オレゴン州消費者プライバシー法：州の新しいデータプライバシー法の包括的な見解

データプライバシーは依然として重要な懸念事項であり、米国各州は住民の個人識別情報（PII）を保護するための措置を講じています。オレゴン州は、包括的なデータプライバシー法を持つ州のリストに加わる最新の州です。オレゴン消費者プライバシー法（OCPA）は2024年7月1日に施行される予定です。これにより、オレゴン州は包括的な消費者データプライバシー法を制定した11番目の州となり、2023年にそれを行った6番目の州となります。特に注目すべきは、オレゴン州が2023年に消費者データプライバシー法案を可決した最初の民主党支配の州であることです。これは、個人のプライバシー権を保護するための超党派の関心が高まっていることを示しています。

この記事では、OCPAの主要な規定を掘り下げ、他の州の類似法と比較してどのように異なるかを探ります。

これまでで最も強力な州のデータプライバシー法？

これらの新しい州レベルのプライバシー法の導入は、消費者データのプライバシーと保護に対する関心が高まっていることを反映しています。これらの規制は、個人が自分の個人情報をよりコントロールできるようにし、企業に対してデータを責任を持って扱う義務を課すことを目的としています。

Kiteworksの2023年センシティブコンテンツコミュニケーションプライバシーとコンプライアンスレポートによると、米国の回答者の過半数（53%）が新しい州レベルのプライバシー規制に対応するための正式なプロセスをすでに確立しており、36%がその開発に積極的に取り組んでいます。これらの調査結果は、企業が進化するプライバシーの状況に適応する重要性を認識し、これらの新しい規制によって課される要件を満たすための措置を講じていることを示しています。

OCPAは、コネチカット州データプライバシー法やコロラド州プライバシー法からインスピレーションを得ていますが、他の州法とは異なる独自の規定を含んでいます。

「最も強力な」州のプライバシー法を決定するのは難しいですが、オレゴン州の法律はコロラド州やコネチカット州と同じ高いレベルに位置付けられ、他の州に比べて消費者に優しい法律をいくつかの問題で実施しています。

オレゴン消費者プライバシー法の保護対象は誰か？

オレゴン消費者プライバシー法は、オレゴン州で事業を行う、またはオレゴン州の住民に製品やサービスを提供する幅広い企業に適用されます。OCPAの適用性は、法律で定められた特定の基準に基づいています。

例えば、OCPAはオレゴン州で事業を行う、またはオレゴン州の住民に製品やサービスを提供する者を対象としています。これは、カレンダー年中に一定数の消費者の個人データを管理または処理する事業体に適用されます。適用性の基準は以下の通りです：

1. 個人データの基準: OCPAは、100,000人以上の消費者の個人データを管理または処理する者に適用されます。ただし、支払い取引を完了するためだけに管理または処理される個人データは除きます。
2. 収益基準: あるいは、OCPAは、25,000人以上の消費者の個人データを管理または処理し、年間総収益の25%以上を個人データの販売から得ている者に適用されます。

基準を考慮すると、オレゴン州の人口は約424万人です。100,000人の個人データ基準では、州の人口の約2.35%をカバーしています。

また、OCPAにおける「消費者」という用語は、オレゴン州に居住し、商業的または雇用の文脈以外で企業と関わる自然人を指します。これは、従業員データや企業間データが一般的にOCPAの範囲外であることを意味します。

OCPAの適用範囲と免除

OCPAは、特定の種類のデータや組織に対しても免除を提供しています。例えば、グラム・リーチ・ブライリー法（GLBA）の対象となる個人データは、OCPAの規定から免除されています。OCPAは、HIPAA対象の事業体に対する特定の免除を含んでいませんが、HIPAA対象のデータに対する免除は含んでいます。

OCPAは、非営利団体に対する一般的な免除も提供していませんが、特定の種類の非営利活動に対する特定の免除を含んでいます。例えば、OCPAは、保険詐欺を検出し防止するために設立された非営利団体には適用されません。また、ラジオやテレビネットワークにプログラムを提供する非営利団体の非商業活動にも適用されません。

明確な基準を設定し、適用性を定義することで、OCPAはオレゴン州で事業を行う、またはオレゴン州の住民にサービスを提供する企業が法律で定められたプライバシー義務を遵守することを保証します。これにより、消費者のプライバシー権が保護され、企業が個人データを責任を持って透明性を持って扱うための枠組みが提供されます。

OCPAにおける個人データの定義の理解

OCPAの下では、「個人データ」の定義は広範であり、消費者またはデバイスに合理的にリンク可能なデータ、派生データ、またはユニークな識別子を含むさまざまな種類の情報を含んでいます。

