プライバシー規制FAQ

このドキュメントでは、サポートされる法的プライバシー規制とAdobe Experience Cloudでの法的プライバシー規制の導入に関するよくある質問への回答を示します。

メモ

このドキュメントで使用される様々な用語の定義は、プライバシー規制用語ガイドを参照してください。

一般的な質問

次の質問は、Experience Cloudがサポートするプライバシーに関するすべての規則に関するものです。

サポートされるプライバシー規制の影響対象

Experience Cloud🔗がサポートするプライバシー規制は、組織の地理的な場所に関係なく、規制の管轄区域内に住民の個人データを保存し処理するすべての組織に適用されます。

個人データとは何ですか?

個人データとは、自然人またはデータ主体に関する(個人を直接的または間接的に特定するために使用できる)情報です。個人データは、名前、写真、電子メールアドレス、銀行口座の詳細、ソーシャルネットワーキング web サイト上の投稿、医療情報、コンピューターの IP アドレスなどである場合があります。

次のIDは、Experience Cloudの申し込みでよく使用され、プライバシー規制の要件に従う場合があります。

  • 名前
  • 住所
  • 一意の個人識別子
  • オンライン識別子
  • IP アドレス
  • 電子メールアドレス
  • アカウント名

個人情報には、インターネットやその他の電子ネットワークアクティビティ情報も含まれます。これには、以下が含まれます。

  • 閲覧履歴
  • 検索履歴
  • Web サイト、アプリケーションまたは広告との消費者のインタラクションに関する情報

プライバシー規制は広範な個人情報を対象としていますが、Adobeの標準の契約条件では、機密性の高い個人情報(SSN、運転免許証情報、金融口座情報、生体認証データなど)は、一般にExperience Cloudアプリケーションでの読み込みや使用を禁止しています。

データ管理者とデータ処理者の違いは何ですか?

データ管理者​は、個人データを処理する目的、条件、手段を決定する主体であり、データ処理者​は、データ管理者に代わって個人データを処理する主体です。

データ・コントローラ​は、個人データの収集、使用、開示に関する決定を行う権限と責任を持つ個人または組織です。 データ・プロセッサ​は、個人データの収集、使用、または開示と、データ・コントローラの方向とに関連して動作する個人または組織です。

データ主体の明示的な同意とあいまいでない同意の違いは何ですか?

明示的な 同意とは、口頭又は書面によるデータの対象者の意思を、明確で、情報に基づく明確な表示を含む、同意の標準をいう。簡単に言うと、データの主題は文字通り、「同意する」または「同意する」と明示的に言わなければなりません。 また、同意を取り下げるのも、与えるのと同じくらい簡単でなければならない。

明確な(暗黙の) 同意とは、データの主語から明示的に与えられたのではなく、本質的には明確な同意を意味します。例えば、会社のWebサイトの入会プロセス中に、電子メールアドレスを指定することで、件名が特別なオファーの電子メールの受信を承諾することを通知します。 データの件名が通知を読む場合、電子メールを入力する肯定的なアクションは、明確な同意と見なすのに十分です。

GDPRのような多くの規制では、「」に過ぎない個人データを処理する場合には、明示的な同意が必要オプトインです。 ただし、機密データを含まない場合は、明確な(黙示的な)同意が許容されます。

ある年齢に達した場合、データ被験者は同意できるか。

多くのプライバシー規制では、データの対象が特定の年齢に満たない場合、個人データの収集について法的に同意できないと定めています。 一部の規制では、この場合、保護者の責任を持つ者がそのデータに対して同意を行うことを許可しますが、すべてではありません。 次の表に、データ・サブジェクトが各規則に対して独自の同意を行うための最低年齢を示します。詳しくは、メモを添付しておきます。

規制 同意の年齢 備考
CCPA(カリフォルニア) 16
  • 親の同意は、13歳以上のデータの対象に対してのみ提供できます。
  • 13歳未満の被験者からの個人データ収集は厳禁。
GDPR(ヨーロッパ和集合) 16
  • EU加盟国の中には、この目的のために低年齢の法律を定める国もあるが、13歳以下の国もある。
  • 年齢制限を超えるすべてのデータ対象に対して、親の同意を得る必要があります。
LGPD(ブラジル) 13
  • 年齢制限を超えるすべてのデータ対象に対して、親の同意を得る必要があります。
  • 13歳から18歳の自然人は、その個人データの処理が最も利益を受けている限り、その同意を得ることができる。
PDPA(タイ) 10
  • 年齢制限を超えるすべてのデータ対象に対して、親の同意を得る必要があります。

顧客の個人情報のアクセスや削除をおこなう要求に対して何日で応答する必要がありますか。

個人情報を収集し、特定の消費者の身元を認証または検証できると仮定し、プライバシー規制により、消費者の要求を満たすための特定の時間枠が許可されます。 次の表に、各規則の該当するタイム・ウィンドウを示します。ただし、次の表は、一部の例外事項に関する注意事項を示しています。

規制 「準拠」ウィンドウ 備考
CCPA(カリフォルニア) 45 日
GDPR(ヨーロッパ和集合) 30 日 リクエストが複雑な場合、または同じデータ件名で多数のリクエストが行われた場合、リクエストは60日まで延長できます。
LGPD(ブラジル) 15 日
PDPA(タイ) 30 日 会社が「コンプライアンス」ウィンドウ内でデータ・サブジェクトのリクエストに応答できない場合、会社は、データ・サブジェクトに対する書面で応答するリクエストを満たすことができなかった日から30日後に追加の日数がかかります。

データ保護担当者を任命する必要がありますか?

