デラウェア州個人データプライバシー法を解き明かす

個人データ、すなわち個人識別情報および保護対象保健情報（PII/PHI）の保護が最重要課題となっている時代において、デラウェア州個人データプライバシー法（DPDPA）の導入は、米国におけるデータプライバシーに関する立法の最新の章を示しています。2023年に成立した7番目の包括的な州プライバシー法として、DPDPAはプライバシー通知、データ保護策、同意の規定などのビジネス慣行を規定しています。本記事では、DPDPAの規定を詳細に検討します。

デラウェア州個人データプライバシー法の概要

デラウェア州個人データプライバシー法（DPDPA）は、米国における州データプライバシー保護法の増加するリストに加わり、消費者に包括的なデータ保護権を提供します。DPDPAは、デラウェア州で事業を行う、またはデラウェア州の住民を対象とした商品やサービスを提供する事業体に適用されます。以下のいずれかの基準を満たす企業は、コンプライアンスを遵守する必要があります：

1. 35,000人以上の消費者の個人データを管理または処理している場合、または
2. 10,000人以上の消費者の個人データを処理し、個人データの販売から20%以上の収益を得ている場合。

他の州のデータプライバシー法とは異なり、DPDPAは医療保険の相互運用性と説明責任に関する法律（HIPAA）の対象となる事業体に対する普遍的な免除を提供せず、非営利組織に対する広範な例外も提供しません。ただし、DPDPAは、グラム・リーチ・ブライリー法（GLBA）の対象となる企業に対して、冗長性と過剰規制を避けるための事業体レベルの免除を提供します。

コロラド、コネチカット、およびオレゴン州のデータプライバシー法と同様に、DPDPAは機密データの取り扱いに関するオプトインプロセスを規定し、オプトアウトの優先信号を認識し、消費者に法的または同様に重要な影響を与える可能性のある自動化された決定に関連するプロファイリングのオプトアウト規定を義務付けています。

DPDPAにおける機密データの定義

DPDPAによれば、「機密データ」とは以下の特定の情報を指します：

• 個人の人種または民族的出自
• 宗教的信念
• 精神的または身体的健康状態（妊娠しているかどうかを含む）
• 性生活に関する詳細
• 性的指向
• トランスジェンダーまたはノンバイナリーのステータス
• 市民権または移民ステータス
• 遺伝的または生体認証データ
• 子供に関連するデータ
• 正確な位置情報データ

DPDPAは、企業が機密データを処理する前に、州の住民（または子供のデータの場合は親/保護者）から有効な同意を得ることを要求しています。

この広範な機密データの定義は、トランスジェンダーまたはノンバイナリーのステータスや遺伝データなどの新しい要素を含む他の州のプライバシー法の変化を反映しています。さらに、DPDPAは、妊娠ステータスを機密データの一部として明示的に認める数少ない州プライバシー法の一つであり、その定義は州法の中で最も包括的なものの一つです。

デラウェア州個人データプライバシー法における消費者、管理者、および処理者とは？

DPDPAでは、消費者はデラウェア州の住民として定義されています。管理者とは、個人データが処理される理由と方法を決定する企業を指し、処理者は管理者の代わりに個人データを処理する事業体を指します。

DPDPAは、データ管理者に対して多くの重要な義務を指定しています。たとえば、データ管理者は以下を行う必要があります：

• 個人データの収集を、データが処理される理由に関連し、重要で、正当な必要性があると見なされるものに制限する
• 個人データを、開示された目的に合理的に必要または適合しない目的で使用しない
• 個人データの機密性、整合性、および可用性を保護するための適切なセキュリティ方法を設定、開始、および維持する
• 消費者の承認を得ずに消費者に関連する機密データを処理しない
• デラウェア州または連邦法で違法な差別を禁止する法律に反する方法で個人データを処理しない
• 消費者が同意を撤回し、データの処理を停止するための効率的な手段を提供し、その撤回要求を受け取ってから15日以内に処理を停止する
• 消費者の個人データをターゲット広告のために処理したり、消費者の同意なしに消費者の個人データを販売したりしない、特に消費者が13歳から18歳の場合
• 消費者が消費者権利を行使することに対して偏見を示さない

Kiteworksは、コンプライアンスと認証の実績を誇ります。

デラウェア州個人データプライバシー法で定義される権利

デラウェア州個人データプライバシー法は、デラウェア州住民のプライバシーを保護するための広範な機密データの定義を提供するだけでなく、デラウェア州の消費者にいくつかの権利を付与します。これらの権利には以下が含まれます：

デラウェア州住民は自分の個人データへのアクセスを要求する権利を持っています

DPDPAの下で、デラウェア州住民は、自分の個人データへのアクセスを要求する権利を持ち、企業がそれを収集および利用しているかどうかを知る権利を持っています。ただし、これを行うことが企業の営業秘密を明らかにする場合を除きます。この権利は、個人が自分の個人情報を管理することを可能にします。企業は、要求された場合、収集した個人データ、その使用方法、および第三者に開示されたかどうかを開示する必要があります。ただし、企業は、競争力を損なう営業秘密を明らかにする場合には、その情報を提供する義務はありません。この権利は、企業の秘密と個人のプライバシー権のバランスを取っています。

