠している企業も、2023 年の施行時には CPRA に準拠する必要があります。
CPRA の基本を確認したので、この法律では何が必要になるかを詳しく見ていきましょう。
前述のとおり、CPRA は CCPA で定められた既存の規制に基づいています。ただし、消費者のプライバシー保護を強化するための新しい条項も含まれています。
CPRA は、実際にカリフォルニア州に所在するかどうかに関係なく、カリフォルニア州で事業を行い、カリフォルニア州の居住者の個人情報を収集するすべての営利企業に適用されます。
さらに CPRA では、準拠が必要となる企業の数は少なくなります。ただし、対象となる企業は、コンプライアンス達成のために対処すべきことがさらに増加します。
施行後:
CPRA がもたらすもう 1 つの重要な変更は、個人の機密情報の定義の拡大です。CPRA では、個人の機密情報には以下が含まれます。
このように、社会保障番号と運転免許証番号のみだけであった CCPA から大きく拡大されています。
個人の機密情報の定義の拡大は、企業がこの種類のデータを保護するために細心の注意を払う必要があることを意味します。収集、使用、または共有する前に、消費者の明示的な同意を得ることも必要になります。
機密情報の定義の拡張とともに、CPRA では消費者の権利も拡大します。CPRA では、カリフォルニア州の居住者に以下の権利を与えます。
これらは、CCPA で制定された権利と同じです。ただし、CPRA ではさらに一歩進んで、データの使用方法を指示する権利を消費者に与えます。
たとえば CPRA では、消費者がデータの販売をオプトアウトした場合、その販売を停止する必要があります。したがって、CCPA とは異なり、データの使用方法を消費者に通知するのではなく、最初に承認を得る必要があります。
カリフォルニア州の現在のプライバシー法では、企業はホームページに「個人情報の販売を許可しない」リンクを記載する必要があります。このリンクから、消費者がオプトアウト権利を行使できる専用ページにアクセスできなければなりません。
CPRA では、「個人の機密情報の使用を制限する」という 2 つ目のリンクも追加する必要があります。このリンクからは、個人情報の使用方法を消費者が指示できる専用ページにアクセスできなければなりません。また、顧客の意図が明確である限り、その意図を他の方法で表明させることができます。
CPRA は、これらの規則を執行するための新しい州機関であるカリフォルニア州プライバシー保護局 (CPPA) を創設します。CPPA は、違反ごとに最大 7,500 ドルの罰金を科す権限を持ちます。また、法律に違反する企業に対して民事訴訟を起こすこともできます。
CCPA では執行が州の司法長官事務所に委ねられていることを考えると、これは大きな一歩です。CPPA は、司法長官事務所よりも多くのリソースと適切な態勢で法律を執行します。
CCPA では、消費者は企業によるデータの販売をオプトアウトできます。CPRA では、さらに一歩進んで、支払いを伴うかどうかに関係なく、情報の開示または第三者との共有をオプトアウトする権利を個人に与えます。
ビッグデータの時代において、データプロファイリングは企業の貴重な資産です。広告のターゲット設定、コンテンツのパーソナライズ、カスタマーエクスペリエンスの向上に役立ちます。
ただし、CPRA では、意思決定の自動化にいくつかの制限が課されます。企業は引き続き意思決定を自動化できますが、最初に消費者の明示的な同意を得る必要があります。また、プロセスの仕組みを消費者が理解しやすい形で説明する必要があります。
CPRA では、消費者に自身に関して企業が保有する不正確または不完全なデータを訂正する権利も与えられます。これは、消費者がデータの削除のみを要求できた CCPA とはまったく対照的です。
消費者が自身に関する一部の情報が誤っていると判断した場合、問い合わせて修正を求めることができます。要求に従わない場合、消費者は CPPA に苦情を申し立てることができます。
