カリフォルニア州消費者プライバシー法 (CCPA) についてよく寄せられる質問

注意

このトピックは、"現状のまま" 提供されています。 このトピックに記載されている情報およびビュー (URL 等のインターネット Web サイトに関する情報を含む) は、将来予告なしに変更されることがあります。 使用に伴うリスクは、お客様が負うものとします。 このトピックはガイドとして作成されており、法的な助言として解釈されるものではありません。 法律の専門家に相談する必要があります。 このトピックは、お客様に Microsoft 製品の知的財産に対する法的権利を付与するものではありません。 お客様は、内部的な参照の目的で、このトピックをコピーおよび使用することができます。

よく寄せられる質問

CCPA とは何ですか?

カリフォルニア州消費者プライバシー法 (CCPA) は、米国で最初の包括的なプライバシー法です。 この法律は、2018 年 6 月末に成立し、カリフォルニア州の消費者にさまざまなプライバシーの権利を提供しています。 CCPA が規制する企業には、開示、一般データ保護規則 (GDPR) のような消費者の権利、特定のデータ転送の 「オプトアウト」、未成年者に対する 「オプトイン」 要件など、消費者に対して多くの義務があります。

CCPA について知っておく必要がありますか?

CCPA は、次に示す条件に 1 つ以上該当するカリフォルニア州で事業を行う会社にのみ適用されます。(1) 年間益金が $2,500 万を超える、(2) 年間収益の 50% 以上を消費者個人情報の販売から得ている、(3) 5 万人以上の消費者の個人情報を購入、販売、または共有している。

CCPA はいつから有効になりますか?

CCPA は 2020 年 1 月 1 日から有効になります。 ただし、司法長官 (AG) による執行は、2020 年 7 月 1 日まで開始されません。

CCPA によって私の会社はどのような影響を受けますか?

カリフォルニア州に与える CCPA の権利の多くは、アクセス、削除、移植性などのデータ主体権 (DSR) 要求に類似した開示要求や消費者要求など、GDPR が提供する権利と似ています。 そのため、お客様は既存の GDPR ソリューションを参考にして、CCPA の準拠に役立てることができます。

CCPA の準拠には、次の 5 つの主要な手順にが必要になります。

  • 検索: 所有する個人情報とその情報の属する場所を確認します。
  • マップ: どのように個人情報をサードパーティと共有しているか、およびそのサードパーティが CCPA のオプトアウト要件の例外の対象になるかどうかを確認します。
  • 管理: データがどのように使用され、アクセスされるかを管理します。
  • 保護: 脆弱性やデータ漏洩を防止、検出し、対処するためのセキュリティ制御を確立します。
  • ドキュメント: データ侵害対応プログラムを文書化し、該当するサードパーティとの契約が、オプトアウトの例外に適用することを確認します。

組織の特定の義務が CCPA の下にあるもの、およびそれらを満たす方法を理解する必要があります。Microsoft は、お客様の旅を支援するためにここにいます。

よく寄せられる質問

CCPA で企業が認めなければならない権利は何ですか?

CCPA では、規制対象の企業に対して、個人情報の収集、使用、転送、販売に関して次のことを要求します。

  • 情報を収集する前に、消費者に対して、収集する情報のカテゴリや目的を開示する。
  • ソース、事業目的、収集する個人情報のカテゴリ、および収集した情報が他のエンティティにどのように販売、転送されるかについて、プライバシー ポリシーに従って詳細に開示する。
  • ユーザーによって収集された個人情報の特定の部分に対するアクセス、削除、および移植性に関連する消費者の権利を有効にする。
  • 消費者が消費者のデータの「販売」をオプトアウトすることを許可するコントロールを有効にする。 ただし、サービス プロバイダーへの転送など、特定の転送は許可されます。
  • 未成年者の場合、16 歳未満の場合はオプトイン プロセスを有効にし、積極的に販売をオプトインすることなく、未成年者の個人情報の販売が行われません。
  • CCPA の消費者の権利に基づき、消費者がその権利の行使によって、差別されないことを確認する。

CCPA が要求する開示とは何ですか?

CCPA は、次の開示を要求します。

  • 収集された消費者の個人情報のカテゴリ。
  • 情報の収集に使用されたソースのカテゴリ。
  • 事業目的もしくは商業目的。
  • 個人情報が「共有」される第三者のカテゴリ。
  • 「販売」された個人情報のカテゴリと、個人情報の各カテゴリが販売された「第三者」のカテゴリ。
  • 「ビジネス目的で開示された」個人情報のカテゴリ (つまり、転送されたが、"販売"ではない) と、個人情報の各カテゴリが転送された「第三者」のカテゴリ。
  • 消費者について収集された個人情報の特定の情報。

CCPA でのデータの販売方法

CCPA における 「販売」 の定義は、金銭的または他の貴重な検討のために第三者に「個人情報を提供する」など、非常に広範です。 消費者が「オプトアウト」を選択した場合、ビジネスは個人情報の第三者への流れをオフにする必要があります。

CCPA は、この 「販売」 オプトアウトコントロールに多数のカーブアウトを提供します。 3 つの主要なカーブアウトは、(i) サービス プロバイダーへの転送、(ii) "除外されたエンティティ" または '契約者" への転送、および (iii) 消費者の指示です。 消費者が「オプトアウト」を選択した場合でも、個人情報は引き続きそれらの切り開きに適合する第三者に転送できます。

最初の 2 つの除外を利用するためには、その転送が CCPA が要求する特定の条件を含む書面による契約によって管理されていることを確認する必要があります。

CCPA のコンテキストで 'Businesses' と 'Service Providers' は何を意味しますか?

