• ホームページ
  • 記事
  • SEO
  • プライバシーはヨーロッパだけのものだと思いますか? もう一度考えてみて。

プライバシーはヨーロッパだけのものだと思いますか? もう一度考えてみて。

公開: 2019-10-03
プライバシーはヨーロッパだけのものだと思いますか?もう一度考えてみて

GDPRが完了しました。 そしてそれはとにかくEUで活動している企業だけに影響を及ぼしました。 右?

あまり。

  1. プライバシーは決して「行われる」ことはありません。 コンプライアンスは常に存在する要件であり、企業は、タッチポイント、データ収集方法、データ処理ロジック、およびベンダーに対する同じ一連の考慮事項を継続的に監視する必要があります。
  2. GDPRは、ヨーロッパにある企業だけでなく、EU市民のデータを処理するすべての企業に影響を与えました。
  3. GDPRは氷山の一角でした。 世界は、無罪のデータ収集と処理の脅威に気づき始めています。 はい、ヨーロッパが最初に目覚めました。 しかし、それは米国と世界の他の国々が眠り続けるという意味ではありません。

実際、米国はすでに革命的なプライバシー規制への道を歩み始めています。 カリフォルニア州、ネバダ州、メイン州で法案が可決され、他の多くの州で法案が計画されているため、企業は今後数か月で影響を受けると予想されます。

この記事では、各州のプライバシー規制法/法案の重要な部分を詳しく説明します。これには、対象者、施行時の罰則、コンプライアンスの達成方法、州が消費者の個人データを保護するために連邦政府の前で主導権を握った理由などが含まれます。プライバシーコンプライアンスの採用がビジネスにどのように役立つか。

隠れる
  • 米国連邦規制?
  • 米国の州法
    • カリフォルニア
    • ネバダ
    • メイン
  • 待たないでください—今すぐ準備してください:
    • ステップ1:プライバシーに関する通知とポリシーを更新する
    • ステップ2:データインベントリ、ビジネスプロセス、およびデータ戦略を更新する
    • ステップ3:消費者の権利を確保するためのプロトコルを実装する
    • ステップ4:セキュリティを更新する
    • ステップ5:サードパーティのプロセッサ契約を更新する
    • ステップ6:トレーニング
  • 実装するのはたくさんあると思いますか? 企業はコンプライアンスの恩恵を受けるでしょう:

米国連邦規制?

9月10日に議会の指導者に宛てた手紙の中で、業界全体のビジネス円卓会議のCEOは、政策立案者に、米国の消費者の保護を強化し、デジタル経済。

51人のCEOが署名したこの手紙は、下院および上院の指導者と、下院エネルギー・商業委員会および上院通商科学運輸委員会の指導者に送られました。

米国のビジネスの観点から、連邦のデータ保護法が導入されるのにこれほど良い時期はありませんでした。

GDPRは、EU内に居住する個人に関するデータを収集する企業は、その企業がEUに拠点を置くかどうかにかかわらず、法律を遵守する必要があると規定しています。 これは、多くの米国企業が国際的に事業を行うためにすでにGDPRに準拠しており、この準拠を米国市場に拡大するためのフレームワークを備えていることを意味します。

米国の国内企業では異なります。 データ保護コンプライアンスは悪夢になりつつあり、仕様と要件が異なる最大50の異なる州法が(潜在的に)あります。 連邦法はこれを合理化し、すべての州に1つの統一法を提供します。

米国の州法

それに応じて、州はずっと早く行動を起こしました。

3つの州で法案が可決され、他の州で法案が可決され、いくつかの州で新しいデータ侵害通知法が可決され、消費者データの保護とそれを管理および処理する企業の説明責任への大規模な移行が始まっています。

IAPPウェスティンリサーチセンターは、変化する州のプライバシーの状況に遅れないようにするためのビジネスの取り組みを支援するために、全国から提案および制定された包括的なプライバシー法案の以下のリストをまとめました。

マップに含まれている法案の多くは法制化に失敗しますが、各法案の主要な条項を比較することは、米国でプライバシーがどのように発展しているかを理解するのに役立ちます。

米国でプライバシーがどのように発展しているか
画像ソース:iapp

カリフォルニア

GDPR後に可決された最初のプライバシー法の1つとして、CCPAは米国の他の法案の青写真として機能しています。 2020年1月1日より、CCPAは、カリフォルニア州の居住者の個人データを収集/処理する事業、またはカリフォルニアで事業を行う事業に適用されます。

