CCPA コンプライアンス

NOTE
この情報は、Adobe Commerceのマーチャントやデベロッパーがカリフォルニア州消費者プライバシー法の影響を理解するのに役立つ、一連のトピックの 1 つです。 この情報は、法令の本文に基づいています。 CCPA がお客様のビジネスに適用されるかどうかを確認するには、弁護士にお問い合わせください。

カリフォルニア州消費者プライバシー法(CCPA)は、カリフォルニア州の消費者の権利を拡大し、個人情報の収集、保存、使用方法を決定します。 その強調は、消費者を不正な販売や交換、または個人情報から保護することです。 CCPA は 2018 年に制定され、2020 年 1 月 1 日に施行されました。

CCPA は、コンシューマーに次の新しい権限を付与します。

  • 知る権利 過去 12 か月間に収集、使用、共有または販売された、それらに関する個人情報のカテゴリ。
  • 削除する権利 事業者及び/又はそのサービス提供者が保有する特定の種類の個人情報。
  • 個人情報の販売に関する オプトアウト権
  • CCPA に基づいてプライバシー権を行使した場合の価格またはサービスに関する 無差別の権利

CCPA の目的では、このコンテキストの個人情報は次のように定義されます。

特定の消費者または世帯を識別し、関連付け、説明し、関連付けることができ、または直接または間接的にリンクさせることが可能な情報。 (セクション 1798.140)

この点に関して、他の法令の文脈において個人データとみなされない可能性のある特定のデータ要素が含まれます。 マーチャントは、法律に準拠する必要があるかどうかと、どのように準拠するかを決定する際に、このことに留意する必要があります。

CCPA はまた、企業に 合理的なセキュリティ を提供することを求めており、消費者に対する拡張されたデータ保護規定を含みます。これには、データ侵害があった場合に法的措置を講じる権利が含まれます。

自社および自社のビジネスに適用される可能性のある CCPA 要件を準拠する必要があるかどうか、およびその方法については、自社の法務担当者に相談してください。 これには、法律に従って企業が実施する必要がある新しい通知、オプトアウト、記録保持の要件が含まれます。

ビジネス要件

CCPA は、カリフォルニア州で事業を行い、次のいずれかを満たす営利企業に適用されます。

  • 年間総収入が 2500 万ドルを超える
  • 10 万人以上のカリフォルニア州の居住者、世帯、またはデバイスの個人情報を購入、受信、または販売する
  • カリフォルニア州の居住者の個人情報を販売することで、年間の売上高の 50% 以上を得ます。

CCPA コンプライアンスガイド

この節では、カリフォルニア州消費者プライバシー法(CCPA)などのプライバシー規制にマーチャントが準拠するために必要な手順の概要を説明します。

GDPR と CCPA

EU 一般データ保護規則(GDPR)と CCPA の両方に準拠する必要があるビジネスの場合、CCPA の GDPR コンプライアンスプログラムの作業の一部を使用できます。 規則にはいくつかの類似点がありますが、次のようないくつかの違いがあります。

  • 個人情報の定義は規定により異なります。
  • GDPR では、特定の目的で個人データが使用される前に、消費者はオプトインする必要があります。CCPA は、消費者にオプトアウトの権利を提供します。
  • CCPA には、追加のデータインベントリおよびマッピング要件があります。
  • 規制によってプライバシーポリシーの要件が異なります。

GDPR に準拠する企業には、CCPA に基づく追加の義務が課される場合があります。 詳しくは、CCPA ファクトシート{:target="_blank"} を参照してください。

コンプライアンスロードマップ

コンプライアンスに対応するためのプランを作成し、実行するには、調整された取り組みが必要です。 このロードマップは、リソースを流動化しタスクの優先順位を付け、複数の面で前進するためのガイドとして使用してください。 プロセスは、以下を除き、Commerce のすべてのインストールで基本的に同じです。

  • クラウドインフラストラクチャー上のAdobe Commerce: Adobe クラウドインフラストラクチャー{:target="_blank"} 上でホストされている店舗を持つマーチャントは、Adobe Commerce テクニカルアカウントマネージャーまたはカスタマーサポートに問い合わせて、お客様のリクエストに対応するよう依頼できます。

  • オンプレミス:Adobe Commerceまたはプライバシーのオンプレミスインストールを行うマーチャントは、Magento Open Source規制に関連する消費者のリクエストに対応し、管理するための独自のプロセスとツールを開発する必要があります。

手順 1:規制への準拠に取り組むための部門横断的なチームを編成する

ビジネスにおける次の機能的役割を表すチームを組み立て、法律に沿った迅速な対応を可能にするトレーニングセッションをスケジュールします。 次に、必要なタスクを役割別に関係者に割り当てます。

