2020年1月1日に発効するカリフォルニア州消費者プライバシー法(CCPA=California Consumer Privacy Act)では、個人情報に関して消費者に5つの新たな権利が付与されます。
1.収集した個人情報のカテゴリ、情報源、情報の用途および収集した情報の開示先等、企業のデータ収集の運用について知る権利
2.消費者による請求から過去12カ月の間にその消費者について収集した具体的な個人情報のコピーを受け取る権利
3.かかる情報を削除してもらう権利(例外あり)
4.企業のデータ売却の運用について知り、その消費者の個人情報を第三者に売却しないよう求める権利
5.消費者らがCCPAにより付与された新たな権利を行使したことに基づいて差別されない権利
消費者とは対象企業と何らかの関係にある必要はなく、あらゆるカリフォルニア州の住民を指します。適用の対象となるのは、①カリフォルニア州であるいはカリフォルニア州に商品またはサービスを販売・提供して年間の総収入2500万米ドルをあげている、または②カリフォルニア州の住民の個人情報の収集もしくは売却について一定の要件を満たす営利目的企業です。対象企業は、自社のプライバシーポリシーにおける開示を拡張し、かつ毎年更新すること、請求があれば45日以内に消費者に対して本人確認のうえ情報開示を行うこと、請求に応じて個人情報を削除・売却・停止することといった義務がもたらされます(例外あり)。
企業がプライバシーポリシーに基づいて、および請求があった場合に行う情報開示の対象には、過去12カ月の間に収集された個人情報のカテゴリ、どのように用いられたか、情報源、情報が提供・売却された先、(削除の請求との関係で)どの程度の期間保持されなければならないか、開示請求をした個人についての情報が含まれます。
いつでも対応できる体制を構築
企業にとって、どこにどのようなデータがあるかを常に把握し、適時・適切に消費者からの請求に対応できる管理体制を構築することは、法を遵守するうえで妥当な第一歩です。個人情報はあらゆる場所に入り込んでおり、データの「在庫」管理の仕組みを構築するためには、マーケティングからIT、人事、仕入先の管理に至るまで、企業が情報を受け取るすべての箇所を調査する必要があります。
1.社内で個人情報が入ってくる部門を総点検しましょう。ウェブサイトを通じてや、小売店内でのフォームの記入、郵便や電子メール、雇用の応募とその関連書類、コールセンターの記録、仕入先やサービスプロバイダ、大家やテナントから、マーケティングを通じて、監視カメラのモニターからなど、あらゆるタイプの個人情報を含みます。
2.企業が受け取る個人情報のすべてのカテゴリを特定しましょう。個人または世帯を特定できる通常の連絡先情報、IPアドレス、保護対象分類情報(性別、民族、人種等)、生体認証情報、インターネット閲覧歴、購入しあるいは購入を検討した製品、位置情報データ、学歴および職歴の情報、プロフィール作成過程の情報など、CCPAの個人情報の定義は細部にわたります。
3.対象となる個人情報の各カテゴリのソースを特定しましょう。これらの情報は個人から直接来ている、第三者から得た、もしくは企業がみずから得たものかもしれません。
4.対象となる個人情報の各カテゴリについて、情報収集およびデータの仕様のあらゆる目的を特定しましょう。
5.削除の請求に適切に応じられるように、各カテゴリの情報につき、法令上保存が求められている期間を把握しておきましょう。
6.情報へのアクセスが付与されているすべての者について、その者との契約がきちんと締結されているか、アクセスの目的は何か、その者がその情報を自身のビジネス上の目的のために使うことができるかなどを特定しましょう。
7.対象となる情報がどこに保存されているか、どのような形態で保存されているか、またその情報を保持している担当者をはっきりさせておきましょう。
どのようなデータを保有し、どこにあるかをきちんと把握しておけば、CCPAに関連する開示情報を作成するうえでデータの在庫管理体制を活用できるでしょう。
この記事が気に入りましたか?
US FrontLineは毎日アメリカの最新情報を日本語でお届けします