これらの企業は、次のいずれかの場合にCCPAの対象となります。

  • 総収入2500万ドルを超える
  • 50,000以上の消費者世帯またはデバイスの個人情報(合計)を購入、受信、販売、または共有する
  • 消費者の個人情報を販売することで年間収益の50%以上を獲得

CCPAは、個人情報の開示や個人データの要求など、GDPRと同様の権利を消費者に付与します。 企業は、個人情報のカテゴリやデータ、サードパーティ、データが共有されるサードパーティのカテゴリなどの情報を使用して、検証可能な消費者の要求に対応する必要があります。

データサブジェクトリクエスト(DSR)と呼ばれるこのセクションは、ユーザーに個人情報へのアクセスと削除オプションを許可します。 また、CCPAは、企業がホームページに「個人情報を販売しない」リンクを表示することを要求しています。

CCPAは司法長官によって執行され、違反ごとに最高$7,500の罰金が科せられます。

ネバダ

ネバダ州のプライバシー法は2019年5月29日に署名されましたが、有名なCCPAの3か月前の2019年10月1日に発効します。 法律は非常に似ていますが、「販売」の定義方法に大きな違いがあります。 ネバダ州の法律はより狭く、すべてのサービスプロバイダーを対象としているわけではなく、金融機関に対してより寛大です。

カリフォルニア&フロリダCCPA
画像ソース:bclplaw

InfoLawGroupによると、CCPAとネバダの法律はどちらも「企業は消費者のオプトアウト要求の正当性を検証するプロセスを考え出し、企業は60日以内に要求に応答することを要求する」という点で類似しています。

カリフォルニア州と同様に、ネバダ州の執行は司法長官にあり、違反ごとに最高5,000ドルの罰金が科せられます。

メイン

メイン州のプライバシー法は2019年6月6日に署名されましたが、2020年7月1日に発効します。この法律は、明示的に指定されていない限り、インターネットサービスプロバイダー(ISP)が第三者に顧客のデータへのアクセスを販売、共有、または許可することを禁止します。それらの顧客による承認。 変更に伴い、

メイン州の居住者は、電気通信およびテクノロジーセクターの企業によって一般的に収集および保存される電子メール、オンラインチャット、ブラウザーの履歴、IPアドレス、および地理的位置データをさらに保護することができます。

したがって、CCPAは顧客にオプトアウトする権利を与えますが、この新しい法律は、顧客がオプトインしない限りISPが顧客データを利用することを禁止しています。この要件はCCPAまたはネバダ法よりもさらに進んでおり、米国のプライバシー法の中で比較的独特です。オプトアウトの同意を支持します。

待たないでください—今すぐ準備してください:

2018年のPwC調査によると、企業の64%はまだCCPA規制の準備を開始していませんでした。

コンプライアンスの旅の開始を延期しましたか? プロセスを開始しましたが、締め切りが迫っていることに挑戦していますか?

以下は、既存のほとんどの法律のコンプライアンスの道を進むためにビジネスとして実行できる意識的な行動と、近い将来施行される行動のリストです。

ステップ1:プライバシーに関する通知とポリシーを更新する

2018年5月に受信したすべての「プライバシーポリシーを更新しました」(GDPR準拠)メールを使用すると、2019年第3四半期に、CCPA、ネバダ、メインに準拠した別の波を期待するのが妥当でしょう。

これらの法律では、「収集時点またはそれ以前」の対象企業が、企業が収集する個人情報のカテゴリと、その情報が企業によって使用される目的を消費者に通知することを義務付けています。

通知には、収集、開示、または販売される個人情報のカテゴリも明示的に記載する必要があり、消費者は情報の販売をオプトアウトする新しい権利を有します。

企業はまた、他の新しい消費者の権利の説明を含めるためにプライバシーポリシーを更新する必要があります。

多くの企業は、GDPRに準拠する時期を決定する必要があったため、法的に必要なポリシーの更新を行う前に、州の居住者ごとに1つのプライバシー通知を維持するか、1つのユニバーサルポリシーを設定するかを決定する必要があります。

ステップ2:データインベントリ、ビジネスプロセス、およびデータ戦略を更新する

企業はまた、データインベントリを維持する必要があります。これは、基本的に、ビジネスプロセス、サードパーティ、製品、デバイス、消費者の個人データを処理するアプリケーションなどのデータ処理アクティビティを追跡するためのデータベースです。

