2022.05.20
南アフリカの個人情報保護法(POPIA)とCookie 同意について| CookieFirst ブログ
2021年7月1日、南アフリカの個人情報保護法(POPIA)が全面的に施行されます。12ヶ月の猶予期間が終了するため、施行は直ちに開始されます。つまり、あなたの組織がPOPIAに従うことは必要不可欠になってきます。
このガイドでは、POPIAについて知っておくべきことを、Cookieの同意管理との関連も含め、すべて確認します。
個人情報保護法
まず、個人情報保護法、略してPOPIAに基づく要件を確認することから始めましょう。EUのGDPR法はデータプライバシー基準の道を切り開きましたが、この新法は同じように南アフリカの市民を保護することを目的としています。
しかし、いくつか大きな違いがあります。POPIAは、南アフリカ国内でデータを処理する企業、または南アフリカに住所を置く企業にのみ適用されます。これは、域外適用であるGDPRとは異なります。もう一つの違いは、POPIAは個人と企業の両方を法人として含んでいることです。
POPIAの条件
POPIA法は、南アフリカの人々および組織に、個人情報に関する強制力のある権利を与えています。この法律は、データ処理に関する8つの基本要件を定め、個人情報が何を意味するのかについて幅広い定義を設けています。POPIAはまた、これらの規則を監督し執行する情報規制当局、SAIRを設立しました。
下記がPOPIA法の8つの原則になります:
-
責任
組織は顧客の情報を保護するために、データ保護ポリシーを制定する責任があります。また、すべてのデータ処理がPOPIAに準拠していることを保証する責任を負います。
-
プロセスの制限
処理される全ての個人情報は、合法的に、かつ対象者のプライバシーを侵害しない方法で行わなければなりません。ここで重要になってくるのは、方針と手順が法律に従っていて合理的に行われているということです。
-
目的の指定
全てのデータ収集には具体的かつ合法的な目的が必要です。目的を明確に提示するだけではなく、理由を対象者に伝えなければなりません。目的を対象者に伝える必要がないのは、データ収集が法律で義務付けられている場合だけです。
-
追加処理の制限
企業が個人データを収集した後、特定の状況においてのみ、追加的な処理を行うことができます。追加処理は、先に定義された目的に沿って行われる場合にのみ可能です。
-
情報品質
組織は、収集したデータが正確で、完全で、誤解を招かないことを保証しなければなりません。また、必要に応じて情報を更新する責任もあります。
-
公開性
次の原則は、公開性、つまり責任者は、個人データを収集または処理する際に、規制当局に通知しなければなりません。さらに、データ対象者の名前と住所、および情報を収集する理由を提供しなければなりません。
-
安全保護措置
責任者は、個人情報を収集するため、その一貫性を保護するために適切なセキュリティ保護措置を講じなければならない。
-
データ対象者の権利関与
The last principle gives subjects the right to request information about whether an organization has their data and what it includes. There must be no charge incurred for requesting these details.最後の原則は、データ対象者が、ある組織が自分のデータを保有しているかどうか、およびそのデータには何が含まれているかについての情報を要求する権利を与えるものです。これらの詳細な情報を要求するためにデータ対象者に費用が発生してはなりません。
POPIAに従わなかった場合のペナリティ
すべての新しい規制と同様に、コンプライアンスに違反した場合の結果を理解することが不可欠です。
POPIAは、新しい法律の監督と執行を行う独立機関である「Information Regulator」(インフォメーションレギュレイター)を設立しています。この機関は、違反の重大性に応じて、10年以下の懲役または1,000万ランドまでの罰金および罰則を科すことができます。
すべての規制対象者は、セキュリティ、機密性、文書化など、ユーザーデータの処理に関する最低限の要件を満たす必要があります。目標は、エンドユーザーが、組織が過去に収集したあらゆるデータにアクセス、削除、更新する権利を持つことを保証することです。
また、POPIAを遵守しなかった場合、組織は集団訴訟に直面する可能性があります。情報規制当局は、データ対象者が組織による損害に対して適切な民事訴訟を起こすことができるように、集団訴訟を促進する予定です。
もし、あなたの会社がデータ侵害の被害に遭ったらどうなるのでしょうか?このシナリオでは、ユーザーを保護するためにPOPIAの下で必要なすべてのステップを踏んだことを証明できれば、コンプライアンスに準拠しているとみなされる可能性があります。
POPIAの要件に準拠しない場合の法的影響は深刻です。したがって、2021年7月1日までに適切な手順を実施する必要があります。
POPIA はどのように Cookie 同意に影響を与えるのか
では、POPIAはCookieの同意とどのように関係しているのでしょうか?Cookieや訪問者のオンライン追跡に依存しているウェブサイトの所有者として、どのような影響があるのでしょうか?
GDPRとCCPAの規制では、Cookieを収集する前にユーザーの同意を得ることが明示的に義務付けられています。POPIAは、組織がクッキーを使用する方法を明示的に規制していませんが、クッキーは「オンライン識別子」という用語に該当します。
個人情報保護法は、企業が収集するすべてのオンライン識別子を視聴者が認識できるよう、合理的な措置を講じることを求めています。クッキーが収集されることを知らせるだけでなく、データの出所や目的についても説明する必要があります。同様に、情報の提供が必須なのか任意なのか、そしてデータを提供しないことを選択した場合にどうなるのかも、ユーザーに知らせなければなりません。
つまり、Cookieを使用して個人情報を収集する場合は、その情報を開示し、適切なオプトイン/オプトアウト機能を提供することがPOPIAでは求められています。新しい規制の下で規制当局が同意をどのように解釈するかはまだ明確ではありませんが、クッキーの同意という点で、組織にはより高いレベルの責任が課されることになることは暗黙の了解でしょう。
南アフリカの個人情報保護法のすべての要件を満たすことを確実にする最善の方法は、Cookieの同意プロセスを強化することです。
-Cookie First引用