カリフォルニア州プライバシー権法（CPRA）：CCPA 2.0の準備はできていますか？

2020年5月、プライバシー擁護団体である消費者プライバシーのためのカリフォルニア州民は、カリフォルニア州プライバシー権法（CPRA、CCPA 2.0、提案24または提案24とも呼ばれる）を2020年11月の投票に追加するために900,000の署名を収集したと発表しました。

11月3日、カリフォルニア州民の56％が総選挙でCPRAに賛成票を投じました。 この法律は、2023年1月1日に施行された後、カリフォルニア州消費者プライバシー法（CCPA）を改正して引き継ぐことを目的としています。

要するに、法律はGDPRに合わせてユーザーのプライバシー権を拡大し、企業に追加の義務を課し、米国でプライバシーの実装と執行を専門とする最初の政府機関であるカリフォルニアプライバシー保護庁（CPPA）を設立します。

CCPAはすでにカリフォルニア以外で大きな影響を及ぼしており、米国全体のデータプライバシーの標準となっています。 そのため、この法案は注意深く監視する必要があります。カリフォルニアに拠点を置いていなくても、企業に影響を与える可能性があります。 以下に、マーケターが新しいコンプライアンス要件の準備を開始するために知っておく必要のある重要なポイントの概要を示します。

新しいプライバシー執行機関

一般データ保護規則（GDPR）が施行されたとき、EUはデータ保護当局に法律を施行するよう任命しました。 米国には、新しい消費者のプライバシー権を課すための同等の権限がありません。

そこでCaliforniaPrivacyProtection Agency（CPPA）が登場します。その役割は、新しいガイドラインを明確にし、罰金を科し、プライバシー違反についての公聴会を開くことです。

新しい消費者の権利とPIIの概念

CPRAは、カリフォルニアのデータプライバシー環境に新しい概念（GDPRのおかげですでにEUに存在している）を導入します。

ここにそれらのいくつかがあります、説明されました：

• 訂正する権利–不正確な個人情報を訂正する権利を消費者に付与します。
• 制限の権利–消費者に機密性の高い個人情報の使用と開示を制限する権利を付与します。
• 「機密」の個人情報–新法では、社会保障番号、パスポート番号、正確な地理的位置、生体情報など、特定の種類の情報が「機密」としてマークされます。

何が変わったの？

個人情報販売の新しい定義

CPRAは、企業がカリフォルニア州の住民から収集した個人情報を新しい方法でどのように処理できるかを定義します。 CCPAの下では、売却は「ある種の金銭的対価のためにデータを交換する」と定義されていました。この定義は、多くの人にとって曖昧すぎると見なされていました。 CPRAは、人々の個人情報の共有と販売を2つの異なるカテゴリに分割することにより、この問題を解決します。

何が変わったの？

16歳未満の子供のためのより多くの権利

• 子供の個人情報を違法に共有した場合の行政罰金の増加：16歳未満の子供の個人情報に関連する違反には、違反ごとに7,500ドルの罰金が科せられます。 現在の法律では、このペナルティは意図的な違反に対してのみ留保されていました。 16歳以上の人が関与する他のすべての意図的でない行為に対する最高2,500ドルの罰金は変わりません。
• 16歳未満の子供の個人情報を共有するためのオプトイン同意要件：CPRAの下では、消費者はPIの販売をオプトアウトできるだけでなく、特にサードパーティへの販売もオプトアウトできます。 同様に、CCRAは、16歳未満の子供のPIを共有または販売するために、企業が肯定的なオプトイン同意を収集する必要性に対処します。CPRAは、「オプトアウト優先信号の技術仕様を確立して、消費者、または消費者の親または保護者。消費者が13歳未満、または13歳以上16歳未満であることを指定します。」

請負業者にとっての新機能サービスプロバイダーの契約上の義務

CPRAは、書面による契約に従って、企業が消費者の個人情報をビジネス目的で利用できるようにする「請負業者」という用語を導入しています（CCPAの「サービスプロバイダー」と同様に、個人情報を処理する人を指します。 「ビジネスに代わって」）。