GDPRに準拠する必要があった企業は、データインベントリに次の列を含むいくつかの列を追加する必要があります。

  • データの使用に情報の「販売」が含まれるかどうかを特定する。
  • 個人情報のどのカテゴリーが第三者に転送されるかを特定する。
  • データが12か月以上前に収集されたため、免除される可能性があるかどうかを特定します。
  • また、データベースは最新の状態に保たれ、検証済みの情報要求の追跡など、すべての消費者の権利要求を追跡できる必要があります。

ステップ3:消費者の権利を確保するためのプロトコルを実装する

これらの法律は、企業が確保するための措置を講じる必要がある多くの消費者の権利を保証します。

  • 通知する権利–正確には付与された権利ではありませんが、企業が消費者から個人情報を収集するとき、または収集する前に、収集されている情報のカテゴリと情報の使用目的を消費者に適切に通知する必要があります。
  • アクセス権/要求権–検証可能な要求に応じて、企業は、郵送または電子的に配信される可能性のある個人情報を、消費者に無料で開示および配信するための措置を講じる必要があります。 電子的に提供される場合は、携帯型で、技術的に実現可能な範囲で、消費者が問題なく個人情報を別のエンティティに送信できるように、すぐに使用できる形式で提供する必要があります。 企業はいつでも消費者に個人情報を提供することができますが、12か月間に2回以上消費者に個人情報を提供する必要はありません。
  • 知る権利–消費者は、個人情報を収集する企業に以下を開示するよう要求する権利を有します。(1)収集された個人情報のカテゴリー。 (2)情報が収集された情報源。 (3)情報を収集または販売するためのビジネスまたは商業目的。 (4)企業が情報を共有する第三者のカテゴリー。 (5)企業が消費者に関して収集した特定の個人情報。
  • 削除する権利–消費者は、検証可能な要求に応じて、企業が収集した消費者に関する個人情報を削除するように要求する権利を有します。 そのような要求を受け取った企業は、情報を削除し、サービスプロバイダーに、その記録から情報を削除するように指示する必要があります。ただし、企業またはサービスプロバイダーが次の目的で情報を必要とする場合を除きます。(1)個人情報が収集されたトランザクションを計算する、消費者によって要求された、または消費者とのビジネスの継続的なビジネス関係のコンテキスト内で合理的に予想される商品またはサービスを提供する、またはその他の方法でビジネスと消費者の間の契約を実行する。 (2)セキュリティインシデントを検出します。 悪意のある、欺瞞的、詐欺的、または違法な活動から保護します。 またはその活動の責任者を起訴する。 (3)デバッグして、既存の意図された機能のエラーを識別して修復します。 (4)言論の自由を行使する、他の消費者が言論の自由の権利を行使する権利を確保する、または法律で定められた別の権利を行使する。 (5)公益のために、公的または同業者が受け取った科学的、歴史的、または統計的研究に従事すること。 (6)消費者とビジネスとの関係に基づいて、消費者の期待に合理的に一致する内部使用のみを可能にすること。 (7)法的義務を遵守する。 (8)それ以外の場合は、消費者が情報を提供した状況と互換性のある合法的な方法で、消費者の個人情報を内部的に使用します。
  • オプトアウトする権利–消費者は、企業による個人情報の販売をオプトアウトする権利を有します。 企業は、消費者が合理的にアクセスできる形式で、消費者が消費者の個人情報の販売をオプトアウトできるようにする「個人情報を販売しない」というタイトルのホームページへの明確で目立つリンクを利用できるようにする必要があります。 オプトアウトした消費者の個人情報の販売を要求する前に、企業は少なくとも12か月待つ必要があります。

ステップ4:セキュリティを更新する

これらの法律はまた、対象となる企業が「合理的な」セキュリティで個人データを保護することを要求しています。 実際には、この標準により、企業は、個人データの機密性、整合性、および可用性に対する脅威に対処するためのリスクベースのアプローチを採用するようになりました。 彼らはデータへの脅威を評価し、検出された脆弱性のリスクをランク付けし、最初にリスクの高いギャップに対処します。

