11月にカリフォルニア州民は、新しい消費者データ プライバシー機関を設立するための投票法案、プロポジション 24、別名カリフォルニア プライバシー権法 (CPRA) を承認しました。 これにより、カリフォルニア州は、消費者のためのプライバシー保護と企業のためのデータセキュリティ要件という点で、他の州よりさらに一歩先んじることになります。 カリフォルニア州には、2018年に採択されたプライバシー法「カリフォルニア消費者プライバシー法(CCPA)」がすでに存在していました。 これは2020年1月に発効し、この7月から正式に施行が始まりました。
CCPAは、カリフォルニア州が投票によってより厳しいプライバシー保護イニシアチブを通過させないようにするためのものだったのです。 Enterprise Strategy GroupのアナリストであるChristophe Bertrand氏は、「CCPAはおそらく、今日の消費者を保護する米国における代表的なプライバシー法の1つです」と述べていますが、もともとはもっと厳しくなるはずだったのでしょう。 「多くの政治的な交渉の結果、最終的に弱体化したのです」
新しい法律では、そのようなことは起こらないでしょう。 一度成立したものは、弱めることはできず、強化されるだけ。 可決されたのだ。 CPRA は有権者によって 56% 対 44% で承認されました。
意外なことに、大手ハイテク企業による投票イニシアチブに対するロビー活動はそれほど多くなかったのです。 ローブ & ローブのパートナーで、プライバシーとセキュリティの実践の共同議長であるジェシカ・リーは、「その一部は、2020年のダンプスター・ファイヤー、パンデミック、選挙への準備期間だと思います」と述べています。 「多くのことが同時に起こっていたのです。 また、ここ数年、大手ハイテク企業に対する反発があり、多くのプライバシースキャンダルがありました。 そのため、ハイテク企業がプライバシー法案に反対を表明するには、おそらく PR やブランドへの配慮が必要です」
さらに、最大手企業はすでにヨーロッパの一般データ保護規則 (GDPR) を遵守しなければなりません。 「CPRA は、一部の要件を強化し、カリフォルニア州を GDPR とより一致させ、新しい州機関であるカリフォルニア プライバシー保護局を設立しました。 以前は、州の司法長官が他のすべての責任に加え、消費者のプライバシー問題を扱っていました。 さらに、法律を破った企業から徴収した罰金や和解金の一部を受け取ることになります。
法律は2023年1月1日に施行され、その6カ月後に執行が開始されるとLee氏は言います。 KPMG のサイバーセキュリティ・サービスのプリンシパルである Orson Lucas 氏は、「企業は基本的に 2 年間で準備する必要があります」と述べています。 それは、テクノロジーやビジネス環境の進化、またはその他の進展の結果かもしれません。 「たとえば、現在から 2023 年 1 月までの間に、一連の重大な違反があった場合などです」と、ルーカスは述べています。 まず、CCPA は、カリフォルニア州の住民、世帯、またはデバイスの少なくとも 50,000 人にサービスを提供する企業に適用されます。 CPRAは、これを10万人に引き上げ、そのリストから「デバイス」を削除したと、サイバー保険会社Coalitionのクレーム責任者であるCatherine Lyleは述べています。 一定の契約が結ばれ、ビジネスパートナー自身がCPRAを遵守していれば、企業が第三者によるCPRA違反の責任を問われることはない、と彼女は言う。 “潜在的な責任を軽減できる”
CPRA impact minimal for prepared companies
2018年のCCPA、特に欧州のGDPRにすでに準拠している企業にとって、その変化は軽微であろう。 Airbnb、Target、Yelpを数千の企業顧客に持つグローバルオンラインマーケティング企業、Branch Metrics aの場合がそうです。 CPRA の良いところは、ある意味で、CCPA よりも GDPR に近いということです」と、Branch Metrics の CEO、Alex Austin 氏は語ります。 “つまり、あなたの会社がGDPRの準備をしていれば、それほど重い負担にはならないのです。” つまり、CPRAに準拠するために行わなければならない段階的な変更は、「比較的軽微なものになる」と彼は言う。 “また、必要な変更を行うための時間がたくさんあることも助けになります “と彼は付け加えます。 「この法律は2023年まで施行されず、一般に2022年までさかのぼったデータにしか影響しないので、家を整えるのに1年以上かかることになります」
一般に、世界中で生まれているさまざまなプライバシー法の間で調和がとれていれば、そのほうがよいと Austin は述べています。 「ブランチのようにグローバルに事業を展開する企業にとって、このような緊密な連携は良いことです」
データ最小化の新しい要件
一部の企業にとって、CCPA と CPRA の間の変更は重要であると、デロイトの米国プライバシーおよびデータ保護リーダー、ダン フランクは述べています。 たとえば、データの最小化を考えてみましょう。 新ルールでは、企業が個人情報を「絶対に必要な期間以上」保持することを禁じている、と彼は言う。 というのも、データを削除するとなると、企業はそれを徹底的に避けるからだ、と彼は言う。 “いくつかのデータは良い、より多くのデータは良い、すべてのデータは最高です。” データは機械学習やAIシステムで分析でき、企業が新しい製品、サービス、アプリケーションを開発するのに役立ちます。
データを削除することは茨の道です。 まず、データを保持するための法的拘束やその他の規制・コンプライアンス要件がある。 そして、技術的な側面もあります。 「システム間に存在するすべての相互依存関係が、データの削除を恐ろしいものにしているのです」と彼は言います。 「私たちは何も壊したくありません」
ほとんどの組織が計画しているのは、期限切れのデータを匿名化することだと、Frank 氏は述べています。 そうすれば、AI システムのトレーニングにまだ使用することができ、依存性の問題が発生することも少なくなるかもしれません。 “長期的にどうなるかは、これからです “と彼は言います。 もし、そのデータが何らかの形で、直接あるいは推論によって個人に帰することができるのであれば、それはもはや匿名化されたものではありません」。 4769>
