コネチカット州個人データプライバシー法(CTDPA)
コネチカット州は最近、他の4つの米国州と共に包括的な消費者プライバシー法であるコネチカット州個人データプライバシー法(CTDPA)を制定しました。2022年5月10日にネッド・ラモント知事によって署名されたこの新しい法律は、2023年7月1日に施行され、組織にコンプライアンスを遵守するための限られた時間を与えます。
コネチカット州個人データプライバシー法(CTDPA)とは何か
コネチカット州個人データプライバシー法(CTDPA)は、コネチカット州住民の個人データを保護する包括的なデータプライバシー法です。カリフォルニア州、コロラド州、ユタ州、バージニア州の消費者プライバシー法と同様の権利、義務、例外を多く含んでいます。CTDPAの一部はこれらの他の法律を反映していますが、組織がコンプライアンス戦略に組み込むべきいくつかの顕著な違いもあります。
この用語集ページでは、コネチカット州個人データプライバシー法の主要な条項、そのビジネス環境への影響、および組織が常に規制コンプライアンスを確保する方法を概説します。
コネチカット州個人データプライバシー法は何をするのか?
コネチカット州個人データプライバシー法(CTDPA)は、コネチカット州住民の個人データを保護するための包括的な枠組みを確立します。コネチカット州住民に関するデータを処理、収集、または保存する企業の責任を定義し、同じ個人に権利を提供します。例えば、CTDPAは個人データから得られた情報の販売を禁止していますが、いくつかの例外があります。
コネチカット州個人データプライバシー法(CTDPA)は、コネチカット州内で事業を行う、またはコネチカット州住民を対象とした商品やサービスを提供する事業体に適用され、前暦年中に少なくとも100,000人の消費者から個人データを処理したか、少なくとも25,000人の消費者からの個人データ販売による総収入の25%以上を得た事業体に適用されます。支払い取引のためだけに個人データを処理する事業体には適用されません。また、年間収入の基準は含まれていないため、特定の年間収入を持つ企業には適用されません。
コネチカット州個人データプライバシー法の主要用語の定義
CTDPAは、法律の範囲を説明するための一連の定義を確立しています。企業に課される責任とコネチカット州住民に提供される権利を理解するためには、これらの定義を知っておくことが重要です。
- 消費者—コネチカット州の住民であり、商業または雇用の文脈で行動する個人を明示的に除外します。
- 管理者—個人データの収集および処理に責任を持つ個人または事業体。
- 処理者—管理者の代わりに個人データを処理する個人または事業体。
- 第三者—管理者または処理者ではない個人または事業体。
- 個人データ—識別可能な個人に関連する情報。ただし、法律は個人データの定義から識別解除されたデータおよび公に利用可能なデータを除外します。
- 個人データの販売—管理者が第三者に対して個人データを金銭またはその他の価値ある対価と引き換えに提供すること。ただし、処理者または管理者の関連会社への公的な開示は含まれません。
- 公に利用可能な情報—政府記録または広く配布されたメディアを通じて合法的に利用可能にされた情報であり、管理者が消費者が合法的に情報を公にしたと合理的に信じる根拠を持っている情報。
- 機密データ—人種、宗教的信念、健康、性的指向、犯罪歴、または生体情報を明らかにする個人データ。
- ダークパターン—個人データの収集および処理に関して消費者を欺くまたは誤解させるために使用される手法。
コネチカット州個人データプライバシー法における消費者の権利とは?
