目次:
ビデオ: therunofsummer (十一月 2024)
最も有名なテクノロジー企業の一部は、2018年6月28日にカリフォルニア州消費者プライバシー法2018(CCPA)を通過したカリフォルニア州に本社を置いています。 CCPAは2020年1月1日まで有効になりませんが、カリフォルニア、米国、そして実際には全世界の企業に影響を与えると予想されます。 CCPAは、企業が顧客データを処理する方法に影響を与え、多くの人が米国史上最も厳しいデータ保護法と見なしています。
あなたが感覚を感じているのであれば、あなたは一人ではありません。 5月に、欧州連合(EU)の一般データ保護規則(GDPR)が施行されました。 GDPRは、ここPCMagで話題となっています。 法律は大西洋全域で行われましたが、真実は、どこに住んでいるかに関係なくすべてのEU市民に適用されるため、世界中の企業にマークを付けました。 GDPRと同じように、新しいCCPAの影響は、その起源状態の範囲を超えて広範囲に影響を及ぼします。 CCPAとその予想される影響について詳しく知るために、数人の専門家と話しました。
CCPAとあなた:はじめに
CCPAは、消費者が収集したデータの種類を企業に開示するよう要求する消費者の権利を確立します。 仮想プライベートネットワーク(VPN)などのツールを使用している場合を除き、無数の企業がオンラインのときはいつでもあなたに関する情報を収集していることはほぼ確実です。 CCPAがもたらすこの種の透明性は大したことだと言っても過言ではありません。
John Tsopanisは、1touch.ioのプライバシープロダクトマネージャーで、企業が扱う個人データの理解を支援する会社です。 Tsopanisは過去数年間、企業のGDPRコンサルティングを行っており、CCPAでも同じことを行う準備をしています。 Tsopanisは基本的な用語でCCPAを説明します。
「2020年1月1日に、カリフォルニアの居住者はアメリカの大企業に「私の情報を処理していますか?」 「45日以内に、その会社は過去12か月の詳細なレポートを返信する義務があります。その個人に関する個人情報の特定のカテゴリ、共有相手、および理由を示す必要があります。彼らはその時間内にその情報をカリフォルニア州の住民に提供する必要があります。
GDPRとCCPAの違い
GDPRが行うこととCCPAがカバーすることの間には、いくつかの実質的な違いがあります。 まず第一に、CCPAは同意にオプトアウトベースを使用し、GDPRはオプトインベースを使用します。 これは基本的に、ユーザーがどのような情報が使用されているかを知るために、積極的に企業に連絡しなければならないことを意味します。 さらに、GDPRは、EU市民に関する個人データを保持するすべての組織に適用されます。
一方、CCPAは、カリフォルニアの住民に関するデータを処理する営利企業にのみ適用されます。 組織は、少なくとも年間2, 400万ドルの収入を得るか、50, 000人のデータを保持するか、収入の少なくとも半分を個人データの販売で行う必要があります。 したがって、小さなブティックショップを所有しており、オンライン業務の範囲が店舗の営業時間と住所を一覧表示するWebページである場合、CCPAについてあまり心配する必要はありません。 ただし、ターンキープロバイダーを介してeコマースWebサイトを運営する場合、または一般的なWebホスティングサービスを介して独自のeテールWebサイトを維持する場合は、注意が必要です。
Courtney Bowmanは、国際法律事務所Proskauer Rose LLPの訴訟部門のアソシエイトです。 Bowmanは、CCPAが企業に2020年をはるかに超えたデータ使用について慎重に検討することを要求する理由を説明します。 、" 彼女は言いました。
「彼らは、プライバシーポリシーを適切に調整できるように、第三者が販売または開示しているデータを継続的に監視する必要があります」とBowman氏は続けます。 「法律は消費者に個人情報にアクセスしたり削除したりする状況もあり、企業はその権利を実際に迅速に実現できるようにする必要があります。そのため、企業はデータマッピングに従事してデータの場所を把握する必要がありますIT部門と連携し、法の下で責任を果たすことができるようにするために何をする必要があるかを把握します。」
CCPAの幅広い影響
GDPRに至るまでの数ヶ月、私たちの報道のテーマは、グローバル化された世界では、GDPRがヨーロッパ以外のビジネスに影響を与えることでした。 結局のところ、ほとんどの大企業は海外でビジネスを行っており、法律を順守するためにグローバルにオンライン業務を変更する必要があります。 しかし、ソパニスと話をしたとき、彼はアメリカ企業がまだCCPAに特別な注意を払う必要があると言った。
