各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
米国のカリフォルニア州は消費者や従業員の個人情報を保護することに非常に積極的な州であり、他の州がベンチマークとして参考にする、包括的な規制を施行していることで知られています。
カリフォルニア州は、米国で最も包括的なプライバシー規制であるカリフォルニア州消費者プライバシー法(CCPA)を施行しており、2024年の初めにはCCPAの更新版であるカリフォルニア州プライバシー権法(CPRA)が施行されました。CPRAの施行により、カリフォルニア州プライバシー保護局(CPPA)が設立されました。
個人情報を保護するにあたり、事業体はどの規制のどの要件に目を向ければよいのか迷うことが多いと思います。本稿では、カリフォルニア州の主なプライバシー規制を取り上げ、カリフォルニア州のプライバシーシナリオに関連するその他の規制についても説明します。
CCPAについて
カリフォルニア州消費者プライバシー法(CCPA)が施行されたのは2020年1月です。この法律はカリフォルニア州で事業を行い、総収入が2,500万米ドル以上で5万人以上の消費者または世帯もしくは機器の個人情報を売買または共有する、または年間収入の50%以上を消費者の個人情報の販売から得ているなど、一定の基準を満たす営利目的の民間組織に適用されます。
CCPAは対象となる事業者に対し、収集された個人情報の内容を知る権利、個人情報を削除する権利、個人情報の販売からオプトアウトする権利、プライバシー権を行使することによる無差別の権利など、消費者の権利を遵守するよう求めています。
CCPAはまた、対象となる企業に対し、データの収集と処理方法を説明するオンラインプライバシー通知の提供、個人データの管理手続きの実施、消費者からの権利行使の要求、個人情報の販売に関するオプトアウトの仕組みの提供などを求めています。
CCPAの要求事項のいずれかに従わない場合、1回の違反につき最高2,500米ドル、意図的な違反については最高7,500米ドルの罰金が科されます。なお、CCPAはカリフォルニア州司法長官の権限において施行されています。
CPRAについて
カリフォルニア州プライバシー権法(CPRA)は、CCPAの改正版です。2023年1月1日から施行される予定でしたが、州裁判所の判事が2024年3月までCPRAの施行は不可能であるとの判決を下したため、施行が遅延していました。しかし、この判決はCPPAによって争われた結果覆り、2024年2月初旬から施行可能となりました。
CPRAは、CCPAをベースにその範囲を拡大し、新たな規定を追加したものです。CPRAはCCPAと同じ基準を満たす企業に適用されていますが、より厳しい要件も導入されています。
CPRAの適用範囲は拡大され、求職者や従業員を含むカリフォルニア州居住の全ての消費者に適用され、企業間取引にも適用されます。またCPRAには、CCPAの消費者の権利範囲を拡大し、不正確な個人情報を訂正する権利、機微な個人情報の使用と開示を制限する権利などの新しい権利が追加されました。
CPRAの下、カリフォルニア州プライバシー保護庁(CPPA)が設立され、カリフォルニア州では消費者データ保護とプライバシーに関連する複数の取り組みが進行中です。
CPRAに従わない場合、CCPAと同様に金銭的な罰則が科されます。また、CPRAの下では、従業員はデータ漏洩について雇用主を訴えることができ、特定の状況下では、従業員は集団訴訟型の訴訟を起こすこともできます。
GDPRから見たCPRAの消費者の権利
GDPRは、個人情報の処理に関するデータ主体や消費者の権利を守るパイオニアです。CPRAはGDPRと同様の基準を維持し、カリフォルニア州の消費者にデータの取り扱いに関する重要なコントロールを提供しています。以下の表は、GDPRおよびCPRAに規定されている消費者の権利について比較したものです。CPRAはGDPRと同様に、明確に定義された項目別に消費者の権利に対応していることが伺えます。CPRAは、GDPRがEUに対して行ったのと同等のプライバシー保護メカニズムをカリフォルニア州に対して定義したと言えるでしょう。
規制当局
CPRAは、カリフォルニア州プライバシー保護局(CPPA)を設立しましたが、CPPAとカリフォルニア州司法長官の両方が、CCPA/CPRAに基づく執行を追求できることに注意することは極めて重要です。従って、将来のリスクを評価する上で、双方の活動を確認することは重要です。
カリフォルニア州プライバシー保護局(CPPA)の取り組み
カリフォルニア州プライバシー保護局(CPPA)は5名の役員によって運営され、カリフォルニア州民の消費者プライバシーを保護することを使命としています。CPPAは、CPRA(CCPA規則)の実施と執行を行い、プライバシーと消費者の権利に関する認識を高め、そのための行政執行を準備する責任を負っています。CPPAはその使命のためにさまざまな取り組みを積極的に行っています。
