ユタ州:データプライバシー法を可決するもう1つの州、UCPA
公開: 2022-05-31
2022年3月、ユタ州知事のスペンサーJ.コックスは、ユタ州消費者プライバシー法(UCPA)としても知られる上院法案(SB)227に署名しました。
UCPAは、ユタ州の消費者に個人情報に対する重要なプライバシー権を与える業界横断的なプライバシー法です。 識別された、または識別可能な個人に関連するデータはすべて、個人データと呼ばれます。 追加のコンプライアンス要件は、より正確に定義された「機密データ」カテゴリに適用されます。 法律は2023年12月31日に発効します。
UCPAは、カリフォルニア、バージニア、ネバダ、コロラドの消費者プライバシー法と類似していますが、同一ではありません。 これは、バージニア州の消費者データ保護法(VCDPA)に大きく影響を受けており、VCDPAに似た要素のいくつかはコロラド州のプライバシー法にも含まれています。
一見すると、UCPAの特定の機能は、カリフォルニア州消費者プライバシー法(CCPA)に類似しているように見えます。 ただし、実際には、これは前任者よりもソフトでビジネスに適した消費者プライバシーへのアプローチです。
UCPAは他の州のプライバシー法とどのように異なりますか
UCPAの規定との規定の概要を以下に示します。
- コロラドプライバシー法(CPA)
- ネバダ州プライバシー法(SB200)
- VCDPA
- CCPA(California Privacy Rights Act(CPRA)によって修正された)
- 一般データ保護規則(GDPR)
| 主な規定 | ユタUCPA | コロラドCPA | ネバダSB220 | バージニアCDPA | カリフォルニア CCPA + CPRA | ヨーロッパGDPR | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 処理する能力 | |||||||||||||||||||||||||||||||||||||||||
| データの最小化 | はい | はい | – | はい | いいえ | はい | |||||||||||||||||||||||||||||||||||
| 許容される目的 | はい | はい | – | はい | いいえ | はい | |||||||||||||||||||||||||||||||||||
| 個人の権利 | |||||||||||||||||||||||||||||||||||||||||
| 処理活動の通知を受け取る権利 | はい | はい | はい | はい | はい | はい | |||||||||||||||||||||||||||||||||||
| 個人データにアクセスする権利 | はい | はい | – | はい | はい | はい | |||||||||||||||||||||||||||||||||||
| データの移植性に対する権利。 データは、あるエンティティ/プラットフォームから別のエンティティ/プラットフォームに転送するために、簡単に使用できる形式で利用できる必要があります。 | はい | はい | 。 | はい | はい | はい | |||||||||||||||||||||||||||||||||||
| 個人データの誤りを訂正する権利 | いいえ | はい | – | はい | いいえ | はい | |||||||||||||||||||||||||||||||||||
| 個人データを削除する権利 | はい | はい | – | はい | はい | はい | |||||||||||||||||||||||||||||||||||
| 行動広告をオプトアウトする権利 | はい | いいえ | – | はい | いいえ | はい | |||||||||||||||||||||||||||||||||||
| 自動化されたプロファイリングと意思決定に反対する権利 | はい | いいえ | – | はい | いいえ | はい | |||||||||||||||||||||||||||||||||||
| これらの権利の行使に対する無差別の権利 | はい | はい | – | はい | はい | はい | |||||||||||||||||||||||||||||||||||
| 個人情報の販売をオプトアウトする権利 | はい | はい | はい | はい | はい | いいえ | |||||||||||||||||||||||||||||||||||
| 機密情報の処理をオプトインまたはオプトアウトする | 身を引く | オプトイン | – | オプトイン | 身を引く | オプトイン | |||||||||||||||||||||||||||||||||||