「アメリカ企業に関して言えば、GDPRは主にチャネル全体で活動している主要な組織に焦点を当てていました。そのため、適格企業の基準は桁違いに大きくなっています」とTsopanis氏は述べています。 「カリフォルニアには4000万人がいます。5万人は人口の0.1パーセントですらありません。アメリカ企業のエクスポージャーの規模は、以前GDPRの下だったよりもかなり大きいと思います。」
Tsopanisは、ファーストフードの巨人Wendy'sの例を提供しています。 「ウェンディーズはフォーチュン1000で999番目に大きな企業であり、年間収益は12億ドルです。これは、この法律に基づく適用基準の48倍以上です。少なくとも、アメリカでは1, 000億ドルの企業が遵守する必要がありますこの法律、および2, 500万ドルのカテゴリよりも大幅に大きい。」
Wendyをハイテク企業とは見なさないかもしれませんが、彼らはユーザー情報の公平なシェアを集めています。 また、あらゆる種類の企業がCCPAの影響を受ける完璧な例でもあります。 あなたが彼らのウェブサイトにアクセスしたり、POS(Point of Sale)システム経由で食べ物を注文したり、地元のウェンディのレストランでWi-Fiを使用したりする場合でも、会社はあなたの情報を収集しています。すべてはCCPA規制の対象です。 Wendyのように「小さな」会社がユーザーに関する大量のデータを収集している場合、大企業が収集しているものを考えるのは実に怖いです。 簡単に言えば、CCPAには大きな意味があります。
重要なデータの発見
CCPAの最も重要な効果の1つは、アメリカ人がようやく企業が行ってきた膨大な量のデータの売買を明らかにできることです。 「この法案により、アメリカの人々は、以前は完全に匿名であったデータ売買組織の大規模なウェブを最終的に明らかにすることができます。これにより、データプライバシーの認識方法に劇的な文化的変化がもたらされ、最終的にはある点は、調和した連邦プライバシー法につながる」とツパニスは言った。
とき
「この国のすべてのジャーナリストにとって、これは天の恵みです。カリフォルニアは世界で5番目に大きい2.7兆ドルの経済であり、ビッグデータに基づいています。フォーチュン1000の各企業からのアクセス要求はすべて、ネットワーク全体を明らかにします厳しい精査の対象となるデータの売買会社の数」とTsopanis氏は説明しました。 「人々がデータレポートを取得し始めるときに何が見つかるかは正確にはわかりませんが、興味深い啓示があるはずです。」
準備するだけで18か月
GDPRから何かを学んだ場合、企業は期限に間に合うようにできるだけ早く計画する必要があります。 それを念頭に置いて、アメリカの企業はあまり時間がない。 GDPRは2016年4月に採択され、企業はこの規制に適応し、順守するために丸2年強を費やしました。 CCPAは2020年初頭に発効するため、大企業の準備期間はわずか18か月です。
その締め切りは、最も経験豊かな技術専門家でさえもストレスにさらされる可能性が高いです。 「18か月で行う必要がある作業量は、GDPRに必要な時間よりも多く、それを行う時間は短く、アメリカ企業はヨーロッパよりもプライバシーの成熟度が低いため、」とTsopanis氏は警告します。
従うために、セキュリティのベテランは、企業がプロセスの開発に適切な注意を払うことを推奨しています。 「今後6か月で、組織が行う必要があるのは、組織全体で個人情報を追跡する何らかの方法を開発することです」とTsopanis氏は述べています。 「どの個人情報がどのサードパーティに、いつ送信されたかに簡単にアクセスする方法が必要です。そして、実装まで12か月にわたって追跡し、要求に応じてその情報を提供できるようにする必要があります。規制が作用します。
「基本的に、ほぼすべての米国の主要企業が主要なデータ識別活動を行い、施行日にカリフォルニアの住民からのデータ主体のアクセス要求を自動化して対応できるようにする必要があります」とTsopanisは続けました。 「2020年に法律が可決されると、過去12か月のユーザー情報に関するレポートを提供できる必要があることに注意することも重要です。これは、事実上、企業が2019年1月1日にそのデータを追跡する必要があることを意味します。 」
法的観点から、Bowmanは期限までに変更が行われる可能性があると述べています。 「法律が施行される前に、法律の改正が行われることを期待しています」と彼女は述べた。 「草案はかなり迅速に作成されたため、発効した後でも、それらの理解という点で未解決のままの灰色の領域があるかもしれません。結局、GDPRの作成には何年もかかり、GDPRの複数の部分がまだありますあいまいです。」
