ドキュメントCommerceはじめに

CCPA コンプライアンス

Last update: Fri May 17 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

作成対象:

  • Beginner
  • Intermediate
  • Admin
  • Leader
  • User
NOTE
この情報は、Adobe Commerceのマーチャントやデベロッパーがカリフォルニア州消費者プライバシー法の影響を理解するのに役立つ、一連のトピックの 1 つです。 この情報は、法令の本文に基づいています。 CCPA がお客様のビジネスに適用されるかどうかを確認するには、弁護士にお問い合わせください。

この カリフォルニア消費者プライバシー法 (CCPA)は、カリフォルニア州の消費者の権利を拡大し、個人情報の収集、保存、および使用方法を決定します。 その強調は、消費者を不正な販売や交換、または個人情報から保護することです。 CCPA は 2018 年に制定され、2020 年 1 月 1 日に施行されました。

CCPA は、コンシューマーに次の新しい権限を付与します。

  • 知る権利 過去 12 か月間に収集、使用、共有または販売された、それらに関する個人情報のカテゴリ。
  • 削除権 事業者およびそのサービス提供者が保有する特定の種類の個人情報。
  • オプトアウトする権限 彼らの個人情報の販売。
  • 無差別権 ccpa に基づいてプライバシー権を行使した価格またはサービスの点で。

CCPA の目的では、このコンテキストの個人情報は次のように定義されます。

特定の消費者または世帯を識別し、関連付け、説明し、関連付けることができ、または直接または間接的にリンクさせることが可能な情報。 (セクション 1798.140)

この点に関して、他の法令の文脈において個人データとみなされない可能性のある特定のデータ要素が含まれます。 マーチャントは、法律に準拠する必要があるかどうかと、どのように準拠するかを決定する際に、このことに留意する必要があります。

CCPA は、企業に対して次の事項も求めています 相当の担保 ​これには、消費者に対するデータ保護条項の拡張が含まれます。これには、データ侵害が発生した場合に法的措置を講じる権利が含まれます。

自社および自社のビジネスに適用される可能性のある CCPA 要件を準拠する必要があるかどうか、およびその方法については、自社の法務担当者に相談してください。 これには、法律に従って企業が実施する必要がある新しい通知、オプトアウト、記録保持の要件が含まれます。

ビジネス要件

CCPA は、カリフォルニア州で事業を行い、次のいずれかを満たす営利企業に適用されます。

  • 年間総収入が 2500 万ドルを超える
  • 10 万人以上のカリフォルニア州の居住者、世帯、またはデバイスの個人情報を購入、受信、または販売する
  • カリフォルニア州の居住者の個人情報を販売することで、年間の売上高の 50% 以上を得ます。

CCPA コンプライアンスガイド

この節では、カリフォルニア州消費者プライバシー法(CCPA)などのプライバシー規制にマーチャントが準拠するために必要な手順の概要を説明します。

GDPR と CCPA

ビジネスで両方の準拠が必要な場合は、 EU 一般データ保護規則 (GDPR)と CCPA の場合、CCPA 用の GDPR コンプライアンスプログラムの作業の一部を使用できます。 規則にはいくつかの類似点がありますが、次のようないくつかの違いがあります。

  • 個人情報の定義は規定により異なります。
  • GDPR では、特定の目的で個人データが使用される前に、消費者はオプトインする必要があります。CCPA は、消費者にオプトアウトの権利を提供します。
  • CCPA には、追加のデータインベントリおよびマッピング要件があります。
  • 規制によってプライバシーポリシーの要件が異なります。

GDPR に準拠する企業には、CCPA に基づく追加の義務が課される場合があります。 詳しくは、 CCPA ファクト・シート{:target="_blank"}。

コンプライアンスロードマップ

コンプライアンスに対応するためのプランを作成し、実行するには、調整された取り組みが必要です。 このロードマップは、リソースを流動化しタスクの優先順位を付け、複数の面で前進するためのガイドとして使用してください。 プロセスは基本的にすべてに同じです Commerce 次の例外を伴うインストール:

  • クラウドインフラストラクチャー上のAdobe Commerce:Adobeでホストされているストアを持つマーチャント クラウドインフラストラクチャ{:target="_blank"} は、Adobe Commerce テクニカルアカウントマネージャーまたはカスタマーサポートに問い合わせて、お客様のリクエストに対応するためのヘルプを入手できます。

  • オンプレミス:Adobe CommerceまたはMagento Open Sourceのオンプレミスインストールを持つマーチャントは、プライバシー規制に関する消費者のリクエストに対応し、管理するための独自のプロセスとツールを開発する必要があります。

手順 1:規制への準拠に取り組むための部門横断的なチームを編成する

ビジネスにおける次の機能的役割を表すチームを組み立て、法律に沿った迅速な対応を可能にするトレーニングセッションをスケジュールします。 次に、必要なタスクを役割別に関係者に割り当てます。

