カリフォルニア州消費者プライバシー法(CCPA)に備えるためのスタートアップ向けガイド
今週、マイクロソフトは、米国のすべての顧客に対して、カリフォルニア州消費者プライバシー法(CCPA)を実施すると発表した。
これは大したことだ。
CCPA は「GDPR ライト」と呼ばれることもあり、欧州連合の一般データ保護法の軽量版であることを意味します。
CCPAが重要なのは、米国初の真に包括的なプライバシー法制であるからです。また、CCPAはカリフォルニア州の居住者全員に適用されるため、カリフォルニア州居住者のデータを扱うすべての企業がその対象となります。さらに、これはカリフォルニア州初の包括的なプライバシー規制であり、かつカリフォルニア州で制定されているため、CCPAが将来的に他の州のプライバシー規制、ひいては米国連邦のプライバシー規制の基盤となる可能性が非常に高いと言えます。
これらの理由から、CCPA は 2020 年 1 月 1 日に発効するため、人々が CCPA を認識し、今すぐ計画と行動を開始することが重要です。特にテクノロジー系スタートアップ企業は、多くの企業が顧客データを扱っている (ほぼ確実にカリフォルニア州の住民に影響を与える) にもかかわらず、社内にプライバシーの専門家やエキスパートがいないことが多いため、この点に注意する必要があります。
ご存知の通り、法律を知らないことは言い訳にはなりません。CCPAについて知らないかもしれませんが、あなたもその対象となる可能性があります。
CCPA に関して何をする必要があるかを把握し始める際に役立つ 4 つのヒントをご紹介します。
CCPAを読む
法律用語を読むのは誰にとっても楽しいことではありません。プライバシーポリシーを持つ顧客にとってもそうですし、プライバシー規制に関するあなた自身にとってもそうでしょう。しかし、CCPAは米国におけるプライバシー法の中で最も重要なものの一つであり、少なくとも最も重要なものです。CCPAを実際に読んでみることに勝るものはありません。CCPAを読むことで、CCPAに関する二次資料をより深く理解し、評価するのに役立ちます。
CCPA の全文は、こちらでご覧いただけます。
読んでみると、CCPAA は、法律の冒頭で概説されているように、次の重要な領域をカバーしていることがわかります。
- カリフォルニア州民が自分についてどのような個人情報が収集されているかを知る権利。
- カリフォルニア州民は、自分の個人情報が販売または開示されているかどうか、また誰に販売または開示されているかを知る権利があります。
- カリフォルニア州民が個人情報の販売を拒否する権利。
- カリフォルニア州民が自分の個人情報にアクセスする権利。
- カリフォルニア州民は、プライバシー権を行使する場合でも、平等なサービスと価格を受ける権利を有します。
また、この法律は、カリフォルニア州民がデータの紛失または盗難に遭った場合に損害賠償を求める権利を規定しています。もう一度引用します。
企業が情報の性質に応じて適切な合理的なセキュリティ手順と実践を実施および維持する義務に違反した結果として、暗号化されていない、または編集されていない個人情報が不正アクセスや流出、盗難、または開示の対象となった消費者は、民事訴訟を起こすことができます。
簡単に言えば、これは、カリフォルニア州民のデータを保管しているあなたがデータ漏洩や紛失に見舞われた場合、データが失われたカリフォルニア州民はあなたの会社に対して民事訴訟を起こす権利があることを意味します。
これは、GDPRに準じた、データの紛失や盗難に対する罰則規定が初めて導入されたものです。これだけでも、データを保有するすべての人にとって、この法律を理解することは極めて重要です。
どのようなデータを収集し、保持しているかを知る
当たり前のように聞こえるかもしれませんが、実際には多くの企業が自社がどのようなデータを収集し、保持しているのかを完全に把握していないのが現状です。この事実は最近、ドラマ「シリコンバレー」シーズン6の第1話で明らかになりました。パイド・パイパーのCEOリチャードが議会で証言した後、自社が実際には(しかも大量の)データを収集していないことを知る場面です。
これは、事業の構築と成長に重点が置かれているスタートアップの世界では特に当てはまります。プライバシーはビジネスのスピードを低下させるというイメージがあり、多くの大小を問わず企業が、どのようなデータを収集・保持し、どのように保管し、どのくらいの期間保管しているかを体系的に調査するプログラムを導入していません。
