GDPRとCCPA：2020年カリフォルニア州消費者プライバシー法に関するすべて（およびGDPRとの比較）

GDPR第4条、CCPA 1798.140

個人データが関連する識別された、または識別可能な人物として定義されるデータ主体。

カリフォルニア州の居住者として定義される消費者は、次のいずれかです。

• カリフォルニアでは、一時的または一時的な目的以外の目的で。
• カリフォルニアに居住していますが、一時的または一時的な目的で現在州外にあります。

消費者は次のとおりです。

• 家庭用品およびサービスの顧客。
• 従業員。
• 企業間取引。

GDPRもCCPAも法人には適用されませんが、どちらも自然人に適用されますが、定義方法が異なります。 CCPAは、カリフォルニアの居住者に適用されることを明確に述べていますが、GDPRは、居住または市民権の要件を指定せずに、より曖昧な用語「EUデータ主体」を使用しています。 CCPAは、GDPRのように個人だけでなく、特定の世帯にリンクできるデータも保護します。

GDPR第3条、CCPA 1798.140

データコントローラーとデータプロセッサー：

• データ処理がEU内で行われるかどうかに関係なく、EU設立の活動のコンテキストで個人データを処理するEUで設立されました。
• EUでの商品やサービスの提供、またはそれらの行動の監視に関連してEUデータ主体の個人データを処理するEUでは確立されていません。

カリフォルニアで事業を行っている営利事業体で、次のいずれかに該当するもの。

• 総収入は2500万ドルを超えています。
• 毎年、50,000を超える消費者、家庭、または商業目的のデバイスの個人情報を購入、受信、販売、または共有します。
• 消費者の個人情報の販売から年間収益の50％以上を獲得します。

GDPRの範囲は広く、企業から公的機関、非営利セクターまで、すべての組織に適用されます。 一方、CCPAは、非常に明確な要件を満たす営利企業への適用を制限しています。

地理的な場所に関しては、GDPRは、EUのデータ主体のデータを処理するすべての企業に適用されます。 CCPAはこの点については明確ではありません。その管轄下にある企業は「カリフォルニアで事業を行っている」必要がありますが、その企業が州内に所在している必要があるのか​​、特定の利益基準を満たしている必要があるのか​​は明確ではありません。

GDPR第4条、CCPA 1798.140

個人データとは、特定された、または特定可能なデータ主体に関連する情報です。 GDPRは、処理の合法的な正当化が適用されない限り、定義された特別なカテゴリの個人データの処理を禁止しています。

特定の消費者または世帯を特定、関連、説明、関連付け可能、または直接的または間接的に合理的にリンクできる個人情報。

GDPRはすべてのカテゴリの個人データに適用されますが、CCPAは、グラムリーチブライリー法（GLBA）や医療情報の相互運用性と説明責任に関する法律（HIPAA）などの既存の連邦プライバシー法の対象外のデータにのみ適用されます。

GDPR第4条、CCPA 1798.140

偽名のデータは個人データと見なされます。 匿名データは個人データとは見なされません。

CCPAは、匿名化または集約された消費者情報を収集、使用、保持、販売、または開示する企業の能力を制限するものではありません。 ただし、CCPAは、データが匿名化または集約されていると主張するための高い基準を確立しています。 偽名のデータは、特定の消費者または世帯に関連付けることができるため、CCPAの下で個人情報と見なされる場合があります。

GDPRとCCPAの下での「偽名化」の定義は、追加情報を使用せずに個人データを特定された人物または特定可能な人物に帰属させることができないように個人データを処理するという点で非常に似ています。識別に必要な追加情報を個別に保持する技術的および組織的対策を実施します。

GDPR第13条、CCPA 1798.100

データ管理者は、個人データの収集およびデータ処理活動に関する詳細情報を提供する必要があります。 通知には、データがデータ主体から直接収集されたものか、第三者から収集されたものかによって、特定の情報を含める必要があります。

企業は消費者に次のことを通知する必要があります。

• 収集された個人情報のカテゴリ。
• 各カテゴリの使用目的。

GDPRとCCPAはどちらも、組織が収集した個人データをどのように処理するかを開示することを組織に要求しています。 ただし、CCPAでは、企業は過去12か月間のデータ販売とデータ処理に関連する活動を開示する必要がありますが、GDPRではそのような制限はありません。

GDPR第24条、CCPA 1798.150

GDPRでは、リスクに適したセキュリティレベルを確保するために、データ管理者とデータ処理者が適切な技術的および組織的対策を講じることを求めています。

CCPAは、データセキュリティ要件を直接課すことはありません。 ただし、既存のカリフォルニア州法から生じるリスクに適切な合理的なセキュリティ慣行および手順を実装および維持するという企業の義務の違反に起因する特定のデータ侵害に対する訴訟の権利を確立します。

• 収集された個人情報のカテゴリ。
• 各カテゴリの使用目的。

法定アプローチでは実質的に類似していますが、合理的なセキュリティ対策は、組織の状況や規制当局の解釈によってある程度異なる場合があります。

GDPR第12条–第21条、CCPA 1798.120

拡大された個人の権利：

• 彼らの情報にアクセスする。
• 不正確さを修正しました。
• 情報を消去します。
• ダイレクトマーケティングを防ぐ。
• 自動化された意思決定とプロファイリングを防止します。
• データの移植性。

拡大された個人の権利：

• 彼らの情報にアクセスする。
• 不正確さを修正しました。
• 情報を消去します。
• ダイレクトマーケティングを防ぐ。
• 自動化された意思決定とプロファイリングを防止します。
• データの移植性。

GDPRでは、組織がデータ処理とデータへのサードパーティのアクセスについてデータ主体から事前の同意を得る必要がありますが、CCPAでは、データ主体がデータの販売をオプトアウトできるようにし、企業が上部に表示可能なリンクを設定する必要がありますこの目的のために彼らのホームページの。

GDPRとCCPAはどちらも、データの移植性に対する権利を提供します。つまり、消費者に、一般的に使用される機械可読形式の個人データを提供し、それを別のエンティティに送信できるようにします。

GDPRはこの方向にさらに一歩進んでおり、組織は要求に応じてデータ主体の情報を別のデータ管理者に転送する義務を負っています。

CCPAの下では、企業は消費者にすぐに使用できる形式で電子的に情報を提供することだけが要求されます。

GDPRの消去権には、表現の自由の権利を行使するために必要なデータやEUまたはEU加盟国の法律を遵守するために必要なデータなど、いくつかの注目すべき例外がありますが、CCPAは、言論の自由や情報だけでなく、これらの例外をさらに拡大します。契約に必要ですが、特に、消費者がデータを提供したコンテキストと互換性のある内部使用も必要です。

GDPR第8条、CCPA 1798.120

GDPRのデフォルトの同意年齢は16歳ですが、個々の加盟国の法律により年齢が13歳以上に引き下げられる場合があります。

親の責任者は、同意年齢未満の子供に同意を提供する必要があります。 子供は年齢に応じたプライバシー通知を受け取る必要があります。

子供の個人データは、強化されたセキュリティ要件の対象となります。

CCPAは、16歳未満の消費者の個人情報を同意なしに販売することを禁じています。

13〜16歳の子供は直接同意を与えることができます。 13歳未満の子供は親の同意が必要です。

GDPRは、子供に対する特別な保護を強調し、情報化社会サービスを提供するために処理されるときに子供たちの個人データを保護するための特定の規定を提供します。

CCPAは、個人情報の「販売」に関して子供向けの特別な規則を作成しますが、この規則は情報社会サービスに限定されません。