カリフォルニア州消費者プライバシー法（CCPA）とは何ですか？

CCPA（カリフォルニア州消費者プライバシー法）は、カリフォルニア州の住民の個人識別情報（PII）を保護するために2018年に制定されたデータプライバシー法です。この法律は2020年1月に施行されました。CCPAの立法目的は、技術、メディア、エンターテインメント、通信業界におけるデータ侵害の増加に対抗することでした。

CCPAは、カリフォルニア州の住民が自分のPIIを企業がどのように扱うかを管理できるようにします。また、カリフォルニア州の住民からのPIIへのアクセスや削除の要求を企業が尊重し、個人情報の共有や販売をオプトアウトする能力を持つことを保証します。

CCPAコンプライアンスとは？

欧州連合の一般データ保護規則（GDPR）をモデルにしたCCPAは、カリフォルニア州の住民からPIIを収集する企業がデータの収集方法について情報を提供することを規定しています。また、カナダの個人情報保護および電子文書法（PIPEDA）とも類似しています。企業がコンプライアンスを確保するためには、プライバシーポリシーを以下のように調整する必要があるかもしれません：

• 企業が収集および処理する情報
• 情報が収集および処理される理由
• 個人情報を収集および処理する方法
• 住民が個人データへのアクセス、変更、移動、削除を要求するために必要な手続き
• そのような要求を提出する人の身元を確認するための方法
• ユーザーのPIIの販売と、データの販売をオプトアウトする方法

CCPAの地理的範囲とは？

CCPAは州全体のデータプライバシー法ですが、カリフォルニア州の住民のPIIを扱う企業に対して世界中で適用されます。この法律は、米国で最も厳しいプライバシー法の一つとされています。

CCPAに準拠しなければならない組織

CCPAは、カリフォルニア州の住民のPIIを収集および管理するすべての営利企業に適用されます。また、以下のいずれかの基準を満たすカリフォルニア州の営利企業にも適用されます：

• 年間総収入が2,500万ドルを超える
• 年間収入の50%以上がカリフォルニア州の住民のPIIの販売から得られる
• 年間で5万件以上のカリフォルニア州の住民、世帯、またはデバイスのPIIを購入、受領、または販売する

CCPAの対象外となる組織

CCPAは、非営利団体、収入基準を満たさない小規模企業、およびカリフォルニア州の住民のPIIを大量に扱わない企業には適用されません。

CCPAが適用されないその他の状況には以下が含まれます：

PIIが関与していない場合

CCPAの主な焦点はPIIにあります。公に利用可能な情報、すなわち連邦、州、および地方政府の記録から合法的に利用可能な情報は、CCPAの対象外です。

他の法律や規制が適用される場合

データ保護に関する他の規制がすでにいくつかの業界を支配しています。これらの法律には、医療保険の相互運用性と説明責任に関する法律（HIPAA）、グラム・リーチ・ブライリー法（GLBA）、および公正信用報告法（FCRA）が含まれます。CCPAは、これらの法律で既にカバーされているデータを免除します。

CCPAの主要な規定

CCPAはGDPRと比較されることが多いですが、規制コンプライアンスの定義がはるかに広範です。CCPAは、保護されるPIIを「特定の個人を識別し、関連し、記述し、関連付けられ、または合理的にリンクされる可能性のあるデータ」と定義しています。

CCPAは、カリフォルニア州の住民に対して、企業に以下のいずれかを開示するよう要求する権利を与えています：

• 消費者について収集されたすべてのデータ
• 情報が収集される情報源のカテゴリー
• その情報を収集するビジネス目的
• 情報が共有される第三者

企業にとって、CCPAはビジネス目的を、情報が収集または処理された目的を達成するために合理的に必要かつ比例した範囲で、ビジネス運営のために個人情報を使用することと定義しています。CCPAによれば、ビジネス目的には以下が含まれます：

1. 消費者との現在のやり取りおよびその後の取引に関連する監査
2. セキュリティインシデントの監視および検出、違法行為に対する保護、およびそのような行為に責任を持つ者の起訴
3. 個人情報が第三者に開示されず、消費者に関するプロファイルを作成したり、現在のやり取り以外で個々の消費者の体験を変更したりしない限り、短期間の使用
4. 技術開発のための企業内研究の実施
5. アカウントの維持、カスタマーサービス、注文および取引の処理、顧客データの確認、支払いの処理、広告またはマーケティング、分析サービスなど、企業を代表してサービスを提供すること
6. 企業のサービスまたはデバイスの品質または安全性を確認または維持するためのサービスを提供すること

CCPAにおける個人情報

CCPAは、カリフォルニア州の住民のPIIに関するプライバシー権と消費者保護を保証します：

• 個人の本名、別名、郵便住所、ユニークな個人識別子、オンライン識別子、インターネットプロトコルアドレス、メールアドレス、アカウント名、社会保障番号、運転免許証番号、またはパスポート番号
• 個人財産の記録、購入、購入または消費の履歴または傾向などの商業情報
• 生体認証データ
• ウェブサイト、アプリケーション、または広告との消費者のやり取りに関する情報などのインターネット活動情報
• 位置情報データ
• 音声、電子、視覚、熱、嗅覚、または類似の情報
• 職業または雇用に関連する情報
• 情報が公に利用可能でない限り、教育情報
• 消費者のアイデンティティ、好み、特性、傾向、行動、態度、および能力を反映するために作成されたプロファイルに基づく推論

