編集

カリフォルニア州消費者プライバシー法 (CCPA) についてよく寄せられる質問

  • よく寄せられる質問

注:

このトピックは"現状のまま" 提供されています。URL やその他のインターネット Web サイト参照など、このトピックで表される情報とビューは、予告なしに変更されることがあります。 使用に伴うリスクは、お客様が負うものとします。 このトピックはガイドとして作成されており、法的な助言として解釈されるものではありません。 法律の専門家に相談する必要があります。 このトピックは、お客様に Microsoft 製品の知的財産に対する法的権利を付与するものではありません。 お客様は、内部的な参照の目的で、このトピックをコピーおよび使用することができます。

よく寄せられる質問

CCPA とは何ですか?

カリフォルニア州消費者プライバシー法 (CCPA) は、米国で最初の包括的なプライバシー法です。 この法律は、2018 年 6 月末に成立し、カリフォルニア州の消費者にさまざまなプライバシーの権利を提供しています。 CCPA によって規制されている企業には、開示、一般データ保護規則 (GDPR) に似た消費者の権利、特定のデータ転送に対する"オプトアウト"、未成年者に対する「オプトイン」要件など、これらの消費者に対する多くの義務があります。

CCPA について知っておく必要がありますか?

CCPA は、次に示す条件に 1 つ以上該当するカリフォルニア州で事業を行う会社にのみ適用されます。(1) 年間益金が $2,500 万を超える、(2) 年間収益の 50% 以上を消費者個人情報の販売から得ている、(3) 5 万人以上の消費者の個人情報を購入、販売、または共有している。

CCPA はいつから有効になりますか?

CCPA は 2020 年 1 月 1 日から有効になります。 ただし、司法長官 (AG) による執行は、2020 年 7 月 1 日まで開始されません。

CCPA によって私の会社はどのような影響を受けますか?

カリフォルニア州に与えられる CCPA の権利の多くは、GDPR が提供する権利に似ています。これには、データ主体の権利 (DSR) 要求に似た開示やコンシューマー要求 (アクセス、削除、移植性など) が含まれます。 そのため、お客様は既存の GDPR ソリューションを参考にして、CCPA の準拠に役立てることができます。

CCPA の準拠には、次の 5 つの主要な手順にが必要になります。

  • 検索: 所有する個人情報とその情報の属する場所を確認します。
  • マップ: どのように個人情報をサードパーティと共有しているか、およびそのサードパーティが CCPA のオプトアウト要件の例外の対象になるかどうかを確認します。
  • 管理: データがどのように使用され、アクセスされるかを管理します。
  • 保護: 脆弱性やデータ漏洩を防止、検出し、対処するためのセキュリティ制御を確立します。
  • ドキュメント: データ侵害対応プログラムを文書化し、該当するサードパーティとの契約が、オプトアウトの例外に適用することを確認します。

CCPA に基づく組織の特定の義務と、それらを満たす方法を理解する必要がありますが、Microsoft は、お客様の旅行のお手伝いをするためにここにいます。

よく寄せられる質問

CCPA で企業が認めなければならない権利は何ですか?

CCPA では、規制対象の企業に対して、個人情報の収集、使用、転送、販売に関して次のことを要求します。

  • 情報を収集する前に、消費者に対して、収集する情報のカテゴリや目的を開示する。
  • ソース、事業目的、収集する個人情報のカテゴリ、および収集した情報が他のエンティティにどのように販売、転送されるかについて、プライバシー ポリシーに従って詳細に開示する。
  • ユーザーによって収集された個人情報の特定の部分に対するアクセス、削除、および移植性に関連する消費者の権利を有効にする。
  • コンシューマーがコンシューマーのデータの "販売" をオプトアウトできるようにするコントロールを有効にします。 ただし、サービス プロバイダーへの転送など、特定の転送は許可されます。
  • 未成年者の場合、16 歳未満の場合はオプトイン プロセスを有効にして、未成年者の個人情報を積極的に販売にオプトインせずに販売できないようにします。
  • CCPA の消費者の権利に基づき、消費者がその権利の行使によって、差別されないことを確認する。

CCPA が要求する開示とは何ですか?

CCPA は、次の開示を要求します。

  • 収集された消費者の個人情報のカテゴリ。
  • 情報の収集に使用されたソースのカテゴリ。
  • 事業目的もしくは商業目的。
  • 個人情報が "共有" されている第三者のカテゴリ。
  • "販売" された個人情報のカテゴリと、個人情報の各カテゴリが販売された "サード パーティ" のカテゴリ。
  • "ビジネス目的で開示された" (つまり、"販売" ではなく譲渡された) 個人情報のカテゴリと、個人情報の各カテゴリが転送された "サード パーティ" のカテゴリ。
  • 消費者について収集された個人情報の特定の情報。

CCPA の下でのデータの "販売" はどのように行われますか?

CCPA における "販売" の定義は非常に広範です。これには、金銭的なその他の貴重な考慮のためにサード パーティが個人情報を利用できるようにするなど、非常に広範です。 コンシューマーが "オプトアウト" を選択した場合、ビジネスは個人情報の第三者へのフローを無効にする必要があります。

CCPA では、この "販売" オプトアウト コントロールに多数のカーブアウトが提供されます。 3 つの主要な切り抜きは、(i) サービス プロバイダーへの転送、(ii) "免除されたエンティティ" または "請負業者" への転送、および (iii) コンシューマーの方向への転送です。 消費者が "オプトアウト" を選択した場合でも、個人情報は、それらの切り抜きに適合する第三者に引き続き転送できます。

最初の 2 つの除外を利用するためには、その転送が CCPA が要求する特定の条件を含む書面による契約によって管理されていることを確認する必要があります。

CCPA のコンテキストにおける "ビジネス" と "サービス プロバイダー" の意味は何ですか?