  • ビジネス戦略と運営
  • 0.95111124
  • 情報技術
  • ユーザーエクスペリエンス
  • 顧客サービス
  • 管理サポート

ビジネスの観点から見ると、会社がこれらのプライバシー保護措置をカリフォルニア州の消費者にのみ適用するか、場所に関係なくすべての消費者に提供するかを決定する必要があります。

手順 2:デジタルプロパティのインベントリを作成する

関係者: 情報技術、法務、行政サポート

すべての統合や消費者データへのアクセス権を持つユーザーを含め、デジタルプロパティのインベントリを作成します。

  1. Web サイトやモバイルアプリケーションを通じて収集されるパブリックおよびプライベートな個人情報を決定します。 例えば、標準のCommerce データベースには、次の種類のパブリックおよびプライベートの個人情報が格納されます。

    • 公開:ウィッシュリスト、製品レビュー

    • 非公開:顧客情報、注文情報、報酬ポイント、ギフトレジストリ、アドレス帳、ストアクレジット、支払い方法、請求契約、ニュースレターの購読、招待状。

      Commerce インストールがカスタマイズされている場合は、追加の個人情報が収集されることがあります。 個人情報は、情報を収集する Cookie、タグ、その他のテクノロジーにも存在する場合があります。

  2. データを共有する関係者を識別します。 このリストには、サービスプロバイダーとサードパーティを含める必要があります。 第三者には、広告ネットワーク、インターネットサービスプロバイダー、データ分析プロバイダー、政府機関、オペレーティングシステムおよびプラットフォーム、ソーシャルネットワーク、消費者から直接個人情報を収集しない消費者データ再販業者が含まれます。

    • サービスプロバイダー:ビジネス目的で消費者データにアクセスし、お客様に代わってサービスを提供するエンティティ。 例えば、Adobeはサービスプロバイダーです。カスタマイズ、拡張機能、およびサービスの一部の開発者も同様です。

      Google Universal Analytics、Google Tag Manager およびその他の使用するデータサービスのデフォルト設定を確認し、規制に準拠するために必要な変更を加えます。 詳しくは、Googleのプライバシー設定を参照してください。

    • その他のサードパーティ:お客様が消費者データを共有または販売する企業。 例えば、広告と引き換えに、消費者データを広告ネットワークと共有できます。

手順 3:ストアでのカスタマージャーニーとデータ収集プロセスのマッピング

関係者: ユーザーエクスペリエンス、情報技術、管理サポート

  1. [ カスタマージャーニー ] における個人情報の収集場所と、各手順で収集する情報のタイプを特定します。

    サイトへの訪問者には、事前に、またはデータ収集時に通知する必要があります。 例えば、カスタム統合を行っていないストアでは、顧客アカウントの作成時やチェックアウト時に個人情報を収集します。 ストアにカスタム統合がある場合、識別する追加のデータ項目と属性がある可能性があります。

  2. 各バージョンに適用可能なデータフロー図とデータベースエンティティマッピングについては、次のトピックを参照してください。

    図

ステップ 4:顧客の要求に対応するための手順とメカニズムを確立する

関係者: カスタマーサービス、情報技術、ユーザーエクスペリエンス、管理サポート

データ管理の観点から、個人情報に対するそれぞれのリクエストには、次の関係者が関与します。

  • データ主体 (消費者):CCPA では、カリフォルニア州で購入や顧客アカウントの維持のために個人情報を提供する人は、個人データへのアクセスまたは削除をリクエストする可能性があります。

  • CCPA の範囲の事業者として機能する事業者 (ブランド):顧客および店舗で購入したゲストから個人情報を収集し、保存する Commerce 業者。

  • データ処理者 (テクノロジーベンダー):Adobe CommerceおよびMagento Open Sourceは、販売者に提供されるサービスの一部として保存される個人データの処理者として機能します。 Adobeは、処理者として、ライセンス契約に従って、販売者の許可と指示に従って個人データを処理します。

マーチャントは、次の操作を行う必要があります。

  1. データサブジェクトのアクセスリクエスト(DSAR)に関与している関係者を特定し、知りたい、オプトアウトまたは削除をリクエストするユーザーの ID を確認します。 これは、パスワードで保護された顧客アカウントを持つ人、またはストアでゲストとしてショッピングする人に適用されます。

  2. 検証可能な消費者からの要求を受け取ってから 45 日以内に、権利の要求に応じて情報を開示および消費者に配信します(不可能な場合を除く)。 (この法律には、企業が 45 日までの遅延に対するコンプライアンスを維持するためのその他の特定の要件が含まれています)。

    マーチャントは、リクエストを受信した日から 45 日以内に各 DSAR に応答する必要があります。 必要に応じて、マーチャントは応答までに最大 45 日かかる場合があります。リクエストを受信した日から最大で合計 90 日間です。 これにより、マーチャントは遅延の理由を説明するように顧客に通知する必要があります。

