2018年に制定され、2020年1月1日に施行されたカリフォルニア州消費者プライバシー法(CCPA)は、カリフォルニア州の消費者に、企業が個人情報をどのように使用するかに関する追加の権利と保護を付与します。CCPAは、類似する企業に多くの義務を課しています欧州連合(EU)によって制定された一般データ保護規則(GDPR)によって要求されるものへ。 それでも、GDPRに既に準拠しているビジネスには、CCPAの下で追加の義務がある場合があります。
重要なポイント
- カリフォルニア州消費者プライバシー法(CCPA)は2020年1月1日に発効し、その状態の消費者に個人データに関する追加の権利を付与します。企業は準拠するためにさまざまな義務に直面しています。
カリフォルニアの消費者の権利
- 企業が収集、使用、共有、販売する個人データを知る権利。個人データを削除する権利。個人データの販売を禁止する権利。 16歳未満の子供は、データを販売する資格があることを明示的に同意する必要があり、親または保護者は13歳未満の子供について明示的な同意を与える必要があります。CCPAに基づいて権利を行使する消費者は、そうでない人よりも高い価格または低いレベルのサービスで罰せられます。
CCPAの対象となるビジネス
- 次の3つの基準の少なくとも1つを満たす企業は、CCPAの対象となります。年間収益は2500万ドル以上です。50, 000人以上の個人、世帯、またはデバイスから個人データを購入、受信、または販売する企業。データは年間収益の50%以上を占めます。さらに、400万人を超える消費者からの個人データを処理する企業は、最終的に追加の義務に直面する可能性があります。
企業の義務
- 個人データが収集される前に消費者に通知する:データの販売を禁止するリンクをウェブサイトやモバイルアプリに提供するなど、消費者が法律に基づいて権利を行使しやすくすることにより、特定の期間内に行われたリクエストへの対応法の下での消費者。法の下で要求を行う消費者の身元の確認。個人データの保持または販売と引き換えに提供される金銭的インセンティブ、およびこのデータの価値の計算方法を開示する。 また、企業はそのようなインセンティブがCCPAの下で許可されると考える理由を説明する必要があります。法の下で行われたすべてのリクエストの記録を保持し、どのように応答したか。データインベントリの維持とデータフローのマッピング。データプライバシーポリシーとプラクティスの開示。
範囲と費用
Berkeley Economic Advising and Research、LLC。が2019年8月にリリースした標準化規制影響評価のために作成した推定によると、CCPAは毎年カリフォルニアでの広告に使用される120億ドルを超える個人データを保護します。 規則草案への準拠コストは、基になるCCPA法への一般的な準拠コストを除いて、2020年から2030年までの期間に合計で4億6, 700万ドルから164億4, 500万ドルに達すると同じレポートで見積もられています。
パブリックコメント
CCPAの規定に基づき、カリフォルニア州司法長官は、法の目的を促進するように設計された規制の策定と実施を指導するために、一般大衆からの意見を求めることが求められています。 この規定に従って、司法長官は2019年12月上旬に一連の公聴会を開催し、2019年12月6日は一般からの書面によるコメントの期限でした。
実装と懸念
CCPAは2020年1月1日に施行されましたが、罰金の賦課を含む施行は6月まで延期されます。 その多くがカリフォルニアに本拠を置くインターネットベースのビジネスは、法の最も声高な反対者の1人であり、代わりに全米で統一された基準を設定する米国連邦法を主張しています。 彼らの懸念の一部は、CCPAの各違反が罰金で数千ドルの罰金を引き起こす可能性があることであり、カリフォルニアだけでおそらく数百万人のユーザーにわたって膨大な量になる可能性があります。
ただし、インターネット大手のFacebook Inc.(FB)およびGoogle親Alphabet Inc.(GOOGL、GOOG)は、EUのGDPRに既に準拠しています。EUは、特に個人データの共有ではなく、オプトインを要求することにより、CCPAよりも強力な保護を提供しています新しいカリフォルニア州法のように、単にオプトアウトを促進するだけです。 その結果、一部のオブザーバーは、CCPAは小規模のプレーヤーにとってより負担が大きいと考えており、オンライン広告のリーダーを定着させています。