2020年2月1日 読んだ6分
まず第一に、法律の効果はカリフォルニアの住民に限定されています。ただし、これは、カリフォルニア州外の企業がこの州の顧客と取引する場合、法律を遵守する必要がないことを意味するものではありません。カリフォルニアの居住者は、どこから運営されているかに関係なく、どのWebサイトにもアクセスできるため、基本的には、米国および海外のすべてのWebサイト所有者がCCPA準拠に向けた措置を講じる必要があります。
これは、EU市民の個人情報を扱うすべての企業を対象としたヨーロッパのGDPR法で以前に見られました。 GDPRが発効した時点で、米国およびその他の地域のWebサイト所有者は、すべての顧客のGDPRに準拠するか、欧州連合のIPからの訪問が行われている場合はWebサイトへのアクセスをブロックすることを決定しました。
他のアメリカの州のいずれかでウェブサイトを運営している場合は、ここでも同様の選択に直面している可能性があります。カリフォルニアに住む顧客を除外する余裕がある場合は、カリフォルニアのIPからの訪問をブロックするオプションがあります。ただし、データプライバシー法は、将来的にも立法者の議題になる可能性があります。すべてではないにしても、より多くの州が将来同様の法律を可決することは予見できません。したがって、潜在的な顧客を徐々にブロックするのではなく、ビジネスの場所に関係なく、今すぐ準拠する方が賢明かもしれません。
第二に、GDPRとは異なり、法律の効果はやや制限されています。 CCPAは、次の企業のみに関係します。
あなたのウェブサイトが個人情報を収集しているが、上記のカテゴリーのいずれにも該当しない場合、あなたは通常通りビジネスを自由に行うことができます。これらの警告は、法律が中小企業の所有者を念頭に置いて設計されたのではなく、大量の個人情報を販売することで利益を得ている企業を対象としていることを明確に示しています。ただし、ウェブサイトでカリフォルニアからのユニークな訪問者の数を確認してください。その数が1年で50,000を超える場合は、CCPAコンプライアンスを考慮する必要があります。
個人情報を収集して販売することもできますが、ユーザーがこのプロセスを簡単にオプトアウトできるようにする必要があります。法律は、企業がユーザーの個人情報を販売する場合、 「私の個人情報を販売しないでください」というタイトルの明確なリンクをホームページに提供する必要があることを明示的に定めています。また、オプトインまたはオプトアウトの選択に基づいて異なるサービスまたは機能を提供することは違法です。すべてのお客様は、引き続き同じサービスの恩恵を受ける必要があります。
GDPRと同様に、データアクセス、個人データの削除、および収集および販売されるすべてのカテゴリの個人データの開示を要求する権利を顧客に付与する必要があります(その場合)。これは毎年行われます。リクエストに応じて、リクエストの前の過去12か月の個人データを提供する必要があります。また、顧客はそのような請求を年に2回までしか提出できません。
また、プライバシーポリシーには必ず次のものを含めてください。
匿名化されたデータと集合体データはCCPAの規則に該当しないため、ほとんどの分析ツールはデフォルトで準拠している可能性があります。ただし、個人データの使用に関するすべての情報を確実に入手するために、そのような第三者のデータ処理契約およびプライバシーポリシーを必ずお読みください。 GDPRに準拠するための取り組みの一環として、VisitorAnalyticsもCCPAに準拠するようになりました。当社は、他者とのデータの販売または共有を行っていません。私たちが収集するデータは、個人、世帯、またはデバイスのIDに関連付けることはできません。
新しいプライバシー法の詳細が必要な場合は、1.81.5の全文を読むことができます。カリフォルニア州消費者プライバシー法はこちら。 Visitor Analyticsがプライバシー法にどのように準拠しているかについて詳しく知りたい場合は、プライバシーポリシーとデータ処理契約をお読みください。