CCPAは、サービスプロバイダーとサブサービスプロバイダーの定義があいまいでしたが、CPRAは新しいルールを非常に明確に確立しています。 請負業者またはサービスプロバイダーは、他のサブプロセッサーとのコラボレーションについて透明性を保つために、書面による契約に拘束されます。 サービスプロバイダーは、他の消費者データを追加または保持することはできません。これにより、企業は、個人情報が非倫理的に取得または使用されないように「合理的かつ適切な措置を講じる」権利が与えられます。

マーケターがCPRAについて知っておくべきこと

2023年になると、マーケターは、広告主が使用するオーディエンス構築やターゲティング情報など、ファーストパーティまたはサードパーティのデータであるかどうかにかかわらず、収集して消費者にリーチするために使用するデータに細心の注意を払う必要があります。 直接または他のサービスプロバイダーや請負業者を介したデータ収集には、明示的な消費者の同意が必要です。 その後の個人情報の使用、共有、販売についても開示する必要があります。

マーケターがCPRAの準備をするために必要なことは次のとおりです。

1.会社の透明性を優先する

CPRAは、企業が収集するデータについて透明性を保つ必要があることを明確にしています。 データの収集方法、保存場所、保存期間、ライフサイクル全体での管理方法にすでに注意を払っている場合は、これらすべての測定値をユーザーと共有するときが来ました。 同様に、CPRAの下では、企業は同意構造を使用してユーザーを特定のアクションの実行に向けてプッシュする方法に制限があります。 これがマーケティング部門が行うことである場合は、ダークパターンや暗黙の同意を回避するために、同意を収集する方法の分析を開始します。

2.Cookieを確認してポリシーを更新する

GDPRと同様に、CPRAは、Cookieの使用を含む特定のデータ共有機能を制限します。 Webサイトに存在するCookieのインベントリを開始し、ポリシーを更新して、最新の規制に準拠していることを確認します。 冗長性を更新して、CPRAのすべての新しい句を含めるようにしてください。「機密性の高い」PIを収集していますか？ ユーザーはどのようにして自動化された意思決定テクノロジーをオプトアウトできますか？ これらの考慮事項が消費者に明確であることを確認してください。

3.パートナー（パブリッシャーを含む）とのすべての契約を確認します

CPRAに縛られたビジネスとして、あなたはあなたのパートナーがあなたがするのと同じレベルのプライバシー法へのコンプライアンスを提供することを確実にしなければなりません。 すべての契約を徹底的に確認し（必要に応じて法的事項を含む）、すべてのユーザーデータが明示的な同意を通じて取得され、倫理的に管理されていることを確認します。

CPRAは、特にオーディエンスと行動ターゲティングに関して、データ販売慣行を制限します。 パブリッシャーとのパートナーシップを確認し、ファーストパーティのデータプールを使用し、これらのプライバシー規制に準拠したデータを取得しているパブリッシャーを支持するようにしてください。

4.プライバシーの専門家と協力する

誰かを雇う場合でも、外部のコンサルタントや代理店と協力する場合でも、最新の規制に遅れないようにするための専門家が必要です。 CPRAは、おそらくあなたのビジネスに影響を与える最後のデータプライバシー法ではありません。 実際、法律は、将来的に全国的に採用される可能性が高い新しい基準を設定しています。

準備はできたか？

法案が可決された今、企業は新しいコンプライアンス要件に精通する必要があります。 この法律は2023年1月1日に施行され、2023年7月1日に施行されますが、2022年1月1日にはすでに企業が収集した個人情報に適用される可能性があります。

新しいプライバシー規制に適応するためのこのような長い通知は過度に聞こえるかもしれませんが、特に多くのパートナーと協力している場合、大規模な組織では事態が急速に複雑になる可能性があります。 そのため、すぐに開始することをお勧めします。

何か質問がある？ Convertは、市場で最もプライバシーに準拠したA/Bテストツールです。 私たちの専門家は、プライバシー規制のすべての詳細と、完全に準拠するために必要なことを知っています。ここに質問を送信してください。