CCPA の規定どおり、企業は、収集するデータ、その使用方法、他の関係者と共有するかどうかを詳しく説明する必要があります。しかし、それだけではありません。データカテゴリごとに、データ主体にデータの保持期間を通知する、または期間の決定方法を説明する必要があります。
さらに CPRA は、企業が消費者データを保持できる期間についてもいくつかの制限を課します。企業は、収集目的を達成するために必要な期間に限り、データを保持できます。
これは、企業がデータを最大 7 年間保持できた CCPA からの大きな変更の 1 つです。CPRA では、企業は、データ保持方法を再評価し、不要になったデータを維持しないようにする必要があります。
規制の主な特徴に加え、CPRA は、他にも次のような注目すべき変更が加えられます。
CPRA は、「カリフォルニア州の GDPR」と呼ばれています。2 つの規制にはいくつかの類似点がありますが、重要な違いもあります。
まず、CPRA の対象範囲は GDPR よりもはるかに狭く、カリフォルニア州で事業を行う、またはカリフォルニア州の居住者のデータを処理する企業にのみ適用されます。一方、GDPR は、企業の所在地に関係なく、EU 加盟国民のデータを処理するすべての企業に適用されます。
次に、CPRA は GDPR よりも多くの権利を消費者に与えます。CPRA では、支払いを伴うかどうかに関係なく、情報の開示または第三者との共有をオプトアウトする権利が消費者に与えられます。GDPR で個人がオプトアウトできるのは、マーケティング目的での個人データの使用のみです。
最後に、CPRA は、執行に関してはるかに寛大です。CPRA 違反の罰金最高額は 7,500 ドルですが、GDPR 違反の最高額は 2,000 万ユーロ (約 2,400 万ドル) です。
CPRA は、米国で最も包括的なプライバシー法です。他の州もカリフォルニア州の先例に倣い、同様の法律を可決する可能性があります。つまり、CPRA コンプライアンスは単なる得策ではなく、後れを取らないようにしたい企業にとっては必要不可欠なものです。
企業がカリフォルニア州の居住者の個人情報を収集する場合、今すぐ CPRA に向けた準備を開始する必要があります。そうすることで、2023 年の法律施行時に容易に準拠できます。
企業が CCPA の対象となっている場合、CPRA への準拠の大部分はすでに達成されています。ただし、その場合でも、実行する必要がある重要な手順がいくつかあります。
CPRA コンプライアンスを達成するには、まず、どこが不足しているかを判断する必要があります。ギャップ評価を実施して、プライバシー対策が CPRA 標準を満たしていない領域を特定します。
何を変更する必要があるかわかったら、プライバシーポリシーを更新できます。ポリシーが明確かつ簡潔で、すべての基本的要素に対応していることを確認します。収集する個人データ、収集理由、使用方法、保持期間に関する情報を含めます。
プライバシーポリシーを更新したら、変更内容をデータ処理方法へ実装します。CPRA によってデータの収集または処理方法の変更が必要になる場合は、これらの変更がシステムおよびプロセスに反映されていることを確認します。
従業員は CPRA コンプライアンスの鍵です。法律および企業のプライバシー対策に関して最新情報を把握している必要があります。従業員が個人データで何ができ、何ができないかを知り、CPRA のオプトアウト条項を理解するようにします。
CPRA では、個人の機密情報が CCPA よりも幅広く定義されています。個人情報に、人種、民族、性的指向、医療データが含まれるようになります。この種類の情報を収集および使用する方法をすべて特定する必要があります。その後、これらの使用が CPRA に準拠しているかどうかを判断できます。
データマップは、収集するすべての個人データ、入手元、移動先を追跡するのに役立ちます。CPRA の要件を満たしているかどうかを一目で把握できるため、CPRA コンプライアンスのための貴重なツールです。
CPRA では、企業は個人データを収集する前に特定の開示情報を顧客に提供する必要があります。これらには、企業の連絡先情報、CPRA に基づく顧客の権利の説明が含まれます。