OCPAの個人データの定義は、データ収集の進化する性質とそれに関連する潜在的なプライバシーの影響を考慮して意図的に包括的です。個人データは、名前や住所などの伝統的な識別子を超えて、組み合わせたり分析したりすることで個人に関する情報を明らかにするデータを含むことを認識しています。

OCPAは、個人データの定義から明示的に識別解除されたデータを除外していることに注意が必要です。「識別解除されたデータ」とは、個人を直接または間接的に識別するために使用できなくなるように処理または変更された情報を指します。この除外は、効果的に識別解除され、再識別できないデータがOCPAの下で個人データの範囲に含まれないことを認識しています。

対象事業体のコンプライアンス考慮事項

OCPAの要件を受ける事業体は、個人データの定義に準拠するために、データ収集および処理手順を慎重に見直す必要があります。彼らは、消費者から直接または他のソースを通じて収集するデータの種類を評価し、情報がOCPAの定義に記載された基準を満たしているかどうかを判断する必要があります。

さらに、対象事業体は、プライバシーポリシーや通知などの公に向けた開示を評価し、収集および処理する個人データの種類を正確に反映していることを確認する必要があります。OCPAの下では、データ収集慣行について消費者と透明性を持ち、明確なコミュニケーションを行うことが重要であり、組織は収集する個人データとその使用方法について消費者に包括的な理解を提供する必要があります。

OCPAにおける消費者の主要な権利

オレゴン消費者プライバシー法（OCPA）は、オレゴンの消費者に対して個人データに関するさまざまな権利を付与することで、彼らをエンパワーします。これらの権利は、個人が自分の情報をコントロールし、その収集と使用について情報に基づいた決定を下せるようにすることを保証します。以下は、OCPAが提供する主要な消費者の権利です。

アクセス権

オレゴンの消費者は、データ管理者から自分の個人データの処理に関する確認を要求し、取得する権利を持っています。また、自分の情報がどのように使用されているかを理解するために、処理された個人データのコピーを要求することもできます。

訂正権

OCPAはまた、オレゴン州民に訂正権を提供します。個人がデータ管理者によって保持されている個人データに不正確さやエラーを発見した場合、その情報の訂正または修正を要求する権限を持っています。これにより、個人は自分の記録が正確で最新であることを保証し、データの整合性と信頼性を促進します。

削除権

OCPAの下でのもう一つの重要な消費者の権利は削除権です。消費者は、データ管理者の記録から自分の個人データの削除を要求する能力を持っています。この権利は、収集された目的に対してもはや必要でない場合や、その処理に対する同意を撤回した場合に、個人が自分の情報を削除することを可能にします。これにより、個人は自分のデータをコントロールし、好みに応じてその保持を管理することができます。

オプトアウト権

OCPAは、消費者が自分の個人データに関する選択を行う権利を認識し、尊重します。これは、個人が自分の情報に関連する特定の活動からオプトアウトする権利を付与します。これには、個人データが広告主によってパーソナライズされた広告を送信するために使用されるターゲット広告からのオプトアウトの能力が含まれます。さらに、消費者は自分の個人データの販売からオプトアウトすることができ、同意なしに第三者に転送または販売されるのを防ぎます。この権利は、個人が自分のプライバシーを保護し、データがどのように利用されるかをコントロールすることを可能にします。

データポータビリティ権

OCPAの下で、消費者はデータポータビリティの権利を享受します。これは、個人が自分の個人データをポータブルで使用可能な形式で受け取る権利を持っていることを意味します。これにより、異なるサービスやプラットフォーム間で情報を簡単に転送でき、消費者の移動性と柔軟性を向上させ、プロバイダーを切り替えたり、個人的な目的でデータをシームレスに利用したりすることができます。

消費者コントロールのためのユニバーサルオプトアウトメカニズム

OCPAによって導入された注目すべき要件は、2026年1月1日からデータ管理者によるユニバーサルオプトアウトメカニズムの認識です。これは、企業が消費者の個人データの販売または共有を複数のプラットフォームやサービスでオプトアウトすることを許可するユニバーサルメカニズムを尊重しなければならないことを意味します。この規定は、消費者がオプトアウトの好みを行使するための一貫した効率的な方法を提供することを目的としています。

OCPAの下でのこれらの消費者の権利は、個人データの取り扱いにおける透明性、コントロール、および責任を保証するように設計されています。個人にアクセス、訂正、削除、オプトアウト、およびデータの取得の能力を付与することで、OCPAは消費者が自分のプライバシーを管理し、個人情報を保護するための積極的な役割を果たすことを可能にします。

