米国のデジタル プライバシー法

米国がくしゃみをすると、世界が風邪をひきます。 この声明は、デジタル技術の世界に特に当てはまります。 結局のところ、アメリカは世界をリードし、最も成功している多くのオンライン企業の本拠地です (ただし、中国が勢いを増していると主張する人もいるかもしれません)。 ただし、ヨーロッパのいとこが主導権を握っている分野の 1 つは、デジタル プライバシーです。

GDPR は世界のプライバシーに対する見方を変えました

2018 年に思いを馳せると、欧州連合が一般データ保護規則 (GDPR)で全世界をどのように揺るがしたかを覚えているでしょう。

当時、GDPR は、誰と、どこでデータを共有したかに関係なく、ヨーロッパ市民のプライバシーを保護するために設計された包括的な規制であったため、独自のものでした。 この規制は、米国の組織が、場所に関係なく、ヨーロッパで、またはヨーロッパ市民と一緒に事業を継続したい場合、GDPR に準拠する必要があることを意味していました。

以前のプライバシー規制とは異なり、GDPR には歯があり、違反に対して巨額の罰金を課す欧州委員会の影響力が背後にありました。

コンプライアンスを確保するために、世界中で数百万ドルと無数のスタッフの時間が費やされました。 多くの点で、この投資は、成熟しているもののまだ大部分が規制されていないデジタル ビジネス セクターで採用された「ワイルド ウェスト」ビジネス慣行の最後の残骸を一掃するのに役立ちました。 それにもかかわらず、数え切れないほどの米国企業が GDPR に違反しています。

それでも GDPR が適用されるとは思いませんか? コンプライアンス違反に対して課せられる最大の罰金のリストを確認してください。 Amazon、Meta (Facebook)、Alphabet (Google) が最も重大な罰金のトップ 10 を占めています。

米国のプライバシー法の変化

GDPR の前に、米国は基本的に、プライバシーの観点から缶詰 (CAN-SPAM) を蹴散らしていたと主張することができます。

多くの点で、GDPR により、米国の企業は、米国の規制を必要とせずに自らの行為を一掃することを余儀なくされました。 しかしこれは、米国がプライバシーを真剣に考えていないという意味ではありません。 現在、複数のプライバシー法が制定されており、他の多くのプライバシー法が米国全土で展開されています。ただし、個々の州が法律を作成する方法が原因で、これらの法律は GDPR よりも関連性が低く、包括的ではありません。 州境を越えて事業を展開している企業にとって、これは混乱を招く可能性があります。

CCPA/CPRA

2023 年 7 月 1 日に施行されるカリフォルニア州消費者プライバシー法 (CCPA) とそれに続くカリフォルニア州プライバシー権法 (CPRA) は、GDPR に最も近いものとして説明されています。

CPRA は、CCPA に含まれていないいくつかの規則の基礎を築いた GDPR によって設定された基盤の上に構築されています。 これらの規則には次のものが含まれます。

• データの最小化:特定の目的を達成するためにデータ収集が必要であることを確認します。
• 目的の制限:収集されたデータを新しい目的や互換性のない目的に使用できないようにする。
• ストレージの制限:データが必要以上に長く保存されないようにします。

GDPR は、CPRA が人種や民族的出身、政治的意見、宗教的または哲学的信念、性的指向、遺伝学、健康関連データなどの機密個人情報 (SPI) を処理する方法にも影響を与えています。

類似点はありますが、GDPR と CPRA には重要な違いがいくつかあります。

GDPR は、企業の規模、場所、目的に関係なく、EU 市民からデータを収集して処理するすべての組織に適用されます。 また、GDPR は個人データとビジネス データを区別しません。

一方、カリフォルニア州プライバシー法 (CPRA) は、カリフォルニア州住民の個人情報を収集および処理し、次の基準の 1 つ以上を満たす企業にのみ適用されます。

• 年間総収入が 2,500 万ドルを超える。
• 年間 10 万人以上の消費者または世帯の個人情報を購入、販売、または共有する。 また
• 年間収益の 50% 以上を消費者の個人情報の販売から得ている。

GDPR と比較して、企業が CCPA/CCPR のレーダーの下を飛び回る余地はたくさんあります。 これはおそらく、ヨーロッパに比べて、米国の組織が個人情報にアクセスして保存することに対してよりリラックスした態度を示していることを反映しています. しかし、何千人もの米国市民に迷惑をかけたいくつかの注目を集めるデータ侵害を受けて、これらの態度は以前ほど緩くなってきており、より多くの米国の州がプライバシーの時流に飛び乗っています.

