こんにちは、IIJA Webinar 事務局です。
2023年6月6日と8日に開催したIIJAウェビナー『執行開始間近!CCPA改正点と新規則のポイント総点検~法務・IT両面の実務上の重要点について』より、改正後CCPAへの対応の実務上の重要ポイントに絞ってキャッチアップしました。
CCPAのことはだいたい理解しているけど、実際のところ何をするべきなの?という方へ、講演から抜粋してお届けします。
<<配信中>>
本講演と同様の内容にて、2023年6月14日に実施したウェビナーの録画を
"BizRis" (世界のプライバシー保護規制対応を支援するサイト) で配信中です!
動画視聴をご希望の方はこちらから。
☆BizRisの有料会員は無料で視聴が可能です(非会員は有料となります)。
プライバシーノーティス・プライバシーポリシーの見直し
最も対応が必要になると思われるのが、プライバシーノーティスとプライバシーポリシーの更新です。
というのも、CCPAの改正によって新しい権利等が加えられたため、その内容を加味する必要があるからです。
プライバシーノーティスは、個人情報が収集される時点、もしくは収集される前に消費者が気づきやすい形で、消費者が読み易く理解しやすい内容で、記載しなければならず、含まれるべき内容 (以下) もCCPAで定められています。
収集する個人情報の種類 (センシティブ個人情報の種類を含む) のリスト
個人情報の種類 (センシティブ個人情報の種類を含む) ごとの収集・利用目的
個人情報の「売却」又は「共有」の有無
個人情報の保持期間又は保持期間を決定する基準
個人情報を「売却」又は「共有」する場合、オプトアウトページ「Notice of Right to Opt-out of Sale/Sharing」へのリンク
プライバシーポリシーへのリンク
下線:CCPA改正で追加された内容
(講演資料より)
センシティブ個人情報の定義が加えられているため、該当する場合は追記が必要です。
個人情報の保持期間も記載が必要になったので、これまで自発的には記載していなかった場合も追記が必要です。
さらに、プライバシーノーティス・プライバシーポリシーともに、事業者が通常契約書等を提供する言語で提供しなければならないため、例えば日本語の契約書を使っている場合には、英語だけでなく日本語での提供も必要となると考えられます。
プライバシーノーティス作成のポイント
1. 収集・利用目的
データの最小化原則に近い規定が追加され、個人情報の収集・処理目的は消費者の合理的期待に合致したものでなければならないと明記されたため、抽象度の高い記述ではなく具体的に消費者が理解できるよう記述変更が必要です。
2. センシティブ個人情報
センシティブ個人情報を収集している場合には、その種類や収集・利用目的を追記する必要があります。
3. 個人情報の保持期間
個人情報の保持期間又は保持期間を決定する基準を記載する必要がありますが、1年経ったら廃棄します、といった具体的な期間を記載するのはが難しいことが多いと思います。そのような場合には「目的の履行のために必要な期間」といった記載をすることが考えられます。
4. プライバシーノーティスとプライバシーポリシー
CCPA上は2つはそれぞれ別の文書であり、個人情報を収集する際には「ノーティス」を提供しなければなりません。ただし、オンラインで個人情報を収集する場合には、プライバシーノーティスとして提供すべき情報を含んだプライバシーポリシーの該当部分への「リンク」を示すことで、プライバシーノーティス提供義務を履行することができます。
5. プライバシーポリシー
含まなければならない内容に、センシティブ個人情報に関する規定、個人情報に関する消費者の訂正権、センシティブ情報の使用・開示制限権が追加されているため、更新すべきか検討が必要です。
6. 連絡先
消費者の権利行使要請の方法として記載する連絡先は、CCPAでは原則2つ以上の方法を提供すること、そして少なくともフリーダイヤル (Toll-free telephone number) を必ず提供するように規定しています。
個人情報の外部提供
個人情報を社外へ提供する場合、サービスプロバイダー又はコントラクターへの開示か、第三者への売却又は共有か、により遵守すべき事項が異なりますが、要件を満たした契約の締結は共通して必要です。
