カリフォルニア州消費者プライバシー法 (CCPA)

  • [アーティクル]

CCPA の概要

カリフォルニア州消費者プライバシー法 (CCPA) は、米国の最初の包括的なプライバシー法です。 これは、カリフォルニア州の消費者にさまざまなプライバシー権を提供します。 CCPA によって規制されている企業には、開示、一般的なデータ保護規則 (GDPR) に似た消費者データ主体の権利 (DSR)、特定のデータ転送の 「オプトアウト」、未成年者の「オプトイン」要件など、それらの消費者に対する多くの義務があります。

CCPA は、カリフォルニア州で事業を行う企業にのみ適用されます。(1) 年間総収益が 2,500 万ドルを超える場合、または (2) カリフォルニア州の消費者個人情報の販売から年収の 50% 以上を得るか、(3) 年間 50,000 人以上のカリフォルニア州の消費者の個人情報を購入、販売、共有します。

CCPA は 2020 年 1 月 1 日から有効になります。 ただし、カリフォルニア州司法長官 (AG) による強制は、2020 年 7 月 1 日に開始されます。

カリフォルニア州 AG は CCPA を強制し、コンプライアンス違反の違反に対する罰金を発行する権限を持つことになります。 CCPA には、データ侵害に限定される非公開のアクション権利も提供されます。 私的権利の行使では、1 つのインシデントの損害は、消費者 1 人当たり $100 から $750 です。 カリフォルニア AG でも CCPA をそのまま適用し、違反ごとに $2,500 以下の罰則金を科しています。また、意図的な違反には $7,500 以下の罰則金を科しています。

Microsoft と CCPA

カリフォルニア州でビジネスを行う商用のお客様の場合、Microsoft はオンライン サービスとプロフェッショナル サービスのオファリングに関して"サービス プロバイダー" として機能します。 オンライン サービス条項 (OST) と Microsoft Professional Services Data Protection Addendum (MSDPA) の条項は、CCPA に基づくサービス プロバイダーの要件を既に満たしており、一般に、お客様が引き続きオンライン サービスにデータを転送することを許可するのに十分です。 そのため、お客様が CCPA のサービス プロバイダーとして Microsoft に依存できるようにするには、追加の契約上の変更は必要ありません。

OST に規定されているように、Microsoft は、CCPA を含むオンライン サービスの提供に適用されるすべての法律および規制を遵守します。

Microsoft のスコープ内クラウド プラットフォーム & サービス

Microsoft 製品およびサービスを使用する場合に CCPA コンプライアンスに備える方法

CCPA の準備をするために実行できるいくつかの手順を次に示します。

  • CCPA プライバシー プログラムの一環として 、コンプライアンス マネージャー で GDPR 評価を利用し始めます。
  • データ サブジェクト要求ツールを使用して、データ 主体アクセス要求 (DSAR) に効率的に応答するプロセスを確立します。
  • ラベルとポリシーを設定して、Microsoft Purview 情報保護を使用して機密データを検出、分類&、保護します。
  • メールの暗号化機能を使用して、機密情報をさらに管理します。

よく寄せられる質問

CCPA によって私の会社はどのような影響を受けますか?

カリフォルニア州に与えられる CCPA の権利の多くは、GDPR が提供する権利と似ています。これには、アクセス、削除、移植性などの開示およびデータ主体の権利 (DSR) 要求が含まれます。 そのため、お客様は、CCPA コンプライアンスに役立つ既存の GDPR ソリューションに目を通すことができます。

CCPA 体験を開始するには、情報の検出、個人情報の共有方法の決定、使用方法の管理、保護方法、正式なデータ侵害対応プログラムの実施に重点を置く必要があります。

GDPR と CCPA の違いは何ですか?

さまざまな違いがあります。 次のような類似点に焦点を当てる方が簡単です。

  • 透明性/開示義務、
  • データのコピーにアクセス、削除、および受信するコンシューマー権限。
  • GDPR が同様の契約上の義務を持つ "プロセッサ" を定義する方法に似た "サービス プロバイダー" の定義、および
  • "コントローラー" の GDPR 定義を含む "ビジネス" の定義。

CCPA の最大の違いは、データの販売から第三者へのオプトアウトを有効にするためのコア要件です (貴重な検討のためにデータの共有を含めるために広く定義された「販売」)。

CCPA で企業が認めなければならない権利は何ですか?

CCPA では、個人情報を収集、転送、および販売する規制された企業が必要です。その他の点が挙げられます。

  • 情報を収集する前に、消費者に対して、収集する情報のカテゴリや目的を開示する。
  • 収集される個人情報のソース、ビジネス目的、およびカテゴリに関するプライバシー ポリシーで、それらのカテゴリの販売方法や他のエンティティへの転送方法など、より詳細な開示情報を提供します。
  • お客様によって収集された特定の個人情報に対して、アクセス、削除、移植性に関する DSR 権限を有効にします。
  • コンシューマーがコンシューマーのデータの販売をオプトアウトできるようにするコントロールを有効にします。 ただし、サービス プロバイダーなどの除外エンティティへの譲渡は許可されます。
  • 未成年者の場合は、16 未満でオプトイン プロセスを有効にして、未成年者の個人情報を積極的に販売にオプトインせずに販売できないようにします。
  • CCPA の消費者の権利に基づき、消費者がその権利の行使によって、差別されないことを確認する。

CCPA は子供にはどのように適用されますか?

  • CCPA は、13 歳未満の子供に対して、児童オンラインプライバシー保護法 (COPPA) と一致する、保護者による同意の義務を導入しています。
  • 13 歳から 16 歳までの子供の場合、CCPA は、子どもからオプトインの同意を得る新しい義務を課します。

Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する

Microsoft Purview コンプライアンス マネージャーは、組織のコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立つ、Microsoft Purview コンプライアンス ポータルの機能です。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース