生きてる! CPRA規制と新しいデータプライバシー法に備える

公開: 2023-02-23

データ プライバシー法は勢いを増しています。これまでにないほど包括的なプライバシー法案が提案され、州レベルで可決されました。 しかし、カリフォルニア州で予定されているものほど幅広いものはありません。

カリフォルニア州プライバシー権法 (CPRA) は 2023 年 1 月 1 日に発効し、施行は 2023 年 7 月 1 日に開始されます。CPRA は元のカリフォルニア州消費者プライバシー法 (CCPA) の明確化と拡大の両方を表しています。 一緒に、それらは国内で最も厳しいプライバシー法を構成します.

では、それはあなたのビジネスにとって何を意味するのでしょうか? 1 つには、マーケティング戦略が違反の危険にさらされており、カリフォルニア州で何らかのビジネス (オンライン販売を含む) を行っている場合、プライバシーを優先リストの一番上に移動する必要があります。

先に進む前に、このブログのコンテンツは報告および/または意見と見なされるべきであり、法的助言ではないことに注意してください. コンプライアンスに関するすべての決定については、法務部門に相談してください。

概要: CPRA 対 CCPA および 2023 年に施行されるその他のデータ プライバシー法

2022 年末に発表された CPRA に関する締め切りの変更とスケジュールの調整が相次いでいることはおそらくご存じでしょうが、施行のために以前に確立されたカレンダーは変更されません。 それでは、ビジネスに取り掛かりましょう。

CPRA は、特に個人を特定できる情報 (PII) とさまざまな種類のデータ収集の定義に関して、元の CCPA に多くの質問が未回答のまま残されている灰色の領域があったため、作成された投票法案でした。

カリフォルニア州のプライバシー法のタイムライン: CCPA から CPRA へ

ワイヤーホイール

カリフォルニア州以外で 2023 年に施行される他の州のプライバシー法は次のとおりです。

  • コロラド州プライバシー法 (CPA): 2023 年 7 月 1 日発効
  • 個人データのプライバシーとオンライン監視に関するコネチカット法 (CTDPA): 2023 年 7 月 1 日発効
  • ユタ州消費者プライバシー法 (UCPA): 2023 年 12 月 31 日発効
  • バージニア州消費者データ保護法 (CDPA): 2023 年 1 月 1 日発効

CPRA と同様に、これらすべての州法には、機密性の高い個人情報を構成するものに関する独自の解釈だけでなく、消費者の権利に関する規定があります。 しかし、それらはすべて異なることを知ることは非常に重要です。 州全体でのプライバシー コンプライアンスに対する万能のソリューションはありません。

そこで法務部門の出番です。法務チームとの定期的なコミュニケーションを確立して、今年および将来のビジネスに影響を与える可能性のある新しい規則や規制の先を行く必要があります。

変更: CPRA は、PII とデータ共有に関する規制を変更しました

CPRA はすでに発効していますが、修正された規制に基づく最終的な規則は、カリフォルニア州プライバシー保護庁 (CPPA) によるわずかな遅れの後、2023 年 4 月になるまで発表されません。

CPRA の下での変更には、データ共有の制限を強化することや、マーケティング担当者が法律で「潜在的に機密性の高い」個人情報と定義されているものをどのように使用できるかについて、より明確なガイダンスを提供することが含まれます。

  • 社会保障番号または運転免許証番号
  • 州の身分証明書またはパスポート番号
  • 消費者のログイン詳細
  • 位置情報
  • デビット/クレジットカード番号と、アカウントに関連付けられた確認またはパスワードを含む金融口座
  • 人種
  • 民族性
  • 宗教
  • 遺伝子データ
  • 生体認証データ
  • プライベート通信
  • 性的指向
  • 健康情報

CPRA につながった最大の議論の 1 つは、CCPA の「販売禁止」要件のあいまいな文言でした。 新しい法律の下では、企業は、消費者が自分の情報の販売と共有の両方をオプトアウトできるようにする必要があります.

当初許可されていない第三者とデータを共有している場合、ユーザーがオプトアウトできるようにすることが法律で義務付けられています。 考慮すべき 2 つの部分があります。

  • 実際の ID: オンサイトで取得されているユーザーの個人を特定できる情報 (PII)
  • パッシブ ID: Cookie やブラウザー識別子、またはユーザーを自動的に追跡するもの

現在の規制は最終決定中ですが、将来的には追加の規制が予想されます。 CPRA のセクション 1798.185 は、CPPA が「このタイトル (CPRA) の目的を促進するために、幅広い市民の参加を求め、規制を採用する」ことを許可しています。 これにより、データのプライバシーに関連する新しいカテゴリの個人情報を追加することから、個人情報の共有に関連する新しい手順を確立し、個人データの販売をオプトアウトすることまで、追加の規則と制限の幅広い余地が提供されます。

他の 4 つの州で施行されている法律と比較して、カリフォルニア州は消費者データのプライバシーに対して最も法的に保護されています。 ただし、覚えておいてください。カリフォルニアでのコンプライアンスは、他の場所でのコンプライアンスを自動的に意味するわけではありません。