デラウェア州住民は、自分の個人データの誤りや不一致を修正するよう要求する権利を持っています

DPDPAは、個人が自分に関する個人データの不正確さを迅速に修正する権利を提供します。この権利は、データが誤解を招くまたは有害な方法で使用されないようにするために重要です。この権利は、データの誤りや誤表現が重大な結果をもたらす可能性があることを前提としており、したがってこの規定は、個人が自分のデータが正確であることを確認することを可能にします。

デラウェア州住民は、企業が収集または蓄積した個人情報を削除するよう要求する権利を持っています

一般に「忘れられる権利」として知られるこの規定は、収集された目的に対してもはや必要でないデラウェア州住民の個人データに対処します。デラウェア州住民は、自分に関するデータを削除するよう要求する権利を持ち、潜在的な誤用や不正アクセスから保護します。

デラウェア州住民は、企業が処理した個人データを使いやすく持ち運び可能な形式で取得する権利を持っています

デラウェア州個人データプライバシー法のこの規定は、個人が自分の個人データを構造化され、一般的で機械可読な形式で受け取ることを保証します。これにより、サービスプロバイダー間の切り替えが容易になり、競争を促進することができます。

デラウェア州住民は、いくつかの制限付きで、ターゲット広告やデータ販売などの個人データの使用を拒否するオプションを持っています

DPDPAは、デラウェア州住民が特定の状況で、ターゲット広告やデータ販売などの目的で個人データが使用されることに反対する権利を認めています。この規定は、特定のシナリオで同意または異議を表明する権利をデラウェア州住民に与え、個人データの不正利用を防ぐのに役立ちます。この権利は、DPDPAが個人データに対する同意、透明性、および個人の管理を重視していることを示しています。

DPDPAプライバシー通知とは何ですか？

DPDPAの下で、企業は消費者に包括的なプライバシー通知を提供することが求められています。プライバシー通知は、DPDPAの法的義務に対する透明性と適合性を維持することを目的としています。プライバシー通知は、次の詳細を効果的に伝えるために、容易にアクセス可能で、理解しやすく、意味のあるものであるべきです：

• 企業が処理または取り扱う個人データの種類
• この個人データが処理される特定の目的
• 消費者が自分の個人データに関して権利を主張する方法に関する明確な指示
• 企業が第三者と共有する個人データのカテゴリー
• 企業が個人データを共有する第三者に関する情報
• 消費者がコミュニケーションを開始できる企業の連絡先情報（メールアドレスやその他のオンライン方法を含む）

この情報は、データ処理のプロセスを合理化し、デラウェア州の消費者に対して、データがDPDPAに準拠して管理されていることを保証します。

デラウェア州個人データプライバシー法はどのように施行されますか？

DPDPAは、2025年1月1日に施行される予定で、デラウェア州司法省によって施行されます。司法省は、法の適用を監督し、潜在的な違反を調査し、必要に応じて起訴を行う権限を持っています。

DPDPAには、プライバシー法に違反した企業に対する60日間の救済期間が含まれており、違反を解決するための時間を提供します。ただし、この規定は2025年12月31日に失効し、その後は救済期間が裁量的になります。

デラウェア州司法省は、DPDPAの違反を不公正な取引慣行と見なすことができ、各違反には最大10,000ドルの罰金が科されます。

KiteworksはDPDPAのコンプライアンスを企業が証明するのを支援します

Kiteworksのプライベートコンテンツネットワークは、デラウェア州個人データプライバシー法のコンプライアンスを企業が確保するのを支援します。Kiteworksは、個人データのような機密情報を管理および共有するための安全なプラットフォームを提供し、DPDPAの必須要件を満たします。Kiteworksは、消費者の個人情報を保護するために厳格なセキュリティコントロールを提供し、多要素認証、詳細なポリシーコントロール、役割ベースの権限、セキュリティインフラストラクチャの統合、およびエンドツーエンド暗号化を組み込んでいます。

Kiteworksは、メール、ファイル共有、ファイル転送などの第三者通信チャネルを単一のプラットフォームに統合し、自己完結型で事前設定された強化された仮想アプライアンスによって保護されています。

消費者のPIIを含むすべてのファイルは、組織に入る、通過する、または離れる際に追跡されます。すべてのファイル活動、すなわち誰が何を誰にいつ送ったかを追跡することで、企業は異常な行動をフラグし、フォレンジック分析を行い、法的保留要求に応じ、多くのデータプライバシー法および基準に準拠していることを証明できます。

Kiteworksプライベートコンテンツネットワークについて、またデラウェア州個人データプライバシー法にどのように準拠できるかを知るために、カスタムデモをスケジュールしてください。

リスク＆コンプライアンス用語集に戻る