つまり、CCPAへの準備における最初のステップは、どのようなデータを収集・保持しているかを把握することです。データ収集と保持の慣行をすでに把握している企業であっても、この機会に見直しと更新を行う必要があります。状況は急速に変化しており、データ収集と保持に関する情報が古くなっている可能性があります。
社内の他の人にCCPAを読んでもらい、遵守方法を計画し始めましょう。
どのようなデータを収集・保持しているかを把握すると同時に、社内の関係者全員にCCPAを読ませ、遵守方法の計画を開始してもらいましょう。これは必ずしも容易なことではありません。CCPAはプライバシー保護法であり、プライバシー保護の専門家や弁護士だけが対応できる、あるいは対応すべきだと思われがちです。
これは理解できることですが、正しいアプローチではありません。データに関するプライバシー要件と規制を理解することは、データに触れるすべての人が理解すべきことです。これは、プライバシーに関する知識が組織全体に浸透する文化を醸成するのに役立ちます。また、企業が保有するすべてのデータとその保管場所を完全に把握できないという現実への備えとしても役立ちます。
例えば、マーケティング担当者が顧客の見込み客情報を記載したスプレッドシートを誤って別のメールアドレスに送信した場合、それはCCPAの罰則対象となるデータ損失に該当する可能性があります。経営陣、弁護士、プライバシー担当者は、その事実に気づいていないかもしれません。しかし、その担当者の上司は気づいているかもしれません。もし彼らがCCPAの知識を持っていれば、そのミスがもたらすリスクを認識し、より深刻な結果を防ぐための積極的な対策を講じることができます。
ブラッド(スミス)のようになろう
Microsoft は最近、すべての米国顧客に適用できるよう、CCPA を全社的に導入する計画を発表しました。
これは、マイクロソフトが他の国際規制に関してプライバシーに関して行ってきたことと一致しています。また、同社の社長であるブラッド・スミス氏がコメントや最近出版した著書「Tools and Weapons」で概説したビジョンとも一致しています。
スミス氏は著書の中で、マイクロソフトがGDPRに準拠するために行った取り組みについて記述しており、同社がどのようなデータを収集・保持しているかを把握するための、全社的な包括的なプロセスについて説明しています。このプロセスは、データの収集と保持に関する理解を深め、管理する上で役立ったため、最終的にマイクロソフトにとって有益であったと述べています。
このコメントは、法律の詳細に準拠するためだけに単発のシステムを作成しようとするのではなく、GDPR または CCPA への準拠を広範かつ包括的に扱うことのビジネス上の利点を雄弁に物語っています。
このメリットに加え、マイクロソフトに倣い、米国の全顧客にCCPAを導入することには、更なるメリットがあります。前述の通り、これは米国初の包括的なプライバシー法であるため、他の州でも同様の法整備が進む可能性が高いのです。今すぐにCCPAを米国の全顧客に導入すれば、将来、他州で制定されるプライバシー法にも容易に準拠できるようになります。そして最も重要なのは、CCPAに厳密に追随する連邦プライバシー法が制定される可能性が既に議論されていることです。繰り返しになりますが、今CCPAを導入しておけば、将来、ご自身と企業の負担を軽減することができます。
結論
プライバシーは、企業、特にスタートアップ企業にとって、曖昧で恐ろしい領域のように思われがちです。プライバシーは非常に法的に難しいため、プライバシーの専門家や弁護士しか対応できないというイメージがあります。
現実には、スタートアップ企業を含むほとんどのテクノロジー企業は、ユーザーデータを大量に扱っています。そして、2020年1月にCCPAが施行されると、カリフォルニア州民のデータを扱うすべての人が例外なくこの法律の対象となります。
幸いなことに、この法律の原則はそれほど難解ではなく、法律自体も比較的簡単に理解できます。ここで概説した4つのステップに従うことで、CCPAへの準備を始めることができます。また、これを米国のすべての顧客を対象とした包括的なプロジェクトとして取り組めば、今後数年間に策定される追加のプライバシー規制にも適切に対応できるようになります。