CCPA のコンテキストでは、Businesses は、消費者の個人データの処理の目的と手段を決定する個人またはエンティティであり、サービス プロバイダーは、ビジネスに代わって情報を処理する個人またはエンティティです。 これらは、GDPR で使用される「管理者」や「処理者」と同じです。

企業は、違反に対してどのくらいの罰金が科されますか?

CCPA での私的権利の行使は、データ侵害に限定されています。 私的権利の行使では、1 つのインシデントの損害は、消費者 1 人当たり $100 から $750 です。 カリフォルニア AG でも CCPA をそのまま適用し、違反ごとに $2,500 以下の罰則金を科しています。また、意図的な違反には $7,500 以下の罰則金を科しています。

CCPA に準拠するために Microsoft は何をしていますか?

Microsoft は GDPR 関連のデータ主体要求 (DSR) をグローバルに実行し、現在では関連する CCPA の要件を満たし、非常によい立場にあります。 また、サードパーティのデータ共有契約を見直し、個人情報を「販売」しない目的で必要な契約条件を定めするための措置を講じていました。

CCPA 準拠への準備を開始するのに役立つツールはありますか?

  • CCPA プライバシー プログラムの一環として、コンプライアンス マネージャーの GDPR の評価を利用します。
  • 消費者からの要求に効果的に対応するためのプロセスを確立します。
  • ラベルとポリシーを設定し、Microsoft Information Protection を使用して機密データを検索、分類、保護します。
  • メールの暗号化機能を使用して、機密情報をさらに管理します。
  • 詳細については、ブログ投稿 を参照してください。

GDPR と CCPA の違いは何ですか?

さまざまな違いがあります。 次のような類似点に焦点を当てる方が簡単です。

  • 透明性と開示の義務。
  • データのコピーへアクセスしたり、削除したり、受信したりする消費者の権利。
  • GDPR が同様の契約上の義務を持つ 「プロセッサ」を定義する方法に似た 「サービス プロバイダー」の定義。
  • 「管理者」の GDPR 定義を含む 'businesses" の定義。

CCPA の最大の違いは、データの販売から第三者へのオプトアウトを可能にするコア要件です (価値ある検討のためにデータの共有を含む大まかに定義された 「販売」)。 これは、この種の「販売」を含む、処理に対する広範な GDPR の権利よりも狭く、より具体的な義務ですが、この種の共有をカバーする場合に特に限定されるのではありません。

「プロセッサ」と「コントローラー」とは何ですか?

管理者とは、単独でまたは他者と共同で個人データを処理する目的と手段を決定する、自然人、法人、公共機関、行政機関またはその他の団体を意味します。 処理者とは、管理者の代わりに個人データを処理する、自然人、法人、公共機関、行政機関、またはその他の団体を意味します。

具体的に何が個人情報と見なされますか?

個人情報とは、識別された人、または識別可能な人に関するあらゆる情報のことです。 個人の私的、公的、または職業上の役割による区別はありません。 定義された用語「個人情報」は、GDPR の下で大まかに「個人データ」と一緒に表示されます。 ただし、CCPA では家族データおよび世帯データも含まれます。

個人データの例:

ID

  • 名前
  • 自宅の住所
  • 勤務先の住所
  • 電話番号
  • 携帯電話番号
  • メール アドレス
  • パスポート番号
  • 国が発行する身分証明書
  • 社会保障番号 (またはこれに相当するもの)
  • 運転免許証
  • 身体的、生理学的、または遺伝学的な情報
  • 医療情報
  • 文化的アイデンティティ

財務

  • 銀行に関する詳細情報/口座番号
  • 納税者番号
  • クレジット カード/デビット カードの番号
  • ソーシャル メディアの投稿

オンライン成果物

  • ソーシャル メディアの投稿
  • IP アドレス (EU 地域)
  • 位置/GPS データ
  • Cookie

CCPA は子供にはどのように適用されますか?

  • CCPA は、13 歳未満の子供に対して、児童オンラインプライバシー保護法 (COPPA) と一致する、保護者による同意の義務を導入しています。
  • 13 歳から 16 歳の子供の場合、CCPA は、お子様の個人情報の「販売」に関するオプトイン同意を取得する新しい義務を課します。

従業員の個人データはどうなりますか?

2019 年 10 月に、CCPA に多くの修正が行われました。 修正の 1 つで、CCPA の義務は企業の従業員の個人情報には適用されないことが明確にされました。 ただし、この適用除外は 1 年間で終了します。 2020 年に、カリフォルニア州は従業員のために新しいデータ保護法を制定します。  

Microsoft の利用者として、Microsoft への転送に対してオプトアウト管理を実行する必要がありますか?

いいえ。 オンライン サービスのプロバイダーとして、CCPA の下で「サービス プロバイダー」として資格を取得するための手順を実行しています。 上記で説明したように、消費者が転送を無効にした場合でも、サービス プロバイダーへの個人情報の転送は許可されています。