インディアナ州消費者データ保護法の包括的ガイド
インディアナ州消費者データ保護法(「インディアナCDPA」または「本法」と呼ばれる)は、インディアナ州に居住する消費者に対して個人情報の管理権を強化することを目的とした州レベルの包括的なデータプライバシー法です。本法は、アメリカ合衆国で包括的なプライバシー法を制定する7番目の州となる予定です。インディアナCDPAは、カリフォルニア州消費者プライバシー法(CCPA)、バージニア州消費者データ保護法(VCDPA)、およびコロラド州プライバシー法(CPA)を含む他のいくつかのプライバシー法に触発され、影響を受けています。本法は2026年1月1日に施行されます。
本法は、消費者が自分の個人情報にアクセスし、削除し、販売または共有をオプトアウトする権利を新たに設けています。また、企業に対して消費者データを保護し、データ収集と使用の透明性を提供し、データセキュリティを維持する義務を課しています。この記事では、インディアナCDPAの詳細を掘り下げ、新しい法律に準拠するために企業が知っておくべきことを包括的にガイドします。
インディアナ州消費者データ保護法の対象者は誰ですか?
インディアナCDPAは、以下の基準を満たす企業に適用されます:
- 少なくとも25,000人のインディアナ州住民の個人データを管理または処理する企業;または
- インディアナ州住民の個人データの販売から総収入の50%以上を得ており、少なくとも5,000人のインディアナ州住民の個人データを管理または処理する企業。
インディアナCDPAは、州または地方政府機関、グラム・リーチ・ブライリー法(GLBA)の対象となる特定の金融機関、または医療保険の相互運用性と説明責任に関する法律(HIPAA)の対象となる事業体には適用されません。さらに、従業員データおよび企業間データは一般的に本法の要件から除外されています。
インディアナ州消費者データ保護法における個人データとは何ですか?
インディアナCDPAでは、個人データは個人に関連付けられる、リンクされる、またはリンク可能な情報を指します。これには、名前、住所、メールアドレス、社会保障番号などの情報が含まれる場合があります。本法には、特に人種、民族、宗教、性的指向、生体認証または遺伝データ、位置情報データに関連するデータに関する特別な規定も含まれています。
インディアナ州消費者データ保護法に基づく消費者の権利
インディアナCDPAが法律として成立したことで、インディアナ州の住民はデータプライバシーを保護するためのいくつかの不可侵の権利を享受することができます。インディアナCDPAに基づく消費者の権利には以下が含まれます:
知る権利とアクセス権
インディアナ州の消費者は、企業が収集、使用、共有、または販売する個人データに関する情報を要求し、取得する権利を持っています。企業はそのような要求に対して45日以内に応答し、収集された個人データのカテゴリ、収集の目的、データが共有または販売された相手に関する詳細を含む報告書を消費者に提供しなければなりません。
削除する権利
消費者は、特定の例外を除き、自分の個人データの削除を要求する権利を持っています。企業は有効な要求を受け取った場合、速やかにデータを削除し、適用される場合はデータが開示された第三者に通知しなければなりません。
オプトアウトする権利
消費者は、ターゲット広告のための個人データの販売または共有をオプトアウトする権利を持っています。企業は消費者がオプトアウトするための明確で目立つ方法を提供し、消費者の選択を尊重しなければなりません。
差別を受けない権利
企業は、インディアナCDPAに基づく権利を行使する消費者に対して差別することを禁止されています。差別には、商品やサービスの提供を拒否すること、異なる価格や料金を請求すること、異なる品質の提供を行うこと、またはこれらの行為が行われることを示唆することが含まれます。
インディアナ州消費者データ保護法に基づく企業の義務
インディアナCDPAは、インディアナ州住民の個人情報を収集、処理、または共有する企業に対して、いくつかの法的拘束力のある義務を課しています。これには以下が含まれます:
透明性と通知要件
企業は、データ収集と使用の実践について消費者に明確で目立つ通知を提供しなければなりません。これらの通知には、消費者の権利の説明、収集された個人データのカテゴリ、収集の目的、データが共有または販売された第三者、および個人データに関連する要求を提出するための指示が含まれている必要があります。
データ最小化と目的制限
