CCPAとは?

CCPA(California Consumer Privacy Act)とは、ビッグテックにおけるアクセス制御やプライバシー管理の不備からデータ漏洩が多発したことに対処するため、2018年に制定されたカリフォルニア州消費者プライバシー法のことです。GDPR(EU一般データ保護規則)に倣って作られたこの新規則は、ユーザーにデータの管理能力を与えるものです。カリフォルニア州の住民データを収集する企業は、データの収集方法に関する情報を提供し、ユーザーが個人データの要求、削除、保護を行えるようにする必要があります。

CCPAの対象事業者

カリフォルニア州の住民データを収集する企業は、CCPAに関するコンプライアンス規制を確認しなければなりません。専門家は、CCPA規則は、ユーザーが自分のデータをよりよく管理できるようにするために、他の州における将来の法律を推進すると推測しています。カリフォルニア州のデータを扱っていない企業も、他の州で同様の法律が成立した場合の規制を理解するために、CCPAに関連する情報を追跡しておく必要があります。

その他、CCPA規則に該当するビジネス要素は以下の通りです。

  • 年間総収入が2,500万ドル以上ある。
  • 少なくとも5万人の消費者について商業的な理由でデータを収集している。
  • 年間売上の50%以上がサービスまたは製品の販売によるものである。

CCPAへの対応

CCPAはユーザーが自分のデータをよりコントロールできるようにするため、コンプライアンスで定義された規制の多くは、企業がウェブサイトやその他のデジタル手段から集めた個人情報の収集と配布の方法を対象としています。ユーザーは企業に問い合わせてデータの保存や使用に関する情報を求めることができ、企業は一定の要求に応じなければなりません。

CCPAは、企業に対して、以下に関するユーザーの要望に応じることを求めています。

  • 収集および保管されるすべてのデータ
  • データが収集されるソースの各カテゴリー(例:財務、連絡先、医療)
  • ユーザーデータを収集し、販売する事業目的
  • ユーザーのデータにアクセスすることができる第三者のリスト

また、ユーザーからの以下の要望に対しても、企業は対応しなければなりません。

  • 自分のデータを削除する。
  • 自分のデータの売却を禁止する。
  • 自分のデータの管理を要求したことによる差別を受けないようにする。
  • 自分のデータを移植する。

CCPA個人情報の定義

CCPAはEUのGDPRとよく比較されますが、CCPAはコンプライアンスの定義がより広範になっています。保護されるデータには「特定の消費者や家を識別、関連、記述、関係づけることが可能、または直接的もしくは間接的にリンクさせることが合理的に可能 」なあらゆる個人情報が含まれます。

この規定は、連絡先情報以外のものも保護します。連絡先のないデータでも、個人を特定できる場合は、CCPAの遵守事項に該当します。例えば、住所、世帯収入、その他の具体的な情報は、消費者を特定できるため、CCPAの規定がこの記録を保護することになります。

CCPAは、消費者を特定するために使用できないデータを対象としていませんが、企業は、保存されたデータが安全に匿名化されていることを確認する必要があります。一般化されたデータは、たとえ名前が記録されていなくても、消費者を特定するために使用されることがよくあります。

CCPAの罰則と罰金

CCPA規則は2018年に施行されましたが、企業は2020年1月までに自社のシステムが準拠していることを確認する必要がありました。CCPAの規則に基づく消費者の要求には45日以内に回答する必要があります。

監査後、システムが準拠していない旨の通知を受けることがあります。その場合、その企業は30日以内に問題を解決しなければならず、解決しなかった場合は、問題1件につき最高7,500ドルの罰金が科せられます。ユーザーは、データ侵害1件につき750ドルの損害賠償を請求することができます。

また、コンプライアンス違反は、企業にさらなる訴訟の可能性をもたらします。深刻なデータ流出が多数の消費者に影響を与えた場合、企業は何年もの訴訟に直面し、弁護士費用や賠償金などの追加費用が発生する可能性があります。

CCPAとサイバーセキュリティ

データ保護はCCPAのコンプライアンスにおいて重要な要素であるため、ユーザー情報を保管するインフラのサイバーセキュリティは優先されるべきです。認証管理やセキュリティ保護が不十分な場合、厳しい処罰を受ける可能性があるため、CCPAはより優れたサイバーセキュリティの実装を推進しています。CCPAの文言は、組織が「合理的なセキュリティ」対策を実施しなければならないというものであり、コンプライアンスはその解釈に委ねられています。

サイバーセキュリティを向上させるための最初のステップは、リスクアセスメントを行うことです。ほとんどの組織は、効果的なリスクアセスメントの実施方法を知らず、監査の実施、インフラのインベントリ、リスク分析の計算を行う専門家を雇っています。評価完了後、これらの専門家がサイバーセキュリティ対策の構築と実施に関するガイダンスを提供します。

CCPAの遵守

サイバーセキュリティが関与する場合、CCPAコンプライアンスは複雑で分かりにくいものとなりますが、プロセスに精通した専門家が適切なガイダンスを提供することで、すべてのステップが適切に実施されるようになります。企業は、6つの基本的なステップに従うことによって、CCPAのコンプライアンスを遵守できます。

  1. データプライバシーを担当するチームまたは個人を任命する。この役割は、CCPAやその他のコンプライアンス基準、およびデータ保護を取り巻くサイバーセキュリティに焦点を当てるべきです。
  2. データをインベントリ化し、何が収集され、何が保護されなければならないかを判断する。データがどのように収集され、どのようにシステムから別のシステムへ流れるかを理解することで、サイバーセキュリティ対策を実施するためのロードマップを提供します。
  3. リスクアセスメントを実施する。リスクアセスメントでは、組織はデータとそのデータを保存するシステムを発見し、未知のインフラストラクチャを含む戦略を作成します。
  4. データを保護するツールを開発し、実装する。これらのツールは、サードパーティによる実装や、データへのアクセス制御を追加するためのカスタムコードであるかもしれません。
  5. データに関するポリシーとガバナンスを定義する。これらのポリシーは、ベンダーのアクセスやサプライチェーンのリスク管理など、消費者データの軽減と監視を監督するものでなければなりません。
  6. データプライバシーに関するすべてのポリシーと手順の監査証跡を維持する。監査とポリシーの証跡を通じて、ポリシーを見直し、教訓を明らかにして、今後の改善に役立てることができます。

データプライバシーとは?

データプライバシーは、顧客データの非倫理的な使用や第三者への配布から保護することを目的としています。データプライバシーとは何か、何を知っておくべきかを解説します。

データ保護とは?

データ保護は、情報の漏洩や損失から情報を保護することを目的としています。データ保護とは何か、なぜ重要なのか、何を考慮すべきなのかなどについて解説します。

コンプライアンスマネジメントとは?

コンプライアンスマネジメントには、規制違反のリスクを低減するための手順やポリシーが含まれます。コンプライアンスマネジメントの仕組みなどをご紹介します。

データプライバシーのトレーニングがセキュリティ意識向上プログラムにとって重要である理由

データプライバシーは、GDPRやCCPAをはじめ、年々成熟しています。データプライバシーのトレーニングがセキュリティ意識向上プログラムにとって重要である理由をご紹介します。