CPRAとは何ですか？ カリフォルニア州プライバシー権法：基本と概要

CPRAは、今後数年間、プライバシーと消費者の権利に影響を与えます。 2020年11月、カリフォルニア州の有権者は2020年のカリフォルニア州プライバシー権法（別名CPRA）を承認しました。 これは、有権者が2018年に承認したカリフォルニア州消費者プライバシー法（CCPA）の改正です。

CPRAは、カリフォルニア州の居住者のプライバシー権を変更、拡張、および明確化しており、さまざまな方法でEUのGDPRポリシーからインスピレーションを得ています。

たとえば、CPRAは新しい執行機関を作成します。 以前は、CCPAはカリフォルニア州司法長官事務所によって施行されていました。 ただし、EUでは、GDPRはデータ保護当局によって施行されています。現在、カリフォルニアにも1つあります。CaliforniaPrivacyProtectionAgency（CPPA）です。

この機関には、調査、執行、および規則制定の権限が付与されます。 企業にとってさらに重要なことは、この機関は30日間の治療期間を認める必要がなく、一部のポリシー違反に対する罰則は、違反ごとに最大$ 7,500になる可能性があることです。 これは3倍の増加です。

CPRAとは何ですか？ CPRAは説明しました

CPRAの目的は、カリフォルニア州の居住者の権利を強化するために、カリフォルニア州消費者プライバシー法（CCPA）を再定義および拡張することです。 それは消費者にオプトアウトするより大きな機会を提供し、企業からの意図的なデータプライバシー管理を必要とします。

非常に多くのことが進行中であるため、何が変わったのか、そしてそれがあなたのビジネスにとって何を意味するのか疑問に思うかもしれません。 あなたは一人ではありません。 ファインポテンシャルは3倍に増加しましたが、コンプライアンスの立ち上げ時間として、ビジネスは2023年1月1日までです。 CPRAについて企業が知っておくべきことは次のとおりです。

カリフォルニア州プライバシー権法の説明：あなたのビジネスが知っておくべきこと

CCPAは、すでに米国で最も強力な消費者中心のプライバシー法でした。 CPRAはすべてをさらに一歩進め、ポリシー全体が取り消されない限り、将来の寛大さに対してより困難になります。

言い換えれば、あなたはあなたのビジネスをCPRAの形にしたいのです。 このプライバシーポリシーに時計を戻すことはありません。 代わりに、より多くの州が同様の政策を採用し始める可能性があります。

基本をカバーしましょう。

いつCPRAに準拠する必要がありますか？

2020年のカリフォルニア州プライバシー権法の規定のほとんどは2023年1月2日まで有効になりません。ただし、2022年1月1日以降に収集された個人情報は、「知る権利」セクションの拡張の一部になります。

あなたのビジネスは、あなたが彼らについて収集したデータと、それが2022年1月1日以降に収集した情報にどのように使用されているかを消費者に「知る権利」を与えることを要求されます。

誰がCPRAに準拠する必要がありますか？

すべての人ではなく、実際、これはCPRAが元のCCPAよりも実際に寛大である領域の1つです。

CCPAでは、消費者の総数が50,000人以上の企業が準拠する必要がありました。 CPRAでは、その数は2倍になります。 CPRAは、消費者が100,000を超える企業にのみ適用されます。

100,000を超える顧客を抱える企業の場合、消費者の個人情報（PI）の販売または共有から年間収益の少なくとも50％を生み出した場合、CPRAが適用されます。 これは、CCPAと比較したCPRAのもう1つの更新です。 CCPAでは、消費者の個人情報の販売のみが対象となりました。 CPRAでは、これは「共有」、つまりサードパーティとの共有に拡張されています。

CPRAはどのような新しい規制を導入しますか？

CPRAの多くはCCPAの修正版ですが、導入の1つの領域は、「機密性の高い個人情報」に関するものです。 これは、カリフォルニア州で規制されたデータセットになります。