インディアナCDPAは、企業がデータ収集の目的を達成するために必要な最小限の個人データのみを収集することを要求しています。企業はまた、個人データの使用が消費者に開示された特定の目的に限定されることを保証しなければなりません。
データセキュリティ
企業は、個人データを不正アクセス、開示、または破壊から保護するために合理的なセキュリティ対策を実施する必要があります。本法は合理的なセキュリティ対策が何を構成するかについて具体的なガイダンスを提供していませんが、企業は業界のベストプラクティスと特定のリスク要因を考慮してデータセキュリティプログラムを開発および維持する必要があります。
データ保護評価
企業は、個人データの販売、ターゲット広告、または機密データの処理など、特定の高リスクデータ処理活動に対してデータ保護評価を実施しなければなりません。これらの評価は、データ処理活動のリスクと利益を評価し、消費者プライバシーへの潜在的な影響を考慮する必要があります。
サービスプロバイダーとの契約要件
企業がサービスプロバイダーと個人データを共有する場合、インディアナCDPAに準拠すること、契約で指定された目的以外での個人データの使用に制限を設けること、適切なデータセキュリティ対策を実施および維持することを含む特定の条項を含む契約を締結しなければなりません。
インディアナ州消費者データ保護法と他の州および連邦法との類似点と相違点
インディアナ州は、住民を保護するデータプライバシー法を持ついくつかの州の一つです。驚くことではありませんが、インディアナ州消費者データ保護法と類似点を持つ他の州および連邦のプライバシー法がいくつかあります:
カリフォルニア州消費者プライバシー法(CCPA)
カリフォルニア州消費者プライバシー法(CCPA)は、インディアナCDPAと同様に、カリフォルニア州住民にアクセス、削除、個人情報の販売のオプトアウトの権利を提供する包括的なプライバシー法です。しかし、CCPAの「販売」の定義がより広範であり、企業への適用のための基準が高いなど、重要な違いがあります。
バージニア州消費者データ保護法
バージニア州消費者データ保護法(VCDPA)も同様の消費者権利と保護を提供しますが、プライベートアクションの権利を含まず、バージニア州司法長官の執行権限にのみ依存しています。
一般データ保護規則(GDPR)
欧州連合の一般データ保護規則(GDPR)は、インディアナCDPAよりも広範で厳格であり、より強力な消費者権利、個人情報を扱う企業への義務、および不遵守に対する厳しい罰則を持っています。
他の州のプライバシー法
コロラド、コネチカット、ネバダなどの他の州も、インディアナCDPAと類似点を持つプライバシー法を制定していますが、範囲、定義、要件が異なる場合があります。提案、通過、または署名されたデータプライバシー法を持つ州の地図と完全なリスト、および各州に関する詳細情報については、こちらをクリックしてください。
インディアナ州消費者データ保護法に準拠するための企業の戦略
インディアナCDPAに準拠するために、企業は以下のステップを踏む必要があります:
| ステップ1 | プライバシーポリシーと通知を見直し、データ処理活動を明確かつ正確に説明し、本法の要件に準拠していることを確認します。 |
| ステップ2 | 消費者の個人情報のアクセス、削除、販売または共有のオプトアウトの要求に応答するためのプロセスを実施します。 |
| ステップ3 | 個人情報を不正アクセス、使用、または開示から保護するための適切なデータセキュリティ対策が整っていることを確認します。 |
| ステップ4 | 定期的にリスク評価を実施し、特定されたリスクを軽減するために必要に応じてすべてのデータ処理活動を更新します。 |
| ステップ5 | 必要に応じてデータ保護責任者を任命し、従業員のトレーニングやデータ処理活動の定期的な監査と評価を含む包括的なプライバシープログラムを確立して、本法の遵守を監督します。 |
Kiteworksは、コンプライアンスと認証の実績を誇っています。
インディアナCDPAに関するよくある質問
1. インディアナ州消費者データ保護法とは何ですか?その目的は何ですか?
インディアナ州消費者データ保護法は、インディアナ州住民の個人情報を保護することを目的とした包括的なプライバシー法です。本法は、企業がインディアナ州住民の個人情報を収集、処理、または保持する場合、企業の所在地に関係なく適用されます。インディアナCDPAは、インディアナ州住民に個人情報に対するより大きな管理権を与え、企業にデータ侵害を防ぎ、個人情報のセキュリティと機密性を維持するための措置を講じることを要求しています。
2. インディアナ州消費者データ保護法でカバーされる個人情報の種類は何ですか?
