プライバシーオプトアウト法に関するネバダ州の最初の州：改宗者はどの程度準備されていますか？

2019年5月29日、ネバダ州知事はSB220法に署名しました。

この法律は、ネバダ州の既存のセキュリティおよびプライバシー法を改正し、商業目的でWebサイトまたはオンラインサービスの運営者に、運営者が収集した、または収集する予定の対象となる個人情報の販売をオプトアウトできるようにすることを義務付けています。

この法律は、カリフォルニア州消費者プライバシー法（CCPA）の発効日の2020年1月1日の数か月前の2019年10月1日に発効するため、GDPRに続いて、米国で初めて施行される予定です。 EU。

SB 220は、ネバダ州の既存のプライバシー法の大幅な改正であり、業界全体に新たな課題を提示します。 表面的には、法律はCCPAよりも範囲が狭く、「消費者」と「販売」の定義が狭く、グラム・リーチ・ブライリー法（「GLBA」）の対象となる金融機関の例外が定められています。医療保険の相互運用性と説明責任に関する法律（「HIPPA」）の対象となる事業体。

それでも、CCPAコンプライアンスに重点を置いている企業は、リソースをSB220に準拠するようにシフトする必要があります。

以下は、CCPAとネバダ州の改訂されたオンラインプライバシー法の概要を示しています。

SB220の要件

SB 220には4つの主要な要件がありますが、いくつかの重要な定義と除外が法律の適用を規定しています。

1. 「オペレーター」は、消費者が収集した「対象情報」を販売しないように指示する「確認済みリクエスト」を消費者が提出できる「指定リクエストアドレス」を確立する必要があります。
2. 消費者は、指定された要求アドレスを介して検証済みの要求をいつでも送信でき、オペレーターが消費者に関して収集した対象情報を販売しないようにオペレーターに指示します。
3. 確認済みのリクエストを受け取ったオペレーターは、オペレーターが収集した、または消費者に関して収集する予定の対象情報を販売することを禁じられています。
4. オペレーターは、60日以内に消費者の確認済みの要求に応答する必要があります。 オペレーターは、次の場合に応答期間を30日以内に延長することができます。（a）オペレーターがそのような延長が合理的に必要であると判断した場合。 （b）応答期間を延長するオペレーターは、そのような延長を消費者に通知します。

では、Convertがネバダ州のプライバシー法とその要件を遵守するために何をしているのかを見てみましょう。

ネバダ州の消費者は、個人情報の販売をオプトアウトする権利を有します

CCPAの場合と同様に、ネバダ州の消費者は、ウェブサイトまたはオンラインサービスを通じて収集された次のアイテムのいずれかを含む「対象情報」の販売をオプトアウトできます。

• 姓名。
• 通りの名前と都市または町の名前を含む自宅またはその他の住所。
• 電子メール（電子メール）アドレス。
• 電話番号。
• 社会保障番号。
• 特定の人に物理的またはオンラインで連絡できるようにする識別子。
• インターネットウェブサイトまたはオペレーターのオンラインサービスを通じて個人から収集され、個人を識別できる形式の識別子と組み合わせてオペレーターによって維持される個人に関するその他の情報。

多くの組織は、販売する情報とその存在場所をほとんど把握していません。

Convertでは、GDPRデータ最小化の原則を通じてこれに備えています。 数百人のWebサイト訪問者を、訪問者の存在のみをカウントする訪問者グループにグループ化することにより、追跡で訪問者IDを匿名化しました。

個々の訪問者はConvertExperiencesに保存されません。 グループカウントを個々の訪問者に再接続することはできません。

GDPRは、Convertに何を保存しているか、そしてますますプライバシー中心の環境でそれを維持するためのユースケースを詳しく調べる機会を提供してくれました。

組織は指定されたリクエストアドレスを確立する必要があります

ネバダ州の新しい法律は、法律の範囲内の組織は「消費者が確認された要求を提出することができる指定された要求アドレスを確立するものとする」と述べています。

Convertでは、support @ convert.comアドレスを使用してオプトアウトリクエストを受け取り、確認します。これはGDPR以降実施されています。 これらのリクエストは中央のキューに集められ、データ保護責任者はGDPRや施行されているその他のプライバシー法の要件に従ってタイムリーに対応します。

確認済みのリクエストには60日以内に返信する必要があります

GDPRは、消費者の要求に対応するために30日間の組織を許可しますが、CCPAは45日間でより寛大です。

ネバダ州法は、このタイムラインをさらに60日間に延長すると同時に、合理的に必要な場合は組織に30日間の延長の権利を与えています。 3つの法律には異なる延長制度があり、オペレーターは異なる時間枠内に消費者に通知する必要があります。

ConvertはGDPRの30日間の対応に備えており、これまでのところすべてのリクエストに対応しており、必須の60日間の期間内にネバダのリクエストに簡単に対応できます。

応答する前にリクエストを確認する必要があります

GDPRおよびCCPAの場合と同様に、組織は要求に応答する前に消費者の身元を確認する必要があります。

Convertはまた、消費者だけが知っている安全な添付ファイルを介してIDを送信することにより、消費者がオプトアウト要求を送信するときにこの検証を容易にします。

Convertはすべてのプライバシー法（EU + US）を真剣に受け止めています

他の州ではプライバシー法が行き詰まっているか失敗していますが、ネバダ州のSB-220の通過は、デジタル世界での法的および規制上の義務の遵守を維持することが近い将来に課題であり続けることを思い出させるものです。

私たちは、CCPAに触発された法律のいくつかの形式がまだ検討中であり（オレゴン、テキサス、メイン、ユタ）、それらがすべて機能している風景で動作する準備ができている他のいくつかの州を監視しています。

Convertは、すべてのデータ処理操作とデータの転送先となるサードパーティを適切に処理します。

CCPAの準備方法、およびその他の米国の新しいプライバシー法の可能性について詳しくは、GDPRロードマップをご覧ください。