バージニア消費者データ保護法 (VCDPA) よく寄せられる質問

1. バージニア州消費者データ保護法 (VCDPA) は、米国の包括的なプライバシー法であり、2023 年 1 月 1 日以降、バージニア州司法長官 (AG) によって適用されます。 司法長官は 、"違反ごとに最大 7,500 ドルの損害" を求める場合があります。
2. VCDPA は 、バージニア州の消費者にさまざまなプライバシー権を提供します。 VCDPA によって規制されている企業には、開示の提供、一般データ保護規則 (GDPR) の消費者データ主体要求 (DSR) と同様の対応、特定のデータ処理義務 (データ最小化、妥当なデータ セキュリティ プラクティスなど) の遵守など、消費者に対して多くの義務があります。
3. 強力な GDPR コンプライアンス プログラムを持つ企業は VCDPA コンプライアンスを開始する可能性 がありますが、考慮すべき重要な GDPR と VCDPA には主な違い があります。 コンプライアンスは夜間に行うことはできません。VCDPA の規制の複雑さを理解し、データ資産が VCDPA コンプライアンスの準備ができていることを確認するための内部ツールとメカニズムを実装するには時間がかかります。
4. 包括的な FAQ セクションでさらに詳しく説明されているように、Microsoft は、 お客様が VCDPA コンプライアンスを達成するのに役立つ 製品とサービスを提供し、VCDPA で必要とされる「個人データの機密性、整合性、アクセシビリティを保護するための合理的な管理、技術、物理的なデータ セキュリティ プラクティス」の確立、実装、保守を 支援する特定の要素ツールを提供 します。

VCDPA は、バージニア州居住者の個人データを大規模に制御または処理する非営利団体に適用されます。

具体的には、VCDPA は、"バージニア州の連邦でビジネスを行う、または Commonwealth の居住者を対象とする製品またはサービスを製造する" 組織に適用されます。 暦年の間に、(1) バージニア州居住者 100,000 人以上の個人データを制御または処理するか、または (2) 個人データの販売から総収益の 50% 以上を派生させます (VCDPA は、収益しきい値がバージニア州居住者のみに適用されるかどうかは明らかにしません)。バージニア州の少なくとも 25,000 人の居住者の個人データを制御または処理します。

注意として、VCDPA では "バージニアでのビジネスの実施" は定義されていませんが、規制対象のビジネスは、バージニア州に税金の責任または個人の管轄権を引き起こす経済活動がある場合に VCDPA が適用されると想定できます。

いいえ。 「その他のデータ処理条件を適用する必要はありますか?」で説明されているように、セクションでは、Microsoft 製品およびサービスデータ保護補遺の条項が VCDPA の要件を満たします。

バージニア州の消費者に与えられる VCDPA の権利の多くは、個人データへのアクセス、削除、移植性などのコンシューマーの権利を含め、GDPR が提供する権利に似ています。 そのため、規制対象の企業は、既存の GDPR ソリューションを調べ、VCDPA コンプライアンスの取り組みに役立てることができます。

ビジネスの固有の状況と VCDPA プライバシー プログラムを開発している場所によっては、VCDPA 体験を開始するための次の 5 つの主要な手順に焦点を当てることを検討してください。

• 検出: ビジネスが持つ個人データと、それが存在する場所を特定します。
• マップ: ビジネスが個人データをサード パーティと共有する方法を決定します。
• 管理: 個人データの使用方法とアクセス方法を管理します。
• 保護: 脆弱性やデータ漏洩を防止、検出し、対処するためのセキュリティ制御を確立します。
• ドキュメント: データ侵害対応プログラムを文書化します。

さらに、Microsoft Purview コンプライアンス マネージャーは、組織のコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立つ、Microsoft Purview コンプライアンス ポータルの機能です。 評価の作成に使用するテンプレートについては、コンプライアンスマネージャーの [ 評価テンプレート ] を参照してください。 詳細については、コンプライアンス マネージャーに関する記事 のビルド評価に関する 記事を参照してください。

VCDPA に基づく組織の特定の義務と、それを満たす方法を理解する必要がありますが、Microsoft は、お客様の取り組みのお手伝いをするためにここにいます。

VCDPA は 2021 年 3 月 2 日に法律に署名されました。 ただし、バージニア州司法長官 (AG) による強制は、2023 年 1 月 1 日まで開始されません。

特定の組織は、次のような VCDPA から除外されます。

• バージニア州政府機関
• Gramm-Leach-Bliley 法の対象となる金融機関
• 医療保険の可搬性と説明責任に関する法律に従って確立されたプライバシー、セキュリティ、違反の通知規則によって管理されている対象エンティティまたはビジネス アソシエイト
• 非営利団体;および高等教育機関。

