カリフォルニア州の新しい個人情報保護法、CPRAが承認されました。 さて、どうする?
2020年11月3日、カリフォルニア州の有権者は、約56-44%でCPRA(カリフォルニア・プライバシー権法)であるプロポジション24を可決しました。 この法律は、2023 年 1 月 1 日に施行されると、まだ新しいカリフォルニア消費者プライバシー法 (CCPA) を改正し、それに取って代わります。
この法律は、CCPA の既存の枠組みを基に、EU の GDPR とより緊密に連携するように消費者のプライバシー権を拡大し、企業に追加の義務を課し、プライバシー規制と執行に専念する全米初の機関、カリフォルニア プライバシー保護局 (CCPA) を設立します。 以下に、CPRA の準備を始めるために知っておくべき重要なポイントをまとめました。
プライバシーではよくあることですが、準備は早ければ早いほどコンプライアンスは容易になります。
知っておくべきこと
主な日付と当面の変更
運用開始日と施行日。 CPRA全体は2023年1月1日まで発効せず、2022年1月1日以降に収集された情報のみに適用されます。 施行は2023年7月1日以降となります。 それまでは、CCPA が支配的なプライバシー制度として存続します。
Immediate changes:
- 従業員免除の延長。
- カリフォルニア・プライバシー保護局(CPPA)の設立。 プライバシー保護の監視機関であるCPPAが即日発効。 CPPAの5人の役員は、法律の制定から90日以内に任命されなければならず、これは、州務長官が最終投票を証明した5日後に行われます。
Key PROVISIONS
Definitional changes:
「機密」個人情報の新しいサブカテゴリを追加。 CPRAは、CCPAの11種類の個人情報(PI)を維持しつつ、「センシティブ」個人情報(Sensitive PI)という新しいサブカテゴリーを追加しています。 消費者は、センシティブPIが含まれる場合、そのデータの使用と開示を制限する新しい権利を含む、より高い権利を持つことになります。 センシティブPIには、(1)社会保障番号、運転免許証、州身分証明書、パスポート番号、(2)パスワード付きアカウントログイン情報、(3)消費者の正確な地理的位置、(4)人種・民族的出身、宗教的信条、組合への加入などが含まれます。 (5) 消費者の郵便物、電子メールまたはテキストの内容(事業者が意図した受取人である場合を除く) (6) 消費者の遺伝情報 (7) 消費者を識別するための生体情報の処理 (8) 個人の健康に関する分析情報 (9) 消費者の性生活または性的指向に関する分析情報。
「第三者」の新たな定義。 CPRAでは、「第三者」の新しい定義が追加され、サービスプロバイダー、請負業者、および消費者が意図的に交流するビジネスで、消費者とビジネスとの交流の一環として消費者から情報を収集するものは除外されると否定的に定義されています。 これらの例外は、第三者との情報の「共有」をオプトアウトする消費者の権利が新たに拡大されたことを考えると、特に重要です(後述)。
「プロファイリング」の新しい定義(および一部の制限事項)。 CPRAは「プロファイリング」の定義を追加しました。これは、「個人の嗜好、経済状況、仕事の成果、健康、興味、行動、場所、信頼性、または動作の側面を分析または予測するために」用いられる個人情報の「あらゆる形態の自動処理」を意味します。消費者がプロファイリングを要求したサービスの実行または商品の提供に必要であると合理的に期待しない限り、プロファイリングを除外する特定の「事業目的」(以下で検討)に機密個人情報の使用および開示が限定できる権利によって、プロファイリングを部分的に制限できるようになりました。 これは、人工知能の使用方法と説明の仕方に大きな影響を与える可能性があります。
ビジネス上の義務の変更
データ保持の制限と保持期間の開示の義務付け。 CPRAは、事業者がSensitive PIを含む各カテゴリーのPIをいつまで保持するかを消費者に通知することを義務付けています。 何らかの理由で保有期間を特定できない場合、事業者は最低限、保有期間を決定するために使用した基準を消費者に通知する必要があります。 いかなる場合も、事業者は、消費者の個人情報または機微的個人情報を、それが収集された開示目的のために合理的に必要とされる期間よりも長く保持することはできません。 前述のとおり、「機密情報」のサブカテゴリの追加に伴い、このカテゴリの情報の使用と開示を制限する新しい消費者の権利が発生します。 この使用と開示を制限する権利は、消費者に関する特性を推論する目的でセンシティブPIが収集または処理される場合に発生する。 消費者は、センシティブPIの使用または開示を制限することができます。 (1) サービスの履行または商品の提供に必要なもの、および (2) 特定の限定的な「ビジネスサービス」。 消費者に関する特性を「推論」する目的で収集または処理されないセンシティブPIは、PIとして扱われ、この制限の対象とはなりません。 機密性の高い個人情報は、プライバシー通知で個別に開示されなければならず、消費者は、機密性の高い個人情報の使用と開示を制限するオプトインの権利について通知され、それを行使できるようにしなければなりません。 CPRAは、不正確な個人情報を修正する新たな消費者の権利を追加しました。 企業は、プライバシー ポリシーの開示にこの権利に関する通知を追加し、これらの要求に対応するポリシーと手順を導入する義務があります。