  3. ストアで必要な通知を提示し、消費者の反応を収集するメカニズムを開発します。

  4. 応答手順を確立し、次の各要求を文書化します。

    • 知っておくべきことのリクエスト - ストアへの訪問者は、自分の個人情報を第三者と販売または共有する必要があるすべての取り決めを知らされ、オプトアウトを許可される必要があります。 個人情報の使用の詳細と、データを共有または販売する関係者は、プライバシーポリシーで管理できます。

    • オプトアウトのリクエスト – 貴重な対価と引き換えに個人データを第三者に販売または転送する場合、CCPA では、情報が収集される各ポイントに 自分の情報を販売しない リンクが必要です。 チェックボックスやボタンなどのユーザーが有効な追加の入力コントロールは、メール通信、web サイトの環境設定、または個人が有効なオプトアウトリクエストを送信するためのデータ収集時の web サイトフォームで使用できます。

    • 削除請求

      • ストアがAdobe Commerce Cloudでホストされているマーチャントは、個人情報の削除についてAdobeサポートにお問い合わせください。 詳しくは、Adobeのテクニカルアカウントマネージャーまたはカスタマーサポートにお問い合わせください。
      • オンプレミスでAdobe CommerceまたはMagento Open Sourceのインストールを実行するマーチャントは、リクエストに応じて個人情報を削除するための独自のプロセスおよびスクリプトを実装する必要があります。

手順 5:必要な顧客通知のコンテンツを記述する

関係者: 法務、カスタマーサービス、ユーザーエクスペリエンス、情報技術、管理サポート

  1. 法務担当者と協力して、CCPA の義務を満たすために web サイトに追加する必要がある通知のタイプを決定します。

    • 収集のお知らせ:お客様から個人情報を収集する際またはそれ以前に行う通知。 通知は平易な言葉で書くべきであり、普通の人が理解しやすいようにすべきである。 通知は目立つ内容にする必要があり、Web サイトのコンテンツと同じ 1 つ以上の言語で提供される必要があります。

    • オプトアウト権の通知:消費者に対し、自分の個人情報の販売をオプトアウトする権利を通知する通知。

    • 報奨金の通知:会社が個人情報と引き換えに受け取る報奨金、価格、またはサービスの差額を説明する通知。

    • 個人情報の収集及び利用の請求の方法:個人に関して収集した個人情報を開示するよう求める次のような個人情報の開示請求を行う場合の個人に対する指示。

      • 消費者に関して収集した特定の個人情報
      • 消費者について収集した個人情報のカテゴリ
      • 個人情報の収集元のカテゴリ
      • 事業目的で販売または開示した消費者に関する個人情報のカテゴリ
      • 事業目的で個人情報を販売または開示した第三者の区分
      • ビジネスが個人情報を収集および/または販売する理由
  2. コンテンツをチームに送信し、可能であれば法務担当者にレビューを依頼します。

  3. 通知の表示場所、機能(訪問ごと、認証時またはクリックスルー時)、他のコンテンツに対する位置と形式を決定します。

  4. 承認済みのコンテンツを開発チームに渡します。

ステップ 6: サービス プロバイダとの契約を確認する

利害関係者: 法的支援、行政支援

必要に応じて、すべてのサービス・プロバイダ契約を見直し、CCPA 要件を反映させます。

手順 7:プライバシーポリシーを更新する

利害関係者: 法的支援、行政支援

現在のプライバシーポリシーを確認し、必要に応じて追加の開示を検討します。

  • 個人情報の利用:収集した個人情報と、個人情報の販売と引き換えに受け取る金銭的インセンティブを開示する必要があります。 また、CCPA におけるインセンティブの許容方法や個人情報の価値の算出方法についても説明する必要があります。

  • 同意年齢:未成年者に関する個人情報を収集または使用する場合、次の要件の対象となる場合があります。

    • 13 歳未満の未成年者:13 歳未満の未成年者が自分の個人情報の販売をオプトインするには、保護者の承認が必要です。

    • 未成年者 13 歳から 16 歳未満:13 歳以上 16 歳未満の未成年者は、自分の個人情報の販売をオプトインできます。ただし、ビジネスが行為を文書化するための合理的なプロセスを確立している必要があります。 プロセスは、会社の プライバシーポリシーに記載する必要があります。 この年齢範囲の未成年者からリクエストを受け取った企業は、後でオプトアウトする権利を通知し、その方法を説明する必要があります。

    note important
    IMPORTANT
    マーチャントは、プラットフォームまたはシステム上で子供の個人データ Commerce 保存することを禁止されています。 収集されたデータが未成年者に属すると信じる理由がある場合は、Adobeライセンス条件の違反を避けるために、直ちに Commerce プラットフォームから削除する必要があります。

手順 8:関連するすべての手順を文書化し、レコードを保持する

関係者: カスタマーサービス、管理サポート

個々の権利のリクエストを受信した後 24 か月間、リクエストの記録と会社の応答を保持します。

recommendation-more-help
31746fd0-1ead-45b5-9192-1aaf582c5f66