【Web特別版】カリフォルニア州プライバシー権法遵守の準備に向けた4つの原則
ペイアム・バゲフィ[*]
企業のリスクマネジメント責任者が1年先を見越すにつれて、差し迫った一連の新しいプライバシーに関する法律や規制は、企業にとって無視できないリスクとなる。
2023年1月1日、カリフォルニア州プライバシー権法(CPRA)が正式に施行され、個人データの利用方法に関する消費者の権利が拡大され、その結果、州内で事業を行う企業や居住者である顧客に対するコンプライアンス義務が強化されることになる。 新年に施行される州法はこれだけではないが、最も広範な影響を持つことから、特に注目に値する。
CPRAは画期的なカリフォルニア州消費者プライバシー法(CCPA)の「バージョン2.0」と考えることができる。2018年、CCPAは一般データ保護原則(GDPR)が欧州連合の個人に付与したのと同じプライバシー権の多くをカリフォルニア州民のために明文化した。CCPAの範囲を拡大するだけでなく、CPRAはカリフォルニア・プライバシー保護庁の設立を通じて、その執行行為をさらに強力なものとし、世界第5位の経済規模を誇るカリフォルニアを消費者プライバシー保護の旗手としてEUと同等に位置づけている。
GDPRからCPRAへ:新たな権利は新たなリスクを生み出す
米国は、かつて欧州の国々からプライバシーの後進国とみなされており、未だに包括的な連邦データプライバシー法がない一方で、CPRAの可決成立により、独自のデータプライバシー枠組みを推進する州議会の数が増加していることを証明している。
2018年5月に施行されて以来、GDPRは世界で最も包括的なデータ保護法の1つであり続け、CCPAやCPRAなど他の法域におけるプライバシー法やデータ保護法の多くを作るための基準としての役割を果たしている。GDPRの適用範囲は、欧州連合に所在する「データ主体」に適用されるが、EUでビジネスまたは事業を行うあらゆる企業は、この法律の適用を受け、潜在的に重大なリスク遭遇可能性に直面していることに気づいた。
CPRAによって拡大されたように、CCPAは消費者に対して個人情報にアクセスする権利、要求に応じて特定の個人情報を削除する権利、不正確な情報を訂正または修正する権利、データの最小化および目的制限の権利、および個人情報の特定の利用を拒否する権利などを含む、特定の権利を付与している。
GDPRやCCPAに抵触した企業は、コンプライアンス違反の罰則が重大であることを理解するようになった。EUでは多額の罰金がほぼ当たり前になっているが、8月にはカリフォルニア州の司法長官がCCPA初の罰金を科した。同州は、個人情報の特定の用途を明確に開示しなかったこと、顧客がオプトアウトできるようにしなかったことなどの違反に対して、化粧品小売業のセフォラに対して120万ドルの罰金を科した。
CCPAとCPRAは個人と従業員に対して企業が保有する個人データへのアクセス、修正、削除を要求する能力を与えている。これは、大きな潜在的な間接費や直接的な費用を生み出す。簡単に言えば、これらの要求を作業で処理することは、高額な費用がかかる提案であり、ガートナー社は、1つの要求に対応するために平均1,400ドルのコストがかかると見積もっている。
金銭的な罰則のリスクだけでなく、データ保護違反でもたらされる悪い評判による損害もある。これらの損害は財務的に定量化することは困難であるが、顧客が自分の個人情報が著しく不適切に管理されていたことが判明した場合には、他の会社での事業を検討するかもしれないので、これらの損害は、企業にとって非常に現実的かつ潜在的に存在するリスクとなる。
CPRA遵守に向けた準備
あなたの組織がすでに成熟したプライバシープログラムを構築しているか、またはまだ始まったばかりでも、CPRAやその他のデータプライバシー規制に確実に遵守するためには、以下の4つの原則を検討することである。