クロスコンテキストアドバタイジングのための個人情報の共有に対する消費者のオプトアウト権の拡張。 CCPAの下、消費者は自分の個人情報を販売しないよう企業に指示する権利(販売拒否権)を持っています。 CPRAでは、この権利を拡張し、消費者が事業者による第三者との情報の「共有」をも阻止できるようにした。 ここでいう「共有」とは、金銭またはその他の有価な対価の有無にかかわらず、金銭の授受がない場合も含め、消費者の個人情報を、文脈横断的行動広告のために第三者に共有、開示、貸与する事業者を意味します。 「クロス・コンテキスト広告」とは、消費者が意図的に交流するビジネス、ウェブサイト、アプリまたはサービス以外のビジネス、ウェブサイト、アプリまたはサービスにわたる消費者の活動から得られた個人情報に基づいて、消費者に広告をターゲティングすることを意味します。 CCPAの販売オプトアウトの権利と同様に、共有のオプトアウトの権利は、サービス・プロバイダーや請負業者とのPIの共有には及びません。
非差別規定を拡張し、非報復を含むようにします。 CPRAは、非差別的な消費者の権利を修正し、従業員、雇用申請者、または独立請負業者が本法に基づく権利を行使することに対する報復の禁止を含むようにしました。 CPRAは、販売や共有、サービスプロバイダーや請負業者など、PIを受け取るすべての人に対する新たな契約要件を追加しています。 契約は現在、以下のようにしなければならない。
- 情報が限定された特定の目的のために提供されることを明記する。
- 情報を受け取る者がCPRAを遵守し、CPRAが要求するのと同じレベルのプライバシー保護を提供するよう義務付ける。
- 事業者に、情報が「このタイトルに基づく事業者の義務と一致した方法で」転送されていることを確認する権利を与える。
- 個人情報を受け取る者は、CPRAの義務をもはや果たせない場合、事業者に通知することを義務付ける。
- 事業者に、個人情報の不正使用を停止し修復する措置を取る権利を認める。
子供の権利の増加
子供のPIに対する行政罰の増加。 CPRAは、16歳未満の児童のPIに関わるあらゆる違反行為に対する行政罰の額を、1回の違反につき7,500ドルまで引き上げる可能性があるとしています。 CCPAの下では、この罰則は故意の違反にのみ適用されました。
Requires opt-In consent for sharing PI of children under 16: CPRAが、消費者が個人情報の販売をオプトアウトする権利を、第三者との個人情報の共有をオプトアウトする権利に拡大したのと同様に、企業が16歳未満の子供の個人情報を販売する際に肯定的にオプトインする同意を得ていることが、現在、子供の個人情報の共有にも拡大されています。 CPRA はまた、「消費者または消費者の親もしくは保護者が、消費者が 13 歳未満または 13 歳以上 16 歳未満であることを指定できるようなオプトアウト選択信号の技術仕様を確立する」ための規則制定を要求しています。 前述のとおり、CPRA は、CCPA と CPRA を「実施および執行する」新しい機関である CPPA を設立します(運用開始時)。 CPPA は、消費者データのプライバシーのみに特化した米国初のプライバシー機関となり、CPRA の違反の可能性を調査し、行政措置を通じて CPRA を施行し、規則を公布する幅広い権限を持ちます。
保険に関する新しい規則制定を要求 CPRAは、CPPAに対し、保険料率や価格に関する条項を除き、消費者のプライバシーに関する「現行のカリフォルニア州保険法の見直し」を要求している。 CPPAは、保険法がCPRAより優れたプライバシー保護を提供しているかどうかを判断し、そうでない場合、CPRAの優れた保護を保険会社に適用する規則を採用する「ものとする」。 ただし、保険委員会は保険料率および価格設定に関する管轄権を維持する。
サイバーセキュリティとプライバシーに関する新たな規則制定を要求。 CPPAは、「消費者の個人情報の処理が消費者のプライバシーまたはセキュリティに重大なリスクをもたらす」事業者に対して、(1) サイバーセキュリティ監査を毎年実施し、(2) 個人情報の処理に関するリスク評価をCPPAに提出することを義務付ける規則を発行するものとする。
Private Right of Actionの範囲を拡大する。 CPRAは、コンテンツへのアクセスを可能にするパスワードまたはセキュリティ質問と回答との組み合わせによる電子メールアドレスの不正アクセスおよび流出、盗難、または開示に対する訴因を追加することにより、私的権利の範囲を拡張しています。 以前は、CCPAは暗号化されていない、あるいは編集されていない個人情報についてのみ訴因を認めていました。 CPRA はまた、侵害後の合理的なセキュリティ手順と実践の実施および維持は、治癒を構成しないことを明確にしています。
Conclusion
CPRA は、急速に進化するプライバシー状況のもう一つの例と言えます。 しかし、この変動の根底には、企業に対するプライバシー保護義務の強化という明確な傾向があり、これは米国および世界中でほぼ確実に継続すると思われます。 このような環境では、早期に準備を行い、法律と、どのようなデータを持ち、それがどこから来て、どこへ行き、どのくらいの期間それを保持するかについてしっかりと把握している企業が、コンプライアンスを遵守する上で最も有利な立場になるでしょう
。
Leave a Reply