カリフォルニア州消費者プライバシー法 (CCPA)

カリフォルニア消費者プライバシー法 (CCPA) の定義

カリフォルニア消費者プライバシー法 (CCPA) は、アメリカ合衆国カリフォルニア州の住民のプライバシー権利と消費者保護を強化することを目的とした州法です。これにより、消費者は企業が収集する個人情報をよりコントロールできるようになります。

CCPAは2018年6月28日に法律として成立し、2020年1月1日に施行されました。アメリカで最も包括的なプライバシー法の一つとされており、欧州連合の一般データ保護規則 (GDPR) と似ています。

CCPAの主要な概念と規定

  1. 消費者の知る権利: CCPAは、消費者が企業が収集する個人情報とその利用法について知る権利を与えます。企業は、収集する個人情報のカテゴリ、情報が収集された出所、それが利用される目的、および情報が共有される第三者のカテゴリを開示する必要があります。

  2. 消費者の削除する権利: 消費者は、特定の例外を除き、企業に自分の個人情報の削除を求める権利があります。確認済みのリクエストを受け取ると、企業は記録から消費者の個人情報を削除し、例外が適用されない限り、サービス提供者にも同様に指示する必要があります。

  3. 消費者のオプトアウトする権利: 個人情報を販売する企業は、自社ウェブサイトに「私の個人情報を販売しないでください」というリンクを提供し、消費者が個人情報の販売をオプトアウトできるようにする必要があります。消費者はこの権利をいつでも行使でき、企業はこの権利を行使した消費者を差別することを禁じられています。

  4. 消費者の非差別の権利: CCPAは、CCPAの下での権利を行使する消費者を差別することを企業に禁止しています。企業は、プライバシー権を行使した消費者に、商品やサービスを拒否したり、異なる価格を請求したり、異なるレベルや品質のサービスを提供することはできません。

  5. 子供のプライバシー: CCPAには16歳未満の子供に対する特定の保護が含まれています。13歳未満の子供の個人情報を販売する場合、企業は親または保護者からのオプトイン同意を得る必要があります。13歳から16歳までの子供の場合、子供自身が積極的な同意を与える必要があります。

  6. 企業の義務: 消費者の権利に加えて、CCPAは企業に特定の義務を課します。企業は、収集した個人情報を不正アクセス、破壊、使用、改ざん、または開示から保護するための合理的なセキュリティ対策を実施する必要があります。また、消費者がプライバシー権を行使するためのリクエストを提出するための方法を最低2つ提供しなければなりません。これにはフリーダイヤルの電話番号とウェブサイトアドレスが含まれます。

CCPAへの準拠

企業は、CCPAの要件を理解し、プライバシーポリシーやデータ管理のプラクティスに必要な変更を行うことで、CCPAに準拠していることを確認する必要があります。違反を防ぐためのヒントをいくつか紹介します:

  • 法律の範囲を理解する: 企業は、年間総収入、取り扱うカリフォルニア消費者データの量、および法律で概説されたその他の基準に基づいて、CCPAが適用されるかどうかを評価する必要があります。

  • プライバシーポリシーを更新する: 企業は、収集される個人情報のカテゴリ、その情報が使用される目的、および消費者に提供される権利についての開示を含めるために、プライバシーポリシーを見直し、更新する必要があります。

  • データ保護対策を実施する: 企業は収集した個人情報を保護するための合理的なセキュリティ対策を実施する必要があります。これには、暗号化、アクセス制御、定期的なデータバックアップ、データセキュリティのベストプラクティスに関する従業員の訓練が含まれることがあります。

  • 消費者権利のメカニズムを提供する: 企業は、消費者が知る、削除、オプトアウトのリクエストを処理するためのプロセスを確立するべきです。これには、消費者からのリクエストを受け取り処理するための専用のメールアドレスやフリーダイヤルの番号を作成することが含まれる場合があります。

  • 従業員を訓練する: 企業は、CCPAの要件、消費者のリクエストの対処方法、個人情報の保護、および法律の規定を遵守する方法について、従業員を教育し、訓練すべきです。

GDPRとの関連

CCPAは、2018年5月に施行された欧州連合の一般データ保護規則 (GDPR) と類似点があります。両方の規則は、個人のプライバシー権を強化し、個人情報を収集および処理する企業に義務を課すことを目的としています。しかし、両者には重要な違いがあります:

  • 適用範囲: GDPRは、欧州連合内の個人の個人データを処理する企業に適用され、企業の所在地に関係なく適用されます。それに対して、CCPAは、カリフォルニア州の居住者の個人情報を収集する企業に適用され、企業の所在地に関係なく適用されます。

  • 同意の要件: GDPRは、個人データの処理に対して個人から明示的な同意を得ることを強調していますが、CCPAは個人情報の販売をオプトアウトする権利を消費者に与えることに焦点を当てています。

  • 罰則と執行: GDPRは、違反に対して年間の総売上高の最大4%に達する罰金を許可しています。一方、CCPAは、意図的な違反に対して最大$7,500までの民事罰を提供しています。

違いはあるものの、カリフォルニア州および欧州連合内の個人情報を取扱う企業は、両方の規則を理解し、遵守することが重要です。

関連用語

  • 一般データ保護規則 (GDPR): 欧州連合におけるデータ保護とプライバシーに関する規制で、EUおよび欧州経済領域内の個人を対象としています。
  • 個人情報: 特定の個人を識別する、関連する、記述する、または関連付けすることができる情報です。

Get VPN Unlimited now!

other platforms