  • ビジネス戦略と運営
  • 0.95111124
  • 情報技術
  • ユーザーエクスペリエンス
  • 顧客サービス
  • 管理サポート

ビジネスの観点から見ると、会社がこれらのプライバシー保護措置をカリフォルニア州の消費者にのみ適用するか、場所に関係なくすべての消費者に提供するかを決定する必要があります。

手順 2:デジタルプロパティのインベントリを作成する

関係者: IT、法務、管理サポート

すべての統合や消費者データへのアクセス権を持つユーザーを含め、デジタルプロパティのインベントリを作成します。

  1. Web サイトやモバイルアプリケーションを通じて収集されるパブリックおよびプライベートな個人情報を決定します。 例えば、標準のCommerce データベースには、次の種類のパブリックおよびプライベートの個人情報が格納されます。

    • パブリック:ウィッシュリスト、製品レビュー

    • 非公開:顧客情報、注文情報、報酬ポイント、ギフトレジストリ、アドレス帳、ストアクレジット、支払い方法、請求契約、ニュースレター購読、招待状。

      次の場合 Commerce インストールがカスタマイズされました。追加の個人情報が収集される場合があります。 個人情報は、次の場所にも存在する場合があります cookie、タグ、および情報を収集するその他のテクノロジー。

  2. データを共有する関係者を識別します。 このリストには、サービスプロバイダーとサードパーティを含める必要があります。 第三者には、広告ネットワーク、インターネットサービスプロバイダー、データ分析プロバイダー、政府機関、オペレーティングシステムおよびプラットフォーム、ソーシャルネットワーク、消費者から直接個人情報を収集しない消費者データ再販業者が含まれます。

    • サービスプロバイダー:ビジネス目的で消費者データにアクセスし、あなたに代わってサービスを提供するエンティティ。 例えば、Adobeはサービスプロバイダーです。カスタマイズ、拡張機能、およびサービスの一部の開発者も同様です。

      Google Universal Analytics、Google Tag Manager およびその他の使用するデータサービスのデフォルト設定を確認し、規制に準拠するために必要な変更を加えます。 詳しくは、 Google プライバシー設定.

    • その他のサードパーティ:消費者データを共有または販売するエンティティ。 例えば、広告と引き換えに、消費者データを広告ネットワークと共有できます。

手順 3:ストアでのカスタマージャーニーとデータ収集プロセスのマッピング

関係者: ユーザーエクスペリエンス、情報技術、管理サポート

  1. 内の各ポイントを指定してください [カスタマージャーニー] 個人情報の収集場所と、各手順で収集される情報のタイプ。

    サイトへの訪問者には、事前に、またはデータ収集時に通知する必要があります。 例えば、カスタム統合を行っていないストアでは、顧客アカウントの作成時やチェックアウト時に個人情報を収集します。 ストアにカスタム統合がある場合、識別する追加のデータ項目と属性がある可能性があります。

  2. 各バージョンに適用可能なデータフロー図とデータベースエンティティマッピングについては、次のトピックを参照してください。

    図

ステップ 4:顧客の要求に対応するための手順とメカニズムを確立する

関係者: カスタマー・サービス、It、ユーザー・エクスペリエンス、管理サポート

データ管理の観点から、個人情報に対するそれぞれのリクエストには、次の関係者が関与します。

  • データ主体 (消費者):CCPA では、カリフォルニア州で購入や顧客アカウントの維持のために個人情報を提供する人は、個人データへのアクセスまたは削除をリクエストする可能性があります。

  • CCPA の対象となる事業者 (ブランド): Commerce マーチャントは、顧客や店舗で購入するゲストから個人情報を収集して保存します。

  • データ処理装置 (技術提供事業者):Adobe CommerceおよびMagento Open Sourceは、販売者に提供されるサービスの一部として保存される個人情報の処理者として機能します。 Adobeは、処理者として、ライセンス契約に従って、販売者の許可と指示に従って個人データを処理します。

マーチャントは、次の操作を行う必要があります。

  1. データサブジェクトのアクセスリクエスト(DSAR)に関与している関係者を特定し、知りたい、オプトアウトまたは削除をリクエストするユーザーの ID を確認します。 これは、パスワードで保護された顧客アカウントを持つ人、またはストアでゲストとしてショッピングする人に適用されます。

  2. 検証可能な消費者からの要求を受け取ってから 45 日以内に、権利の要求に応じて情報を開示および消費者に配信します(不可能な場合を除く)。 (この法律には、企業が 45 日までの遅延に対するコンプライアンスを維持するためのその他の特定の要件が含まれています)。

    マーチャントは、リクエストを受信した日から 45 日以内に各 DSAR に応答する必要があります。 必要に応じて、マーチャントは応答までに最大 45 日かかる場合があります。リクエストを受信した日から最大で合計 90 日間です。 これにより、マーチャントは遅延の理由を説明するように顧客に通知する必要があります。

