11月、カリフォルニア州の有権者は、2020年のカリフォルニア・プライバシー権法(CPRA)となるプロポジション24を可決しました。 この投票イニシアチブは、2018年のカリフォルニア消費者プライバシー法(CCPA)を基にしたもので、”CCPA 2.0 “と呼ばれることもあります。 しかし、CPRAは続編というよりもリブートであり、個人の権利と個人データを扱う企業の義務を大幅に増加させるものです
CPRAは絶大な人気を獲得し、投票率56%を獲得し、2020年のカリフォルニア州の投票イニシアティブの中で2番目に人気の高いものとなっています。 この法律の人気は、企業がこの法律に真剣に取り組む必要があるか、風評被害を被るリスクがあることを意味します。
ここでは、CPRAの最も重要な新機能のいくつかを確認し、準備する方法についての提案を提供します。
以下の情報は法的なアドバイスではありませんので、読者の方はコンプライアンスに関して弁護士にご相談ください。 実際、この法律はもともと California Privacy Rights and Enforcement Act (CPREA) と呼ばれており、説明責任を新たに重視していることがわかります。
新しい規制機関の設立
CPRA は California Privacy Protection Agency (CPPA) を設立し、Lexology はこれを「プライバシーだけに焦点を当てた米国で最初の政府機関」と呼んでいます。 CCPA は、罰金を科したり、企業がデータ処理ポリシーのリスク評価や監査を受けることを要求したりして、法律を執行することを任務としています
さらに CCPA は、CPRA の解釈に関するさらなる規制、規則、指針を提供する予定です。 Prop 24 の Web サイトによると、この新しい機関は 1,000 万ドルの予算を持ち、これは「FTC が国全体を取り締まるのとほぼ同じ数のプライバシー執行スタッフに相当します」
これは、CPPA が CPRA の要件に関する指導と明確化を提供できるため、実際には企業にとって良いニュースとなっているかもしれません。 CCPA の言語は混乱の元であり、National Law Review は、CCPA が不人気なのは “過剰な定義、あいまいな言語、全体的な明快さの欠如” が原因であると指摘しています。 この機関は、一般データ保護規則 (GDPR) の明確性の創出と執行の指導に貢献した英国の情報コミッショナー事務所 (ICO) のように機能することができます。
Expanding private right of action
CCPA では、個人が企業のコンプライアンス違反を問える力は少なかったのですが、CCPA では、個人は、企業の責任を問えるようになり、コンプライアンス違反の責任を問われることがなくなりました。 CCPA の下では、民間人は特定の種類の違反に対してのみ企業に対して私的な法的措置を取ることができ、多くの場合、企業に通知し、問題を「解決」する機会を与えた後にのみ、訴訟を起こすことができます。 しかし、新しい法律では、「侵害の後、合理的なセキュリティ手順と慣行を実施し維持することは…治癒を意味しない」と述べています。
言い換えれば、牛が牛舎から逃げたら、企業は法的問題を回避したい場合、牛舎に戻さなければならないのです。 次回は何も出てこないようにドアに鍵をかけるだけでは十分ではありません。
CPRA Follows GDPR’s Lead
CPRA には、GDPR を勉強した人なら誰でも知っている多くのコンセプトが含まれています。 4858>
「機微な個人情報」という新しいカテゴリー
CPRAは、他の個人情報よりも高い基準が求められる特定のデータクラスとして「機微な個人情報」という概念を導入しています。 CPRAの定義はより広範ですが、この概念はすでにGDPRで取り上げられています。
CPRAにおける機微な個人情報は、直接識別子と高度にプライベートなデータの2つのカテゴリに分けることができます。 最初のカテゴリには、政府発行の ID、財務情報、およびアカウントへのアクセスを可能にするアカウント・クレデンシャルのあらゆる組み合わせが含まれます。 2 つ目のカテゴリーは、正確な地理的位置、民族性、宗教、遺伝子および生体情報、性的指向、および電子メールやテキスト メッセージの内容(それらのメッセージが問題のビジネスに送信された場合を除く)を含みます。 ユーザーは、「平均的な消費者が合理的に期待する」サービスや商品を提供するために必要な場合のみ、および法律で明確に規定された限られた目的のためにのみ、この情報を使用するよう企業に要求することができるようになりました。 これは、「私の個人情報を販売または共有しないでください」というリンクとは別の通知となります。
「訂正権」の導入
CPRA は、消費者に、企業がその消費者に関する不正確な個人情報を訂正するよう要求する権利を与えています。 (GDPR はこれを「修正権」と呼んでいます。) 企業はこの権利を消費者に通知する必要があり、誰かが変更を要求した場合、企業はそれを修正するために「商業的に合理的な努力」をしなければなりません。 CPRAは、企業(および情報を扱う当事者)に対して、自らデータを削除する責任を課しています。 この法律は、消費者に開示された目的を達成するために必要な期間だけ個人情報を保持することを企業に要求します。
さらに、消費者が削除を要求した場合、企業はこの要求をサービス プロバイダや契約者に伝えなければならず、サービス プロバイダや契約者は、削除の共有義務を生じるように自らのサービス プロバイダや契約者に通知しなければならないのです。
Extending scope to “sharing” data
CCPA が “selling” に言及しているほぼすべての例で、CPRA は “selling or sharing” と修正しました。 はっきり言って、CCPA の販売に関する定義はすでにかなり広いものです。 それにもかかわらず、CPRA は、企業が「クロスコンテクスト行動広告」の目的で悪用する抜け道をなくそうとしています。
