カリフォルニア州消費者プライバシー法（CCPA）は、2020年1月1日から施行されます。

まず第一に、法律の効果はカリフォルニアの住民に限定されています。ただし、これは、カリフォルニア州外の企業がこの州の顧客と取引する場合、法律を遵守する必要がないことを意味するものではありません。カリフォルニアの居住者は、どこから運営されているかに関係なく、どのWebサイトにもアクセスできるため、基本的には、米国および海外のすべてのWebサイト所有者がCCPA準拠に向けた措置を講じる必要があります。

これは、EU市民の個人情報を扱うすべての企業を対象としたヨーロッパのGDPR法で以前に見られました。 GDPRが発効した時点で、米国およびその他の地域のWebサイト所有者は、すべての顧客のGDPRに準拠するか、欧州連合のIPからの訪問が行われている場合はWebサイトへのアクセスをブロックすることを決定しました。

他のアメリカの州のいずれかでウェブサイトを運営している場合は、ここでも同様の選択に直面している可能性があります。カリフォルニアに住む顧客を除外する余裕がある場合は、カリフォルニアのIPからの訪問をブロックするオプションがあります。ただし、データプライバシー法は、将来的にも立法者の議題になる可能性があります。すべてではないにしても、より多くの州が将来同様の法律を可決することは予見できません。したがって、潜在的な顧客を徐々にブロックするのではなく、ビジネスの場所に関係なく、今すぐ準拠する方が賢明かもしれません。

第二に、GDPRとは異なり、法律の効果はやや制限されています。 CCPAは、次の企業のみに関係します。

• 総収入が2500万ドル以上のもの
• 年間5万人以上のカリフォルニア州の居住者/世帯/デバイスに関する個人情報を持っている人
• 年間収益の少なくとも50％は、カリフォルニア州民の個人データの販売から生み出されています。

あなたのウェブサイトが個人情報を収集しているが、上記のカテゴリーのいずれにも該当しない場合、あなたは通常通りビジネスを自由に行うことができます。これらの警告は、法律が中小企業の所有者を念頭に置いて設計されたのではなく、大量の個人情報を販売することで利益を得ている企業を対象としていることを明確に示しています。ただし、ウェブサイトでカリフォルニアからのユニークな訪問者の数を確認してください。その数が1年で50,000を超える場合は、CCPAコンプライアンスを考慮する必要があります。

個人情報を収集して販売することもできますが、ユーザーがこのプロセスを簡単にオプトアウトできるようにする必要があります。法律は、企業がユーザーの個人情報を販売する場合、 「私の個人情報を販売しないでください」というタイトルの明確なリンクをホームページに提供する必要があることを明示的に定めています。また、オプトインまたはオプトアウトの選択に基づいて異なるサービスまたは機能を提供することは違法です。すべてのお客様は、引き続き同じサービスの恩恵を受ける必要があります。

GDPRと同様に、データアクセス、個人データの削除、および収集および販売されるすべてのカテゴリの個人データの開示を要求する権利を顧客に付与する必要があります（その場合）。これは毎年行われます。リクエストに応じて、リクエストの前の過去12か月の個人データを提供する必要があります。また、顧客はそのような請求を年に2回までしか提出できません。

また、プライバシーポリシーには必ず次のものを含めてください。

• 収集および処理するすべてのカテゴリの情報
• これらのカテゴリの情報は何に使用されますか
• 情報がどのように収集されているか
• 個人データへのアクセス、変更、移動、削除を要求する手順は何ですか？
• リクエストを送信した人の身元を確認する方法
• 個人データが販売されている場合は、ここに記載する必要があります
• データの販売をオプトアウトする方法

Webサイトの所有者が直面する主なリスクは、データ侵害のリスクです。法律の下で、会社は消費者のデータの不正アクセスと盗難を防ぐ責任があります。これが発生した場合、データが漏洩したユーザーは、100ドルから750ドルの損害賠償を請求する権利があります。数千人のユーザーのデータが盗まれる大規模なデータ侵害は、企業を破産させる可能性があります。 1000 x $ 750を掛けると、影響の見積もりが得られます。

ただし、民事訴訟が発生する前に、可能であれば、企業は「通知された違反を是正する」ために30日間の猶予が与えられます。