編集

カリフォルニア州消費者プライバシー法 (CCPA) についてよく寄せられる質問

  • よく寄せられる質問

注:

このトピックでは、"現状のまま" を提供します。URL やその他のインターネット Web サイト参照など、このトピックで表現される情報とビューは、予告なく変更される場合があります。 使用に伴うリスクは、お客様が負うものとします。 このトピックはガイドとして作成されており、法的な助言として解釈されるものではありません。 法律の専門家に相談する必要があります。 このトピックは、お客様に Microsoft 製品の知的財産に対する法的権利を付与するものではありません。 お客様は、内部的な参照の目的で、このトピックをコピーおよび使用することができます。

よく寄せられる質問

CCPA とは何ですか?

カリフォルニア州消費者プライバシー法 (CCPA) は、米国で最初の包括的なプライバシー法です。 この法律は、2018 年 6 月末に成立し、カリフォルニア州の消費者にさまざまなプライバシーの権利を提供しています。 CCPA によって規制される企業には、開示、一般データ保護規則 (GDPR) のような消費者向けの権利、特定のデータ転送の "オプトアウト"、未成年者の "オプトイン" 要件など、コンシューマーに対する多くの義務があります。

CCPA について知っておく必要がありますか?

CCPA は、次に示す条件に 1 つ以上該当するカリフォルニア州で事業を行う会社にのみ適用されます。(1) 年間益金が $2,500 万を超える、(2) 年間収益の 50% 以上を消費者個人情報の販売から得ている、(3) 5 万人以上の消費者の個人情報を購入、販売、または共有している。

CCPA はいつから有効になりますか?

CCPA は 2020 年 1 月 1 日から有効になります。 ただし、司法長官 (AG) による執行は、2020 年 7 月 1 日まで開始されません。

CCPA によって私の会社はどのような影響を受けますか?

カリフォルニア州に与えられる CCPA の権利の多くは、アクセス、削除、移植性などのデータ主体の権利 (DSR) 要求に似た開示や消費者の要求など、GDPR が提供する権利に似ています。 そのため、お客様は既存の GDPR ソリューションを参考にして、CCPA の準拠に役立てることができます。

CCPA の準拠には、次の 5 つの主要な手順にが必要になります。

  • 検索: 所有する個人情報とその情報の属する場所を確認します。
  • マップ: どのように個人情報をサードパーティと共有しているか、およびそのサードパーティが CCPA のオプトアウト要件の例外の対象になるかどうかを確認します。
  • 管理: データがどのように使用され、アクセスされるかを管理します。
  • 保護: 脆弱性やデータ漏洩を防止、検出し、対処するためのセキュリティ制御を確立します。
  • ドキュメント: データ侵害対応プログラムを文書化し、該当するサードパーティとの契約が、オプトアウトの例外に適用することを確認します。

CCPA の下でorganizationの特定の義務とその対応方法を理解する必要がありますが、Microsoft は、お客様の体験を支援するためにここにいます。

よく寄せられる質問

CCPA で企業が認めなければならない権利は何ですか?

CCPA では、規制対象の企業に対して、個人情報の収集、使用、転送、販売に関して次のことを要求します。

  • 情報を収集する前に、消費者に対して、収集する情報のカテゴリや目的を開示する。
  • ソース、事業目的、収集する個人情報のカテゴリ、および収集した情報が他のエンティティにどのように販売、転送されるかについて、プライバシー ポリシーに従って詳細に開示する。
  • ユーザーによって収集された個人情報の特定の部分に対するアクセス、削除、および移植性に関連する消費者の権利を有効にする。
  • コンシューマーがコンシューマーのデータの "販売" をオプトアウトできるようにするコントロールを有効にします。 ただし、サービス プロバイダーへの転送など、特定の転送は許可されます。
  • 未成年者の場合、16歳未満の場合は、未成年者の個人情報の販売を積極的にオプトインすることなく行うことができるようにオプトインプロセスを有効にします。
  • CCPA の消費者の権利に基づき、消費者がその権利の行使によって、差別されないことを確認する。

CCPA が要求する開示とは何ですか?

CCPA は、次の開示を要求します。

  • 収集された消費者の個人情報のカテゴリ。
  • 情報の収集に使用されたソースのカテゴリ。
  • 事業目的もしくは商業目的。
  • 個人情報が「共有」されている第三者のカテゴリ。
  • 「販売」された個人情報のカテゴリと、個人情報の各カテゴリが販売された「第三者」のカテゴリ。
  • 「事業目的で開示」された個人情報(つまり、譲渡されるが「販売」ではない)、および個人情報の各カテゴリが移転された「第三者」のカテゴリ。
  • 消費者について収集された個人情報の特定の情報。

CCPA でのデータの販売方法

CCPAにおける「販売」の定義は、金銭的または他の貴重な考慮事項のために第三者に「個人情報を利用できるようにする」など、非常に広範です。 消費者が「オプトアウト」を選択した場合、ビジネスは第三者への個人情報のフローをオフにする必要があります。

CCPAは、この「販売」オプトアウト制御に多くのカーブアウトを提供します。 3 つの主要な彫刻は、(i) サービス プロバイダーへの転送、(ii) "免除されたエンティティ" または "請負業者" への転送、および (iii) コンシューマーの方向への転送です。 消費者が「オプトアウト」を選択した場合でも、個人情報はそれらの彫刻に適合する第三者に引き続き転送できます。

最初の 2 つの除外を利用するためには、その転送が CCPA が要求する特定の条件を含む書面による契約によって管理されていることを確認する必要があります。

CCPA のコンテキストにおける 'Businesses' と 'Service Providers' の意味

CCPA のコンテキストでは、企業は、消費者の個人データの処理の目的と手段を決定する個人またはエンティティであり、サービス プロバイダーは、ビジネスに代わって情報を処理する個人またはエンティティです。 これらは、GDPR で使用される「管理者」や「処理者」と同じです。

企業は、違反に対してどのくらいの罰金を科せられますか?

