CDPAの準備:バージニア州がプライバシー法に署名するにつれて、東海岸と西海岸が出会う
公開: 2021-04-22
バージニア州は最近、企業が消費者の個人データを保護する方法を管理する法律を制定する東海岸で最初の州になることを決議しました。 新しい法律は、ハイテクの巨人が個人情報の取り扱いについて議員や消費者からの反発に直面したときに生まれました。
バージニア州消費者データ保護法(CDPA)法案は、2021年3月2日に法制化され、2023年に発効します。
2018年のカリフォルニア州消費者プライバシー法(CCPA)、2020年のカリフォルニア州プライバシー権法(CPRA)、さらにはヨーロッパのGDPRと同様に、CDPAは、米国のプライバシー法の分岐点となった年の最新の開発です。
しかし、他の法律の遵守に取り組んできた企業は、その栄光に甘んじるべきではありません。 彼らはまだCDPAの準備をする必要があります。CDPAはCCPAやCPRAとは異なる規定があります。
この記事では、バージニア州法のこれらの明確な規定を見て、CCPA(CPRAによって修正された)およびGDPRと比較します。
| 主な規定 | バージニアCDPA | カリフォルニア CCPA + CPRA | ヨーロッパGDPR | ||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 処理する能力 | |||||||||||||||||||||||
| データの最小化 | はい | いいえ | はい | ||||||||||||||||||||
| 許容される目的 | はい | いいえ | はい | ||||||||||||||||||||
| 個人の権利 | |||||||||||||||||||||||
| 処理活動の通知を受け取る権利 | はい | はい | はい | ||||||||||||||||||||
| 個人データにアクセスする権利 | はい | はい | はい | ||||||||||||||||||||
| データの移植性に対する権利(つまり、データは、あるエンティティ/プラットフォームから別のエンティティ/プラットフォームに転送できるように、すぐに使用できる形式で提供する必要があります) | はい | はい | はい | ||||||||||||||||||||
| 個人データの誤りを訂正する権利 | はい | いいえ | はい | ||||||||||||||||||||
| 個人データを削除する権利 | はい | はい | はい | ||||||||||||||||||||
| 行動広告をオプトアウトする権利 | はい | いいえ | はい | ||||||||||||||||||||
| 自動化されたプロファイリングと意思決定に反対する権利 | はい | いいえ | はい | ||||||||||||||||||||
| これらの権利の行使に対する無差別の権利 | はい | はい | はい | ||||||||||||||||||||
| 個人情報の販売をオプトアウトする権利 | はい | はい | いいえ | ||||||||||||||||||||
| 機密情報の処理をオプトインまたはオプトアウトする | オプトイン | 身を引く | オプトイン | ||||||||||||||||||||
| 要求の拒否を訴える権利 | はい | いいえ | いいえ | ||||||||||||||||||||
| 説明責任/ガバナンス | |||||||||||||||||||||||
| データ保護の評価 | はい | いいえ | はい | ||||||||||||||||||||
| 安全 | |||||||||||||||||||||||
| 情報を保護するための適切なデータセキュリティ | はい | はい | はい | ||||||||||||||||||||
| 違反通知 | はい | はい | はい | ||||||||||||||||||||
| EEA外でのデータ転送 | |||||||||||||||||||||||
| 国際移転のための追加措置 | いいえ | いいえ | はい | ||||||||||||||||||||
| サードパーティへの転送 | |||||||||||||||||||||||
| サービスプロバイダー契約の契約要件 | はい | はい | はい | ||||||||||||||||||||
| マーケティング | |||||||||||||||||||||||
| AdtechCookieの同意 | はい | はい | はい | ||||||||||||||||||||
| ダイレクトマーケティングの前に取得した同意 | いいえ | いいえ | はい | ||||||||||||||||||||
| 執行機関 | |||||||||||||||||||||||
| 検事総長 | 司法長官、CPPA | DPA | |||||||||||||||||||||
| 手術日 | |||||||||||||||||||||||
| 2023年1月1日 | 2020年1月1日/2023年1月1日 | 2018年5月25日 | |||||||||||||||||||||
CCPAまたはGDPRへの準拠の達成に取り組んできた企業は、これらの法律に多くの類似した言い回しや用語があることに気付くでしょう。 ただし、バージニア州法に同じ要件があると想定するのは誤りです。
CCPAとGDPRには類似点がありますが、CDPAには、各組織に固有である可能性が高いニュアンスが含まれています。
これを読んで困惑している場合は、新しいプライバシー法の遵守に取り組むために、以下に示すステップバイステップの手順を確認してください。
まず、組織内の弁護士、IT専門家、およびプライバシースペシャリストに、ビジネスへの法律の適用を評価してもらいます。 次に、ギャップを特定し、これらの問題の解決策を含むコンプライアンス計画を作成します。
さらに詳しく見ていきましょう。
CDPAに準拠するには、次のことを行う必要があります。
- 包括的なデータインベントリを作成および維持し、関連するデータのタイプと処理アクティビティの性質の両方に関する洞察を提供します。
- 機密データが不必要なリスクなしに分離および管理されていることを確認してください。
- データ保護影響評価(DPIA)を実施するためのフレームワークを実装します。
- サイバーセキュリティのポリシー、慣行、および統制を評価して、業界で認められている標準との整合性を確保します。
- 消費者が個人情報の販売をオプトアウトできるようにします(該当する場合)。
- 公開されているプライバシーポリシーを更新して、特に、匿名化された個人データを再識別しないことを誓約し、そのデータ処理活動の詳細を提供します。
- CDPAに基づく個人データへのアクセス、修正、削除、およびオプトアウトに対する消費者の要求を受け入れ、追跡、検証、および尊重するためのメカニズムを開発します。
- カスタマーサービスの従業員が規制について正確な知識を持っていることを確認して、消費者の要求を効率的かつ予測可能に満たしてください。
最後に、2023年は遠い未来に思えるかもしれませんが、コンプライアンス計画の作成を延期しないでください。
他の最近のプライバシー法が私たちに何かを教えてくれたとしたら、これらのイニシアチブは、慎重に計画し、プライバシーメカニズムのギャップを見つけ、新しいポリシー、プロセス、および修復の取り組みを実装するために多大な努力と時間を必要とするということです。
ニューヨークやワシントンなど、より多くの州が消費者のプライバシー保護法を制定し始めているため、CDPAコンプライアンスの取り組みを開始するのは時期尚早ではありません。
より多くの州議会が消費者のプライバシー保護法案または法律の可決に積極的になるにつれて、1つのことが明らかになります。それは、顧客のプライバシーを確保することはもはや後付けではないということです。 それはあなたのビジネスモデルに組み込まれなければなりません。
