(本ブログは、米国DocuSignのブログで公開された内容を抄訳したものです。)

Hal Marcus、DocuSign プロダクトマーケティングディレクター

「カリフォルニアの GDPR 」とも言われている カリフォルニア州消費者プライバシー法(California Consumer Privacy Act)は 、 プライバシーポリシーを更新する以上のことを全米の企業に促しています。2020年1月1日から、新しい要件は、約4,000万人のカリフォルニアの住民、その家庭、およびデバイスなどに紐付いた幅広い個人データを活用する数千の企業に影響を与えます。 「CCPA準拠」への特別なロードマップはありませんが( CCPAテキストの 継続的な 修正により 、これは動いている目標になります)、この新しいデータプライバシー法に備えるための戦略は不足していません。 もちろん、 DocuSign Agreement Cloud がお役に立ちます。

CCPAの対象となるのは?

CCPAは基本的に、カリフォルニアの消費者の個人データを収集、共有、または販売するカリフォルニアで事業を行う営利団体に適用されます 。

  • 年間総収入が2,500万ドルを超えています。 または
  • 50,000人以上の消費者、世帯、またはデバイスの個人情報を所有しています。 または
  • 年間収益の半分以上を消費者の個人情報の販売から獲得しています。

したがって、御社のビジネスがカリフォルニア州の住民からの個人データを活用し、上記の3つの基準のいずれかを満たす場合 、CCPAの対象となる可能性が非常に高いです。

(訳者注:  JETROレポート – 施行が迫る「カリフォルニア州消費者プライバシー法」(米国)日本本社も理解・協力を)

CCPA自体は「カリフォルニアでビジネスを行う」ことの定義を提供していませんが、関連する法的基準を満たすことが容易なしきい値であり、必ずしもカリフォルニアでの業務や従業員を抱えていることが条件ではないと示唆しています。

CCPAは、対象となるビジネスを所有している、所有している、または共通のブランドを共有するすべてのエンティティにも適用され、その範囲をさらに拡大します。

CCPAには、 健康保険の携行性と責任に関する法律 (HIPAA)や金融中心のGramm-Leach-Bliley法(GLBA)など 、他のデータプライバシー法との重複を避けるためのさまざまな免除がありますが 、そのような免除は絶対的なものではありません。 健康および生命科学のプロバイダーおよび金融サービス会社も、潜在的にCCPAの影響を受ける可能性があります。

CCPAの要件とGDPRの要件の違い

CCPAは多くのレベルでGDPRに似ていますが、いくつかの点でより狭くなっています。CCPAは、不正確な個人データを修正したり、そのデータ処理を制限したり、処理を拒否したりする権利を消費者に明確に提供しません。また、消費者が個人データにアクセスしたり削除する権利がやや制限されています。

ただし、CCPAには、企業に対する次の特定の要件が含まれています。

  • 個人情報を販売または共有することを消費者に開示する
  • ウェブサイトに「個人情報を販売しない」オプションを追加し、消費者のリクエスト用の無料電話番号を追加する
  • 16歳未満の消費者、または13歳未満の消費者の親または保護者からデータを販売する同意を積極的に収集する
  • 法律に基づいて権利を行使したかどうかに関係なく、サービスと価格で顧客を平等に扱う

これらの追加要件により、GDPRコンプライアンスのために影響を受けた企業が既に講じた措置以上の措置が必要になります。

CCPAの下での罰則

CCPAは、個人情報がデータ侵害によって侵害された消費者に対して、侵害ごとに消費者1人あたり最大750ドルの罰金が科せられる個人の権利を作成します。 これらの 法定 損害賠償額は合計することができます:100,000のカリフォルニアの顧客に影響を与えるひとつの違反は、法定損害賠償だけで7,500万ドルをもたらす可能性があり、これは集団訴訟で追求できます。 また、消費者は 、違反による、より 大きな 実際の 損害 を示すことができる場合、法定金額によって制限されません 。

ただし、企業がデータ侵害を回避するために「合理的な慣行および手順」に従わなかった場合にのみ、私的行為の権利が生じます。 CCPAではそのような慣行を定義していませんが、裁判官が事件が発生した場合に考慮できるサイバーセキュリティの基準と認証は数多くあります。

法律は、通知された違反に対する30日間の治癒期間も規定しており、理論的には法定の罰則から抜け出すための重要な方法を提供しています。 ただし、「治癒」は法律では定義されておらず、企業が消費者にすでに影響を与えているデータ侵害を「治癒」する方法は完全には明確ではありません。

さらに、カリフォルニア州司法長官は、違反ごとに最大2,500ドル、 意図的な 違反 ごとに最大7,500ドルの追加の罰則を求めることができ ます。 さらに、AGはCCPAに違反していると思われる会社に対して差止命令を求める場合があり、これによりビジネスが停止する可能性があります。

CCPAの周りになぜそれほど多くの不確実性があるのですか?

CCPAは、政治的および物流上の理由から非常に迅速に起草されました。このような広範囲の効果的な法律を作成することは、最高の状況下での立法上の課題です。 CCPAの通過には、法律の特定の側面を明確にし、合理化し、執行を遅らせることを目的とした多数の修正が既に行われていますが、多くの曖昧さが残っています。

また、カリフォルニア州司法長官事務所は2020年7月1日まで施行を開始しませんが、いくつかの問題を明確にするのに役立つ可能性のある詳細な規則をまだ公開していません。 このような規制の公開の現在の期限も2020年7月1日であるため、企業が司法長官の意図について事前に限定的な通知を受け取る可能性があります。

DocuSignはどのように役立ちますか?

DocuSignは、業界をリードする電子署名サービス以上のものを提供します。 DocuSign Agreement Cloud は、組織が契約の準備、署名、実行、および管理を支援する幅広いツールを備えています。

CCPAの課題に対処するために、下記のような要件を支援するツールをご提供しています。

  • プライベートデータにアクセスし、共有を「オプトアウト」する消費者の要求を安全に処理する
  • 契約のボリューム全体のデータプライバシーリスク領域を自動的に分析します
  • 規約とプライバシーポリシーの変更に対する同意を確実に取得する
  • 個人の顧客データを処理するサードパーティとの改訂された契約を効率的に準備して実行する

さらに、データプライバシーの課題が増えているため、これらの機能はお役に立ちます。ネバダ州の新しいインターネットデータプライバシー法(「SB 2020」)は2019年10月1日に施行され、ニューヨークのSHIELD法は2020年3月1日に施行され、関連法案は保留中です。

これらのすべての法律が出現しているため、データプライバシーリスクの管理はこれまで以上に困難な最優先事項です。 組織の 合意システムを 近代化する ことは、プライバシー法に対する準備を整えるのに大いに役立ちます。

もっと詳しく知るために、 ウェビナーに登録してください(英語のみ):「顧客の信頼を高めながらCCPAの準備をしてください」

Tags