| 要求の拒否を訴える権利 | いいえ | いいえ | – | はい | いいえ | いいえ | |||||||||||||||||||||||||||||||||||
| 説明責任/ガバナンス | |||||||||||||||||||||||||||||||||||||||||
| データ保護の評価 | いいえ | はい | – | はい | いいえ | はい | |||||||||||||||||||||||||||||||||||
| 安全 | |||||||||||||||||||||||||||||||||||||||||
| 情報を保護するための適切なデータセキュリティ | いいえ | はい | – | はい | はい | はい | |||||||||||||||||||||||||||||||||||
| 違反通知 | はい | はい | – | はい | はい | はい | |||||||||||||||||||||||||||||||||||
| 欧州経済領域(EEA)外でのデータ転送 | |||||||||||||||||||||||||||||||||||||||||
| 国際移転のための追加措置 | はい | はい | – | いいえ | いいえ | はい | |||||||||||||||||||||||||||||||||||
| サードパーティへの転送 | |||||||||||||||||||||||||||||||||||||||||
| サービスプロバイダー契約の契約要件 | いいえ | はい | – | はい | はい | はい | |||||||||||||||||||||||||||||||||||
| マーケティング | |||||||||||||||||||||||||||||||||||||||||
| AdtechCookieの同意 | いいえ | いいえ | – | はい | はい | はい | |||||||||||||||||||||||||||||||||||
| ダイレクトマーケティングの前に取得した同意 | いいえ | はい | – | いいえ | いいえ | はい | |||||||||||||||||||||||||||||||||||
| 執行機関 | |||||||||||||||||||||||||||||||||||||||||
| ユタ州商務省 | 検事総長 | – | 検事総長 | 司法長官、CPPA | DPA | ||||||||||||||||||||||||||||||||||||
| 手術日 | |||||||||||||||||||||||||||||||||||||||||
| 2023年12月31日 | 2023年7月1日 | 2019年10月1日 | 2023年1月1日 | 2020年1月1日/2023年1月1日 | 2018年5月25日 | ||||||||||||||||||||||||||||||||||||
上記の表から明らかなように、CCPA、CPRA、VCDPA、およびCPAに準拠している企業は、UCPAの基準を満たすのに問題がない可能性があります。
UCPAは、GDPRの「コントローラー」と「プロセッサー」の命名法を使用しており、違反の疑いに対する私的な行動の権利を消費者に提供していません。 他のすべての政府規制と同様に、消費者は個人情報を管理できます。
しかし、それはまた、特定の重要な区別をします。
たとえば、UCPAは、消費者に個人データのエラーを修正する権利を与えません。また、特定の処理操作のデータ保護影響評価(DPIA)を実行するためにコントローラーを必要としません。
UCPAは、対象となる企業に対して、機密データを処理する前に消費者に通知とオプトアウトの機会を提供することを義務付けています。
これは、機密データを収集して処理するためのオプトイン許可が必要なVCDPAおよびCPAとは対照的です。 さらに、消費者の苦情は、司法長官(AG)に直接送られるのではなく、ユタ州商務省に送られ、AGに懸念事項を提出することができます。
UCPAの主な規定
UCPAのいくつかの重要な規定は次のとおりです。
個人データと機密データの幅広い定義
UCPAによると、個人データとは、特定された、または特定可能な個人に関連する、または合理的にリンクできる情報のことです。 特定の種類のデータを「機密データ」として分類します。これには、他の種類の個人データには適用されない追加の基準と制限が適用されます。
より少ないデータ主体の権利
消費者は、UCPAの下で4つの基本的権利を持っています。
- アクセス権:管理者が消費者の個人データを処理しており、そのデータにアクセスできるかどうかを知る権利。
