ニュース
注意事項: この記事は、英語から自動翻訳されています。原文については、英語の記事をご覧ください。一部の自動翻訳が不自然な場合がありますが、予めご理解いただけますようお願い申し上げます。
picture

CCPAからCPRAへ

消費者の権利に関する新ルール

Andreas Women called Charlotte in a pantsuit.

Andreas Maetzler, Charlotte Mason

新年、カリフォルニア州住民のための新しい消費者の権利。2023年1月1日、CPRA(CCPA2.0とも呼ばれる)が発効した。主な変更点は、カリフォルニア州住民のプライバシー権に関するもので、CPRAは新しい権利を導入するとともに、CCPAのもとですでに認められている権利を修正するものである。

これらの変更の重要性は、プライバシー関連問題に対する消費者の意識の高まりに起因している。消費者の行動は、世界的なプライバシー規制とほぼ同じ速さで変化している。意識の高まりとともに、企業が直面する要求の数は絶えず増加している。件数の多さだけでなく、複数の法域にまたがる要請を並行して処理し、それぞれの体制に合わせてプロセスを調整しなければならないという複雑さも、企業にとっての課題であり、多大なリソースの投入を必要とする可能性があります。

本稿は、改正CCPA、新CPRAの下での消費者の権利の取り扱いについて明確なガイダンスを提供することを目的としたシリーズの第一弾である。以下では、CPRAの要請を管理するための一般的な手順を示す。以降の記事では、特定の権利の仕組みについて取り扱う予定である。

I. CPPA、CPRAおよび規則

CPRAは、カリフォルニア州民法におけるプライバシー関連規定を変更するCCPAの改正である。CPRAによる新たな改正により、カリフォルニア州居住者には以下の権利が付与される:

  • 個人情報を削除する権利
  • 不正確な個人情報を訂正する権利
  • 知る権利:
  • どのような個人情報が収集され、その情報にアクセスする権利
  • どのような個人情報が誰に販売または共有されるかを知る権利
  • 販売や共有からオプトアウトする権利
  • 機微な個人情報の使用および開示を制限する権利
  • オプトアウトまたはその他の権利の行使後に報復されない権利

個人情報保護法(CCPA)は、規制(CCPA Regulations)によって補足され、主に企業に対して遵守方法に関するガイダンスを提供している。CCPA規則を制定する権限は司法長官に与えられている。CPRAの下、規則制定権限は新設されたカリフォルニア州プライバシー保護庁(CPPA)に移譲され、CPPAは以下の目的でCCPA規則の改正を提案した:

  • CPRAによるCCPAの改正と調和させるため、既存のCCPA規則を更新する;
  • CPRAによって導入された新しい権利と概念を運用し、法律を実施するための明確性と具体性を提供する。
  • CPRAによって導入された新しい権利を運用し、法律を実施するための明確性と具体性を提供する。

これらの新しいCPRA規則の期限は2022年7月1日であったが、2023年まで延長され、CPRAは補足規則なしで発効した。CPRAの施行は2023年7月1日からとなるため、CPPAがCPRAに基づく改正規則を公表するまでにはまだ時間がかかるが、その分企業に残された時間は短くなる。本稿では、CPRA規則案が、カリフォルニア州の消費者の要望を管理するための一般的な手順に関して大幅な変更を伴わないことを前提とする。

II. CPRA要求の一般的な管理手順

プライバシーに関する要請を処理する手順は、複数の種類の要請に必要とされる一般的な手順と、1種類の要請に固有の特定の手順に分けることができる。一般的な手順は、必ずしもすべての種類の権利について同じではないが、同じプロセスステップを扱う:

1.要請の受理

CPRAは、一定の確立された方法(郵送先住所、電子メールアドレス、インターネットウェブページ、インターネットウェブポータル、フリーダイヤルなど)を列挙し、消費者が事業者に連絡するための新たな手段を導入する余地を残すことにより、「要求の提出のための指定された方法」という用語を定義している(技術中立的アプローチ)。事業者は、少なくとも2つの指定された要求提出方法を提供する必要がある。どの方法を提供するかは事業者の自由であるが、CPRAでは部分的に規定されている。削除要求、訂正要求、および照会要求については、以下の方式が適用される:

  • 事業者がオンラインのみで事業を行っており、消費者と直接的な関係がある場合、電子メールのみを提供する必要がある;
  • 事業者がオンラインのみで運営されておらず、消費者と直接的な関係がある場合は、電子メールのみを提供しなければならない:
  • 事業者がウェブサイトを持つ場合、そのうちの1つはウェブフォームでなければならない;
  • 事業者がウェブサイトを開設している場合、それらの方法の1つはウェブフォームでなければならない;
  • 消費者が当該事業者にアカウントを持っている場合、当該事業者は、消費者がリクエストを提出するために当該アカウントを使用することを要求することができる。

司法長官も中共法も、「オンラインのみで運営する」または「消費者と直接関係を持つ」ことが何を意味するかは述べていないが、これは以下を意味すると推測される:

  • 事業者が物理的な顧客施設を持たず、ウェブサイトを通じてサービスを提供していること。
  • 事業者が、第三者を介したり代行したりするのではなく、商品やサービスを顧客に直接提供していること。

