サードパーティとカリフォルニア消費者プライバシー法（CCPA）

今日の絶え間なく変化するデータ環境では、あらゆる場所の企業が、ビジネスの取り組みを推進するためにサードパーティとのパートナーシップに依存しています。 私たちのデータ主導型経済により、組織は顧客エンゲージメントを構築し、消費者の洞察を高め、収益を増やすことができますが、CCPAが組織に課している新しい制限により、サードパーティのデータの使用は過去のものになりますか？ 幸いなことに、多くの組織にとって、CCPAでこの制限に準拠するには、サードパーティベンダーを特定し、契約内でそれらの関係を定義し、新しい販売オプトアウトルールに準拠するプロセスを実装するだけです。

まず、組織はCCPAがサードパーティをどのように定義しているかを理解する必要があります。 セクション1798.140 （w）によると、「第三者」とは、次のいずれにも該当しない人物を意味します。

1. このタイトルで消費者から個人情報を収集する事業。
2. 書面による契約に基づき、事業目的で消費者の個人情報を開示する者。ただし、以下の場合に限ります。
   1. 以下から個人情報を受け取る人を禁止します。
      1. 個人情報の販売。
      2. 契約で指定されたサービスの提供以外の商業目的での個人情報の保持、使用、または開示を含む、契約で指定されたサービスを実行する特定の目的以外の目的での個人情報の保持、使用、または開示。
      3. 個人と企業との直接的な取引関係の範囲外で情報を保持、使用、または開示すること。
   2. 個人情報を受け取った人がサブパラグラフ（A）の制限を理解し、それらを遵守することを証明するものが含まれます。

これは、CCPAが「企業に代わって情報を処理し、企業が書面による契約に従ってビジネス目的で消費者の個人情報を開示する」法人として定義する「サービスプロバイダー」と混同しないでください。 。 これは、指示どおりにデータを使用しているビジネス組織自体とそのサービスプロバイダーは、サードパーティとは見なされないことを意味します。 ただし、企業とデータを交換する他の多くの組織は、サードパーティのカテゴリに分類されます。

組織がこれらのベンダー関係を処理する方法を決定するには、組織からデータを受信して​​いるすべてのベンダーとサードパーティのリストを作成することから始める必要があります。 CCPAとGDPRに関する以前のブログで述べたように、 GDPRの準備からの既存のデータマップがあると、このプロセスに役立つはずです。 データマップには、ビジネスがデータを共有しているすべての組織と、データを共有する目的が含まれている必要があります。 エンジニアリングから人事、財務に至るまで、組織のすべての機能領域も考慮する必要があります。 あなたの会社は、説明が必要な日常業務を遂行するために、製品開発以外のデータを共有している可能性があります。

データが組織の外部に送信されている場所を理解したら、それらの組織との契約を確認して、パートナー/ベンダーがデータに対して持つ権利を評価し、追加のプライバシー影響評価が必要かどうかを判断する必要があります。 サードパーティは、組織に指定されたサービスを提供する目的でのみデータを使用できますか、それともコントローラーとして機能し、データで何ができるかを判断できますか（CCPAにはありませんが、注意することも重要です）コントローラー/プロセッサー言語（GDPRとは異なり）、組織間で共有されるデータに関して意思決定者が誰であるかを知るために、契約内のコントローラーとプロセッサーを識別するのに役立つ場合がありますか？ 後者の場合、組織は消費者とのこの関係を開示し、データの販売を「オプトアウト」するオプションを提供する必要があります。

ここで、物事がトリッキーになり、データ駆動型の多くのビジネス関係が混乱する可能性があります。 CCPAでの「販売」データの定義は広範であるため、組織は実際にベンダーとパートナーの関係を確認して、データを「販売」する相手と、「オプトアウト」機能を追加する必要があるかどうかを判断する必要があります。彼らのウェブサイト。 念のため、セクション1798.140 （t）によると、「販売」、「販売」、「販売」、または「販売」とは、次のことを意味します。