その責任の下、CPPAは2024年4月、データ最小化をCCPAの基本原則とする初の施行勧告を発表しました。さらに、CPPAは既存のCCPA/CPRA規則の更新案を提案しました。この更新には、自動意思決定技術(ADMT)およびリスク評価に関する新規則のほか、機微(センシティブ)な個人情報の定義、消費者の要求を拒否するための要件、消費者の要求の検証、サービス提供者および請負業者の義務の改定が含まれます。
前述のとおり、CPPAは自動意思決定技術(ADMT)と個人情報処理のリスク評価に関する規制も提案しています。規則案は事業者に対し、ADMTを使用する前に消費者に通知し、オプトアウトの権利を付与することや、ADMTやAIトレーニングなど、特定のデータ処理の状況についてリスクアセスメントを行うことを義務付けています。なお、規制の範囲、特にADMTの要件について、理事会メンバーの意見は分かれています。
CPPAは2023年9月、CPRAに基づくサイバーセキュリティ監査とリスク評価の両方に対応する「リスク評価規則案」を発表しました。この規則案に関する正式な規則制定はまだ進行中です。
カリフォルニア州のプライバシーに関するその他の規定
カリフォルニア州には、CCPA/CPRA以外にも、企業が遵守すべきプライバシーおよびデータ保護に関する規制が以下のように多数存在しています。
データ侵害通知
2003年7月より適用されているカリフォルニア州民法第1798.29条および第1798.82条に基づき、カリフォルニア州で事業を行い、個人データを処理する全ての事業体は、情報漏えいの影響を受けた個人にその旨を通知することが義務付けられています。情報漏えいが500人以上の個人データに影響を及ぼす場合、事業体は監督当局(この場合はカリフォルニア州司法長官)に報告する義務があります。CCPAの下では、データ侵害はその被害を受けた事業体に対する民事訴訟の引き金となり得ます。
カリフォルニア・オンライン・プライバシー保護法(CalOPPA)
2004年7月より適用されているCalOPPAは、個人情報を収集する商用ウェブサイトまたはオンラインサービスの運営者に対し、そのウェブページにプライバシーポリシーを掲載し、容易にアクセスできるリンクを貼ることを義務付けています。この要件はCCPA/CPRAで詳細にカバーされています。
シャイン・イン・ザ・ライト法
2005年1月より適用されているシャイン・イン・ザ・ライト法は、ダイレクトマーケティングを目的としてどのような個人情報を第三者と共有するかについて、事業者が要求に応じて顧客に開示することを義務付けています。
カリフォルニア州年齢適正デザインコード法
2022年9月15日に署名されたこの法律は、子どもがアクセスする可能性のあるオンラインサービス、製品、または機能を提供する事業者に対して、提供するプライバシーに関する全てのデフォルト設定を、高度なプライバシーを提供する設定にすることを含め、特定の要件に準拠することを義務付けています。
対応すべきポイント
PwCはこれまでのプロジェクトの経験から、多くの企業が個人情報保護を遵守するためにどの規制のどの要件に目を向ければよいのか、混乱していることを理解しています。その原因は、膨大な数の法律や規制が存在し、どれが遵守すべき正しい法律や規制なのかということにあります。
本稿では、米国のカリフォルニア州で現在施行されているプライバシー関連の法規制を紹介しました。そして、CPPAは将来何が起こるかについての妥当なアイデアを与えてくれることを説明しました。上記のようにカリフォルニア州におけるプライバシー規制は、消費者の個人情報を処理する際、事業者に注目を求めるものです。
事業者ははじめに、自社のプライバシーポリシーが個人情報の処理方法を正確に詳述していることを確認する必要があります。次に、消費者からの要求やオプトアウト手続きについて、明確な開示と機能テストを行う必要があります。また、個人データへのアクセス、削除、訂正のプロセスを規制とマッピングさせ、整合させることが推奨されます。さらに、コンプライアンスを確認するために個人情報を運用するシステムを導入した後にテストを行う必要があります。
コンプライアンスを遵守するためには、規制当局による規制やイニシアチブの進捗状況を監視することが一層重要になるでしょう。
サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応
48 results
Loading...
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
Loading...
インサイト/ニュース
40 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