ステップ5:サードパーティのプロセッサ契約を更新する

米国のプライバシー法に準拠するために、他の企業にデータを処理させる企業は、標準契約条項の文言を挿入するなど、サードパーティの契約を更新する必要があります。 ベンダーデータインベントリを要求する。 デューデリジェンス質問票を使用する。 処理の記録を提供する。 消費者の対応プロセスの同期を要求する。 オンサイトの評価と監査が必要です。 また、「販売」と見なされる転送の指定を含め、各サードパーティと共有される特定のデータ要素のマッピングを要求します。

情報にお金を払ったサードパーティの場合、販売をオプトアウトしてそのデータの削除を提供するという消費者の要求に対応するためのプロセスを追加で設計する必要があります。

ステップ6:トレーニング

最後に、これらの法律は、消費者の問い合わせを処理する従業員にそのすべての要件を通知することを義務付けています。 罰則があるため、このトレーニングは最小限にする必要があり、追加の従業員トレーニングをお勧めします。

実装するのはたくさんあると思いますか? 企業はコンプライアンスの恩恵を受けるでしょう:

プライバシー法に対する批判があり、これらの法律は企業にとって悪いものであると主張しています。

コンプライアンスプログラムにはお金がかかりますが、企業はデータなどの資産からお金を稼ぐことは期待できず、行動がコンプライアンスに準拠していることを確認するためにお金を使うこともできません。

ただし、前述のように、プライバシー法の主要な要件はほとんど常識に沿っているため、コンプライアンスプログラムが底なしの落とし穴になることはありません。

さらに、法的な圧力が高まり始めていなくても、倫理的および意識的な圧力は高まり始めました。

消費者は、データのプライバシーを積極的に保護している企業とビジネスをしたいと考えています。

はい、コンプライアンスコストがありますが、これは、データを使用してビジネスを行い、ブランドの評判を構築および維持するためのコストの一部と見なす必要があります。 準拠した組織として、あなたはあなたのアドヒアランスを売り込むことができ、それは今度は売り上げと顧客ロイヤルティを高めるのを助けることができます。

現在、世界中のほぼすべての組織が、プライバシーへの投資がビジネス上のメリットにつながることを認識しています。 GDPRに備えるために投資した組織では、データ侵害がますます少なくなり、顧客のプライバシーの懸念による販売の摩擦が少なくなり、影響を受けるデータレコードが少なくなりシステムのダウンタイムが短くなりました。

これらは、最近リリースされたCisco 2019 Data Privacy Benchmark Studyの結果の一部です。この調査では、18か国の3,200人を超えるセキュリティおよびプライバシーの専門家を対象としたダブルブラインド調査のデータを利用しています。 この調査は、組織が今日プライバシーとサイバーセキュリティで直面している主要な問題を調査するシリーズの最初のものです。

Cisco2019データプライバシーベンチマーク調査
画像ソース:Cisco

シスコの調査によると、97%の企業が、プライバシー法を遵守するだけでなく、プライバシーへの投資からさらに多くの利益を得ていると述べています。 これらの利点には、競争上の優位性、投資家にとっての魅力運用効率柔軟性と革新のためのより大きな能力が含まれます。

全回答者の4分の3が、これらのメリットの2つ以上を受け取っていると述べています。 さらに、現在、大多数の企業は、強力なデータプライバシーが市場における競争上の差別化要因であると述べています。

これらの結果は、プライバシー法を遵守するだけでなく、プライバシー投資のビジネス上の利益を最大化するために、企業が変更を受ける必要があることを示しています。

データ管理を改善し、顧客の信頼を高め、販売の遅延を短縮し、データ侵害のコストを削減することはすべて、組織にとって意味があり、ビジネスの繁栄に必要な競争上の優位性をもたらします。

壁には大きくて大胆な文章が書かれています。 プライバシーはヨーロッパだけのものではありません…それは世界中の企業にとっての瞬間の必要性です。 シフトは乱れています。 しかし、それは避けられなかったものです。

人間は、有形資産を保護するために錠を発明しました。 無形のデータも同様に貴重であるため(それ以上ではないにしても)、無形のデータの無謀な蓄積と処理は眉をひそめ、嫌われ、最終的には違反と見なされます。

プライバシーコンプライアンスの実践により、運用が合理化されます。 また、侵害のリスクを軽減することで評判を高めます。 私の意見では、それはコンプライアンスに関わる努力ではなく、コンプライアンスがあなたの次の大きな競争上の優位性である可能性があるという事実に早起きすることです。

Convertはすでに確固たる基盤を築いています。 君はどうでしょう?

インスタントデモ
インスタントデモ