組織のデータ操作がGDPR、LGPD、PDPAの法的管轄下にある場合、次の場合には、データ保護担当者(DPO)を指名する必要があります。

  • 組織が公共機関です
  • 大規模な体系的な監視に取り組んでいる
  • 組織は、機密性の高い個人データの大規模な処理に従事しています。
重要

他の規則とは異なり、CCPAはこれを要件として規定しています。 ただし、プライバシーコンプライアンスを維持するには、会社が適格な個人監視データ収集アクティビティと消費者データのストレージを持ち、顧客の問い合わせに答える必要があります。

プライバシー規制の対象となるデータを保持している場合、コンシューマーのプライバシー要求をサポートするにはどうすればよいですか。

適切な法的管轄区域内の消費者を認証するために必要な手順を実行すると、Adobe Experience Platform Privacy Serviceでは、互換性のあるExperience Cloudアプリケーションに対してコンシューマープライバシー要求を送信できます。 詳しくは、Privacy Service 概要を参照してください。 お使いの Experience Cloud アプリケーションがプライバシーリクエストをどのように受け入れるかについて詳しくは、Privacy Service および Experience Cloud アプリケーションのガイドを参照してください。

メモ

カリフォルニア州の規制当局からの詳細なガイダンスは、消費者のプライバシーリクエストに適したデータの種類に関して、今後も発表され続けます。

CCPAに関する質問

次の質問は、CCPAに特に関するものです。

CCPA の様々な役割や責任は Experience Cloud にどのように適用されますか。

CCPA の定義に従って、次の役割がアドビとその顧客に適用されます。

  • アドビの顧客(カリフォルニア在住者の個人情報の収集と使用を要求する当事者)は、ビジネス​と見なされます。
  • アドビは、サービスを提供する役割を果たしており、サービスプロバイダー​と見なされます。

サービスプロバイダーとして、アドビは、ビジネスの代わりに個人情報を収集し、処理し、契約上、契約に基づき、契約で設定された特定の目的のみにその情報を使用する義務があります。

この関係とAdobeの契約言語を考えると、Adobeに対する開示は、通知や同意の要請が必要な「販売」とは見なされない。

ただし、アドビのサービスを使用して、特定のデータ共有を有効にし、サードパーティに転送することができます。これらのサードパーティの譲渡は「販売」と見なされ、法的に開示と同意を必要とします。 顧客は、適切な要件を評価する特定の使用事例を評価するために、弁護士と協力する必要があります。

アドビは、CCPA の要件に対処するのに役立つその他のツールを提供しますか。

Adobe Experience Cloud アプリケーションは、企業のプライバシーニーズに役立つデータ管理およびガバナンス機能を提供します。これらのツールの中には、データ使用のラベル付け、役割ベースのアクセス制御、IP 難読化、ハッシュ機能があります。

アドビは、ISO 27001 認定制度や TrustArc GDPR 検証など、プライバシーとセキュリティの実践に関するさまざまな認定を受けています。

GDPRに関する質問

以下の質問は、GDPRに関するものです。

規制と指令の違いは何ですか?

規制​は、拘束力のある法的措置であり、EU 全域にわたって適用する必要があります。指令​は、EU 加盟国すべてが達成する必要がある目標を掲げた法的措置ですが、その達成方法は個々の加盟国が決定します。

GDPR は、以前の法令(データ保護指令)とは異なり、規制であることに注意する必要があります。

GDPR は、データ漏洩に関するポリシーにどのような影響を与えますか?

データ漏洩に関する規制案は、侵害された企業の通知ポリシーに主に関連しています。個人をリスクにさらす可能性のあるデータ漏洩は、データ保護機関に 72 時間以内に通告され、影響を受ける個人にも遅滞なく通知される必要があります。

PDPAに関する質問

次の質問は、PDPAに特に関するものです。

機密性の高い個人データとは何か。

PDPAは、次に示す個人データを含む機密性の高い個人データの収集とストレージに対し、厳しい要件を提供します。人種や民族の接触チャネル、政治的意見、宗教的または哲学的信念、犯罪歴、貿易和集合の会員、遺伝情報、生体認証データ、健康記録、性的指向や好みなど。

このページ