2020/08/25

プライバシー・法規制

カリフォルニア州の消費者プライバシー法が本格的に執行される

2020年7月27日付の日本経済新聞は、2020年1月に施行されたカリフォルニア州消費者プライバシー法(CCPA)が7月1日より本格的に執行されたこととともに、対策の遅れは大きなリスクになるという専門家の意見を伝えています。
(2020年7月27日 日本経済新聞「カリフォルニアの個人情報保護 企業対応に遅れ」
記事によれば、執行に際して詳細なルールを定める施行細則の効力がまだ発生していないものの、「いつ発生しても問題ないよう6月末に出た最終規則案に基づいて対策を打つべきだ」とする専門家の意見を紹介しています。

CCPAについては、過去に当コラムでも解説しています。
2020年1月に施行される「カリフォルニア州消費者プライバシー法(CCPA)」に向けて必要な準備とは?
CCPAの規制対象となる企業の条件の一つにある「年間総売上高が2500万ドルを超えること」について、州内の売上高を指すのか、それとも全世界での売上高を指すのか、当時は明らかになっていませんでしたが、このほど、全世界での売上高を指すことが明らかとなりました。CCPAは適用対象をカリフォルニア州内の企業に限定していないこともあり、日本企業も含めて対象となる企業は大きく拡大することも予想されます。

GDPRや日本の改正個人情報保護法と同様に、CCPAも消費者の個人情報に関する権利を拡大する規定を盛り込んでいます。具体的には、自身の個人情報に関しての開示請求権・削除請求権・自身の個人データを売却しないよう求める権利(オプトアウト)などが規定されています。企業に対しては、収集に際して利用目的を通知する義務や請求手段を2つ以上提供する義務、Webサイトに「私の情報を売却しないで」という明確なリンクを設ける義務、プライバシーポリシーを12ヶ月ごとに更新する義務なども定めています。
さらに、CCPAは、データ侵害があった場合に一人当たり100ドルから750ドルの法定損害賠償請求を請求できるとされています。集団訴訟にさらされるリスクも無視できないものといえるでしょう。

また、記事では、プライバシー保護団体が、カリフォルニア州プライバシー権利法(CRPA)というさらに厳しい規制を設けようとする動きがあることも報じています。CRPAにはGDPRに類似した内容も多くみられ、2020年11月の投票で可決する可能性がある、としています。

世界各国でのプライバシー法規制強化の流れは今後も続くことが予想されます。企業にとっては、自社が適用対象となることを想定し各国での最新の動きを把握するとともに、自社の個人情報管理システムを常に見直し、強化されるプライバシー法規制に準拠できるシステムを構築・管理していくことの重要性がますます高まっています。
まず、個人情報管理の観点では、フリーダイヤルやWebサイトをユーザーが自身の個人情報の開示を請求できる窓口として設置するとともに、開示請求に迅速かつ正確に対応するための体制を構築することが必要です。そのためには、複数の部門にまたがって存在している個人情報データを正しく紐付けて管理する「シングル・カスタマー・ビュー」の構築が有効であるといえます。
「シングル・カスタマー・ビュー」は、CCPAの求める「第三者提供を禁ずるオプトアウト」や「忘れられる権利」に対応するうえでも有効です。なお、「忘れられる権利」は、改正個人情報保護法には盛り込まれませんでしたが、GDPRなど世界の潮流となりつつあることもあり、視野に入れた検討が求められるでしょう。
プライバシー・ポリシーを12ヶ月ごとに更新することについては、ユーザーの登録・ログイン(個人情報の取得)を実施している全てのタッチポイント(Webサイトやモバイルアプリ)において、利用目的に特定した明確な同意そのものだけでなく、その文書のバージョンと同意を取得した時刻までを記録するとともに、文書のバージョンを更新する際に全てのタッチポイントに正しく反映するとともに、バージョンの更新に際してユーザーに最新バージョンへの再同意を求めることが必要です。

SAP Customer Data Cloud from GIGYAは、グローバルのベストプラクティスにより、GDPR, 日本の個人情報保護法、そしてカリフォルニア州のCCPAなど急速に変化するプライバシー保護法制度への迅速な対応をご支援します。
Registration-as-a-Service (RaaS) 機能により、Webサイトやデジタルタッチポイントにおける登録・ログイン機能をクラウドで提供します。RaaSを経由して登録・ログインしたユーザーのデータは、サイトやアプリをまたがってSAP Customer Data Cloud from GIGYA内に保管され、「シングル・カスタマー・ビュー」を構築します。登録・ログインに際して、利用規約・プライバシーポリシーはもとより、メールマガジン送付などマーケティング・コミュニケーションに関する同意について、文書のバージョンやタイムスタンプのデータも含めて取得・管理することも可能です。
また、SAP Customer Data Cloud from GIGYAは、ユーザーが自身の個人データを閲覧・編集・凍結・削除することの出来るセルフサービス型のプリファレンス・センター機能も提供します。プリファレンス・センターを通じてユーザーが実施した個人データの変更・凍結・削除や「同意」の撤回などは、SAP Customer Data Cloud from GIGYAと個人情報を活用するマーケティング・オートメーションなどの各種システムを接続することで反映され、ユーザーによるこれらの権利の行使を保障します。コールセンターなどでの対応稼働の削減も期待できます。

資料ダウンロード

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

CRMを成功に導く顧客ID統合に欠かせない3つのポイント

GDPR対応など、顧客ID統合の検討時の3つのポイントと、「顧客ID&アクセス管理(CIAM)」がそれらをどのように解決するかについて解説します。