法律が「合理的」という言葉を使用していることも、危険な兆候です。 何が妥当かは誰が決めるのでしょうか。 強力なデータガバナンスシステムは、企業が新法の別の側面、すなわち消費者が自分自身に関する不正確なデータを修正できるようにすることに対処するのにも役立ちます。 「あるシステムで特定のデータを変更した場合、他のすべてのプロセスにどのような影響を与えるのでしょうか」
新しいデータ共有要件
企業は、データを共有するビジネスパートナーがCPRAを遵守することを確認する必要も出てきました。 この法律には、合理的なサイバーセキュリティ対策を講じることが含まれているため、CISOが関与する必要があるかもしれないと、Saverice-Rohanは述べています。 「これは、通常、セキュリティ・リスク評価で行われる作業です」と彼女は言います。
もう 1 つの大きな変化は、消費者が自分の情報の共有を許可する方法と関係があります。 以前の CCPA では、企業はカリフォルニア州の顧客に、自分のデータが第三者に販売されることを拒否する機会を提供しなければなりませんでした。 現在では、販売だけでなく、あらゆる種類の共有が含まれると、デロイトのフランクは言う。 「消費者は、個人情報の特定の用途を拒否することができる必要があります」と彼は言う。 「そうなれば、個人情報の利用を停止しなければなりませんが、これは考えてみれば、かなり大変な作業です。 そのため、データガバナンスは非常に重要です。 4769>
More liability exposure for data breaches
もうひとつの違いは、企業がデータ侵害についてさらなる懸念を抱くようになることだと、Frankは述べています。 たとえば、セキュリティ質問と組み合わせて使用される場合、電子メール アドレスも侵害責任の対象となります。 データ侵害が未成年者の情報を含む場合、罰金は 3 倍になる可能性があります。 「子供に関するどのような情報を持っているかを把握し、漏洩した場合に備えて、強化されたデータ保護を適用したほうがよいでしょう」と、彼は言います。 このような訴訟を起こす潜在的な理由が増えたと、彼は言います。 「BakerHostetler 法律事務所のパートナーである Alan Friel によれば、CPRA は、別の方法で侵害関連訴訟の可能性を拡大します。 CCPA の下では、消費者が苦情を申し立てた後、企業は問題を修正する機会を与えられていたと、彼は言います。
現在、CPRA は、治癒の権利には、侵害が発生した後にセキュリティホールを塞ぐことによって罰則を回避する能力は含まれないことを明確にしています。 「適切なセキュリティを維持することに失敗し、違反が発生した場合、その違反の原因となったものを是正しても、私的権利と法定損害賠償の対象となります」と Friel は述べています。 「これは間違いなく、原告団に歓迎されることでしょう」
もう 1 つの変更点は、消費者が侵害によって損害を受けたことを証明する必要がなくなったということです。 「以前は、訴えることはできても、損害を示さなければなりませんでした」と、Friel は言います。 「私たちは、害悪の基準がある訴訟を打ち負かすのにはるかに成功しました」とフリールは言います。 「ほとんどの消費者は、データ漏洩による実際の金銭的損害を示せないので、無料でクレジット・モニタリングを受けることができるのです。 そのため、消費者は無料でクレジット・モニタリングを受けることができるのです」。 ここでの変化は、情報漏えいが発生したという事実だけで、訴訟を起こすのに十分な被害であるということです」
企業はすでに、プライバシー関連の訴訟を目にし始めています。 先月、子供服の小売業者であるハンナ・アンダーソンは、2019年のデータ漏洩に起因する集団訴訟に対し、40万ドルの和解に合意しました。 CCPAの下ですでに訴えられている他の企業には、セールスフォース、ウォルマート、オンライン文具小売のMinted、Sunshine Behavioral Health Group、TikTok、Zoom、Housepartyなどがあります。
企業が自衛しなければならないのは消費者とその弁護士だけではない、とアーンスト&ヤングのSaverice-Rohan氏は言います。 CPRAそのものは2023年まで施行されないとはいえ、新機関はすぐにでも既存の法律の施行に取り掛かると思われます。 「1月には、新機関は既存のCCPAを執行する能力を持つことになります」と彼女は言います。 「そして、彼らは行動を起こすでしょう。 施行される可能性が高いだけではありません。 中堅企業は特に大きな打撃を受けると、米国弁護士でSANS InstituteのシニアインストラクターであるBenjamin Wright氏は予測しています。 年間審査額が2,500万ドル以下の企業にとっては、要件はそれほど厳しくない、と彼は言う。 「巨大企業であれば、弁護士やコンプライアンス専門家を投入して紛争を解決することができる。 中堅企業には、弁護士軍団を雇えるような規模の経済はないと、彼は言います。
さらに、新しい機関がカリフォルニア州の他の当局者や議員からどれだけ支持されるかによって、最大のターゲットを追いかけるためのリソースや人材が不足する可能性もあります。 これは、GDPR の下でヨーロッパではすでに起こっていることで、規制当局はしばしば中小企業に対して訴訟を起こす傾向があると、Wright 氏は言います。 「規制当局にとって、何年も訴訟と戦うことは非常に消耗が激しく、費用もかかります。 強力な敵に対して何年も訴訟を戦う弱い機関は、多くのスタッフの離職に悩まされることになります」
CPRA を遵守する企業にとっての機会
CPRA は企業にとって悪いことばかりではありません。 「賢明な企業は、コンプライアンスとプライバシーのサポートを実証する機会として、これを活用しようとすることを期待します」と、Information Security Forum の Managing Director である Steve Durbin 氏は述べています。