バージニア州消費者データ保護法 (VCPDA)

バージニア州消費者データ保護法 (VCDPA) は、CCPA/CPRA および GDPR と同様のプライバシー法であり、2023 年 1 月 1 日に施行されました。

VCDPA は、バージニア州で事業を行う、またはバージニア州の居住者を対象とし、特定のしきい値要件を満たす企業に適用されます。 これらの要件には、年間少なくとも 100,000 人のバージニア州の消費者の個人データを処理すること、または個人データの販売から総収益の 50% 以上を得ること、および年間少なくとも 25,000 人のバージニア州の消費者の個人データを処理することが含まれます。

VCDPA の下で、バージニア州の消費者は、自分に関してどのような個人データが収集されているかを知る権利、自分のデータにアクセスする権利、そのデータの不正確さを修正する権利、特定の状況で自分のデータを削除する権利、およびデータの販売をオプトアウトします。

コロラド州プライバシー法 (CPA)

CPA は 2023 年 7 月 1 日に発効する予定です。

CCPA/CPRA および GDPR と同様に、CPA は、コロラド州で事業を行う、またはコロラド州の住民を対象とし、特定のしきい値要件を満たす企業に適用されます。 これらの要件には、年間少なくとも 100,000 人のコロラド州の消費者の個人データを処理すること、または個人データの販売から総収入の 50% 以上を得ること、および年間少なくとも 25,000 人のコロラド州の消費者の個人データを処理することが含まれます。

繰り返しますが、CPA の下では、コロラド州の消費者は、自分についてどのような個人データが収集されているかを知る権利、自分の個人データにアクセスする権利、自分の個人データの不正確さを修正する権利、特定の状況で自分の個人データを削除する権利を持っています。 、および個人データの販売をオプトアウトする権利。

プライバシー保護を求める動きが全米で拡大

CCPA/CCPR、VCDPA、および CPA はすべて地方の規制ですが、点と点を結びつけ、プライバシーを保護するための「国家的な」取り組みを作成するために、プライバシー規制を導入する州の数が増加する動きが高まっています。

コネチカット、アイオワ、ユタの各州には、今後 2 年以内に施行される予定の規制があります。 The International Association of Privacy Professionals (IAPP) trackerによると、他の多くの州で規制が導入されています。

ただし、州の境界を越えて連邦レベルで個人を保護する米国のレガシー法がいくつかあります。

HIPAA – 連邦法

医療保険の携行性と説明責任に関する法律 (HIPAA) は、 1996 年に制定された連邦法であり、GDPR やインターネットの普及よりも前に制定されました。

HIPAA は、患者の個人的な健康情報を保護するためのプライバシーとセキュリティの基準を提供するように設計されています。 この法律は、保護された医療情報 (PHI) のプライバシーとセキュリティに関する国家基準を定めており、特定の電子取引を行う医療保険、医療提供者、および医療クリアリングハウスに適用されます。

HIPAA の下では、対象となるエンティティは、PHI の機密性、完全性、および可用性を保護するためのセーフガードを実装する必要があります。 これらの保護手段には、PHI のプライバシーとセキュリティを確保するための管理的、物理的、および技術的な対策が含まれます。

HIPAA はまた、PHI にアクセスする権利、PHI の修正を要求する権利、プライバシー権が侵害されたと思われる場合に苦情を申し立てる権利など、PHI に関する特定の権利を個人に与えます。

企業の反応は？

全体として、企業はプライバシー規制の波の高まりに積極的に反応しています。 この傾向がなくならないことを知っている多くの企業は、自社のサービスをビジネス モデルにプライバシーを組み込むように適応させています。 Apple の Mail Privacy Protectionの更新はすでに見てきました。Google は、Google Analytics の最新版である GA4 でユーザー エンゲージメントを追跡する方法を再発明しています。

ただし、プライバシー規制の要求を追跡して対応するためのリソースを持たない中小企業にとって、これは混乱する時期になる可能性があります。 これは、データが複数のテクノロジー プラットフォームにわたって収集および処理される場合に特に当てはまります。 これらの企業にとって、コンプライアンスの維持を支援できる専門家に相談することで、クライアントのプライバシーと組織の将来を保護することは理にかなっています。

もっと詳しく知る

emfluence のマーケティング エキスパートが、現在および今後のプライバシー規制の適切な側でビジネスを維持するためにどのように役立つかについて詳しく知りたい場合は、 [email protected]まで今すぐお問い合わせください。