CCPA での私的権利の行使は、データ侵害に限定されています。 私的権利の行使では、1 つのインシデントの損害は、消費者 1 人当たり $100 から $750 です。 カリフォルニア AG でも CCPA をそのまま適用し、違反ごとに $2,500 以下の罰則金を科しています。また、意図的な違反には $7,500 以下の罰則金を科しています。

CCPA に準拠するために Microsoft は何をしていますか?

Microsoft は GDPR 関連のデータ主体要求 (DSR) をグローバルに実行し、現在では関連する CCPA の要件を満たし、非常によい立場にあります。 また、当社は、第三者のデータ共有契約を見直し、個人情報を「販売」しないように、必要な契約条件が適用されていることを確認するための措置を講じていました。

CCPA 準拠への準備を開始するのに役立つツールはありますか?

  • CCPA プライバシー プログラムの一環として、コンプライアンス マネージャーの GDPR の評価を利用します。
  • 消費者からの要求に効果的に対応するためのプロセスを確立します。
  • ラベルとポリシーを設定して、& ラベルを検出、分類し、機密データをMicrosoft Purview 情報保護で保護します。
  • メールの暗号化機能を使用して、機密情報をさらに管理します。
  • 詳細については、ブログ投稿 を参照してください。

GDPR と CCPA の違いは何ですか?

さまざまな違いがあります。 次のような類似点に焦点を当てる方が簡単です。

  • 透明性と開示の義務。
  • データのコピーへアクセスしたり、削除したり、受信したりする消費者の権利。
  • GDPR が同様の契約上の義務を持つ "プロセッサ" を定義する方法に似た "サービス プロバイダー" の定義。
  • "コントローラー" の GDPR 定義を含む "ビジネス" の定義。

CCPA の最大の違いは、データの販売からサード パーティへのオプトアウトを有効にするコア要件です ("販売" は、重要な考慮事項としてデータの共有を含むように広く定義されています)。 これは、処理に異議を唱える広範なGDPRの権利よりも狭く、より具体的な義務であり、この種類の「販売」を包含しますが、この種類の共有をカバーすることに特に限定されるものではありません。

"プロセッサ" と "コントローラー" とは

管理者とは、単独でまたは他者と共同で個人データを処理する目的と手段を決定する、自然人、法人、公共機関、行政機関またはその他の団体を意味します。 処理者とは、管理者の代わりに個人データを処理する、自然人、法人、公共機関、行政機関、またはその他の団体を意味します。

具体的に何が個人情報と見なされますか?

個人情報とは、識別された人、または識別可能な人に関するあらゆる情報のことです。 個人の私的、公的、または職業上の役割による区別はありません。 定義された "個人情報" という用語は、GDPR の下の "個人データ" と大まかに一致します。 ただし、CCPA では家族データおよび世帯データも含まれます。

個人データの例:

ID

  • 名前
  • 自宅の住所
  • 勤務先の住所
  • 電話番号
  • 携帯電話番号
  • メール アドレス
  • パスポート番号
  • 国が発行する身分証明書
  • 社会保障番号 (またはこれに相当するもの)
  • 運転免許証
  • 身体的、生理学的、または遺伝学的な情報
  • 医療情報
  • 文化的アイデンティティ

財務

  • 銀行に関する詳細情報/口座番号
  • 納税者番号
  • クレジット カード/デビット カードの番号
  • ソーシャル メディアの投稿

オンライン成果物

  • ソーシャル メディアの投稿
  • IP アドレス (EU 地域)
  • 位置/GPS データ
  • Cookie

CCPA は子供にはどのように適用されますか?

  • CCPA は、13 歳未満の子供に対して、児童オンラインプライバシー保護法 (COPPA) と一致する、保護者による同意の義務を導入しています。
  • 13歳から16歳の子供の場合、CCPAは、個人情報の「販売」について、お子様からオプトインの同意を得る新しい義務を課します。

従業員の個人データはどうなりますか?

2019年10月には、CCPAに多数の修正が渡されました。 修正の 1 つで、CCPA の義務は企業の従業員の個人情報には適用されないことが明確にされました。 ただし、この適用除外は 1 年間で終了します。 2020 年に、カリフォルニア州は従業員のために新しいデータ保護法を制定します。  

Microsoft の利用者として、Microsoft への転送に対してオプトアウト管理を実行する必要がありますか?

いいえ。 オンライン サービスのプロバイダーとして、CCPA の下で "サービス プロバイダー" としての資格を確保するための措置を講じています。 上記で説明したように、消費者が転送を無効にした場合でも、サービス プロバイダーへの個人情報の転送は許可されています。