CCPA のコンテキストでは、企業は、コンシューマーの個人データの処理の目的と手段を決定する個人またはエンティティであり、サービス プロバイダーは、ビジネスに代わって情報を処理する個人またはエンティティです。 これらは、GDPR で使用される「管理者」や「処理者」と同じです。

企業は、違反に対してどのくらいの罰金を科せられますか?

CCPA での私的権利の行使は、データ侵害に限定されています。 私的権利の行使では、1 つのインシデントの損害は、消費者 1 人当たり $100 から $750 です。 カリフォルニア AG でも CCPA をそのまま適用し、違反ごとに $2,500 以下の罰則金を科しています。また、意図的な違反には $7,500 以下の罰則金を科しています。

CCPA に準拠するために Microsoft は何をしていますか?

Microsoft は GDPR 関連のデータ主体要求 (DSR) をグローバルに実行し、現在では関連する CCPA の要件を満たし、非常によい立場にあります。 また、サードパーティのデータ共有契約を確認し、個人情報を"販売" しないようにするために必要な契約条件が適用されていることを確認する手順を実行しました。

CCPA 準拠への準備を開始するのに役立つツールはありますか?

  • CCPA プライバシー プログラムの一環として、コンプライアンス マネージャーの GDPR の評価を利用します。
  • 消費者からの要求に効果的に対応するためのプロセスを確立します。
  • ラベルとポリシーを設定して、Microsoft Purview 情報保護を使用して機密データを検出、分類&、保護します。
  • メールの暗号化機能を使用して、機密情報をさらに管理します。
  • 詳細については、ブログ投稿 を参照してください。

GDPR と CCPA の違いは何ですか?

さまざまな違いがあります。 次のような類似点に焦点を当てる方が簡単です。

  • 透明性と開示の義務。
  • データのコピーへアクセスしたり、削除したり、受信したりする消費者の権利。
  • GDPR が同様の契約上の義務を持つ "プロセッサ" を定義する方法に似た "サービス プロバイダー" の定義。
  • "コントローラー" の GDPR 定義を含む "ビジネス" の定義。

CCPA の最大の違いは、データの販売から第三者へのオプトアウトを有効にするためのコア要件です (貴重な検討のためにデータの共有を含めるために広く定義された「販売」)。 これは、この種類の"販売" を包含する処理に反対する広範な GDPR 権利よりも狭く、より具体的な義務ですが、この種の共有をカバーすることだけに特に限定されません。

"プロセッサ" と "コントローラー" とは何ですか?

管理者とは、単独でまたは他者と共同で個人データを処理する目的と手段を決定する、自然人、法人、公共機関、行政機関またはその他の団体を意味します。 処理者とは、管理者の代わりに個人データを処理する、自然人、法人、公共機関、行政機関、またはその他の団体を意味します。

具体的に何が個人情報と見なされますか?

個人情報とは、識別された人、または識別可能な人に関するあらゆる情報のことです。 個人の私的、公的、または職業上の役割による区別はありません。 定義された "個人情報" という用語は、GDPR の下で大まかに "個人データ" と一緒に並びます。 ただし、CCPA では家族データおよび世帯データも含まれます。

個人データの例:

ID

  • 名前
  • 自宅の住所
  • 勤務先の住所
  • 電話番号
  • 携帯電話番号
  • メール アドレス
  • パスポート番号
  • 国が発行する身分証明書
  • 社会保障番号 (またはこれに相当するもの)
  • 運転免許証
  • 身体的、生理学的、または遺伝学的な情報
  • 医療情報
  • 文化的アイデンティティ

財務

  • 銀行に関する詳細情報/口座番号
  • 納税者番号
  • クレジット カード/デビット カードの番号
  • ソーシャル メディアの投稿

オンライン成果物

  • ソーシャル メディアの投稿
  • IP アドレス (EU 地域)
  • 位置/GPS データ
  • Cookie

CCPA は子供にはどのように適用されますか?

  • CCPA は、13 歳未満の子供に対して、児童オンラインプライバシー保護法 (COPPA) と一致する、保護者による同意の義務を導入しています。
  • 13 歳から 16 歳の子供の場合、CCPA は、個人情報の「販売」について、お子様からオプトインの同意を得る新しい義務を課します。

従業員の個人データはどうなりますか?

2019 年 10 月には、多くの修正が CCPA に渡されました。 修正の 1 つで、CCPA の義務は企業の従業員の個人情報には適用されないことが明確にされました。 ただし、この適用除外は 1 年間で終了します。 2020 年に、カリフォルニア州は従業員のために新しいデータ保護法を制定します。  

Microsoft の利用者として、Microsoft への転送に対してオプトアウト管理を実行する必要がありますか?

いいえ。 オンライン サービスのプロバイダーとして、CCPA の下で "サービス プロバイダー" として認定されるようにするための措置を講じています。 上記で説明したように、消費者が転送を無効にした場合でも、サービス プロバイダーへの個人情報の転送は許可されています。