CCPAアップデート2020年第1四半期:ルールの明確化、ベンチマーク、およびCCPAニュース

公開: 2020-03-04

カリフォルニア州消費者プライバシー法(CCPA)は、2020年1月1日に発効し、個人アクセス、データ削除オプション、および商用データ共有に関するカリフォルニア州住民の新しい権利を規定しました。 CCPAのほぼ2か月後に、新しい規則の明確化、施行段階の遅延の要求、カリフォルニア州法を通過する潜在的な新しいプライバシー法、およびいくつかの初期のコンプライアンスベンチマークがあります。 最終規則がより早く公表されない限り、施行は2020年7月1日に始まります。 (リンク:提案された規制、2月7日に投稿された変更)

CCPAごとに必要な個人データのオプトアウトオプションの提供を開始したいパブリッシャーの場合、Admiralは1つのタグでインストールが簡単なソリューションを支援します。 詳細については、お問い合わせください。

2020年1月29日:5つの広告業界団体が施行期限の延期を要求

広告業界のリーダーは、1月29日にカリフォルニア州司法長官Xavier Becerraに手紙を送り、企業が最終規制を検討して実施する時間を確保するために、CCPA施行の延期を求めました。

リクエストは、4A(American Association of Advertising Agencies)、American Advertising Federation(AAF)、Association of National Advertisers(ANA)、Interactive Advertising Bureau(IAB)、およびNetwork Advertising Initiative(NAI)によって配信されました。 最終的な規制の欠如、法律の複雑さと広範囲にわたる影響、そして現在書かれている規則が企業が準備するのに6か月もかからずに変更される可能性があるという事実を指摘しました。 書簡は、カリフォルニア州司法長官事務所によって規則が最終決定されてから6か月の遅延を要求しています。

2020年2月7日:カリフォルニア州司法長官による新しいCCPA規則の明確化

2月初旬、カリフォルニア州司法長官事務所(CAG)は、CCPA法の修正に関する通知と更新を発表しました。 最終的な規制はまだ間もなく発表されますが、この通知は、影響を受けるビジネスにある程度の明確さを提供します。 新たに追加または明確化された分野には、次のものがあります。

「個人情報」の定義:「 CCPA定義の解釈に関するガイダンス」と呼ばれる新しいセクションが追加されました。 この新しいセクションへの最初の追加は、「個人情報」の定義をカバーしています。

「特定の消費者または世帯を特定し、関連し、説明し、直接または間接的に関連付けることができる、または合理的に関連付けることができる情報。」
提供される例には、名前、住所、IPアドレス、電子メールアドレス、社会保障番号が含まれますが、これらに限定されません。 また、ジオロケーションデータ、ブラウザの履歴、Cookieなどのデータのカテゴリ、および人種や性別などの保護された分類もリストされています。 技術的にPIと見なされる可能性のあるデータを区別するための追加の説明がありますが、企業がその情報を他のデータとリンクできない場合、およびリンクしない場合、CCPAでは個人情報と見なされない場合があります。

消費者データ要求の明確化: 「知る要求」の提出に関するセクション(999.312)の変更により、提供される少なくとも1つの方法は、ビジネスが主に消費者と対話する方法を反映する必要があると追加されています。

知る要求を満たすための除外: PIおよびビジネスでの使用が特定の状況に該当する場合、除外が存在するようになりました。 つまり、PIは商業目的で販売または使用されるのではなく、単に法律またはコンプライアンスの目的で維持され、簡単にアクセスできる形式で保持されないということです。 次に、企業は、消費者のデータ要求に応答するときに、これらの理由を消費者に通知する必要があります。

PIのサービスプロバイダーユーザー向けの説明:セクション999.314は、サービスプロバイダーがCCPA規制の対象となることなく個人データを保持および処理できる状況に関する詳細を提供します。

オプトアウトリクエスト: CCPAオプトアウトプロセスが「消費者が実行しやすく、消費者がオプトアウトできるようにするための最小限の手順を必要とする」ことを保証するなど、いくつかのオプトアウトの側面について明確にされました。 追加の文言は、オプトアウトする消費者の決定を損なうことを試みる方法を禁止します。 ブラウザ設定などのグローバルプライバシーコントロール、および企業がそれらのコントロールを介してオプトアウト要求に応答する方法について、さらに明確になりました。