コネチカット州個人データプライバシー法(CTDPA)は、消費者に対してデータの使用方法をアクセスおよび制御する権利を付与します。すべての消費者は、自分のデータが処理されているかどうかを確認し、すでに管理者に提供されたデータのコピーを要求する権利を持っています。さらに、消費者はデータを削除する権利、ターゲット広告のための処理をオプトアウトする権利、不正確さを更新または修正する権利を持っています。これらの行動の要求は、45日以内に尊重されなければならず、同じ12か月間に消費者の2回目またはそれ以降の要求でない限り、料金を課すことはできません。
CTDPAはまた、消費者の代理として要求を行うことができる認可された代理人を指定する能力を消費者に提供します。管理者は、要求を尊重する前に、消費者と代理人の権限の両方を確認しなければなりません。
消費者のデータを保護するために、処理者は管理者の指示に従い、適切なセキュリティコントロールを実施しなければなりません。また、処理者は管理者がその義務を果たすのを支援しなければならず、理想的には拘束力のある契約によって合意されるべきです。この契約には、データ処理の指示、処理の目的と期間、および両当事者の権利と義務を明記する必要があります。消費者にこれらの権利を提供し、処理者の義務を概説することにより、CTDPAは消費者が自分のデータを制御し、アクセスできるようにします。
コネチカット州個人データプライバシー法における管理者の義務
コネチカット州個人データプライバシー法(CTDPA)は、データの収集に関して管理者に責任を課し、目的制限やデータ最小化などの一般的な原則に従って運営することを求めています。管理者は、データの二次利用や第三者への開示について同意を得る必要があります。消費者が自分の権利を認識し、それを行使する方法を知るために、管理者は収集されたデータの種類、その使用目的、管理者への連絡方法、および消費者が自分の権利を行使するための安全な方法などの開示を行わなければなりません。管理者は、消費者の同意を得ずに機密データを処理してはならず、消費者が同意を撤回するためのメカニズムを持たなければなりません。
管理者は、ターゲット広告や個人データの販売など、消費者に対するリスクが高まる処理活動に対してデータ保護評価を実施し、文書化しなければなりません。このような評価がCTDPAの要件と同様の範囲と効果を持つ場合、それらを使用して要件を満たすことができます。CTDPAは、消費者データが保護されることを保証し、消費者の権利に対する認識を高め、安全で信頼性のあるデータ処理環境を作り出します。
CTDPAはどのように施行されるのか?
CTDPAはコネチカット州司法長官によって施行されます。司法長官はCTDPAの違反を調査し、必要に応じてその要件を施行するための民事訴訟を起こすことができます。さらに、司法長官は消費者のために損害賠償を求めることができます。
CTDPAに従わない場合の罰則は何か?
CTDPAに違反した事業体または個人は、コネチカット州不正取引慣行法に基づき、1件あたり最大5,000ドルの民事罰を受ける可能性があります。民事罰に加えて、司法長官は差止命令、返還、または利益剥奪を求めることもできます。
機密コンテンツ通信とCTDPA
コネチカット州個人データプライバシー法は、コネチカット州住民の個人データを保護するための包括的な枠組みを確立する重要な法律です。コネチカット州住民に関するデータを処理、収集、保存する企業に義務を課し、同じ消費者に権利を提供します。コネチカット州個人データプライバシー法の定義、権利、義務、罰則を理解することで、企業は法律のコンプライアンスをより確実にし、コネチカット州住民のプライバシーを保護することができます。
CTDPAに準拠するために、企業はコネチカット州住民の個人識別情報(PII)のデジタル通信を適切に追跡、制御、保護するための措置を講じる必要があります。メール、ファイル共有、ウェブフォーム、ファイル転送などの通信チャネルを分離する従来のアプローチは、PIIに関連するリスクを中央で管理し、統治することを困難にする分断されたメタデータを生み出しました。
幸いなことに、Kiteworksはこの問題に対処するための革新的なソリューションを提供します。デジタル通信をプライベートコンテンツネットワークに統合することで、Kiteworksは組織がCTDPAに準拠しながら、組織内外で共有および送信されるPIIを統一、追跡、制御、保護することを可能にします。その結果、Kiteworksはコネチカット州の企業がコネチカット州個人データプライバシー法(CTDPA)に準拠するための強力なツールとなり得ます。
Kiteworksがプライベートコンテンツネットワークをどのように実現するかについてのビデオ概要を短時間でご覧いただけます。または、Kiteworksプラットフォームの実際の動作を確認するために、カスタムデモを今すぐ予約してください。
リスク&コンプライアンス用語集に戻る