また、VCDPA は、消費者が権利を実行することを選択した場合、差別に対する保護を提供し、消費者に個人データの販売、ターゲットを絞った広告、特定のプロファイリングをオプトアウトする機能を提供します。 Microsoft 製品、サービス、および管理ツールを使用して個人データを検索して "行動する" 方法の詳細については、 データ主体の要求と GDPR と CCPA に関するページを参照してください。

VCDPA では、規制されたビジネスが 45 日以内にコンシューマーの権利を実行する要求に対応することを要求します。この期間は、このような遅延の理由を説明する要求のコンシューマーに通知が提供された場合、さらに 45 日間延長できます。 VCDPA は、"目立って利用できる" 必要があるビジネスによって提供される控訴プロセスを通じて、そのような要求に対する企業の拒否を控訴する権利を消費者に提供します。 ビジネスは、60 日以内に書面で控訴に対応する必要があります。控訴が拒否された場合、ビジネスは、コンシューマーが AG に苦情を提出できる"オンライン メカニズム (使用可能な場合) またはその他の方法" をコンシューマーに提供する必要があります。

VCDPA に基づくビジネス上の義務は次のとおりです。

• データ最小化: 個人データの収集を、適切で関連性があり、合理的に必要なもの (指定された処理目的や明示的な目的など) に制限します。
• 目的の制限: 個人データを処理するのは、消費者に開示された目的 (プライバシーに関する通知など) と合理的に必要または互換性のある目的に限られます。
• セキュリティ制御: コンシューマーの個人データを保護するために、"合理的な管理、技術、物理データのセキュリティ プラクティス" を確立、実装、および維持します。
• 非差別: 州または連邦の差別防止法に違反する方法で個人データを処理しません。 さらに、企業は、VCDPA (ロイヤルティ プログラムを含む一部の例外を除く) に基づく権利の適用に対する消費者の差別を禁止されています。
• 同意: ビジネス (1) が機密データを処理する場合、または (2) コンシューマーに開示されたデータ処理の目的から逸脱した場合 (たとえば、ビジネスのプライバシー通知内) に、消費者から明示的な同意を得る。

"個人データ" は、特定された、または識別可能な自然人にリンクまたは合理的にリンク可能な情報として定義されますが、識別されていないデータや公開情報は含まれません。 VCDPA の "個人データ" の定義は、GDPR の下で"個人データ" とほぼ一致します。

'機密データ' は、次を含む "個人データ" のカテゴリです。

• 人種または民族の起源、宗教上の信念、メンタルまたは物理的な健康診断、性的指向、市民権、または出入国者の状態を明らかにする個人データ。
• 自然人を一意に識別するための、遺伝子または生体認証データの処理。
• 既知の子から収集された個人データ。または
• 正確な位置情報データ。

前述のように、VCDPA では、コンシューマーの機密データを処理する前など、特定の状況でデータを処理する前にコンシューマーの "同意" が必要です。 「同意」は、顧客に関連する個人データを処理するための消費者の自由に与えられ、具体的で、情報に基づいた明確な合意を示す明確な肯定的な行為として定義され、"電子手段によって書かれた声明やその他の明確な肯定的な行動を含む書面による声明" を含むことができます。

次の情報は、合理的にアクセス可能で明確なプライバシーに関する通知に含まれている必要があります。

• 処理された個人データのカテゴリ。
• 個人データを処理する目的。
• 消費者が個人データに関して権利を行使する方法 (たとえば、個人情報を修正する権利)
• サード パーティと共有される個人データのカテゴリ (存在する場合)。
• 規制対象のビジネスが個人データを共有するサード パーティのカテゴリ (存在する場合)。
• 個人データが第三者に販売されるか、ターゲット広告のために処理されるという事実、およびオプトアウトする方法 (この声明は、コントローラーがターゲット広告のデータを販売または処理する場合 にのみ 必要です);そして
• 消費者がビジネスによって行われた権利要求の決定に対して、どのように上訴できるか。

"個人データの販売" は、企業が第三者に対して行う"金銭的配慮のための個人データの交換" として定義されます。 VCDPA は、個人データの販売を「オプトアウト」する権利を消費者に提供します。

注意として、VCDPA は、規制対象のビジネスが次の開示で"オプトアウト" 販売要求を尊重する必要はないことを示しています。

• (i) プロセッサ (ビジネスに代わって個人データを処理するエンティティなど ) に対して、
• (ii) コンシューマーから要求された製品またはサービスを提供する目的で第三者に提供する場合、
• (iii) アフィリエイトに対して、
• (iv) 消費者が意図的にマス メディア チャネルを介して一般に公開され、特定の対象ユーザーにそのような情報を制限しなかった情報、および
• (v) 第三者が事業の資産の全部または一部を管理することを前提とする合併、買収等の一環として。