ブラウザプラグインやプライバシー設定、デバイス設定、またはその他のメカニズムなど、個人情報の販売をオプトアウトするという消費者の選択を伝達または通知するユーザー対応のグローバルプライバシーコントロールは、消費者

企業は、オプトアウトリクエストに応答するために15日間の猶予があります。 消費者のオプトアウトリクエストのサードパーティへの通知に関する詳細が追加されています。

ロイヤルティプログラムとデータの削除:新しい文言は、ロイヤルティプログラムへの登録を維持し、その恩恵を受けるために必要な情報に関して、企業が削除要求を拒否することはCCPAの下で合法であることを明確にしています。

追加の変更: CAGによる新しい言語は、次のような追加の側面をカバーします:販売禁止ボタン、モバイル通知、世帯定義、データブローカー、従業員のプライバシー通知、およびプライバシーポリシーの開示。

Adlawaccessには、変更のより詳細なレビューがあります。これは、カリフォルニア州司法長官事務所によって2月7日にリリースされたCCPAの変更です。

PWCからのCCPAコンプライアンスのベンチマーク

コンサルティングの大物であるPWCは、CCPAを含む1000を超えるプライバシー法および規制を追跡しています。 最近、彼らは600の最大の上場企業と100の最大の非公開企業のウェブサイトでCCPAの準備状況を分析しました。 CCPA規制の6週間後のいくつかの調査結果:

  • 追跡された企業の全体の16%は、販売禁止リンクを提供しています。
  • 評価された消費者市場の企業の29%はDNSリンクを持っていました。
  • テレコム、メディア、テクノロジー企業の25%以上がDNSリンクを提供しています
  • 最大の600社のうち、40%がCCPA権利ポータルを設立しました。
  • CCPA権利ポータルを持っていたセクター全体のほとんどの企業は、それらの権利をカリフォルニア州民だけに制限していました。
  • 評価された企業の33%は、CCPA権利ポータルを持ち、すべての消費者に権利を拡大していました。

全国的なプライバシー規制の継続的な変更

今後の最終的なCCPA規制言語、および7月1日またはそれ以前に開始される施行期間に加えて、CCPAを推進した同じグループが、CCPA2.0と呼ばれる投票イニシアチブを推進しています。 このNatLawReviewの記事によると、正式には2020年のカリフォルニアプライバシー権法(CPRA)と題されており、2020年に投票される可能性があり、大幅な更新を伴うCCPAの見直しにつながる可能性があります。

カリフォルニア州プライバシー権法は、CCPAの範囲を拡大して、機密性の高い個人情報、データを修正する消費者の権利、未成年者に対する保護の追加、データ侵害責任条項の変更に関する保護とガイダンスを強化し、執行機関を設立します。

カリフォルニア州法は、ネブラスカ州、ニューヨーク州、および他の少数の州が独自のプライバシー規制を提案しているため、プライバシーコンプライアンスにもたらされる変化の最先端にすぎません。

上記の更新はすべて、CCPAリソースおよびチェックリストのメガリストで参照されています。 CCPAチェックリストまたはCCPAコンプライアンスツールまたはソフトウェアに関する情報をお探しの場合は、CCPAリソースの投稿をご覧ください。

2020年6月の更新: CCPAの拡張が計画されているCalifornia Privacy Rights Act(CPRA)は、11月にカリフォルニアで投票される予定です。 CPRAとCCPAの違いについてもっと読む。

カリフォルニアの住民にデータのオプトアウトを今日提供する


1つのタグソリューションの一部として、アドミラルはサイト運営者にCCPAオプトアウトモジュールへのアクセスを提供します。 このモジュールは、パブリッシャーに以下を提供するように設計されています。

  • 検出:CAIPからのIDサイト訪問者
  • これらの訪問者に、データ販売をオプトアウトするためのユーザーインターフェイスを提供します
  • AdmiralのUI/APIアクセスは、オプトアウト情報をダウンストリームベンダーに通信するためのIABのフレームワークと互換性があります

AdmiralのCCPAオプトアウトモジュールを有効にする方法の詳細については、お問い合わせください。製品スペシャリストがご連絡いたします。