2018年6月下旬、カリフォルニア州は、2018年5月に施行された欧州連合の一般データ保護規則(GDPR)よりも米国企業に影響を与える可能性のある消費者プライバシー法、AB 375を成立させました。 カリフォルニア州法には、企業が情報漏洩を報告しなければならない72時間という狭い時間枠など、GDPRの最も過酷な要件はない。 しかし、他の点では、さらに踏み込んだ内容になっています。
CCPA は、個人データを構成するものについて、GDPR よりも広い視野で捉えています。
CCPAとは?
カリフォルニア消費者プライバシー法 (CCPA) は、カリフォルニア州の消費者が、企業が保存したすべての情報と、そのデータを共有するすべての第三者の完全リストを見るよう要求できるようにするための法律です。 さらに、カリフォルニア州法では、プライバシーガイドラインに違反した場合、違反がなくても、消費者が企業を訴えることができます。
CCPA はどの企業に影響するのですか?
カリフォルニア州の住民にサービスを提供している、年間売上が少なくとも 2500 万ドルあるすべての企業は法律を守らなければなりません。 また、規模に関係なく、少なくとも 5 万人分の個人データを保有している企業、または、個人データの販売から収益の半分以上を得ている企業も、この法律の対象となります。 また、カリフォルニア州に本社を置く企業や、カリフォルニア州に物理的な拠点を持つ企業でなくても、この法律の適用を受けることができます。 3307>
4月の修正では、「保険機関、代理店、支援組織」は、カリフォルニア州の保険情報およびプライバシー保護法(IIPPA)の下ですでに同様の規制を受けているため、除外されています。
私の会社はいつCCPAを遵守する必要がありますか?
法律は2020年1月1日に施行されましたが、施行は7月1日からです。
私の会社がCCPAを遵守していない場合はどうなりますか?
企業は規制当局から違反があると通知されてから30日間のうちに法律を遵守する必要があります。 問題が解決されない場合は、1件につき最高7,500ドルの罰金が科せられます。 「と、BigIDのプライバシー戦略担当シニアディレクターであるデブラ・ファーバー氏は言う。 この法案はわずか1週間でまとめられ、可決されたので、おそらく何らかの修正が加えられるだろうと、彼女は付け加えている。 「罰金の額などは変わる可能性があります」
もうひとつ、金銭的なリスクも考えられるとファーバーは言います。 「この法案では、初めて個人が訴訟を起こす権利が規定されました」と彼女は言います。 「そして、損害賠償のための集団訴訟を可能にします」
繰り返しになりますが、消費者が自分のプライバシー権が侵害されたと信じる旨を企業に書面で通知してから、30日間の猶予があります。 「それが治らず、司法長官が起訴を断念すれば、集団訴訟を起こすことができる」とファーバーは言います。 「たとえば、この法律では、企業は消費者にデータ共有を拒否する選択肢を提供するフッターを、ウェブサイト上にはっきりと表示しなければならないと定めています。 そのフッターがない場合、消費者は訴訟を起こすことができます。 また、自分の情報がどのように収集されたかを知ることができない場合、またはその情報のコピーを入手できない場合にも、訴えることができます。 「3307>
この法律は、不正アクセス、流出、盗難、または「合理的なセキュリティ手順と慣行を実装および維持する義務に対する企業の違反の結果としての開示」のいずれかが発生した場合、特定の罰則を定めています。
「IT 対応、フォレンジック、復旧、法務、通知など、その他の侵害関連コストをすべて加えると、侵害は多くの企業にとって存続の危機の域に達するかもしれません」と Imperva 社ランタイム セキュリティ ソリューション アーキテクチャ責任者の Chris Prevost は述べています。 少なくとも、GDPRの準備ができていない場合よりは近いと、Focal Point Data Risk, LLCのデータプライバシー・プラクティスリーダーであるEric Dieterich氏は言う。 「CCPAはどのようなデータを対象とするのでしょうか。
カリフォルニア州法は、GDPRよりも機密データを構成するものに対してより幅広いアプローチを取っています。 たとえば、嗅覚情報、閲覧履歴、ウェブサイトやアプリケーションと訪問者のやり取りの記録などが対象となります。 以下は、AB375が「個人情報」と見なすものである。
