CCPA

CCPA とは何ですか?

この カリフォルニア州消費者プライバシー法（CCPA） 消費者のプライバシー権を強化し、カリフォルニア州で事業を営む企業による個人情報の収集、使用、販売を規制する州法。CCPA は、欧州連合の GDPR に対するカリフォルニア州の回答です。消費者にアクセス、削除、修正などの権利を与え、データ処理の透明性と説明責任を確保します。

CCPAの概要

• 法律： カリフォルニア州消費者プライバシー法
• 地域： カリフォルニア
• 署名日: 28-06-2018
• 発効日： 01-01-2020
• 産業： カリフォルニアでビジネスを行うすべての産業

CCPAに基づく個人データ

CCPA では、個人情報を、データ主体を識別する情報、および特定のデータ主体に合理的に関連付けることができる情報と定義しています。

直接識別子: 名前、住所、電子メール、電話番号、社会保障番号、運転免許証番号、パスポート番号、オンライン識別子など。

間接識別子: IP アドレス、閲覧履歴、購入記録、位置情報データ、健康データ、生体認証データ、音声録音、教育情報、雇用情報、収集されたデータから導き出された推論 (例: 消費習慣、政治的見解)、および組み合わせると個人を特定できるその他の詳細。

CCPA の主要構成要素

カリフォルニア州消費者プライバシー法（CCPA）は、包括的なデータ保護フレームワークを確立するいくつかの重要な要素に基づいて構築されています。これらの要素には、

• データ主体の権利
• データ保護の原則
• コンプライアンス要件
• データ要求の処理
• 執行
• プライバシーポリシーの更新

データ保護原則

カリフォルニア州消費者プライバシー法 (CCPA) のデータ保護原則は、次の基本原則を中心に展開されます。

• 目的の制限: 収集された個人情報は、収集時に消費者に開示された特定の目的にのみ使用する必要があります。企業は追加の同意なしに、関連のない目的に個人情報を使用することはできません。
• データの最小化: 企業は、明示された目的のために合理的に必要な個人情報のみを収集できます。過剰または無関係なデータを収集すると、プライバシーに関する懸念が生じ、コンプライアンス リスクが増大します。
• データセキュリティ： 企業は、PII を不正アクセス、開示、変更、破壊から保護するために、適切なセキュリティ対策を実施する必要があります。これらの対策には、暗号化、アクセス制御、定期的なセキュリティ評価などが含まれます。
• 透明性： 企業は、収集する個人情報、その目的、およびデータを共有する第三者について透明性を確保する必要があります。また、消費者が権利を行使し、懸念に対処できるメカニズムも必要です。
• アカウンタビリティ： 企業は、消費者の要求に応え、サードパーティのサービスプロバイダーが法律を遵守していることを確認するなど、CCPA の要件を遵守する責任があります。

CCPAに基づく権利

CCPA は、カリフォルニア州民に PII に関するさまざまな権利を与えます。

• 知らせる権利
• アクセス権
• 削除する権利
• 訂正する権利
• 使用制限の権利
• 販売拒否権
• 差別されない権利

誰が遵守する必要があるか

CCPA は、以下の企業に適用されます。

• カリフォルニアでビジネスをしましょう。
• カリフォルニア州居住者の個人情報を収集します。
• 年間総収益が25万ドルを超える。
• 毎年 50,000 人以上のカリフォルニア州居住者の PII を購入または販売します。
• 総収益の 50% 以上をカリフォルニア州居住者の個人情報の販売から得ている。

例外

CCPA は包括的なデータプライバシー保護を目指していますが、いくつかの例外も含まれています。

• 企業間コミュニケーション: このポリシーは、企業間通信（企業と個人の間ではなく、企業間のやり取り）のために収集された個人情報には適用されません。
• 従業員データ： 従業員に関する情報は、雇用関係の範囲内でのみ収集および使用されるため、CCPA の適用範囲外となります。ただし、求職者に関して収集されたデータは、CCPA の保護対象となります。
• 公開情報: 公的記録からすでに入手可能な個人情報は、CCPA 規制の対象外です。
• 金融機関: 公正信用報告法 (FCRA) やグラム・リーチ・ブライリー法 (GLBA) などの特定の連邦法によって管理される情報は、特定の CCPA 規定の対象外となります。
• 研究： 科学的、歴史的、または統計的な研究活動は、インフォームドコンセントや公共の利益の正当性などの特定の条件下では、CCPA の削除要件から免除される場合があります。
• 車両所有情報: ドライバーのプライバシー保護法 (DPPA) は、保証やリコールの目的でディーラーとメーカー間で共有される車両所有権などの情報については、CCPA に優先します。
• ヘルスケアセクター： 保護された健康情報 (PHI) の問題では、カリフォルニア州医療情報機密保持法 (CMIA) が CCPA に優先します。
• 法執行活動: 法執行目的で収集および使用される個人情報は、CCPA の適用範囲外です。

規制上の罰則

CCPA では、違反に対して 2 種類の罰金を課しています。

違反ごとの罰金: 故意の違反: 違反 7,500 件につき XNUMX ドル、上限は設定されていません。つまり、影響を受ける個人と違反の数に応じて、罰金が急速に増加する可能性があります。

意図しない違反: 違反 2,500 件につき 2,500 ドル、データ侵害 XNUMX 件につき XNUMX ドルが上限です。これは、意図しないエラーを回避するための予防措置の重要性を強調しています。

消費者訴訟: 法定損害賠償: 被害を受けた消費者 100 人あたり 750 ～ XNUMX ドル、または実際に発生した損害額 (いずれか高い方)。これにより、個人はプライバシー侵害に対する直接的な賠償を求めることができます。

差止命令による救済: 裁判所は違法行為を止め、将来の被害を防ぐための命令を出すことができます。

CCPA のコンプライアンス機関

カリフォルニア州消費者プライバシー法の主なコンプライアンス機関は、カリフォルニア州司法長官事務所 (CAO) です。カリフォルニア州プライバシー保護局は、2023 年 XNUMX 月に業務を開始しました。ただし、CPPA は主に規則制定と教育に重点を置いており、これらの責任のほとんどを CAO から引き継いでいます。CAO は、CCPA に基づく執行権限およびその他の継続的な法的義務を維持しています。したがって、CPPA が CCPA コンプライアンスで果たす役割は拡大していますが、カリフォルニア州司法長官事務所は引き続きこの法律の主な執行機関です。

結論として、カリフォルニア州で事業を展開している企業やカリフォルニア州住民の個人情報を取り扱う企業にとって、CCPA 規制を理解して遵守することは非常に重要です。データ匿名化、データ暗号化、データ編集などのデータ マスキング技術は、開発、テスト、分析環境内で機密性の高い PII を隠すことで、コンプライアンス違反やデータ侵害のリスクを大幅に軽減できます。これにより、個人を特定できる情報 (PII)、財務記録、保護された健康情報、社会保障番号などの機密情報の露出が最小限に抑えられ、CCPA コンプライアンスが簡素化され、データ セキュリティとプライバシーが強化されます。