DPA は、個人データの特定の処理に起因する消費者に対する利点と潜在的なリスクを特定し、比較検討する評価です。 VCDPA では、個人データの販売、機密性の高い個人データの処理、対象広告用の個人データの処理時、特定のプロファイリング目的で個人データを処理する場合、および処理が消費者に害を及ぼすリスクが高まる場合など、DPA を実施する必要があります。 Microsoft 製品、サービス、および管理ツールを利用して DPA を実施する方法については、「 GDPR のデータ保護影響評価」を参照してください。

VCDPA では、コントローラー (個人データの処理の目的と手段を決定するエンティティなど) とデータ プロセッサ (コントローラーの代わりに個人データを処理するエンティティなど) が、特定のデータ処理条件を含む契約を結ぶ必要があります。 本契約の条件には、データ処理の指示、処理対象データの種類、処理の性質と目的、処理の期間、双方の権利と義務など、特定の条項が含まれている必要があります。 さらに、契約には、委託、評価、機密性の義務、個人データの削除または返却に関連する義務を含め、VCDPA に対するプロセッサのコンプライアンスを示す必要があります。

Microsoft は、お客様にサービスを提供する場合、状況によってはデータ プロセッサと見なされる場合があります。 その場合、Microsoft 製品およびサービスデータ保護補遺 (DPA) の条項は、GDPR の契約要件に似ているため、VCDPA の要件を既に満たしています。組織の Microsoft との契約を更新する必要はありません。 DPA に規定されているように、Microsoft は、VCDPA を含むオンライン サービスの提供に適用されるすべての法律および規制を遵守します。

VCDPA は、疑わしい VCDPA 違反に対して 30 日間の治療期間の対象となる、そのプロビジョニングを強制する AG 排他的権限を付与します。 AG は、違反ごとに最大 7,500 ドルの差し止めによる救済と損害を求めることがあります。また、"訴訟の調査と準備に発生した妥当な費用 (弁護士の料金を含む)" を求める場合があります。

注意として、VCDPA はコンシューマーに対してプライベートなアクションの権利を付与しません。

特に、Microsoft は GDPR 関連の DSR をグローバルに実装しているため、同様の VCDPA 要件を満たすのに役立つ優れた立場に既にいます。 また、サードパーティのデータ共有契約を確認し、個人情報を"販売" しないようにするために必要な契約条件とガードレールが適用されていることを確認する手順を実行しました。

Microsoft は、コンシューマー DSR への対応を容易にし、技術コンプライアンス ツールやメカニズムを提供し、データ処理手順を遵守することを目的とした適切な技術的および組織的措置を実装することで、VCDPA に基づく義務を果たすお客様を支援します。

クラウド コンピューティングの性質上、Microsoft はオンライン サービスに対する責任共有モデルの下で動作します。 クラウド サービス プロバイダーと規制対象企業の両方がクラウド セキュリティの一部に対して責任を負うので、共有責任は重要なトピックです。 Microsoft のセキュリティとプライバシーの取り組みについて詳しくは、 Microsoft Trust Center をご覧ください。

• 組織の VCDPA プライバシー プログラムの一環として、コンプライアンス マネージャーで GDPR 評価の使用を開始します。
• コンシューマー権利要求に効率的に対応するプロセスを確立します。
• Microsoft Purview 情報保護を使用して機密データを検出、分類、ラベル付け、保護するポリシーを設定します。
• メールの暗号化機能を使用して、機密情報をさらに管理します。

VCDPA は、13 歳未満の任意の個人として子を定義します。 子どものオンラインプライバシー保護規則 (COPPA) に基づく検証可能な同意要件に準拠している企業は、VCDPA に基づく保護者の同意を得る義務に準拠していると見なされます。

VCDPA では、子の機密データを COPPA 要件に従って処理する必要があります。

VCDPA の義務は、雇用コンテキストで収集および使用される個人データには適用されません。

さまざまな違いがあります。 次のような類似点に焦点を当てる方が簡単です。

• 透明性と開示の義務。
• 個人データへのアクセス、削除、修正を行うコンシューマーの権利。

重要なのは、VCDPA では、消費者が第三者へのデータの販売、ターゲットを絞った広告、特定のプロファイリングからオプトアウトできるようにする必要があります。 これらは、これらの種類の開示を包含する処理に対する広範な GDPR 権利よりも狭く、より具体的な義務ですが、これらの開示をカバーすることだけに特に限定されません。

さらに、VCDPA は、ビジネスが"目立って利用できる" 必要がある控訴プロセスを通じてデータ主体の要求を有効にすることを拒否したことを消費者に訴える権利も提供します。 このような控訴プロセスは GDPR では必要ありません。