カリフォルニア州消費者プライバシー法（CCPA）は、2020年1月1日から施行されます。

新しい法律は、以前に欧州のGDPRで発生したように、ほとんどのウェブサイトの所有者と運営者に影響を与えることになります。しかし、多くの点で、 CCPAはGDPRほど厳格ではなく、消費者の個人データを販売している企業をより明確に対象としています。

まず第一に、法律の効果はカリフォルニアの住民に限定されています。ただし、これは、カリフォルニア州外の企業がこの州の顧客と取引する場合、法律を遵守する必要がないことを意味するものではありません。カリフォルニアの居住者は、どこから運営されているかに関係なく、どのWebサイトにもアクセスできるため、基本的には、米国および海外のすべてのWebサイト所有者がCCPA準拠に向けた措置を講じる必要があります。

これは、EU市民の個人情報を扱うすべての企業を対象としたヨーロッパのGDPR法で以前に見られました。 GDPRが発効した時点で、米国およびその他の地域のWebサイト所有者は、すべての顧客のGDPRに準拠するか、欧州連合のIPからの訪問が行われている場合はWebサイトへのアクセスをブロックすることを決定しました。

他のアメリカの州のいずれかでウェブサイトを運営している場合は、ここでも同様の選択に直面している可能性があります。カリフォルニアに住む顧客を除外する余裕がある場合は、カリフォルニアのIPからの訪問をブロックするオプションがあります。ただし、データプライバシー法は、将来的にも立法者の議題になる可能性があります。すべてではないにしても、より多くの州が将来同様の法律を可決することは予見できません。したがって、潜在的な顧客を徐々にブロックするのではなく、ビジネスの場所に関係なく、今すぐ準拠する方が賢明かもしれません。

第二に、GDPRとは異なり、法律の効果はやや制限されています。 CCPAは、次の企業のみに関係します。

• 総収入が2500万ドル以上のもの
• 年間5万人以上のカリフォルニア州の居住者/世帯/デバイスに関する個人情報を持っている人
• 年間収益の少なくとも50％は、カリフォルニア州民の個人データの販売から生み出されています。

あなたのウェブサイトが個人情報を収集しているが、上記のカテゴリーのいずれにも該当しない場合、あなたは通常通りビジネスを自由に行うことができます。これらの警告は、法律が中小企業の所有者を念頭に置いて設計されたのではなく、大量の個人情報を販売することで利益を得ている企業を対象としていることを明確に示しています。ただし、ウェブサイトでカリフォルニアからのユニークな訪問者の数を確認してください。その数が1年で50,000を超える場合は、CCPAコンプライアンスを考慮する必要があります。

関連する個人データはほとんど同じであるため、 GDPR関連のトピックですでに説明した内容と大きな違いはありません。名前、メールアドレス、場所、生体認証データなどです。法律では、これを「識別し、特定の消費者または世帯に直接または間接的に関連する、説明する、関連付けることができる、または合理的に関連付けることができる」。公開されている情報、および匿名化または集約された消費者情報は、CCPAでは個人情報とは見なされないことに注意してください。

個人情報を収集して販売することもできますが、ユーザーがこのプロセスを簡単にオプトアウトできるようにする必要があります。法律は、企業がユーザーの個人情報を販売する場合、 「私の個人情報を販売しないでください」というタイトルの明確なリンクをホームページに提供する必要があることを明示的に定めています。また、オプトインまたはオプトアウトの選択に基づいて異なるサービスまたは機能を提供することは違法です。すべてのお客様は、引き続き同じサービスの恩恵を受ける必要があります。

GDPRと同様に、データアクセス、個人データの削除、および収集および販売されるすべてのカテゴリの個人データの開示を要求する権利を顧客に付与する必要があります（その場合）。これは毎年行われます。リクエストに応じて、リクエストの前の過去12か月の個人データを提供する必要があります。また、顧客はそのような請求を年に2回までしか提出できません。

また、プライバシーポリシーには必ず次のものを含めてください。

• 収集および処理するすべてのカテゴリの情報
• これらのカテゴリの情報は何に使用されますか
• 情報がどのように収集されているか
• 個人データへのアクセス、変更、移動、削除を要求する手順は何ですか？
• リクエストを送信した人の身元を確認する方法
• 個人データが販売されている場合は、ここに記載する必要があります
• データの販売をオプトアウトする方法

必ずしもそうとは限りませんが、GDPRに準拠するための措置を講じている場合は、CCPAにも準拠している可能性があります。上記のすべての条件は、個人データの販売に関する明示的な規則を除いて、GDPRにも見られます。

Webサイトの所有者が直面する主なリスクは、データ侵害のリスクです。法律の下で、会社は消費者のデータの不正アクセスと盗難を防ぐ責任があります。これが発生した場合、データが漏洩したユーザーは、100ドルから750ドルの損害賠償を請求する権利があります。数千人のユーザーのデータが盗まれる大規模なデータ侵害は、企業を破産させる可能性があります。 1000 x $ 750を掛けると、影響の見積もりが得られます。

ただし、民事訴訟が発生する前に、可能であれば、企業は「通知された違反を是正する」ために30日間の猶予が与えられます。

匿名化されたデータと集合体データはCCPAの規則に該当しないため、ほとんどの分析ツールはデフォルトで準拠している可能性があります。ただし、個人データの使用に関するすべての情報を確実に入手するために、そのような第三者のデータ処理契約およびプライバシーポリシーを必ずお読みください。 GDPRに準拠するための取り組みの一環として、VisitorAnalyticsもCCPAに準拠するようになりました。当社は、他者とのデータの販売または共有を行っていません。私たちが収集するデータは、個人、世帯、またはデバイスのIDに関連付けることはできません。

新しいプライバシー法の詳細が必要な場合は、1.81.5の全文を読むことができます。カリフォルニア州消費者プライバシー法はこちら。 Visitor Analyticsがプライバシー法にどのように準拠しているかについて詳しく知りたい場合は、プライバシーポリシーとデータ処理契約をお読みください。