カリフォルニア州消費者プライバシー法 (CCPA)
CCPA の概要
カリフォルニア州消費者プライバシー法(CCPA)は、米国における最初の包括的なプライバシー法です。 これは、カリフォルニア州の消費者に複数のプライバシー権を提供します。 CCPA によって規制される企業には、開示、一般的なデータ保護規則 (GDPR) のような消費者データ主体の権利 (DSR)、特定のデータ転送の "オプトアウト"、未成年者の "オプトイン" 要件など、多くの義務があります。
CCPA は、カリフォルニア州でビジネスを行い、次の 1 つ以上を満たす企業にのみ適用されます。(1) 年間総収益が 2,500 万ドルを超えているか、(2) カリフォルニア州の消費者個人情報の販売から年収の 50% 以上を得るか、(3) 年間 50,000 人を超えるカリフォルニアの消費者の個人情報を購入、販売、または共有します。
CCPAは2020年1月1日に発効した。 カリフォルニア州司法長官(AG)による執行は2020年7月1日に開始されました。
カリフォルニア州 AG は CCPA を適用し、コンプライアンス違反の罰金を発行する権限を持っています。 CCPA は、データ侵害に限定されるプライベートなアクション権も提供します。 私的権利の行使では、1 つのインシデントの損害は、消費者 1 人当たり $100 から $750 です。 カリフォルニア AG でも CCPA をそのまま適用し、違反ごとに $2,500 以下の罰則金を科しています。また、意図的な違反には $7,500 以下の罰則金を科しています。
Microsoft と CCPA
カリフォルニア州でビジネスを行っている商用のお客様の場合、Microsoft は、オンライン サービスとプロフェッショナル サービスのオファリングに関して "サービス プロバイダー" として機能します。 オンライン サービス条項 (OST) と Microsoft Professional Services Data Protection 補遺 (MSDPA) の条件は、CCPA の下のサービス プロバイダーの要件を既に満たしており、一般に、お客様がオンライン サービスにデータを引き続き転送できるようにするために十分です。 そのため、顧客が CCPA の下で Microsoft をサービス プロバイダーとして利用できるようにするために、追加の契約上の変更は必要ありません。
OST に規定されているように、Microsoft はオンライン サービスの提供に適用されるすべての法律と規制を遵守します。これには CCPA が含まれます。
対象となる Microsoft のクラウド プラットフォームとサービス
- Azure
- Azure Dev Ops
- Dynamics 365
- Intune
- Office 365
- サポートとプロフェッショナル サービス
- Visual Studio
Microsoft 製品およびサービスを使用する場合に CCPA コンプライアンスに備える方法
CCPA の準備を行うために実行できるいくつかの手順を次に示します。
- CCPA プライバシー プログラムの一部として 、コンプライアンス マネージャー で GDPR 評価の活用を開始します。
- データ主体要求ツールを使用して、データ主体アクセス要求 (DSAR) に効率的に応答するプロセスを確立します。
- ラベルとポリシーを設定して、& ラベルを検出、分類し、機密データをMicrosoft Purview 情報保護で保護します。
- メールの暗号化機能を使用して、機密情報をさらに管理します。
よく寄せられる質問
CCPA によって私の会社はどのような影響を受けますか?
カリフォルニア州に与えられる CCPA の権利の多くは、アクセス、削除、移植性などの開示やデータ主体の権利 (DSR) 要求など、GDPR が提供する権利に似ています。 そのため、お客様は既に存在する GDPR ソリューションを調べ、CCPA コンプライアンスに役立てることができます。
CCPA 体験を開始するには、情報の検出、個人情報の共有方法の決定、使用方法、保護方法、正式なデータ侵害対応プログラムの実施に焦点を当てる必要があります。
GDPR と CCPA の違いは何ですか?
さまざまな違いがあります。 次のような類似点に焦点を当てる方が簡単です。
- 透明性/開示義務、
- データへのアクセス、削除、およびデータのコピーの受信に関する消費者の権利、
- GDPR が同様の契約上の義務を持つ "プロセッサ" を定義する方法に似た "サービス プロバイダー" の定義と、
- "コントローラー" の GDPR 定義を含む "ビジネス" の定義。
CCPA の最大の違いは、データの販売からサード パーティへのオプトアウトを有効にするコア要件です ("販売" は、重要な考慮事項としてデータの共有を含むように広く定義されています)。
CCPA で企業が認めなければならない権利は何ですか?
CCPA では、次のような目的で個人情報を収集、移転、販売する規制対象の企業が必要です。
- 情報を収集する前に、消費者に対して、収集する情報のカテゴリや目的を開示する。
- 収集される個人情報のソース、事業目的、およびカテゴリに関する詳細な開示をプライバシー ポリシーに記載します。これには、それらのカテゴリが他のエンティティに販売または移転される方法が含まれます。
- お客様が収集した特定の個人情報に対するアクセス、削除、移植性に関する DSR 権限を有効にします。
- コンシューマーがコンシューマーのデータの販売をオプトアウトできるようにするコントロールを有効にします。 ただし、サービス プロバイダーなどの除外エンティティへの転送は許可されます。
- 未成年者の場合、16歳未満の場合は、未成年者の個人情報の販売を積極的にオプトインすることなく行うことができるようにオプトインプロセスを有効にします。
- CCPA の消費者の権利に基づき、消費者がその権利の行使によって、差別されないことを確認する。
CCPA は子供にはどのように適用されますか?
- CCPA は、13 歳未満の子供に対して、児童オンラインプライバシー保護法 (COPPA) と一致する、保護者による同意の義務を導入しています。
- 13歳から16歳の子供の場合、CCPAは子供からオプトインの同意を得る新しい義務を課します。
Microsoft Purview コンプライアンス マネージャーを使用してリスクを評価する
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータルの機能であり、organizationのコンプライアンス体制を理解し、リスクを軽減するためのアクションを実行するのに役立ちます。 コンプライアンスマネージャーには、この規制の評価を構築するためのプレミアム テンプレートが用意されています。 コンプライアンスマネージャーの評価テンプレート ページでテンプレートを見つけます。 コンプライアンスマネージャーで評価をする方法について説明します。