CCPAに準拠しない場合の罰則と罰金

CCPAに準拠しない場合、財政的な罰則と罰金が科されます。CCPAによれば、カリフォルニア州の司法長官は、CCPAの命令を故意に無視したと見なされる意図的な不遵守に対して、1件あたり最大7,500ドルの罰金を課すことができます。侵害中にアクセスされたユーザーデータを暗号化しなかった場合、意図しない不遵守と見なされ、1件あたり2,500ドルの罰金が科されます。

CCPAはまた、非遵守によるデータ侵害が発生した場合に消費者に対して個別の訴訟権を与えています。消費者は、そのような侵害において企業を法定損害賠償で訴えることができます。手続きを進める前に、消費者は企業に違反を通知し、違反を解決するために30日間の猶予を与えなければなりません。企業がその期間内に違反を解決しない場合、影響を受けた消費者1人あたり最大750ドルの法定損害賠償が科されます。

CCPAに準拠するためのステップ

CCPAに準拠し、維持するために、組織が従うべきいくつかのステップがあります：

1. CCPAに対するビジネスの義務を確立する

CCPAは、カリフォルニア州の住民である自然人を保護します。CCPAは、カリフォルニア州の住民が企業が収集するPIIとそのデータの使用方法を知る権利を持つことを義務付けています。企業は、顧客がその情報の使用をオプトアウトできるようにし、企業が保持している情報のコピーを要求に応じて取得できるようにする必要があります。

2. 保持および収集されるすべての消費者データをマッピングする

企業がCCPAに準拠する義務があると判断したら、次のステップは企業の管理下にあるすべてのPIIをマッピングすることです。

3. 消費者データを送受信するすべての第三者を評価する

次のステップは、企業がPIIを共有するすべての第三者について同様に行うことです。組織のサードパーティリスク管理（TPRM）の一環として、これらの第三者がCCPAに準拠していることを確認する必要があります。これには、プライバシーポリシーのレビューと更新が含まれます。

4. CCPAに基づいて消費者が権利を行使しやすくする

次のステップは、消費者がCCPAで提供されている権利を行使するためのプロセスと手順を作成することです。

5. 必要な運用変更を特定し、実施する

CCPAに対応するために、いくつかの運用上のビジネス変更が必要になる場合があります。これには、消費者情報の収集と処理方法、消費者の要求の処理方法、および継続的なコンプライアンスの方法が含まれます。

6. 従業員を訓練する

最後のステップは、コンプライアンスがビジネスにどのように影響するか、そしてこれが消費者データの取り扱いにどのように影響するかについて従業員を訓練することです。チームは、CCPAが消費者をどのように定義し、個人情報をどのように定義し、消費者からの要求にどのように対応するかについて訓練されなければなりません。

CCPAとGDPRの比較

CCPAとGDPRは、それぞれの管轄内で組織がPIIをどのように扱うかを規制する法律です。両方の法律は、個人が企業が個人情報をどのように管理するかについてより大きな権限を持つことを可能にします。

CCPAは、営利活動を行い、カリフォルニア州の住民のために個人情報を扱い、収集、または処理する企業に適用されます。一方、GDPRは、欧州連合（EU）の住民に対して、企業が個人情報を収集および使用する方法を管理する権限を与えます。GDPRは、EUの27の加盟国すべてで一律に拘束力があります。以下は、CCPAとGDPRの簡単な比較概要です（Baker Law文書から適応）：

CPRAとは？

2020年に、カリフォルニア州消費者プライバシー法が制定されました。カリフォルニア州プライバシー権法（CPRA）は、CCPAの改正であり、2023年1月に施行され、2023年7月に施行が開始されます。CPRAは、カリフォルニア州の住民に対するプライバシー権をさらに拡大するためにCCPAを改正します。この法律は、主にCCPAの下で同じ保護を提供しますが、その規定の一部を更新し、いくつかの新しい規定を導入します。

CPRAは、この法律を実施および施行する責任を負うカリフォルニア州プライバシー保護機関を設立します。また、民事執行機関として司法長官を維持します。

機密コンテンツ通信とCCPA

民間企業は、カリフォルニア州の住民のPIIのデジタル通信を追跡、管理、および保護して、CCPAに準拠する必要があります。歴史的に、企業は機密コンテンツ通信のために多数のツールに依存してきました—異なる通信チャネル（メール、ファイル共有、ファイル転送、マネージドファイル転送、ウェブフォーム、アプリケーションプログラミングインターフェース[API]）に対するサイロ化されたアプローチです。これにより、メタデータの分断が生じ、組織がPIIの集中管理と自動化されたガバナンスを確立し、統合リスク管理アプローチを維持することが難しくなります。

Kiteworksプラットフォームは、PIIのような機密データのデジタル通信をプライベートコンテンツネットワークに統合します。Kiteworksは、組織内外で共有および送信されるPIIを統一、追跡、管理、および保護し、CCPAの規制コンプライアンスを確保するのに役立ちます。

Kiteworksがどのようにして組織のためにプライベートコンテンツネットワークを作成できるかについての詳細は、カスタムデモをスケジュールしてください。

リスク＆コンプライアンス用語集に戻る