プライバシー規制 FAQ
このドキュメントでは、サポートされる法的プライバシー規制とAdobe Experience Cloudでのプライバシー規制の実装に関するよくある質問に対する回答を示します。
一般的な質問
次の質問は、Experience Cloudがサポートするすべてのプライバシー規制に関連しています。
サポートされているプライバシー規制は誰に影響しますか?
The Experience Cloudがサポートするプライバシー規制 は、組織の地理的な場所に関係なく、規制の管轄区域内にいる市民の個人データを保存および処理するすべての組織に適用されます。
個人データとは何ですか?
個人データとは、自然人またはデータ主体に関する(個人を直接的または間接的に特定するために使用できる)情報です。個人データは、名前、写真、電子メールアドレス、銀行口座の詳細、ソーシャルネットワーキング web サイト上の投稿、医療情報、コンピューターの IP アドレスなどである場合があります。
次の識別子は、Experience Cloudアプリケーションで一般的に使用され、プライバシー規制要件に従う場合があります。
- 名前
- 住所
- 一意の個人識別子
- オンライン識別子
- IP アドレス
- 電子メールアドレス
- アカウント名
個人情報には、インターネットやその他の電子ネットワークアクティビティ情報も含まれます。これには、以下が含まれます。
- 閲覧履歴
- 検索履歴
- Web サイト、アプリケーションまたは広告との消費者のインタラクションに関する情報
プライバシー規制は幅広い個人情報を対象としていますが、Adobeの標準的な契約条件では、機密性の高い個人情報(SSN、運転免許情報、金融口座情報、生体認証データなど)のExperience Cloudアプリケーションへの読み込みと使用を一般に禁止しています。
データ管理者とデータ処理者の違いは何ですか?
データ管理者 は、個人データを処理する目的、条件、手段を決定する主体であり、データ処理者 は、データ管理者に代わって個人データを処理する主体です。
A データ管理者 は、個人データの収集、使用または開示に関する決定を下す権限と責任を持つ人または組織です。 A データ処理装置 は、個人データの収集、使用または開示とデータ管理者の指示に関して業務をおこなう人または組織です。
データ主体の明示的な同意とあいまいでない同意の違いは何ですか?
明示的な同意 同意の標準を指します。この標準には、口頭または書式で、データ主体の意思を具体的かつ十分な情報に基づいて明確に示すものが含まれます。 簡単に言うと、データ主体が同意を明示的に考慮するには、文字通り明示的に「同意する」または「同意する」と言う必要があります。 また、同意の撤回は、同意の提供と同じくらい簡単に行う必要があります。
明白な(暗黙の)同意 とは、データ主体から明示的に与えられなかったが、本質的には明確である同意を指します。 例えば、会社の Web サイトの新規登録プロセス中に、E メールアドレスを指定することで、データ主体が特別オファーで E メールを受け取ることに同意するという通知が届きます。 データ主体が通知を読む場合、E メールを入力する肯定的なアクションは、あいまいでない同意と見なすのに十分です。
GDPR などの多くの規制では、「オプトイン」が必要な機密の個人データを処理する場合、明示的な同意が必要です。 ただし、機密性の低いデータの場合は、あいまいでない(暗黙的な)同意が許容されます。
特定の年齢に達しないデータ主体は同意を与えることはできますか?
多くのプライバシー規制では、データ主体が特定の年齢に満たない場合、個人データの収集に対して法的に同意することはできません。 一部の規制では、この場合、そのデータ主体に対する親の責任を持つ人が同意を得ることが許可されますが、すべての同意を得ることはできません。 次の表に、データ主体が各規制に対して独自の同意を提供する年齢の最小値と、その他の情報に関するメモを示します。
- 親の同意は、13 歳以上のデータ主体に対してのみ提供できます。
- 13 歳未満の被験者からの個人データの収集は厳禁です。
- EU の一部の加盟国は、この目的のために低年齢の法律を定めることができますが、13 以下です。
- 年齢制限を超えるすべてのデータ主体に対して、親の同意を提供する必要があります。
- 年齢制限を超えるすべてのデータ主体に対して、親の同意を提供する必要があります。
- 個人データの処理が最善の利益を得る限り、13 歳から 18 歳の自然人が同意を得ることができます。
- 年齢制限を超えるすべてのデータ主体に対して、親の同意を提供する必要があります。
顧客の個人情報のアクセスや削除をおこなう要求に対して何日で応答する必要がありますか。
ビジネスが個人情報を収集し、特定の消費者の ID を認証または検証できると仮定すると、プライバシー規制は、消費者のリクエストが満たされるための特定の期間を許可します。 次の表は、各規制の該当する時間枠を分類したもので、一部の例外に関するメモを含んでいます。
データ保護担当者を任命する必要がありますか?
