カリフォルニア州消費者プライバシー法(CCPA)と一般データ保護規則(GDPR)はどちらも、デジタル時代における個人情報の処理、保存、処理方法に関する古い法律を更新するために最近可決されたプライバシー法です。インターネットサービス、モバイルテレコミュニケーション、ソーシャルメディアの急増以来、キャンペーン担当者は企業が個人情報を処理する方法の変更を要求してきました。
CCPAは2018年に可決され、2020年1月1日に発効しました。GDPRは2018年5月に法制化されました。どちらの法律にも、同様の推奨事項と要件があります。 GDPRはヨーロッパ市民の個人情報に焦点を当てており、CCPAはカリフォルニア州の住民の個人情報に関連しています。
重要なことに、両方の法律には、大西洋の両側のビジネスに影響を与える共通の相乗効果があります。ヨーロッパの個人情報を処理する米国内のビジネスおよび米国の個人情報を処理するヨーロッパ内のビジネスは、プライバシー規則に準拠するために各法律のガイドラインに準拠する必要があります。
CCPAとは何ですか?
CCPAは、米国のカリフォルニア州居住者の個人情報を保護します。これには、個人の身元に関するデータ、機密性の高い健康情報、生体認証データ、モバイルジオロケーションデータ、および財務情報や資産情報が含まれます。プライバシー法の目的は、機密情報の開示やデータ侵害による予期しない漏洩を制限することです。
CCPAは、消費者が個人情報を管理できるように設計されており、過失によるものであれ、データハッキングの結果であれ、情報の侵害に対する罰則を強化するものです。
この法律の目的は、消費者の権利を行使し、消費者にデータに関する新しい権利を与えることです。これには、企業が個人についてどのような情報を保持しているかを正確に知る権利が含まれます。これが、GoogleやFacebookなどのサイトにアクセスして、それらが保持している情報の詳細なアーカイブをダウンロードできるようになった理由です。
カリフォルニア州の住民は、自分たちが保持しているデータにアクセスして表示する権利もあり、重要なことに、データを削除する権利もあります。データ収集をオプトインまたはオプトアウトする権利が作成されました。その他の重要な要素には、サービスと価格を同等にする権利、および個人情報が侵害された場合に損害賠償を請求する権利が含まれます。
新しい規則は、個人データを処理する企業に多くの新しい要件を課します。彼らは、個人情報へのアクセスを提供し、要求に応じて個人情報を削除し、その破壊を証明できなければなりません。また、同意管理の慣行を導入する必要があります。これは、企業がサードパーティと情報を共有するWebサイトでよく見られます。組織には、共有されているデータを開示する義務があります。
CCPAを使用すると、販売できる情報と販売できない情報を個別に管理できます。企業は、範囲内の個人データと「販売」データのインスタンスを学習するために、データインベントリの演習を実施する必要があります。その結果、サードパーティのデータプロセッサとのサービスレベル契約を更新する必要があります。
情報セキュリティのギャップとシステムの脆弱性の修正は、データガバナンスの強化とデータ識別プログラムを実装することによって迅速に解決する必要があります。範囲外のデータが保持されている場合は、削除する必要があります。
GDPRとは何ですか?
GDPRは欧州市民向けに設計されていますが、EUデータを処理するすべてのエンティティに影響します。その主な目的は、すべてのEU加盟国のデータ保護法を標準化することでした。
GDPR法には7つの主要な原則があります。これらは、個人情報を保持し、それが公正かつ透明な方法で保存されることを保証することの合法性に焦点を合わせています。データは特定の理由で保持され、特定の目的を果たす必要があります。個人データは無期限に保持することはできず、目的を果たしたら破棄する必要があります。
組織はまた、データの最小化に取り組み、正確な最近の関連情報のみを保持する必要があります。データの整合性を維持し、個人情報の機密性を確保する必要があります。
GDPRの導入以来、EU市民には多くの新しい権利があります。これらの権利は、第三者が個人情報に対してできることとできないことの基礎を築きます。人々には、企業が保持している個人データについて通知を受ける権利があり、個人には、この情報を表示してアクセスする権利があります。必要に応じて、データを修正する権利があります。
EU市民は、個人情報の削除を要求し、個人情報の処理方法を制限することができます。彼らには、クレジットカードの受け入れ基準など、自動化された意思決定とプロファイリングに関連する権利だけでなく、異議を唱える権利もあります。
CCPAとGDPR
CCPAとGDPRの間に著しい類似点があることは明らかです。 CCPAは、GDPRの米国版と見なすことができます。ただし、いくつかの重要な違いがあります。 GDPRは、欧州連合の内外のデータ管理者とデータ処理者に影響を与えますが、CCPAは、カリフォルニアで「ビジネスを行っている」企業のみを規制しています。
総収入が2500万米ドルを超える企業にのみ適用されるCCPAや、5万人を超えるカリフォルニア州の住民の個人情報を処理する企業など、他の規則も存在します。どちらかの法律に違反した場合の罰則もまったく異なります。 GDPRは、売上高の最大4%、つまり2,000万ユーロ(いずれか大きい方)です。 CCPAは、意図的でない違反の場合は1レコードあたり2500ドル、意図的な違反の場合は7500ドルです。
他にも微妙な違いがありますが、重要なのは、両方の法律が同じ目的で設定されていることです。それは、個人情報と個人情報を強化および保護することです。どちらの法律も、企業は選択したデータを収集できないという概念を強制しています。データには大きな価値があり、シリコンバレーの多くの技術大手は個人情報を販売して莫大な利益を上げています。 CCPAとGDPRはこれを特定し、私たち一人一人を保護するために行動しました。