さまざまな州の法律に基づく消費者のプライバシー権

ワントラスト

影響: CPRA 施行に期待されること

CCPA の下では、施行は大きな疑問符のままでしたが、カリフォルニア州が CPRA で熱を上げることを期待しています。 2022 年に CCPA に違反したことで Sephora に科された 120 万ドルの罰金は、回避できると考えていたブランドに対する警告として役立つはずです。

カリフォルニア州が本気かどうか確信が持てなかった場合、CPPA の設立は明確な兆候であるはずです。 彼らはカリフォルニア州司法長官(AG)から引き継いで、コンプライアンス、将来の規則、および法律違反に対する罰則を監督します。 CPRA はまた、違反に対して罰金を科される前の 30 日間の「治癒」期間を排除し、代わりに、組織の法律違反の意図 (またはその欠如) に基づいて、AG および/または CPPA の裁量に任せます。

CPRA と CCPA の施行

ワントラスト

法律が初めて施行される 4 つの州で施行がどのように行われるかは、それほど確実ではありません。 私たちが知っていることは、施行と罰則の両方が各州で異なるということです. カリフォルニア州であろうと他の場所であろうと、違反の結果、ビジネスに経済的損害が発生し、顧客との評判が危険にさらされる可能性があります.

CPRA コンプライアンス: 法務チームと連携する方法

ブランドが今できることは、最終的な規制と施行がすでに実施されているかのように振る舞うことです。 それが何を意味するのかわからない場合は、法務チームに連絡して、ビジネスがコンプライアンスを遵守していることを確認するために協力できる方法を探してください。

法務チームと協力して作業を開始するには、いくつかの方法があります。

  • データ サイロをマッピングする:洗練されたデータ管理とストレージ プロセスを使用している組織でも、一部のデータが組織内でサイロ化されていることに気付く場合があります。 どのデータが保存されているか、どこに保存されているか、およびサイロの目的を定義する包括的なマップを作成することが重要です。 理想的には、これらのサイロを分解することを検討しますが、最初のステップはデータがどこにあるかを把握することです。
  • 包括的なユース ケース情報を提供する:法務チームは、組織にリスクをもたらす可能性がある場合、データ フローを完全にブロックしようとすることがよくあります。 たとえば、コンテキストがない場合、法務チームは、Google 広告アカウントで制限付きデータ処理を有効にするようチームにアドバイスする場合があります。 これは、オプトアウトする権利を行使した人だけでなく、地域のデータ法の対象となるすべての居住者に実際に適用されます. このアプローチは絶対的な法的保護を提供する可能性がありますが、マーケティングの有効性にも影響を与えます (これは、ブランドがこれらのトレードオフ間の適切なバランスを決定するために理解する必要があるものです)。これにより、このデータが今日どのように使用されているかを反映して、Web サイトで包括的かつ最新のプライバシー ポリシーを維持できます (ほんの数か月で多くのことが変わる可能性があります!)。
  • コンプライアンス対策の推定影響を計算する:特定の地域の消費者のすべての追跡をブロックしている場合は、適用範囲の推定範囲を計算し、効率損失のさまざまなシナリオを提供します。 たとえば、年間 100,000 人の顧客がいて、その 12% がカリフォルニア州に拠点を置く場合、既存の獲得単価 (CPA) データを使用して、メディア効率が 10% または 20% (またはそれ以上) 低下した場合の影響を示すことができます。 )。 これは、CPA が増加するか、顧客獲得が減少するために発生する可能性があります。 あなたの仕事は、ユニバーサル オプトアウトを実装する際の財政的影響の規模をチームが理解するのに役立ちます。 その影響を事前に実際に見積もることは困難であるため、これらの縮尺された例により、他の組織のリーダーが注意を払い、あなたやあなたの法務チームと協力して、消費者が財政リスクを軽減しながら権利を行使できるようにする実行可能な解決策を見つける可能性が高くなります。ブランドの収益に貢献します。
  • 同意管理プラットフォーム (CMP) の役割と使用について話し合う:消費者がデータ共有をオプトアウトしたり、データを消去したりする権利を行使する方法は非常に重要です。 すべての CMP ソリューションが同じように作られているわけではありません。 CookieBot のように、単に Cookie をブロックするように設計されている (したがって、広告追跡を行う) ものもあれば、OneTrust のように、より包括的なものもあります。 コンプライアンスとマーケティング機能を維持できる、ビジネスに適したソリューションを見つける必要があります。
  • 消費者を教育するために使用している言語を調整する:データの使用について消費者を教育するさまざまな方法について、法務チームと話し合ってください。 コンテキストがなければ、多くの消費者は最悪のシナリオを想定する可能性があります。 ただし、データの使用方法と設定した制限の明確な例を提供すると、消費者がデータの共有に対してよりオープンであることがわかる場合があります。 消費者が権利を行使するのを阻止するインセンティブを提供することは決して適切ではありませんが、法務チームは、オプトアウトを計画している消費者に何を言え、何を言ってはいけないかについて具体的なガイダンスを提供できます。

注意: コンプライアンスはオプションではありません。 法務部門と協力して、可能な限り最善の道を見つけることで、将来の課題を先取りしましょう。

State of the Data 2023: The Path to Profitability Requires Privacy Compliance をダウンロードして、ビジネスに影響を与える今後の法律とコンプライアンス要件について確認してください。

データ データ プライバシー デジタル インテリジェンス