組織のデータ操作が GDPR、LGPD、PDPA の法的管轄下にある場合は、次の場合にデータ保護担当者 (DPO) を指定する必要があります。
- 組織が公的機関です
- 組織が大規模な組織的監視に携わっている
- 組織が機密性の高い個人データの大規模な処理に携わっている。
プライバシー規制の対象となるデータを維持している場合、消費者のプライバシーリクエストをどのようにサポートできますか?
適切な法管轄区域内の消費者を認証するために必要な手順を踏むと、Adobe Experience Platform Privacy Serviceを使用して、互換性のあるExperience Cloudアプリケーションに消費者のプライバシーリクエストを送信できます。 詳しくは、Privacy Service 概要を参照してください。お使いの Experience Cloud アプリケーションがプライバシーリクエストをどのように受け入れるかについて詳しくは、Privacy Service および Experience Cloud アプリケーションのガイドを参照してください。
CCPA に関する質問
次の質問は、特に CCPA に関するものです。
CCPA の様々な役割や責任は Experience Cloud にどのように適用されますか。
CCPA の定義に従って、次の役割がアドビとその顧客に適用されます。
- アドビの顧客(カリフォルニア在住者の個人情報の収集と使用を要求する当事者)は、ビジネス と見なされます。
- アドビは、サービスを提供する役割を果たしており、サービスプロバイダー と見なされます。
サービスプロバイダーとして、アドビは、ビジネスの代わりに個人情報を収集し、処理し、契約上、契約に基づき、契約で設定された特定の目的のみにその情報を使用する義務があります。
この関係とAdobeの契約言語を考えると、Adobeへの開示は、ビジネスが通知や同意の要求をする必要がある「販売」とは見なされません。
ただし、アドビのサービスを使用して、特定のデータ共有を有効にし、サードパーティに転送することができます。これらのサードパーティ転送は「販売」と見なされ、法的に開示と同意を義務付けられます。 顧客は、適切な要件を評価する特定の使用事例を評価するために、弁護士と協力する必要があります。
アドビは、CCPA の要件に対処するのに役立つその他のツールを提供しますか。
Adobe Experience Cloud アプリケーションは、企業のプライバシーニーズに役立つデータ管理およびガバナンス機能を提供します。これらのツールの中には、データ使用のラベル付け、役割ベースのアクセス制御、IP 難読化、ハッシュ機能があります。
アドビは、ISO 27001 認定制度や TrustArc GDPR 検証など、プライバシーとセキュリティの実践に関するさまざまな認定を受けています。
GDPR に関する質問
以下の質問は、特に GDPR に関するものです。
規制と指令の違いは何ですか?
規制 は、拘束力のある法的措置であり、EU 全域にわたって適用する必要があります。指令 は、EU 加盟国すべてが達成する必要がある目標を掲げた法的措置ですが、その達成方法は個々の加盟国が決定します。
GDPR は、以前の法令(データ保護指令)とは異なり、規制であることに注意する必要があります。
GDPR は、データ漏洩に関するポリシーにどのような影響を与えますか?
データ漏洩に関する規制案は、侵害された企業の通知ポリシーに主に関連しています。個人をリスクにさらす可能性のあるデータ漏洩は、データ保護機関に 72 時間以内に通告され、影響を受ける個人にも遅滞なく通知される必要があります。
PDPA に関する質問
次の質問は、特に PDPA に関するものです。
機密性の高い個人データとは何ですか?
PDPA は、人種または民族の起源、政治的意見、宗教的または哲学的信念、犯罪記録、労働組合の会員、遺伝データ、生体認証データ、健康記録、性的指向や好みなど、個人データを含む機密性の高い個人データの収集と保存に対して厳しい要件を提供します。