カリフォルニア州消費者プライバシー法 (CCPA)

CCPA の概要

カリフォルニア州消費者プライバシー法 (CCPA) は、米国で初めての包括的プライバシー法です。 これは、カリフォルニア州の消費者にさまざまなプライバシー権を提供します。 CCPA が規制する企業には、開示、一般データ保護規則 (GDPR)に似た消費者データ主体の権利 (DSR)、特定のデータ転送の 「オプトアウト」、未成年者に対する「オプトイン」要件など、消費者に対して多くの義務があります。

CCPA は、次の 1 つ以上を満たすカリフォルニア州でビジネスを行う企業にのみ適用されます。(1) 年間総収益が 2,500 万ドルを超える場合、または (2) カリフォルニアの消費者の個人情報の販売から年間収入の 50% 以上を得る、または (3) カリフォルニア州の消費者の個人情報を毎年 50,000 人以上の個人データを購入、販売、または共有します。

CCPA は 2020 年 1 月 1 日から有効になります。 ただし、カリフォルニア州司法長官 (AG) による施行は 2020 年 7 月 1 日に開始されます。

カリフォルニア州の AG は CCPA を適用し、コンプライアンス以外の罰金を科す力を持つ。 また、CCPA は、データ侵害に限定される個人の権利も提供します。 私的権利の行使では、1 つのインシデントの損害は、消費者 1 人当たり $100 から $750 です。 カリフォルニア AG でも CCPA をそのまま適用し、違反ごとに $2,500 以下の罰則金を科しています。また、意図的な違反には $7,500 以下の罰則金を科しています。

Microsoft と CCPA

カリフォルニア州でビジネスを行う商用のお客様の場合、Microsoft はオンライン サービスおよびサービスの提供に関して「サービス プロバイダー」としてProfessionalされます。 Online Services Terms (OST) と Microsoft Professional Services Data Protection Addendum (MSDPA) の条項は、CCPA の下でサービス プロバイダーの要件を既に満たしています。一般に、お客様がオンライン サービスにデータを転送し続けるのを許可するのに十分です。 そのため、お客様が CCPA の下でサービス プロバイダーとして Microsoft を利用するには、追加の契約上の変更は必要ありません。

OST に定める通り、Microsoft は、CCPA を含むオンライン サービスの提供に適用される法律および規制を遵守します。

対象となる Microsoft のクラウド プラットフォームとサービス

Microsoft 製品とサービスを使用する場合の CCPA 準拠の準備方法

CCPA の準備をするために実行できるいくつかの手順を次に示します。

  • CCPA プライバシー プログラムの一環として 、コンプライアンス マネージャー で GDPR 評価の活用を開始します。
  • データ主体要求ツールを使用して、データ主体アクセス要求 (DSA) に効率的に応答するプロセスを確立します。
  • ラベルとポリシーを設定し、Microsoft Information Protection を使用して機密データを検索、分類、保護します。
  • メールの暗号化機能を使用して、機密情報をさらに管理します。

よく寄せられる質問

CCPA によって私の会社はどのような影響を受けますか?

カリフォルニア州に与える CCPA の権利の多くは、アクセス、削除、移植性などの開示およびデータ主体権 (DSR) 要求など、GDPR が提供する権利と似ています。 そのため、お客様は既存の GDPR ソリューションに目を向け、CCPA コンプライアンスに対応できます。

CCPA ジャーニーを開始するには、情報の検出、個人情報の共有方法の決定、個人情報の使用方法、保護方法、正式なデータ侵害対応プログラムの設定に焦点を当てる必要があります。

GDPR と CCPA の違いは何ですか?

さまざまな違いがあります。 次のような類似点に焦点を当てる方が簡単です。

  • 透明性/開示義務、
  • データのコピーにアクセス、削除、および受信する消費者の権利、
  • GDPR が同様の契約上の義務を持つ 「プロセッサ」を定義する方法に似た 「サービス プロバイダー」の定義
  • 'コントローラー' の GDPR 定義を含む 'businesses' の定義。

CCPA の最大の違いは、データの販売から第三者へのオプトアウトを有効にするコア要件です (価値ある検討のためにデータの共有を含む「販売」が広く定義されています)。

CCPA で企業が認めなければならない権利は何ですか?

CCPA では、個人情報を収集、転送、および販売する規制対象の企業が必要です。

  • 情報を収集する前に、消費者に対して、収集する情報のカテゴリや目的を開示する。
  • 収集される個人情報のソース、ビジネス目的、およびカテゴリに関するプライバシー ポリシーの詳細な開示を提供します。これらのカテゴリが他のエンティティに販売または転送される方法を含む。
  • お客様が収集した特定の個人情報に対するアクセス、削除、および移植性の DSR 権限を有効にしてください。
  • 消費者が消費者のデータの販売をオプトアウトすることを許可するコントロールを有効にする。 ただし、サービス プロバイダーなどの除外エンティティへの転送は許可されます。
  • 未成年者の場合、16 歳未満の場合はオプトイン プロセスを有効にし、販売を積極的にオプトインすることなく、未成年者の個人情報の販売が行われません。
  • CCPA の消費者の権利に基づき、消費者がその権利の行使によって、差別されないことを確認する。

CCPA は子供にはどのように適用されますか?

  • CCPA は、13 歳未満の子供に対して、児童オンラインプライバシー保護法 (COPPA) と一致する、保護者による同意の義務を導入しています。
  • 13 歳から 16 歳の子供の場合、CCPA は子どもからオプトインの同意を得る新しい義務を課します。

Microsoft コンプライアンス マネージャーを使用してリスクを評価する

Microsoft コンプライアンス マネージャーは、 Microsoft 365 コンプライアンス センターの機能で、組織のコンプライアンスに対する姿勢を把握し、リスクを軽減するための処置を実行できるようにします。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの 評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。

リソース