- 本名、通称、郵便住所、固有の個人識別子、オンライン識別子IPアドレス、電子メールアドレス、アカウント名、社会保障番号、運転免許証番号、パスポート番号などの識別子。 またはその他類似の識別子
- カリフォルニア州法または連邦法に基づく保護階級の特徴
- 個人資産の記録、購入、入手または検討した製品またはサービス、またはその他の購入または消費の履歴または傾向などの商業情報
- 生体情報
- インターネットまたはその他の電子ネットワーク活動情報(以下を含む)。 閲覧履歴、検索履歴、およびウェブサイト、アプリケーション、または広告と消費者とのやり取りに関する情報
- 地理位置データ
- 音声、電子、視覚、熱、嗅覚、または同様の情報
- 専門的または雇用関連の情報
- 教育情報、家族教育権およびプライバシー法(20 U. S. E. R. & P. A. )で定義される公開個人識別情報(PII)ではない情報としての定義 教育情報。S.C. 1232g、34 C.F.R.)で定義された、公に利用可能な個人情報(PII)ではない情報と定義されます。 Part 99)
- 消費者の嗜好、特徴、心理的傾向、好み、素質、行動、態度、知能、能力、適性を反映した消費者に関するプロファイルを作成するためにこの下位区分で特定される情報のいずれかから引き出される推論
現在知事の署名を待っている修正案、AB 874は、一般に利用可能で非識字、集約された消費者情報をPIIとして分類から免除するものです。 公的に利用可能な情報とは、政府の記録から入手可能で維持されているデータと定義されます。
CCPA はもともと、消費者データだけでなく従業員データも対象としていました。 しかし、4 月に可決された修正案は、従業員データを規制の対象から除外しています。 また、別の修正案AB25では、求職者、オーナー、取締役、役員、医療スタッフ、請負業者から収集した個人情報を一部除外しています。 この適用除外は2021年1月1日に失効する。 AB 25 は、この記事の執筆時点では、知事の署名を待っているところです。
CCPA の主要なプライバシー条項は何ですか?
企業は消費者が自分のデータを第三者と共有しないよう選択できるようにしなければなりません。 つまり、企業はユーザーのプライバシーに関する選択に従って、収集したデータを分離できるようにしなければならなくなりました。
また、企業はユーザーの平等なサービスを拒否できませんが、個人情報を提供するユーザーに対してインセンティブを提供することは可能です。 「この規定は変更される可能性がありますが、今日述べたように、自分のデータを第三者に共有または売却されることに同意する人に対して、割引を提供することができます」とDieterich氏は言います。 「従来は、プライバシーに関する選択によって価格体系が変わるようなシステムはありませんでした。 これは、非常に技術的な意味を持つ新しい概念です」
Dataguise 社の製品担当 SVP である Subra Ramesh 氏は、GDPR とのもうひとつの大きな違いは、カリフォルニア州の法律が、顧客の記録へのアクセスをより大きく認めることだと述べています。 カリフォルニア州の消費者は、企業が自分についてどのような情報を収集しているのかを知る権利を有しています。 しかし、ほとんどの企業は、その情報を集めるのに苦労している。 「第一に、企業が収集するデータの量はすでに膨大で、数百から数千テラバイトに相当し、企業レベルの組織ではペタバイト級のデータを処理しています」と、彼は言います。 「ほとんどのファイル検索ツールは、今日普及している最新のファイル リポジトリ エコシステムを横断して検索する機能を備えていません」と Cloudtenna の CEO、Aaron Ganek は述べています。 「クロスシロファイル管理は大きな課題です。 異なるリポジトリ内に散在している場合、各ファイルのコンテキストを理解することは困難です。 さらに、データをまとめるには、コンプライアンスの問題が付きまとうそうです。 「レガシー エンタープライズ ツールは、異なる権限やセキュリティ モデルを観察するのに苦労し、満足させるために使用されている法律や規制そのものに違反しています」