  3. ストアで必要な通知を提示し、消費者の反応を収集するメカニズムを開発します。

  4. 応答手順を確立し、次の各要求を文書化します。

    • に関する質問 - ストアの訪問者は、自身の個人情報を第三者に販売または共有する必要がある取り決めについて知らされ、オプトアウトを許可される必要があります。 個人情報の使用の詳細と、データを共有または販売する関係者は、プライバシーポリシーで管理できます。

    • オプトアウトのリクエスト – 貴重な対価と引き換えに個人データを第三者に販売または移転する場合、CCPA は次のことを要求します 自分の情報を販売しない 収集される各ポイントでリンクします。 チェックボックスやボタンなどのユーザーが有効な追加の入力コントロールは、メール通信、web サイトの環境設定、または個人が有効なオプトアウトリクエストを送信するためのデータ収集時の web サイトフォームで使用できます。

    • 削除リクエスト

      • ストアがAdobe Commerce Cloudでホストされているマーチャントは、個人情報の削除についてAdobeサポートにお問い合わせください。 詳しくは、Adobeのテクニカルアカウントマネージャーまたはカスタマーサポートにお問い合わせください。
      • オンプレミスでAdobe CommerceまたはMagento Open Sourceのインストールを実行するマーチャントは、リクエストに応じて個人情報を削除するための独自のプロセスおよびスクリプトを実装する必要があります。

手順 5:必要な顧客通知のコンテンツを記述する

関係者: 法務、カスタマーサービス、ユーザーエクスペリエンス、情報技術、管理サポート

  1. 法務担当者と協力して、CCPA の義務を満たすために web サイトに追加する必要がある通知のタイプを決定します。

    • 取立の通知:個人情報が消費者から収集される時点またはそれ以前に行われた通知。 通知は平易な言葉で書くべきであり、普通の人が理解しやすいようにすべきである。 通知は目立つ内容にする必要があり、Web サイトのコンテンツと同じ 1 つ以上の言語で提供される必要があります。

    • オプトアウト権の告知:個人情報の販売をオプトアウトする権利を消費者に通知する通知。

    • 奨励金の通知:会社が個人情報と引き換えに受け取る金銭的インセンティブ、価格またはサービスの差を説明する通知。

    • 個人情報の収集及び利用に関する請求の提出方法:個人に関して収集した個人情報の開示要求を送信する個人の手順。以下に例を示します。

      • 消費者に関して収集した特定の個人情報
      • 消費者について収集した個人情報のカテゴリ
      • 個人情報の収集元のカテゴリ
      • 事業目的で販売または開示した消費者に関する個人情報のカテゴリ
      • 事業目的で個人情報を販売または開示した第三者の区分
      • ビジネスが個人情報を収集および/または販売する理由

  2. コンテンツをチームに送信し、可能であれば法務担当者にレビューを依頼します。

  3. 通知の表示場所、機能(訪問ごと、認証時またはクリックスルー時)、他のコンテンツに対する位置と形式を決定します。

  4. 承認済みのコンテンツを開発チームに渡します。

ステップ 6: サービス プロバイダとの契約を確認する

関係者: 法務、管理サポート

必要に応じて、すべてのサービス・プロバイダ契約を見直し、CCPA 要件を反映させます。

手順 7:プライバシーポリシーを更新する

関係者: 法務、管理サポート

現在のプライバシーポリシーを確認し、必要に応じて追加の開示を検討します。

  • 個人情報の利用:収集する個人情報と、個人情報の販売と引き換えに受け取る金銭的インセンティブを開示する必要があります。 また、CCPA におけるインセンティブの許容方法や個人情報の価値の算出方法についても説明する必要があります。

  • 同意年齢:未成年者に関する個人情報を収集または使用する場合は、次の要件の対象となる場合があります。

    • 未成年者 < 13:13 歳未満の未成年者が自分の個人情報の販売をオプトインするには、保護者の承認が必要です。

    • 未成年者 13 歳から 16 歳未満まで:13 歳以上 16 歳未満の未成年者は、ビジネスが行為を文書化するための合理的なプロセスを確立している限り、個人情報の販売をオプトインできます。 プロセスは、会社のに記載する必要があります プライバシーポリシー. この年齢範囲の未成年者からリクエストを受け取った企業は、後でオプトアウトする権利を通知し、その方法を説明する必要があります。

    note important
    IMPORTANT
    商人は子供の個人データを次の場所に保存することを禁止されています Commerce プラットフォームまたはシステム。 収集されたデータがマイナーに属すると信じる理由がある場合は、から削除する必要があります。 Commerce platform は、Adobeライセンス条件の違反を避けるために直ちにアクセスします。

手順 8:関連するすべての手順を文書化し、レコードを保持する

関係者: カスタマーサービス、管理サポート

個々の権利のリクエストを受信した後 24 か月間、リクエストの記録と会社の応答を保持します。

recommendation-more-help
31746fd0-1ead-45b5-9192-1aaf582c5f66