サービスプロバイダー又はコントラクターへ開示する場合
サービスプロバイダー等では、あらかじめCCPA規約や契約書ひな形を用意していることが多いですが、CCPAが定める契約を締結するのは事業者側の義務となっているため、本当に要件を満たしているのかを事業者として確認すべきです。
第三者へ売却又は共有する場合
売却・共有はCCPAの独特な概念で、プライバシーノーティスとプライバシーポリシーに所定事項を記載する必要があります。
また、消費者がオプトアウトするための「Do Not Sell or Share My Personal Information」というこのままのタイトルのリンクを、ホームページのヘッダーかフッターに設置しなければならない、売却・共有からのオプトアウト権通知をウェブサイトに掲載する、といった細かな規定もあります。
雇用・ビジネスクライアントとCCPA
CCPAの改正によって、自社の従業員や取引先企業の従業員の個人情報に対してもCCPAが適用されることとなりました。
そのため、従業員、採用候補者、ビジネスクライアントに対しても、個人情報を取得する際はCCPAの要件を満たしたプライバシーノーティスを提供する必要があります。
従業員からはソーシャルセキュリティ番号などのセンシティブ個人情報を取得するなど、消費者やビジネスクライアントとは異なる部分が多いため、従業員専用のノーティスを作成するとよいでしょう。
さらに、HR関連の業務を委託している場合は、どのような個人情報をどのように処理しているかを委託先に確認して、ノーティスに反映する必要があります。
また、従業員やビジネスクライアントから「どのような個人情報を保持していますか?修正してください。」といったCCPA上の権利行使要求があった場合にも、対応が必要となります。
まとめ
CCPAをはじめとするプライバシー保護法関連の規制に対する対応は、改正に合わせて対応内容の見直しが必要です。とはいえ、法規制のことをいつもUp-To-Dateで把握することは大変です。
IIJでは、規制に関する最新情報の収集や、実務上のお悩みポイントを、以下のポータルサイトで総合的に発信していますので、情報収集にお役立てください!
本ブログでは、CCPAの適用を受ける事業者の担当者だったとしたら、どのようなポイントで自社の対応のアップデートを図るべきか、またその際の注意点、アドバイスをとりまとめました。
IIJAウェビナーキャッチアップ:執行開始間近!CCPA改正点と新規則のポイント総点検~法務・IT両面の実務上の重要点についての4つのブログはこちらから!
法務編
IT編
そのほか、CCPA対応に関してのさまざまなご相談も、お気軽にお問合せください!
<<配信中>>
本講演と同様の内容にて、2023年6月14日に実施したウェビナーの録画を
"BizRis" (世界のプライバシー保護規制対応を支援するサイト) で配信中です!
動画視聴をご希望の方はこちらから。
☆BizRisの有料会員は無料で視聴が可能です(非会員は有料となります)。
講師の紹介
日系生命保険会社在籍中の2014年に米国ロースクールに留学。ニューヨーク州弁護士資格取得後、同保険会社のニューヨーク法人の法務・コンプライアンス担当として勤務し、CCPAを含む各種法規制への対応や米国保険子会社のコンプライアンス状況管理を推進。
その後外資系保険ブローカー企業の日本法人における法務・コンプライアンス業務等を経て、2022年8月より現職。米国をはじめ世界各国のプライバシー保護法令への対応やプライバシーガバナンスの構築について、日系企業及びグローバル企業の特徴の理解に基づく的確なコンサルティングを行っている。
ウェビナー講師:石田 宗一郎
株式会社インターネットイニシアティブ
ビジネスリスクコンサルティング本部
シニアコンサルタント/ニューヨーク州弁護士
IIJ Americaでは、毎月様々なトピックを取り上げてウェビナーを開催しています。
IIJ America ニュースレターへご登録いただくと、ウェビナー開催のお知らせをお届けします。ニュースレターご登録はこちらから!
CCPAをはじめとした、世界のプライバシー規制対応に関するご質問やご相談は、いつでもご気軽にWebフォームからお問合せください。お待ちしております。
最後までお読みいただきまして、ありがとうございました!
Comments