コロラド州プライバシー法｜Cookie First ブログ

コロラド州の最新のプライバシー法である「コロラド・プライバシー法」が、2021年7月7日に署名され成立しました。2023年7月1日に発効する予定ですが、これはあなたのビジネスにとって何を意味するのでしょうか？この包括的なガイドでは、この新しい法律が提供する権利やコンプライアンスを維持する方法など、この法律の詳細なレビューをしていきます。

「コロラド・プライバシー法」とは?

コロラド州プライバシー法、略してCPAは、州民の個人情報を保護するために設計されました。この法律は、カリフォルニア州の消費者プライバシー法に非常によく似ており、個人がどのようなデータが収集され、なぜ収集されるのか、そしてオプトアウトする機会を確実に認識できるようにすることを目的としています。

この法律により、コロラド州の住民は、組織が保持するあらゆる情報へのアクセス、修正、削除を行うことができます。多くの企業が顧客のプロファイリングや特定の広告を提供するために個人情報を収集しているため、この法律の主な目的は”ターゲット広告”である。

この新しい法律への準拠により、ほとんどの企業はセキュリティ対策を強化し、お客様のデータをどのように扱っているかについての透明性を高めることが求められます。CPAは、以下の基準を満たすすべての企業に適用されます。

• 個人データの販売により収益を得る事業者、またはコロラド州の 25,000 人以上の住民の情報を処理または管理する事業者。
• 暦年の間にコロラド州に居住する10万人以上の個人と関連付けることができる情報を管理または処理する事業者。

CPAのユニークな点は、これらの最低基準を満たす限りこの法律は、非営利団体にも適用されるということです。

あなたの組織がコロラド州プライバシー保護法に準拠する必要があるかどうかを判断するには、まず、個人データの定義を理解する必要があります。CPAでは、個人データを「個人と合理的に関連付けることができるあらゆる情報」と定義しています。ただし、地方、州、または連邦政府の記録に見られる公開情報とみなされるデータは除きます。同様に、組織が雇用のために保管している詳細な情報には適用されません。

また、収集されたデータがすでに他の法律や規制でカバーされている場合は、CPAは適用されません。つまり、情報がHIPAA、Fair Credit Reporting 法、Gram-Leach-Bliley 法の対象となる場合、これらの要件が優先されます。
企業間取引の目的で非識別化されたデータについてはどうなのか、疑問に思われるかもしれません。もし、あなたが持っている詳細情報が、特定の個人にリンクできず、上記のような基準のいずれにも当てはまらない場合は、CPAは適用されません。しかし、あなたの組織がコロラド州の住民のデータを収集し管理している場合、この新しい規則に対応するための準備が必要になります。

CPAにおいての消費者の権限

コロラド州プライバシー保護法は、消費者が個人情報に対して持つ権利を大幅に強化しています。欧州のGDPRやカリフォルニア州のCCPAと同様に、企業が自分のデータを収集していること、そしてその情報がどのような目的で使用されるかを個人が確実に認識できるようにすることが目的です。

下記はCPAがコロラド州民のために定めた権利の内容を紹介します。:

オプトアウトの権利

この法律で制定された権利の中で最も注目すべきは、自分のデータの売却をオプトアウトできることでしょう。これは、個人情報を活用したプロファイリングやターゲット広告に関する懸念に対応するものです。

オプトアウトの権利は、人種や民族、性的指向、市民権の有無、宗教的信条、遺伝情報、健康状態など、あらゆる個人情報に適用されます。言い換えれば、企業はこれらの情報を使ってターゲット広告やプロフィールを作成する前に、ユーザーに選択肢を与えなければなりません。

ソーシャルメディアやその他のオンラインプラットフォームで行われる広告の多くは、このデータを利用してターゲットにリーチしているため、コロラド州の多くのマーケティング担当者にとって大きな変化となるでしょう。

情報へのアクセス

CPAの法律でユーザーが持つもう一つの権利は、組織が収集した情報にアクセスする権利であるということです。事業者が自分の個人データを収集または、処理したかどうかを確認することも法で許可されています。また、発見したものを訂正または削除する権利もあります。

つまり、消費者は、収集した個人データが正しいかどうかを確認したり、ファイルに保存されている情報を削除するよう要求することができるのです。

コンプライアンスの条件

さて、コロラド州プライバシー保護法とは何か、そしてそれが定める権利についてご理解いただいたところで、これらの新しい要件に確実に準拠するための方法をご説明します。

まず、CPAは、あなたのビジネスがすべての顧客にプライバシー通知を提供することを要求しています。この文書は、すべてのユーザーが自分の個人情報の処理を取り巻く慣行を認識できるよう、明確に、かつアクセス可能でなければなりません。

プライバシー通知は、あなたのウェブサイトが収集する個人情報の種類、その情報を処理する必要がある理由、および消費者がCPAの下で権利を行使する方法を定義する必要があります。
同様に、法律では、収集した情報が確実に保護されるように、データの最小化と保護措置の要件を課しています。例えば、合理的に必要な情報、および開示された目的に関連する情報のみ収集が許可されます。

したがって、ある組織があなたの身元を確認するためにあなたの詳細情報が必要だと述べたとしても、一転してそのデータをターゲット広告の開発に使用することはできないということです。

データ収集の理由にかかわらず、まず消費者から同意を得なければなりません。ここで、オプトアウトの機会が生まれます。ユーザーは、自分のデータが収集されることを望むかどうかについて、「はい」か「いいえ」の明確な答えを提示する必要があります。

CPAのコンプライアンスに従うもう一つの要点は、処理する情報が確実に保護されることです。あなたの組織は、管理するデータの量、性質、範囲に基づいたセキュリティ対策を実施する責任があります。

コロラド州プライバシー法には、私的な訴権がないことに注意することが重要です。しかし、州の地方検事と司法長官の両方が民事措置を取ることは可能です。民事執行の権限により、企業が規制を遵守しているかどうかを確認することができます。

違反があった場合、企業は60日以内にそれを是正することができます。ただし、この修復期間は2025年までです。

-Cookie Firstのブログより引用