それから、時間制限もあります。 「アクセス要求の後、企業は45日以内に、どのような種類の情報を持っているのか、それは売られたのか、誰に売ったのか、過去12カ月間に第三者に売られた場合は、データが売られた第三者の名前と住所を知らせる必要があります」と1touch.ioのプライバシー製品マネージャー、ジョン・ツォパニスは述べています。 「ヨーロッパではそんなことはできません」
この規則は過去12カ月間の記録を対象としているので、企業は今から6カ月後に準拠し始めなければならないと、彼は言います。 そして、2020年1月1日には、すべての企業が、データを販売している他のすべての企業を開示しなければならなくなります。 「CCPA はセキュリティにとってどのような意味があるのでしょうか。
AB 375 は、GDPR と比較して、セキュリティと侵害対応に関する要件が軽微です。 前述のとおり、この法律では、違反やセキュリティの不備により消費者データを公開した企業に対する罰則が定義されています。 また、裁判所は「差止命令による救済」または「裁判所が適切とみなすその他の救済」を提供することができます。
AB 375 では、企業は侵害を報告する必要はなく、消費者は罰金を科される前に苦情を申し立てなければなりません。 つまり、AB 375 条が定義する個人情報とはどのようなデータなのかを知り、それを保護するための措置を講じることが、セキュリティのための最善の行動となります。 3307>
データの追跡、アクセス、および保存に関する AB 375 の要件により、セキュリティ チームはデータベース管理者と密接に連携する必要があると、サイバーセキュリティ ベンダー Imperva の上級副社長兼フェロー、テリー レイは述べています。 AB375に対応するために選択されたツールは、異種企業環境全体に保存されているデータを完全に可視化する必要があるだけでなく、このデータへのアクセスが適切に保護されていることを確認する必要があります。 「最後に、これらのツールは、特定の消費者データを要求する検証可能な消費者と共有することで、新しい消費者ポータルに協力する必要があります」と彼は言います。 たとえば、従業員がマーケティングや営業の連絡先を記録するために、ファイル共有アカウントを設定することがあります。 「Google や Facebook などの大手ハイテク企業が法案に反対したのは当然です」と、Venafi のセキュリティ戦略および脅威インテリジェンス担当副社長の Kevin Bocek 氏は言います。 「マシン間を流れるプライバシーと個人情報を制御することは、信じられないほど難しく、すべてのビジネスにとって大きな課題です」
A work in progress
法案がわずか 7 日間でまとめられたのは、立法者が多くのハイテク企業が反対する、さらに厳しい法律を可決する投票運動を避けようとしたためです。 「今は、多くの条項や定義が互いに矛盾しています」と、セッションMのジェネラルカウンセル兼グローバルプライバシー担当副社長のアンディ・デイル氏は言います。
問題となる領域の1つは、企業が消費者のプライバシー設定に基づいて異なる価格を請求できるかどうかです。 たとえば、多くの企業は、消費者が広告を一切表示しない有料レベルにアップグレードできるオプションを持っています。 ここで、現在書かれている法律は少し矛盾しています。
「消費者が規制に基づいて権利を行使する場合、企業は消費者に対して異なるレベルまたは質の製品、商品、サービスを提供することはできません」とサイパークラウドのCEO、Pravin Kothariは述べています。 “その一方で、規制によれば、企業は、その違いが消費者のデータによって消費者に提供された価値に合理的に関連している場合、消費者に異なる価格や料金を請求したり、消費者に異なるレベルや品質の商品やサービスを提供することは禁止されていません。”
カリフォルニアは、消費者が自分のデータの共有に対してお金を得られる枠組みを定義しようとしているように見えます、と Kothari 氏は言います。 「この分野では、この法律は少し先見性があります」と彼は言います。 「CCPAの詳細:
- CCPAにおけるCISOが答えるべき9つの質問
- CCPAはデータセキュリティを整える機会
- 「妥当なセキュリティ」とは何か? また、その要件を満たすにはどうすればよいか
- 消費者データ保護に真剣に取り組む
- 市民によるデータの所有が今後のビジネスに与える影響
(敬称略