1. コンプライアンスは、リアルタイムのデータマップ作成から始まる。データマッピングは、プライバシープログラムのバックボーンであると考える。データマッピングング能力はデータ一覧表を作成し、どのような個人情報の項目が保有され、処理されているか、また、これらの活動がシステム内のどこで行われているかを記述することに役立つ。正確で包括的なデータマッピング・プロセスによって、組織は個人情報へのアクセス、修正、削除の要求に効率的に対応できるようになり、データがどこにあり、何が漏洩した可能性があるかを迅速に判断できるので、データ漏洩事故の際の迅速な対応を促進するのに役立つ。常に更新された、リアルタイムでのプライバシープログラムがなければ、企業はCPRAの権利要求に完全に応えられない、あるいは従業員が予期せぬ場所に個人情報を保存してしまった場合には、データ侵害事故への対応がより困難になるという事態が発生する可能性がある。
2. 人間ではなく、データに基づくことを目指す。データは急速に生成・複製されるため、個人情報が保存されている他のシステムとのある程度の自動化とリアルタイムな統合がなければ、すべてのデータがどこに存在しているかについての正確かつ最新の記録を維持することは、簡単にはできない。他の主要な業務上の機能が異なるデータセットを、「単一の真実の源泉」に統合するために努力してきたように、リスクリーダーも同様に、データ記録とリスク指標を取り込んで統合し、タイムリーかつ体系的に分析・報告できるようにするために、同様の能力を必要とするであろう。
3. 非構造化データを無視してはならない。企業が収集するデータの多くは、人と人とのやりとりから生じていて、「名称」や「アドレス」フィールドではなく、「一般的」や「コメント」などの記録エリアなど、その性質を明確には識別することができない、コンピュータシステムのフィールドや場所に存在するものである。これは「非構造化データ」と呼ばれ、特別に構造化されたデータベース上の場所にまだ分類、分析、または格納されていないデータを意味する。ビデオ、音声ファイル、電子メール、PDF、メッセージングアプリでの会話などのいずれであっても、非構造化データの膨大な量と増大は、リスクおよびガバナンスチームにとって、もう一つの手ごわい課題となっている。というのも、義務付けられた時間内でデータ要求を特定、確認し、提供する能力は、成熟化されたワークフローと、コンピュータに支援された、または自動化されたデータ発見能力との両方を必要とするからである。
4. CPRAの責任に関する研修プログラムを実施する。2021年のオスターマン・リサーチ社の調査によると、回答者の半数以上が、従業員にCPRAからの要求に遵守するためのツールや知識を確実に身につけさせる研修プログラムをまだ導入していないと回答した。成熟されたデータ実務の構築は始めから終わりまで、データ管理を委ねられた人たちに依存する。そのため彼らが、CPRAの枠組みの中で、個人情報に対して何が許され、何が許されないのか、そして、それらの利用を実際にどのように管理できるかを知る必要がある。また、チームは自らの責任を理解することで、適切な技術的なニーズを満たしているのか、また、遵守を促進するために実務を調整する方法を評価することができるようになる。
GDPRがヨーロッパの人々に対して行ったように、CPRAのような法律はすでに、データプライバシーに関する消費者の意識を高めるのに役立っている。米国の消費者は、顧客の個人情報管理が間違いなく運営されていることを証明したブランドと取引をすることを、ますます選択するようになる。CPRAの施行日である1月1日に向けて、リスクリーダーは個人情報を利用、保管、管理することに対する規制状況の変化を理解することが求められる。それによって、現れつつあるCPRA、および他の州法または連邦法の要件に適切に備えることができるようになる。
トピックス
全社的リスクマネジメント、法的リスク、規制、 名声リスク、セキュリティ
本翻訳は“4 Guiding Principles to Prepare for CPRA Compliance ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2022/12/05/4-guiding-principles-to-prepare-for-cpra-compliance ) December 2022,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ペイアム・バゲフィは、データ管理ソフトウェア会社アクティブ・ナブ副社長。
