コロラドプライバシー法の概観:ユーザーデータ保護の将来に関する予測
公開: 2021-09-16
今年7月、コロラド州はコロラド州プライバシー法(CPA)を可決し、カリフォルニア州、ネバダ州、バージニア州に続いて、米国で包括的なプライバシー法を制定する4番目の州になりました。
公認会計士や同様の法律は時間の経過とともに変更される可能性がありますが、問題は残ります。企業は新しい個々の法律の遵守に向けて取り組み始めるのか、それともユーザーの権利が何があっても保護され続けるような何らかの計画を立てるべきなのか。ポリシーの変更に関して起こりますか?
各州独自のプライバシー規制により、企業がこれらの変更を追跡し、コンプライアンスを確保し、罰則を回避することがますます困難になっています。
このプロセスを簡単にするために、さまざまな州の最近の例をいくつか比較し、それらがビジネス慣行にどのように影響するか、およびユーザーデータ保護の将来の傾向についての洞察を提供します。
このブログ投稿では、コロラド州のプライバシー法と、それがネバダ州のSB20、バージニア州のCDPA、カリフォルニア州のCPPAと最新のCPRA、ヨーロッパのGDPRなどの他のプライバシー法とどのように重なるかを見ていきます。
まず、これらの法律のすべての主要な規定の要約は次のとおりです。
| 主な規定 | コロラドCPA | ネバダSB220 | バージニアCDPA | カリフォルニアCDPA+CPRA | ヨーロッパGDPR | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 処理する能力 | |||||||||||||||||||||||||||||||||||
| データの最小化 | はい | はい | いいえ | はい | |||||||||||||||||||||||||||||||
| 許容される目的 | はい | はい | いいえ | はい | |||||||||||||||||||||||||||||||
| 個人の権利 | |||||||||||||||||||||||||||||||||||
| 処理活動の通知を受け取る権利 | はい | はい | はい | はい | はい | ||||||||||||||||||||||||||||||
| 個人データにアクセスする権利 | はい | はい | はい | はい | |||||||||||||||||||||||||||||||
| データの移植性に対する権利(つまり、データは、あるエンティティ/プラットフォームから別のエンティティ/プラットフォームに転送できるように、すぐに使用できる形式で提供する必要があります) | はい | はい | はい | はい | |||||||||||||||||||||||||||||||
| 個人データの誤りを訂正する権利 | はい | はい | いいえ | はい | |||||||||||||||||||||||||||||||
| 個人データを削除する権利 | はい | はい | はい | はい | |||||||||||||||||||||||||||||||
| 行動広告をオプトアウトする権利 | いいえ | はい | いいえ | はい | |||||||||||||||||||||||||||||||
| 自動化されたプロファイリングと意思決定に反対する権利 | いいえ | はい | いいえ | はい | |||||||||||||||||||||||||||||||
| これらの権利の行使に対する無差別の権利 | はい | はい | はい | はい | |||||||||||||||||||||||||||||||
| 個人情報の販売をオプトアウトする権利 | はい | はい | はい | はい | いいえ | ||||||||||||||||||||||||||||||
| 機密情報の処理をオプトインまたはオプトアウトする | オプトイン | オプトイン | 身を引く | オプトイン | |||||||||||||||||||||||||||||||
| 要求の拒否を訴える権利 | いいえ | はい | いいえ | いいえ | |||||||||||||||||||||||||||||||
| 説明責任/ガバナンス | |||||||||||||||||||||||||||||||||||
| データ保護の評価 | はい | はい | いいえ | はい | |||||||||||||||||||||||||||||||
| 安全 | |||||||||||||||||||||||||||||||||||
| 情報を保護するための適切なデータセキュリティ | はい | はい | はい | はい | |||||||||||||||||||||||||||||||
| 違反通知 | はい | はい | はい | はい | |||||||||||||||||||||||||||||||
| EEA外でのデータ転送 | |||||||||||||||||||||||||||||||||||
| 国際移転のための追加措置 | はい | いいえ | いいえ | はい | |||||||||||||||||||||||||||||||
| サードパーティへの転送 | |||||||||||||||||||||||||||||||||||
| サービスプロバイダー契約の契約要件 | はい | はい | はい | はい | |||||||||||||||||||||||||||||||
| マーケティング | |||||||||||||||||||||||||||||||||||
| AdtechCookieの同意 | いいえ | はい | はい | はい | |||||||||||||||||||||||||||||||
| ダイレクトマーケティングの前に取得した同意 | はい | いいえ | いいえ | はい | |||||||||||||||||||||||||||||||
| 執行機関 | |||||||||||||||||||||||||||||||||||
| 検事総長 | 検事総長 | 司法長官、CPPA | DPA | ||||||||||||||||||||||||||||||||
| 手術日 | |||||||||||||||||||||||||||||||||||
| 2023年7月1日 | 2019年10月1日 | 2023年1月1日 | 2020年1月1日/2023年1月1日 | 2018年5月25日 | |||||||||||||||||||||||||||||||
これらすべてのプライバシー法に共通するものは何ですか?