インディアナCDPAは、名前、住所、電話番号、メールアドレス、社会保障番号、運転免許証番号、パスポート番号、生体認証データ、健康情報、財務情報、オンライン閲覧履歴や検索履歴など、幅広い個人情報をカバーしています。また、購入履歴、カスタマーサービスの問い合わせ、マーケティングの好みなど、消費者と企業のやり取りに関する情報もカバーしています。
3. インディアナ州消費者データ保護法に基づく企業の主な要件は何ですか?
インディアナCDPAに基づき、企業は消費者の個人情報を収集、処理、または開示する前に、消費者からの明示的な同意を得る必要があります。企業はまた、消費者に個人情報に関連する特定の権利を提供する必要があります。これには、個人情報へのアクセス、削除、修正の権利が含まれます。企業はデータ侵害を防ぐために合理的なセキュリティ対策を実施し、500人以上のインディアナ州住民に影響を与えるデータ侵害が発生した場合、消費者およびインディアナ州司法長官事務所に通知しなければなりません。企業はまた、データ保護評価を実施し、データ保持およびデータ最小化ポリシーを実施する必要があります。
4. インディアナ州消費者データ保護法に違反した場合の罰則は何ですか?
インディアナCDPAは、違反1件につき最大5,000ドルの民事罰を規定しており、1件の事件につき最大50万ドルの罰金が科される可能性があります。さらに、インディアナ州司法長官事務所は、本法の違反を差し止めるための訴訟を提起したり、影響を受けた消費者のために損害賠償を求めることができます。企業はまた、データ侵害やインディアナCDPAの違反が発生した場合、評判の損失や消費者の信頼の喪失に直面する可能性があります。
5. インディアナ州消費者データ保護法は他の州のプライバシー法とどのように比較されますか?
インディアナCDPAは、カリフォルニア州消費者プライバシー法(CCPA)、バージニア州消費者データ保護法(VCDPA)、およびコロラド州プライバシー法(CPA)を含む、近年制定されたいくつかの州のプライバシー法の一つです。これらの法律には類似点がありますが、インディアナCDPAにはそれを際立たせる独自の規定があります。たとえば、インディアナCDPAは、CCPAやVCDPAでは要求されていないデータ保護評価の実施を企業に要求しています。また、インディアナCDPAは、他の州法では明示的に要求されていないデータ保持およびデータ最小化ポリシーの実施を企業に要求しています。さらに、インディアナCDPAの不遵守に対する罰則は、CCPAやVCDPAよりも低いですが、カリフォルニアプライバシー権法(CPRA)よりも高いです。全体として、インディアナCDPAは包括的な州のプライバシー法への傾向を反映しており、企業は適用される各法律に基づく義務を慎重に考慮する必要があります。
Kiteworksはインディアナ州消費者データ保護法への準拠を支援します
機密コンテンツの通信は、インディアナ州消費者データ保護法などの規制への準拠を確保するために重要です。インディアナ州住民の個人識別情報(PII)を効果的に保護するために、民間企業はPIIのデジタル通信を追跡、制御、保護するシステムを持つ必要があります。過去には、企業はメール、ファイル共有、アプリケーションプログラミングインターフェース(API)などの異なる通信チャネルを管理するために複数のツールとアプローチに依存しており、メタデータの断片化が生じ、集中管理された自動化システムの維持、保護、制御が困難になっていました。
Kiteworksのプライベートコンテンツネットワークは、PIIを含む機密通信を統合することを可能にし、メール、マネージドファイル転送、ファイル共有、ウェブフォームなどを含みます。Kiteworksを使用することで、組織は機密データの共有と送信を追跡し、制御し、保護することができ、インディアナCDPAの遵守を確保するのに役立ちます。
Kiteworksは、顧客のPIIを保護するためのいくつかの機能を企業に提供します。たとえば、すべての転送中および保存中のデータは暗号化され、最大限のセキュリティを確保します。堅牢なアクセス制御により、機密PIIにアクセスできる人を制限し、役割ベースの権限により、このコンテンツやその他のコンテンツをダウンロード、編集、または表示することができる人を制御します。「忘れられる権利」の原則に従って、Kiteworksは必要に応じてPIIの消去を可能にします。リモートワイプ機能を使用すると、紛失または盗難されたデバイスからデータを消去し、PIIをさらに保護します。最後に、Kiteworksはデジタル著作権管理(DRM)機能を採用して不正なデータの拡散を防ぎ、インディアナCDPAの遵守を強化します。
インディアナCDPAおよび他の州のプライバシー法に準拠するために、Kiteworksプライベートコンテンツネットワークについて学ぶためにカスタムデモを今すぐスケジュールしてください。