OCPAの下での管理者の責任と義務

OCPAの対象となる管理者は、オレゴン州民の個人データの保護と責任ある取り扱いを確保するためのさまざまな義務を負っています。これらの義務には以下が含まれます：

1. プライバシー通知の提供: 管理者は、OCPAで要求される特定の内容を含むプライバシー通知を提供しなければなりません。この通知は、データ処理の目的と、管理者が個人データを共有する第三者のカテゴリーについて消費者に知らせるべきです。
2. 処理の制限: 管理者は、個人データの処理を、明示された目的に対して合理的に必要かつ関連するものに制限しなければなりません。
3. 消費者プライバシー権: 管理者は、消費者がOCPAの下でのプライバシー権を行使するための安全で信頼性のある手段を確立しなければなりません。
4. センシティブデータの同意: 管理者は、センシティブデータを処理する前に消費者の同意を得なければなりません。センシティブデータには通常、健康データ、人種または民族的出自、宗教的信念、または生体情報などの情報が含まれます。
5. プロセッサー契約: 管理者は、プロセッサーとの契約を締結しなければなりません。これらの契約は、管理者に代わって個人データを取り扱う際のプロセッサーの責任と義務を明示します。
6. データ保護評価: 管理者は、消費者に対するリスクが高まる特定の処理活動に対してデータ保護評価を実施し、文書化しなければなりません。

管理者にこれらの義務を課すことで、OCPAは消費者のプライバシーを保護し、透明性を高め、責任あるデータ慣行を促進することを目的としています。これらの要件を遵守することで、管理者は消費者との信頼を築き、法律に従って個人データを保護することへのコミットメントを示すことができます。

Kiteworksは、コンプライアンスと認証の実績を誇ります。

OCPAにおけるデータ保護評価の役割

OCPAは、他の州のデータプライバシー法と同様に、データ管理者が消費者のプライバシーに対するリスクが高まる特定の処理活動に対してデータ保護評価を実施することを義務付けています。これらの評価は、個人データの取り扱いに関連する潜在的なリスクを評価し、軽減するためのメカニズムとして機能します。OCPAの下でのデータ保護評価の主要な側面は以下の通りです：

1. 評価要件: データ管理者は、センシティブな個人データやターゲット広告、販売、またはプロファイリングに使用される個人データを含む処理活動に対してデータ保護評価を実施する義務があります。これらの評価は、これらの特定の処理活動から生じる消費者のプライバシーに対する予測可能なリスクを特定し、対処することを目的としています。
2. リスクの高まり: データ保護評価の要件は、個人のプライバシーに対するリスクが高まる活動に焦点を当てています。これには、誤った取り扱いが個人に対する損害や差別を引き起こす可能性のあるセンシティブな個人データの処理が含まれます。さらに、ターゲット広告、販売、またはプロファイリングに使用される個人データを含む処理活動に対しても評価が必要です。これらは、個人の権利や利益に影響を与える可能性があります。
3. 保持期間: データ管理者は、データ保護評価の結果を最低5年間保持する必要があります。この保持期間は、コンプライアンスの確認や規制の問い合わせなどの目的で必要に応じて評価を参照できるようにするためです。

データ保護評価を実施することで、OCPAはデータ管理者が処理活動のプライバシーへの影響を評価し、消費者の個人データを保護するための適切な措置を講じることを奨励しています。これらの評価は、組織が潜在的なプライバシーリスクを特定し、個人に対する悪影響が生じる前にそれを軽減するための積極的なリスク管理を促進します。

データ管理者は、徹底的な評価を実施し、結果を文書化し、評価の結果に基づいて適切な保護策を実施することで、OCPAのデータ保護評価要件を遵守することが重要です。これにより、組織は消費者のプライバシーを保護することへのコミットメントを示し、責任あるデータ取り扱いとプライバシーのベストプラクティスに沿った行動を取ることができます。

プライバシー権の維持：OCPAの執行措置と救済策

OCPAは、法律の違反に対する執行フレームワークと救済策を確立しています。執行権限はオレゴン州司法長官にあり、OCPAの規定を維持する責任があります。以下は、OCPAの下での執行と救済に関する主要な要素です：