CPAは、GDPR、カリフォルニア州法、バージニア州法などの他のプライバシー法と同様です。 ただし、ネバダ州はオンラインで収集された特定のデータの販売に関してはるかに限定された法律を制定しただけであるため、ネバダ州とは比較されません。したがって、ネバダ州は以下の比較から除外されます。
- データ処理契約—これはすべてのプライバシー法に共通です。 簡単に言うと、組織は、サービスまたは製品を使用するときに行われる個人データ処理アクティビティを説明する法的テンプレートを作成する必要があることを意味します。 つまり、データ処理がどのように行われるのか、誰が何に対して責任を負うのか、そしてどのようなセキュリティ対策が講じられるのかについて説明します。 2018年に、GDPR用のテンプレートを準備しました。こちらから入手できます。 新しい法律ごとに、すべての新しい法的条件に適応するようにテンプレート条項を更新します。
- プライバシー法の2つ目の共通点は、消費者が権利を行使したときに迅速かつ適切に対応するために、組織が適切な技術的および組織的措置を講じることを要求していることです。 上記の表に見られるように、これらの権利がどのようなものであるかは法律ごとに異なりますが、措置は同じままです。
- 個人データ侵害の通知は、法律に存在するもう1つの一般的な用語です。 個人データのセキュリティ違反とは、組織が保持する個人データの機密性、整合性、または可用性にあらゆる形式で影響を与える可能性のあるイベントです。
個人データのセキュリティ侵害は、次のような多くの理由で発生する可能性があります。- 許可されていない個人への機密データの開示。
- データまたはデータが保存されている機器の紛失または盗難。
- 情報の不正使用を許可する不適切なアクセス制御。
- ハッキングなど、コンピュータシステムへの不正アクセスを試みます。 データの「所有者」による許可なしに変更または削除されたレコード。
- IT機器システムまたはネットワークに対するウイルスまたはその他のセキュリティ攻撃。
- 他の人が情報にアクセスするのを防ぐために画面をロックせずに、ユーザーアカウントにログインしたときにIT機器を無人のままにします。
- 誤って間違った受信者に送信された個人情報または機密情報を含む電子メール。
- GDPR、CCPA、VCDPA、およびCPAに基づくもう1つの一般的な要件は、新しい高リスク処理プロジェクトに対してデータ処理影響評価(DPIA)を実施するプロセスです。 DPIAは、プロジェクトまたはイニシアチブが個人のプライバシーに与える可能性のある潜在的な影響を体系的に検討するプロセスです。 これにより、組織は潜在的なプライバシーの問題が発生する前に特定し、それらを軽減する方法を考え出すことができます。 GDPRは、リスクの高い処理に関与する組織に必須のDPIAを最初に導入しました。 たとえば、新しいテクノロジーが導入されている場合、プロファイリング操作が個人に大きな影響を与える可能性がある場合、または公的にアクセス可能なエリアの大規模な監視が行われている場合です。
たとえば、Convertが使用している個人データにアクセスする権利を行使するには、[email protected]に書面によるリクエストを送信する必要があります。 リクエストでは、関心のある特定のプライバシー法に基づいてアクセスする権利を行使してリクエストが行われていることを伝えます。DPOは、書面によるリクエストに応答する必要があります。 個人情報が間違った人に提供されないようにするために、DPOがあなたに要求する必要があるあなたの身元の証拠を提供する準備をしてください。 上記のプロセスはGDPR、CCPA、CPAに固有のものであり、プライバシーページにすでに記載されています。
同様に、Convertアカウントを閉鎖し、サービスを終了し、すべてのConvertデータのバックアップが必要な場合は、データの移植性に対する権利を行使できます。 データをダウンロードするオプションがすぐに利用できない場合は、上記の同じ電子メールアドレスに電子メールを書き込んで、サービス全体で使用されるデータのバックアップをDPOに依頼できます。 DPOは、書面による要求に応じて行動する必要があります。
GDPRプロジェクトでは、Convertは、DPIAを実行するために使用されるスタッフとテンプレートのガイダンスを作成しました。 事前に記入されたスクリーニング質問を含むテンプレートは、ここにあります。 その後、このテンプレートは新しい米国のプライバシー法に適合しました。
しかし、いくつかの重要な違いがあります!