- 削除する権利:管理者に提供された個人データを削除する消費者の権利。
- 移植性の権利:以前にコントローラーに提供された消費者の個人データのコピーを、ポータブルで簡単にアクセスできる形式で取得する権利。これにより、消費者は制限なしにデータを別のコントローラーに送信できます。
- オプトアウトする権利: 「ターゲットを絞った広告」および「販売」のための個人データの処理を拒否する権利。
これらの重要な権利のすべてにもかかわらず、UCPAは、他の州法とは異なり、不正確な個人情報を修正する機能を消費者に提供していません。
アクセス可能で明確なプライバシー通知
UCPAはまた、少なくとも以下の情報を含むべき通知を消費者に提供するためにコントローラーを要求します。
- コントローラーが処理する個人データの種類
- さまざまなデータカテゴリが処理される目的
- 顧客が権利を行使する方法
- 管理者が第三者と共有する個人データの種類(ある場合)
- 該当する場合、管理者が個人データを交換する第三者
より軽いデータ処理契約(DPA)
UCPAには、より軽量なデータ処理契約が含まれており、コントローラーがプロセッサーと提携する必要があります。 このプロセッサは、コントローラの個人データを管理および処理します。
コントローラとプロセッサが締結する用語は、以下を指定する必要があります。
- 契約の性質と目的
- 処理時間
- データ主体のタイプ
- 各当事者の権利と義務
加工業者はまた、下請け業者に機密性を維持し、文書化された契約を通じてのみ委託することを義務付ける必要があります。 この契約では、下請け業者が処理者に代わってデータを処理する場合、下請け業者は処理者であると見なされます。
他のプライバシー法とは異なり、UCPAは、プロセッサを監査したり、コントローラがプロセッサの下請けをオプトアウトしたりするためのデータ処理条件を必要としません。
おなじみのセキュリティ要件
UCPAにはセキュリティに関するセクションがあります。 これは、管理者が適切な管理、技術、および物理的なデータセキュリティ慣行を採用して、個人データを保護し、処理のサイズ、範囲、量、および性質に基づいて、消費者に危害を及ぼすと予測できるリスクを排除することを指定します。
ConvertのUCPAコンプライアンスチェックリスト
ユタ州で活動している組織は、他の州法と同じ方法でUCPAを検討する必要があります。 ただし、コンプライアンスに関しては、すべてのチェックボックスをオンにするのは難しい場合があります。
組織がUCPAの複雑さをナビゲートするのを支援するために、この便利なコンプライアンスチェックリストをまとめました。
覚えておく必要があることは次のとおりです。
- あなたのビジネスがUCPAによってカバーされていることを確認してください。 組織は、財務およびデータ量のしきい値を含め、UCPAの管轄のしきい値を満たしているかどうかを評価する必要があります。
- プライバシーポリシーを再検討してください。 個人データの処理、追加の消費者の権利の伝達、および消費者がそれらの権利を行使するための手段の特定を反映するようにプライバシーポリシーを改訂します。
- データを保護するために、合理的なデータセキュリティ慣行を使用してください。 サイバーセキュリティのポリシー、慣行、および制御を調べて、業界標準を満たしていることを確認します。
- 訪問者が個人データの処理をオプトアウトできるようにします(該当する場合)。 ユタ州の住民が、企業がターゲット広告のために個人情報を販売または使用する場合にオプトアウトする権利を行使する方法を提供します。
- 機密データ収集メカニズムを実装します。 企業は、消費者に警告とオプトアウトの機会を与えることなく機密データを収集してはなりません。 この義務を遵守するために、企業は適切なオプトアウトシステムを実装する必要があります。
- 消費者からの問い合わせに迅速に対応します。 UCPAアクセスおよび消去の権利を行使するための消費者の要求を受け入れ、追跡し、承認し、実行するための手順を開発します。
Convertはすべてのプライバシー法を尊重します(EU + US)
ユタ州の法律の順守は、他の州法と同じ方法で処理する必要がありますが、ユタ州の居住者にのみ適用されることを明確にするために、言語を少し変更します。 UCPAは、オプトアウトメッセージの異なるジオターゲティングを必要とする場合があります。これは明示的に指定する必要があります。
Convertは、州のプライバシーとサイバーセキュリティに関する法律を注意深く監視しています。 「UCPAの準備方法」およびその他の新しい米国のプライバシー法の詳細については、 GDPRロードマップを参照してください。