個人情報の販売および共有からのオプトアウトの要求については、指定された方法の1つとして、事業者のウェブサイト上のリンクからアクセス可能な対話式フォームを使用しなければならない。リンクには、“Do Not Sell or Share My Personal Information “と記載すること。

2.参加資格

要請を受けたからといって、事業者が自動的にそれを処理しなければならないわけではない。CPRAにより付与される権利を有するのは、カリフォルニア州居住者のみである。カリフォルニア州居住者には以下が含まれる:

  • カリフォルニア州に一時的または一過性の目的以外で滞在するすべての個人。
  • カリフォルニア州に居住する個人で、一時的または一時的な目的でカリフォルニア州外にいる者。

従って、資格の有無は個人の所在地に左右されない。個人の居住地が不明確な場合、請求に直面した事業者は、消費者がカリフォルニア州の居住者であることを証明する書類の提出を求めることができる。

3. 検証可能な消費者の要求-本人確認

CPRAは、「検証可能な消費者の要求」という用語を使用し、事業者が個人情報を収集した消費者であることを商業上合理的な方法で確認できる消費者からの要求と定義している。

事業者がその要求を確認できない場合、(i)知ること、(ii)削除すること、(iii)データを訂正することの要求に応じることは禁止されている。販売または共有のオプトアウト要求、および機微な個人情報の使用と開示の制限要求には、本人確認は必要ないことに注意することが重要である。

消費者の要求は、事業者が要求した消費者に関する個人情報を収集したことを確認できる場合、確認される。事業者は、商業上合理的な方法のみを用いることが要求される。要請に対応するために事業者が費やす時間および/または資源が、対応しないことによる消費者への合理的に予測可能な影響を著しく上回る場合、その努力は不釣り合いである。

消費者が正規の代理人を使って要請を提出する場合、事業者は正規の代理人に対し、消費者が代理人に要請を提出する許可を署名付きで与えたという証拠を提出するよう求めることができる。

4. 第三者 - 処理者

事業者は、機微な個人データの削除、オプトアウト、または使用もしくは開示の制限を要求する場合、事業者が個人情報を販売または共有しているすべての第三者に対しても、消費者の要求に応じるよう通知し、第三者が個人情報を開示または共有しているその他の人物にも要求を転送するものとする。

5. タイムライン

事業者が消費者の個人情報保護請求に対応する時期は、権利の種類によって異なります。

削除要求、訂正要求、照会要求の場合、事業者は10営業日以内に要求の受領を確認し、要求の処理方法に関する情報を提供しなければならない。最終的な回答は、要請の受領から遅くとも45日以内に行わなければならず、この期間をさらに45日延長して合計90日とすることもできる。

契約により、事業者は、販売/共有のオプトアウト要請、および機微な個人情報の使用と開示を制限する要請に応じるために、最大15営業日の猶予がある。

権利対応期間必要となる対応
- 知る権利
- 削除要求
- データ訂正
10 営業日- リクエストの確認
- 対応プロセスに関する情報の提供
- 知る権利
- 削除要求
- データ訂正
45 暦日
延長可能
- リクエストの確認
- 最終回答
- オプトアウト
- 限定
15 営業日要請に従って対応

6. 適用除外

事業者が消費者の要請に応じないために依拠することができる一般的な免除が多数存在する:

  • いかなる義務も、連邦法、州法、または地方法を遵守する必要性、民事、刑事、または規制当局の調査、捜査等に応じる必要性、法執行機関や政府機関に協力する必要性、または法的請求の行使や防御の必要性を含む、さまざまな義務を遵守する事業者の能力を制限するものではないこと;商業行為のあらゆる側面が完全にカリフォルニア州外で行われる場合、いかなる義務も、非識別化された消費者の個人情報または集約された消費者情報を収集、使用、保持、販売、共有、開示する、または消費者の個人情報を収集、販売、共有する事業者の能力を制限してはならない;
  • 消費者の信用度等に関する活動に対する免除;
  • 特定された米国法に従って収集、処理、販売、開示される特定の情報に関する免除;
  • 特定の車両情報および所有権情報に関する免除;
  • 特に反復的な性質のため、明らかに根拠のない、または過剰な要求。 事業者は、情報もしくは通信を提供し、または要求された措置を講じるための管理コストを考慮して、要求の処理に合理的な手数料を請求するか、または要求に対する措置を拒否し、拒否する理由を消費者に通知することを選択することができる。 検証可能な消費者の要求が明白に根拠がない、または過剰であることを証明する責任は、免除に頼ろうとする事業者にある;
  • 家計データに関する要求

Prighterについて

Prighterグループは、世界中の企業が複数のデータ保護制度を遵守して国際的なビジネスを展開できるようにすることを使命としています。私たちは、プライバシーに関連するやり取りを管理するSaaSソリューションと組み合わせて、専門的なプライバシー代行サービスを提供し、企業が現地のデータ保護法を遵守して新しい市場に参入できるようにします。ソフトウェアと専門的なリーガルサービスの長所を組み合わせることで、市場をリードするプライバシー保護サービスを提供します。Prighterに守られながら、自信を持ってビジネスを成長させてください。

プライバシー関連のニュースやコンテンツはLinkedinでご覧ください。