GDPRは個人データを保護します。 米国の法律は主に、個人データを保護することを選択した消費者を保護します。
- データと消費者保護に関する議論は、これらすべてのプライバシーイニシアチブの中核にあります。 GDPRを他のすべてのプライバシー法と区別する重要なポイントでもあります。 GDPRを使用すると、個人データは、収集、処理、保存、サードパーティへの転送など、さまざまなフェーズを通じて保護されます。 米国の法律は、消費者がオンラインでサービスを使用している間、製品を閲覧またはテストしている間、消費者が保護されることを保証します。 これが、新しい法律が施行されたときに企業のプライバシーポリシーを同じに保つことができない理由です。 新しい法的条件と規定を反映するために、新しいセクションを追加する必要があります。 各法律に準拠するために何を追加するかを正確に知るために、常に弁護士に相談してください。
- 法律は、オプトイン/オプトアウト制度の範囲も異なります。 GDPRはオプトイン制度の下で運営されています。つまり、欧州連合加盟国は、ナビゲートしているサイトに表示される同意バナーのチェックボックスをオンにして明示的に同意するまで、訪問者から個人データを収集しません。 米国を拠点とする出版社のサイトでは、逆のことが起こっています。 訪問者がデータ処理をオプトアウトすることを決定するまで、データを収集できます。 カリフォルニアは、ある程度のハイブリッドオプトアウト/オプトイン体制の下でのみ運営されています。 CCPAを使用すると、組織はデフォルトで消費者のデータを収集できますが、データ収集者はデータ収集の前に消費者にプライバシー通知を提供する必要があります。 CPA、VCDPAは、明確なオプトアウト体制の下にあります。
Convertでは、透明性と訪問者の選択を重視し、ユーザーエクスペリエンスをその要件に合わせて調整しているため、オプトイン体制で運営しています。 - 国際的なデータ転送のルールにも違いが見られます。 GDPRはこれらの転送に対しても非常に厳格であり、受信国が同様のプライバシー規制を持っている場合にのみ転送を許可します。 それ以外の場合は、組織が標準の契約条項またはユーザーの同意を使用する必要があります。 一方、CCPAとVCDPAでは、インシデントが発生するまで、世界中で国際的なデータ転送が可能です。 その後、組織が責任を負い、罰金が科せられます。 CPAはやや寛大であり、国際的なデータ転送が発生したときにユーザー/訪問者に通知することを組織に要求しますが、それらを制限することはありません。
Convertでは、GDPRを遵守し、要求に応じて必要な転送ツールを提供します(標準の契約条項は、ユーザーが署名する契約の一部です)。 - 最後に、法律にはプライバシー侵害に対する異なる対応期間があります。 GDPRとVCDPAは、プライバシー違反に対応するためにコントローラーまたはプロセッサーに30日間の猶予を与えます。 CPPAは許可されていますが、CPRAの違反を是正するための期間を提供する必要はありません。 CPAは、60日間の応答期間を提供する必要があります。
Convertはプライバシー侵害の一部ではなかったため、これをテストするのは簡単ではありませんでしたが、そのようなリクエストを社内でシミュレートし、7〜10日以内に対応できることがわかりました。 多くの人やツールが関与する可能性があるという事実を考えると、非常に印象的です。
あなたの会社は公認会計士の準備ができていますか?