この変更により、Facebook や Google などの企業は、ユーザー データを「販売している」のではなく、広告主がターゲット マーケティングにそのデータを使用できるようにしただけであると主張して、オプトアウト要件を回避することが不可能になるかもしれません。 Datawallet が報告するように、この小さな変更は、「既存のデジタル広告エコシステムの現状を完全に変える」ことになりかねません。 CPRA はまた、従業員データに関する CCPA の適用除外をその時まで延長します。
IAPP は、この猶予期間は、連邦政府が国家プライバシー法を導入する時間を与えることを意図しているかもしれないと推測しています。
Step up data deletion policies
先に述べたように、CPRA は、企業(および企業と協働する外部の関係者)が、目的を果たした後に個人データを削除することを要求しています。 法律のその要素に準拠するだけでなく、データ削除は、保管する個人データが多ければ多いほど、違反時に失うものが多くなるため、単に良い習慣です。 そして、新法が施行に重点を置き、私的訴訟の権利が拡大されたことを考えると、侵害された記録はすべて重大な罰則につながる可能性があります。
削除ポリシーを強化するには、まず、すべての個人データを説明し、空中に浮遊させないようにする必要があります。 IAPP はこのように言っています。 「多くのプライバシー担当者は、ベストプラクティスとして毎年のデータ削除日を実施していますが、すべての従業員に遵守させ、もはや役に立たない古いデータの山を削除することは、永遠の課題として残っています」
この課題に対する 1 つの解決策は、ID およびアクセス管理 (IAM) システムからアクセスできる集中型ユーザー プロファイルですべての個人データを接続することです。 顧客データの単一のリポジトリを持つことで、個人データの削除、訂正、および要求に応じて消費者にレポートを提供するなど、カリフォルニア州のデータ プライバシー法の多くの側面へのコンプライアンスを簡素化することができます。 まず、CPRA はクレデンシャルを「機密性の高い個人情報」の下に含めています。 そして、CCPA は、侵害によって暗号化されていない個人情報が暴露された場合にのみ、個人に法的措置をとる私的権利を与えていましたが、CPRA は、侵害が、ビジネスが妥当なセキュリティ慣行を維持しなかった結果として発生した場合、ユーザーの「アカウントへのアクセスを許可するパスワードまたはセキュリティ質問と回答の組み合わせの電子メールアドレス」を暴露する侵害にその権利を拡大するものです。
この新しい文言は、公開されたログイン認証情報が ID 窃盗の入り口となる、クレデンシャル・スタッフィングなどの壊れた認証攻撃の蔓延に対抗するための明確な試みである。 しかし、暗号化標準は変化し、平文パスワードの古いデータベースがシステムに隠れている可能性が常にあるため、暗号化だけでは不十分な場合があります。
そのため、多要素認証 (MFA) を実装して、資格情報だけで自動的にアカウント アクセスが許可されないようにすることが賢明です。
第三者との関係を調べる
CPRAは、データ プライバシー義務を請負業者、サービス プロバイダー、および第三者に拡大することに大きな重点を置いています。 特に、請負業者を、ビジネスが書面による契約によって個人情報へのアクセスを提供する者として定義しています。 この契約では、請負業者がデータを他の当事者と販売または共有したり、契約に記載されていない目的で使用したりすることを禁止しています
CPRA はまた、データを受け取るサービス プロバイダ、請負業者、または第三者に対し、CPRA の基準を遵守することに契約上合意するよう要求しています。 IAPP は、これらの要件は「GDPR と、GDPR の保護を拡張し、国境を越えたコンプライアンスを可能にするために設計されたさまざまな国際データ転送メカニズムを連想させる」と指摘しています。
これらの変更により、企業は個人データを共有するすべての外部当事者のデータ プライバシーおよびサイバーセキュリティ基準について教育することが不可欠になっています。 契約書の作成は弁護士に任されますが、第三者が優れたデータ セキュリティを実践して契約上の義務を果たすかどうかは、セキュリティの専門家にかかっています。
CPRA Is Big (but Not Necessarily Bad) News
CCPA 2.0 のニュースが最初に伝えられたとき、オリジナルの法律が通過した直後に、一部のビジネス リーダーは狼狽していました。 運動のリーダーであるAlastair Mactaggartが個人的に自分たちを捕まえようとしていると感じている人もいたようです。 しかし、法律が通過した今、関係者全員がその全体的な目標を受け入れるべき時です。
このプライバシー法の新しい追加は、消費者の権利における幅広い進化の一部です。 そして、この特定の法律はカリフォルニア州民にのみ適用されますが、同様のアジェンダを持つ州法が米国全土に生まれてきています。 このような全国的、世界的な法律の寄せ集めを遵守することは難しいかもしれませんが、いずれも同じ基本的な考え方が必要です。 プライバシーを尊重し、透明性を確保し、個人データへのアクセスを制御することです。
データ プライバシー、データ セキュリティ、および法令遵守の基本についてもっと知りたいですか? ここから始めてください。
Auth0
について
Auth0 は、アプリケーション、デバイス、およびユーザーの認証、承認、および安全なアクセスを行うためのプラットフォームを提供します。 セキュリティとアプリケーションのチームは、Auth0 のシンプルさ、拡張性、専門知識を利用して、すべての人のためのアイデンティティを実現しています。 Auth0は、毎月何十億ものログイントランザクションを保護し、イノベーターがイノベーションを起こせるようにアイデンティティを保護し、グローバル企業が世界中の顧客に信頼できる優れたデジタル体験を提供できるよう支援しています。