1. 消費者の個人情報を、金銭的またはその他の価値ある対価のために、口頭、書面、または電子的またはその他の手段により、他の事業または第三者に販売、賃貸、解放、開示、配布、利用可能、転送、またはその他の方法で伝達すること。 。
2. このタイトルの目的上、企業は次の場合に個人情報を販売しません。
   1. 消費者は、開示がこのタイトルの規定と一致しない限り、第三者が個人情報を販売しないことを条件として、個人情報を意図的に開示するためにビジネスを使用または指示するか、または第三者と意図的に対話するためにビジネスを使用します。 意図的な相互作用は、消費者が1つ以上の意図的な相互作用を介してサードパーティと相互作用することを意図している場合に発生します。 特定のコンテンツにカーソルを合わせたり、ミュートしたり、一時停止したり、閉じたりしても、消費者が第三者とやり取りする意図はありません。
   2. 企業は、消費者が消費者の個人情報の販売をオプトアウトしたことを第三者に警告する目的で、消費者の個人情報の販売をオプトアウトした消費者の識別子を使用または共有します。
   3. ビジネスは、次の両方の条件が満たされた場合にビジネス目的を実行するために必要な消費者の個人情報を使用またはサービスプロバイダーと共有します。サービスプロバイダーがビジネスに代わって実行するサービス。個人情報を販売しないでください。
      1. ビジネスは、セクション1798.135と一致する契約条件で情報が使用または共有されていることを通知しました。
      2. サービスプロバイダーは、ビジネス目的を実行するために必要な場合を除き、消費者の個人情報をさらに収集、販売、または使用することはありません。
   4. 事業は、合併、買収、破産、または情報が使用されることを条件として第三者が事業の全部または一部の管理を引き継ぐその他の取引の一部である資産として、消費者の個人情報を第三者に譲渡します。セクション1798.110および1798.115と一貫して共有されます。 第三者が消費者の個人情報の使用方法または共有方法を、収集時の約束と実質的に矛盾する方法で大幅に変更する場合、第三者は、消費者に新しいまたは変更された慣行を事前に通知するものとします。 通知は、既存の消費者がセクション1798.120に従って選択を容易に行使できるように、十分に目立つように堅牢でなければなりません。 このサブパラグラフは、企業が重要な遡及的プライバシーポリシーの変更を行うこと、またはプライバシーポリシーにその他の変更を加えることを、不公正および欺瞞的慣行法（第7部第2部の第5章（セクション17200から開始））に違反する方法で行うことを許可しません。ビジネスおよび職業コードの）。

これは、組織が必ずしも個人情報と引き換えに支払いを受け取るとは限らないという非常に長い言い方ですが、それでもデータの「販売」と見なすことができます。 電子メールのコンテキストの例として、送信者は、サブスクライバーに関して収集された情報を（追跡またはオンライン収集を通じて）サードパーティの分析組織が利用できるようにして、詳細な人口統計学的洞察を提供することができます。 サードパーティが電子メール送信者から提供されたデータをより大きなデータベースに追加するため、お金は交換されません。 サードパーティは現在、自身の使用または他の顧客の使用のためにデータを取得しているため、お金が交換されていないにもかかわらず、CCPAで定義されているサードパーティの傘下にあります。 つまり、電子メールの送信者は、このサードパーティに渡されるデータをオプトアウトする簡単な方法をサブスクライバーに提供する必要があります。 複雑さのもう1つの層を追加すると、消費者が権利を行使するときに組織はすべてのサードパーティと通信する必要があり、通常、組織はスムーズなプロセスを確保するための技術的対策を実装する必要があります。

それで、それはあなたの組織をどこに残しますか？ それは本当に退屈なプロセスのように思えるかもしれませんが、CCPAが施行されたら、組織と協力する企業が準拠していることを確認するために、言及されたすべてが不可欠です。 罰金は、意図的な違反ごとに最大7500ドルになる可能性があり、コンプライアンス違反に陥った組織に数百万ドルの罰金が科せられる可能性があります。 第三者との関係が確実に強化されることを怠ったことで数百万ドルの罰金が科せられることを誰も望んでいません。

CCPAは進化を続けていますが、組織がベンダー管理プロセスを整理して、発効時に準備することが重要です。 これはCCPAシリーズの最後の予定されている投稿ですが、法律が完成した時点でアドホックな投稿を公開し続けますので、ご期待ください。