これらの法律の多くは同様の言い回しを持っているため、違いを見つけることは非常に困難です。 ただし、上記の比較により、わかりやすくするように努めました。 これらのプライバシー法の遵守を達成するために、それらをレビューし、法律専門家に相談することに多くの時間を費やす準備をしてください。
ありがたいことに、いくつかの対策はそれらすべてに普遍的に適用されます。 以前の記事の1つにそれらをリストしましたが、ここでもそれらはあなたの記憶をリフレッシュするためのものです:
- 包括的なデータインベントリを作成および維持し、関連するデータのタイプと処理アクティビティの性質の両方に関する洞察を提供します。
- 機密データが不必要なリスクなしに分離および管理されていることを確認してください。
- データ保護影響評価(DPIA)を実施するためのフレームワークを実装します。
- サイバーセキュリティのポリシー、慣行、および統制を評価して、業界で認められている標準との整合性を確保します。
- 消費者が個人情報の販売をオプトアウトできるようにします(該当する場合)。
- 公開されているプライバシーポリシーを更新して、特に、匿名化された個人データを再識別しないことを誓約し、そのデータ処理活動の詳細を提供します。
- CPAに基づく個人データへのアクセス、修正、削除、およびオプトアウトに対する消費者の要求を受け入れ、追跡、検証、および尊重するためのメカニズムを開発します。
- カスタマーサービスの従業員が規制について正確な知識を持っていることを確認して、消費者の要求を効率的かつ予測可能に満たしてください。
次の10年でプライバシーの状況はどのようになりますか?
データのプライバシーは、この10年間の決定的な問題として浮上しています。 これは、これまで以上にプライバシーに敏感な世界であり、企業と個人の両方が、「プライベート」のようなものはもはや存在しないことにますます気づき始めています。
最近のプライバシー法は、これらのイニシアチブが慎重に計画し、プライバシーメカニズムのギャップを見つけ、新しいポリシー、プロセス、および修復の取り組みを実装するには、多大な労力と時間を必要とすることを教えてくれました。 したがって、データプライバシーの状況は急速に変化することはありません。
プライバシーの未来はほとんど書かれていませんが、いくつかのトレンドがすでにさまざまな方法でプライバシーを形作っています。 今後10年間でこれらの傾向を最もうまくナビゲートする組織は、新しい法律を順守し続ける組織よりも競争力があります。
それらが何であるか見てみましょう。
- ほとんどの消費者は、個人データを積極的に保護します。 より優れたプライバシー保護ツールが表示されます(現在、プライバシーを侵害するツールがあるのと同じ方法です)。 これらの保護に従わない組織は、顧客を失うリスクがあります。
- 国境を越えたデータ転送がより簡単になります。 外国人が入力できないローカルデータ王国を構築する必要はありません。
- プライバシーカスタマーエクスペリエンスの旅:プライバシー法の文化的および法的期待、ならびにデータおよびテクノロジーの倫理に対する各社の姿勢に沿った新しいプロジェクトが開発されます。
- 従業員のプライバシー文化:人材は、会社のデータとテクノロジーの価値観に沿った従業員のプライバシープログラムを使用して、包括的なプライバシー文化を発展させます。 このようなプログラムには、職場での新しいテクノロジーとデータの使用に関するプライバシーと倫理的影響評価をレビューおよび伝達する従業員委員会が含まれる場合があります。
10年で多くのことが変わる可能性がありますが、それでも、ほとんど変わることはありません。 ここConvertでは、訪問者とユーザーのプライバシーを尊重することを文化の一部にしています。 2030年にはどこに行くのでしょうか。 2030年までに、個人の自由を損なうことなく、規制当局とともにユーザーのプライバシーを尊重する企業がすべてスムーズに連携するようになります。 このビジョンは、Convert会社の私たちのチームにとって最も重要なことであり、あなたも私たちに参加することを願っています!