CPRAの機密性の高い個人情報には、次のものが含まれます。

1. 政府の識別子：例には、社会保障番号や運転免許証が含まれます
2. 金融口座とログイン情報：例には、ログイン資格情報と一緒にクレジットカードまたはデビットカード番号が含まれます
3. 正確なジオロケーション
4. 人種、民族、宗教的または哲学的信念、または組合員
5. 非公開のコミュニケーションの内容：例には、メール、電子メール、テキストメッセージが含まれます
6. 遺伝データ、生体認証または健康情報
7. セックスライフまたは性的指向の情報。

この情報を収集、販売、または共有する組織は、そうしていることを開示し、消費者がオプトインおよびオプトアウトできるようにする必要があります。

CPRAによって設定された真新しい権利

• 訂正する権利
• 自動意思決定に関する情報にアクセスする権利
• 自動化された意思決定技術をオプトアウトする権利
• 監査義務

CPRAはデータプライバシープログラムにとってどのような意味がありますか？

100,000人を超える顧客または100,000人を超える消費者に関するデータを扱うビジネスであり、そのデータをマーケティングや広告、またはビジネスの収益を生み出すために使用する場合、CPRAはデータプライバシープログラムにとっていくつかの意味を持ちます。

同意および継続的なオプトアウトポリシー

CPRAでは、特に未成年者向けの同意規制が強化されています。 つまり、ユーザーのデータを収集するには、データがどのように使用され、どのくらいの期間使用されるかについての知識に明示的に同意する必要があります。

さらに、消費者は、事前の同意があったとしても、データの削除を含む特定のプログラムのオプトアウトを要求することができ、企業は確認する必要があります。

組織にとっては、顧客データプラットフォーム（CDP）などのツールを使用して、消費者がオプトインするもの、オプトアウトするもの、および要求された場合のデータの削除を自動化することが重要になります。 これにより、 CDPはデータのプライバシーとガバナンスの要件に準拠するのに役立つため、この法案で導入された監査義務を組織が管理しやすくなります。

情報にアクセスする権利

CPRAの下で、消費者はあなたが彼らについてどのような情報を収集したか、そしてそれがあなたのブランドでの彼らの個人的な経験にどのように影響しているかを見る権利を持っています。 実際、消費者は、自動化されたキャンペーンや広告などの意思決定プロセスに含まれるロジックの意味のある説明を要求できます。 データプライバシー計画を立てることは不可欠です。

チームでこれを簡単に行うには、CDPが役立ちます。特にCRMソリューションと統合されているCDPです。 これらのツールを一緒に使用して、消費者がすべてのデータ、結果としてどのストリームに含まれるかを確認し、独自のデータ設定を管理するためのパーソナライズされたログインとページを作成できます。

目的とストレージの制限

前述のように、CPRAはEUのGDPRポリシーからインスピレーションを得ています。 これらには以下が含まれます：

1. データの最小化
2. 目的の制限
3. ストレージの制限

これらの要件は、企業が必要とする最小限の情報を収集する必要があることを意味し、データの収集の目的（つまり、データの使用方法）とデータを保持する期間を示す必要があります。

会社がどのポリシーを決定する場合でも、プライバシーポリシーの内容をシステムで自動化する必要があります。 たとえば、システムに2年間データを保持すると述べた場合、24か月が経過したらすぐにその情報の削除を自動化する必要があります。

繰り返しになりますが、これは監査に非常に役立ち、従業員の手作業によるエラーや忘却がないことを確認します。

カリフォルニア州プライバシー権法（CPRA）に準拠するための積極的な次のステップ

年間収益が2500万ドルを超え、10万人を超える消費者からデータを収集し、そのデータの販売または共有から利益の少なくとも50％を稼いでいる組織にとって、今こそCDPを入手するときです。

CDPを使用してすべてのソースからの顧客データを一元化することで、チームは新しいポリシーのいくつかを自動化し、監査を容易にし、顧客を満足させることができます。マーケティング、販売、広告、またはその他の部門のチームの作業負荷を増やす必要はありません。

CPRAは、米国で群を抜いて最も強力な消費者プライバシー法ですが、これが最後ではなく、この改正もありません。 プライバシーファーストのWebが前進し、牽引力を獲得し続けるにつれて、組織は、収集するもの、誰に、どのように使用するかについて、よりスマートで透明性を高める必要があります。 現在投資することで、将来の罰金や頭痛の種を減らすことができます。