また、個人の機密情報を収集する前に、顧客から明示的な同意を得る必要があります。義務付けられているオプトアウトおよび個人情報の使用に関するリンクを含めます。
個人データを第三者と共有する場合、CPRA コンプライアンスを確保する契約が必要です。これらの契約では、第三者が契約で指定された目的でのみデータを使用すること、および CPRA の要件に従ってデータを保護することを規定する必要があります。
コンプラアイス違反の影響を考えると、プライバシーリスク分析を定期的に実施することが重要です。このための最善の方法がタグ管理ソフトウェアです。このソフトウェアはリスクの特定と評価に役立つため、軽減のための対策を講じることができます。
さらに、タグ管理ソフトウェアを使用して、同意の管理、オプトアウトの追跡、レポートの生成も行えます。これらの機能は、CPRA コンプライアンスの達成に取り組む際に非常に役立ちます。
CPRA の執行および訴訟に関して、いくつかの潜在的なリスクがあります。これらを回避するには、法律、権利、義務について理解する必要があります。
以下を含むいくつかのことを知っておく必要があります。
データの最小化は、特定の目的に必要なデータのみを収集および維持する方法です。データ侵害や個人データの不正使用のリスクが減るため、これは適切な CPRA コンプライアンス戦略です。
セキュリティはすべての企業にとって最優先事項ですが、個人データを扱う場合は特に重要です。CPRA は、個人データを不正なアクセス、破棄、または使用から保護するためのセキュリティ対策を合理的に講じることを企業に求めています。
セキュリティを強化するには、次のようなことを行うことができます。
CPRA コンプライアンスは、多大な作業に思えるかもしれませんが、それだけの価値はあります。企業にとって CPRA コンプライアンスには次のような多くのメリットがあります。
CPRA の施行が迫る中、データコンプライアンスおよびガバナンスのポリシーと手順を強化することが重要です。これを行う際には、やがて他のデータプライバシー規制が登場する可能性があることを覚えておいてください。したがって、CPRA に準拠するだけでなく、最適なデータの取り扱い方法を導入する必要があります。
このことを念頭に置くと、データアーカイブ機能を実装して関連情報を維持し、迅速に取得できるようにすることが重要になります。そこで役に立つのが、ベリタスのデジタルコンプライアンスポートフォリオのようなソリューションです。
データアーカイブにより、情報のセキュリティとプライバシーを確保しながら、データのインデックス作成、検索、監査を行うことができます。
ポートフォリオには、機械学習を使用して企業のネットワーク全体で機密データを特定する Data Insight も含まれています。このソリューションにより、データの使用、共有、アクセス方法を可視化できます。その結果、リスクを軽減し、コンプライアンスを改善するための対策を講じることができます。
CPRA は、多くの要件を含む複雑な法律です。他の州もカリフォルニア州の先例に倣い、同様の法律を可決する可能性があります。つまり、CPRA コンプライアンスは単なる得策ではなく、後れを取らないようにしたい企業にとって必要不可欠です。
企業がカリフォルニア州の居住者の個人情報を収集する場合、今すぐ CPRA に向けた準備を開始する必要があります。そうすることで、2023 年の法律施行時に容易に準拠できます。
ギャップ評価を実施してプライバシー対策が CPRA 標準を満たしていない領域を特定し、新しい法律を反映するようにプライバシーポリシーを更新します。CPRA コンプライアンスは膨大な作業に思えるかもしれませんが、それだけの価値はあります。
企業がコンプライアンスを維持するためにベリタスができることについて、今すぐお問い合わせください。
ベリタスのお客様は Fortune 100 企業の 95% を占めています。また、NetBackup™ は大量のデータの保護を検討している大企業にとって第一の選択肢です。
完全なデータ保護が仮想、物理、クラウド、およびレガシーの各ワークロードに対してベリタスの大企業向けデータ保護サービスでどのように維持されているかをご確認ください。