カリフォルニア州消費者プライバシー法 (CCPA) について知っておくべきこと

公開: 2020-01-09

2020 年 1 月の時点で、新しい消費者プライバシー法が実施されており、カリフォルニア州のすべての消費者と、ビジネスを行ったり、サービスを提供したりする企業に影響を与えています。 カリフォルニア州消費者プライバシー法 (CCPA) は、「プライベート データ」のカテゴリに分類されるものをより広く理解しており、TCPA の規制と比較して、それに関してより厳格で精巧な制限を設定しています。

テキスト メッセージを送信したり、カリフォルニアを拠点とする顧客と他の種類のビジネスを行ったりする場合は、この法律がどのように影響するかを理解するために読み続けてください。 プライバシーポリシーと利用規約に必要な変更について弁護士に相談し、これらの規制を遵守することをお勧めします。


CCPAとは何ですか?

CCPA によると、会社が収集したすべての個人情報の報告と、このデータが共有されているすべての第三者のリスト (存在する場合) を要求することは、カリフォルニア州のすべてのユーザーの権利です。 顧客がこれをプライバシーの侵害と見なした場合、実際の違反が報告されていなくても、CCPA は違反者に対して集団訴訟を起こすことを許可しています


CCPA は「個人データ」をどのように定義していますか

多くの点で、CCPA はヨーロッパのデータ保護規制であるGDPRに似ています。 企業が GDPR に準拠している場合、基本的には、CCPA を完全に順守するのにあと数歩しかかからないと言う人もいます。

以下は、上院法案-1121 のセクション 9、サブセクション O(1) および O(2) に従って、CCPA によってプライベート データと見なされるものの完全なリストです。

  • 実名、エイリアス、住所、一意の個人識別子、オンライン識別子 IP アドレス、電子メール アドレス、アカウント名、社会保障番号、運転免許証番号、パスポート番号、またはその他の同様の識別子などの識別子

  • カリフォルニア州または連邦法の下で保護されている分類の特徴

  • 個人の財産、購入、取得、または検討された製品またはサービスの記録、またはその他の購入または消費の履歴または傾向を含む商業情報

  • 生体情報

  • 閲覧履歴、検索履歴、および消費者と Web サイト、アプリケーション、または広告とのやり取りに関する情報を含むがこれらに限定されない、インターネットまたはその他の電子ネットワーク活動情報

  • 位置情報データ

  • 音声、電子、視覚、熱、嗅覚、または類似の情報

  • 専門的または雇用関連の情報

  • 家庭教育の権利とプライバシーに関する法律 (20 USC セクション 1232g、34 CFR パート 99) で定義されているように、公開されていない個人を特定できる情報 (PII) として定義される教育情報

  • 消費者の嗜好、特徴、心理的傾向、嗜好、素因、行動、態度、知性、能力、および適性を反映する消費者に関するプロファイルを作成するために、このサブディビジョンで特定された情報のいずれかから引き出された推論

何が「プライベートデータ」を構成するかについての完全な概要を説明したので、企業にとって特に関心のある CCPA の他の 2 つの領域を見てみましょう。データが削除された場合でも、TCPA と CCPA の両方に準拠し続けます。


CCPAにおける「販売」の定義

CCPA の「販売」の定義は、「事業者が消費者の個人情報を、口頭、書面、または電子的またはその他の手段で、販売、貸与、リリース、開示、流布、利用可能にする、譲渡、または伝達すること」とかなり広い定義を持っています。金銭的またはその他の価値のある対価のために、別のビジネスまたは第三者。」

これが意味することは、当事者が金銭的に利益を得る可能性のある個人データの交換がなくても、企業が何らかの理由で個人情報を第三者と共有している場合でも、「販売」が発生する可能性があるということです.

個人情報の記録の保持

音声通話、SMS テキスト、およびファックスを介したテレマーケティング コミュニケーションを制限する主な行為である TCPA によると、事前の書面による同意がない限り、企業は米国を拠点とする顧客に連絡することはできません。そのようなデータ。 顧客が情報の削除を要求しているが、テキスト マーケティングの受信をオプトアウトしていない場合、2 つの行為が衝突する可能性があります。

テキストメッセージの受信に同意したが、データの「販売」をオプトアウトした場合、企業は、TCPA の法的な義務である内部の「連絡禁止」リストを維持するために、記録の削除を拒否することができます。 CCPA の「法的義務の遵守」条項を引用しています (セクション 2、d(8) )。


企業がCCPAに準拠するためにできること

CCPA は、企業が CCPA およびセクション 8に該当するすべてのユーザーを尊重するためにできることについて、完全なガイドラインを提供します。

これらのガイドラインの中には、企業の Web サイトとプライバシー ポリシーで明示的なオプトアウト オプションを顧客に提供することが含まれています。これにより、顧客は企業が個人データを「販売」することを拒否できます。 ただし、オプトアウトのためにユーザーがアカウントを作成する必要はありません。

企業がテキスト マーケティングの目的で (またはその他のマーケティング上の理由で) サード パーティを使用する場合は、プライバシー ポリシーでその旨を明示し、ベンダーに関する完全な情報を提供する必要があります。 これもまた GDPR の要件と一致するため、提案されているGDPR テキストを参照できます。

顧客がオプトアウトを選択した場合、CCPA によると、企業は少なくとも 12 か月間、消費者の個人情報の販売を承認するよう要求することを控える必要があります。


それはあなたにどのように影響しますか?

全体として、CCPA は、カリフォルニア州のすべてのユーザーの個人情報が細心の注意を払って取り扱われることを保証し、プライバシーが侵害されたり、データが改ざんされたりする可能性を制限することを目的としています。

そのため、CCPA は、テキスト マーケティングを含め、何らかの方法でカリフォルニア州の顧客と通信するすべての企業に影響を与え、個人データにアクセスできるユーザーを制御する方法を顧客に提供します。


この投稿は、SMSBump ユーザー向けの情報提供のみを目的としています。 ただし、カリフォルニア州の消費者は、[email protected] に連絡するか、このリクエスト フォームを使用して、CCPA に基づく権利に従ってリクエストを行うことができます。 メールアドレスや電話番号など、アカウントに関連付けられた情報を使用してリクエストを確認します。 政府の身分証明書が必要な場合があります。 SMSBump の顧客は、代理でこれらの権利を行使する権限のある代理人を指定することもできます。 SMSBump が個人情報を処理する方法の詳細については、プライバシー ポリシーを参照してください。