1. 執行権限: オレゴン州司法長官は、OCPAを執行し、違反者に対して行動を起こす権限を持っています。この権限により、司法長官は潜在的な違反を調査し、法律の遵守を確保し、OCPAの要件を満たさない者を責任を持って追及することができます。
2. 民事罰: OCPAは、司法長官に法律違反と認定された事業体に対して民事罰を課す能力を付与しています。これらの罰金は、違反1件につき最大7,500ドルに達する可能性があり、非遵守に対する強力な抑止力を提供し、OCPAで定められたプライバシー義務を遵守する重要性を強調しています。
3. 差止救済と衡平的救済: 民事罰に加えて、司法長官は違反者に対して差止救済を求めたり、他の衡平的救済を追求することができます。これにより、司法長官は進行中の違反を停止し、コンプライアンスを強制し、影響を受けた個人に適切な救済を提供するための法的措置を取ることができます。
4. 是正の権利: OCPAには是正の権利が含まれており、事業体が指定された期間内に違反を是正することを許可しています。2026年1月1日まで、OCPAに違反したと認定された事業体は、非遵守を修正し、法律に準拠する機会を持っています。
5. 個人の訴訟権の不在: 他のプライバシー法とは異なり、OCPAは消費者に違反に対する個人の訴訟権を付与していません。これは、個人がOCPAの違反を理由に事業体に対して直接法的手続きを開始することができないことを意味します。執行措置と救済は主にオレゴン州司法長官のオフィスによって処理されます。

オレゴン州司法長官に執行権限を付与することで、OCPAは法律の違反が適切に対処され、事業体が非遵守に対して責任を負うことを保証します。民事罰、差止救済、衡平的救済の利用可能性は、OCPAのプライバシー要件の遵守を促進するためのさまざまな執行ツールを提供します。個人の訴訟権の不在は、OCPAの規定を維持し、消費者のプライバシー権を保護する上での司法長官のオフィスの役割を強調しています。

KiteworksがOCPAのコンプライアンスを支援

Kiteworksプライベートコンテンツネットワーク（PCN）は、組織がOCPAのコンプライアンスを証明するのを支援します。Kiteworksは、すべてのコンテンツ通信チャネル—メール、ファイル共有、マネージドファイル転送、ウェブフォームなど—を1つのプラットフォームに統合し、組織が消費者の個人データを追跡、制御、保護できるようにします。

Kiteworksプライベートコンテンツネットワークは、組み込みのネットワークファイアウォールとウェブアプリケーションファイアウォールを備えた強化された仮想アプライアンスによって保護されています。これにより、ゼロトラスト、最小特権アクセスが保証され、攻撃面が最小化されます。

Kiteworks PCNは、データ漏洩やマルウェアの脅威に対する強力な保護を提供し、データ損失防止および高度な脅威対策ソリューションとの統合機能を備えています。KiteworksのDLP統合は、PIIが組織から漏洩するのを防ぎます。ファイルはリアルタイムでセンシティブデータのスキャンを受け、適用されたポリシーにより、PIIの不正アクセスや送信が防止されます。同様に、KiteworksのATP統合は、組織にマルウェアが侵入し、PIIが侵害されるのを防ぎます。すべての受信ファイルは悪意のあるコードのスキャンを受け、感染したファイルは削除され、さらなる検査のために隔離されます。

すべてのファイルは、転送中および保存中に暗号化され、不正アクセスに対する追加の保護層を提供します。自動化されたエンドツーエンド暗号化により、データが傍受された場合でも安全で読み取れない状態が維持されます。さらに、Kiteworksはデジタル著作権管理機能を活用して、PIIへのアクセスを制御します。組織は、職務に基づいてアクセス許可を定義し、実施することで、許可された内部の人員のみがセンシティブ情報を閲覧または取り扱うことができるようにします。

すべてのファイル活動は追跡され、記録され、包括的な監査ログに入力され、誰がファイルにアクセス、変更、ダウンロード、アップロード、または共有したかが記録されます。この監査ログは、組織がユーザー活動を追跡および監視するだけでなく、さまざまなデータプライバシー規制へのコンプライアンスを促進します。Kiteworksの監査ログとセキュリティ情報およびイベント管理（SIEM）ソリューションとの統合により、集中監視と分析が可能になり、OCPA、一般データ保護規則（GDPR）、医療保険の相互運用性と説明責任に関する法律（HIPAA）などの規制へのコンプライアンスを証明するのに役立ちます。

さらに、Kiteworksは、OCPAの同意要件に対応するために不可欠なセキュアなウェブフォームを組織に提供します。これらのツールは、組織が信頼性のあるオプトインメカニズムと同意手続きを確立し、OCPAおよび他のデータプライバシー規制の同意規定を遵守することを可能にします。その結果、企業は個人情報の処理に対するユーザーの同意を自信を持って管理および追跡し、透明性と責任を維持することができます。

Kiteworksを信頼できるソリューションとして、企業はオレゴン消費者プライバシー法の複雑さを効果的にナビゲートし、コンプライアンスを確保しながらデータプライバシーとセキュリティを優先することができます。

KiteworksプライベートコンテンツネットワークがOCPAおよび他のプライバシー規制へのコンプライアンスを組織が証明する方法について詳しく知るには、カスタムデモをスケジュールしてください。

 

リスク＆コンプライアンス用語集に戻る