CCPAとGDPRコンプライアンスの比較
EUの一般データ保護規則(GDPR)とカリフォルニア州消費者プライバシー法(CCPA)の類似点と相違点について、よく寄せられる質問をいくつか紹介します。
GDPRとは
GDPRは、2016年4月に施行された欧州連合(EU)の法律です。 この規則は、個人データ保護を改善し、データ侵害に対する組織の説明責任を高めて、欧州連合の居住者を保護することを目的としています。 GDPRには、グローバルでの収益の最大4%または2,000万ユーロ(いずれか高い方)の罰金が含まれており、組織の所在地に関係なく、EU居住者の個人データを処理または管理している場合、組織は規制の対象となります。
GDPRの重要なデータセキュリティ要件
GDPRの主要な規定の一部では、組織に次のことを要求しています:
- 「不正または違法な処理からの保護を含む」セキュリティを確保する方法で個人データを処理する(第5条)
- 「個人データの偽装と暗号化」など、リスクのレベルに適したデータセキュリティを確保するための技術的および組織的な対策を実装する。 (第32条)
- これらの個人の「侵害が権利と自由に高いリスクをもたらす可能性がある場合」は、「過度の遅延なしに」個人データの侵害を、そのような侵害の対象に伝達する。 (第34条)
- 「個人データの不正な開示またはアクセス」から保護する。 (第32条)
GDPRの詳細:
GDPRは個人データの暗号化を要求しますか?
第6条(処理の合法性)は、対象者の個人データを保護するための「適切な保護手段」として「暗号化または仮名化」を特定しています。
第32条(処理のセキュリティ)は次のように述べています。「処理者は、リスクに適したレベルのセキュリティを確保するために、適切な技術的および組織的対策を実施する必要があります。これには、特に必要に応じて以下が含まれます:
(a)個人データの仮名化と暗号化…
第34条(データ主体への個人データ侵害の通信)によって、暗号化を使用して「個人データへのアクセスを許可されていない人が個人データを理解できないようにする」場合、データ侵害に苦しんでいる組織は通信要件を回避できます。
CCPAとは
カリフォルニア州消費者プライバシー法(CCPA)は2020年初頭に施行されました。 この法律は、カリフォルニアの住民が収集する個人データとそのデータの使用方法をより詳細に制御できるように設計されています。
企業がCCPAに違反していることが判明した場合、意図的な違反ごとに7,500ドルの罰金が科せられます。 意図的でない違反はそれほど面倒ではありませんが、それでもコストがかかり、それぞれ2,500ドルです。 ただし、民事訴訟は、非準拠の組織に悪影響を与える可能性があります。 CCPAの違反の影響を受ける消費者ごとに、組織は消費者1人あたり最大750ドルの民事損害賠償に直面することになります。
CCPAの詳細:
CCPAは個人データの暗号化を要求しますか?
CCPAのセクション1798.150には次のように記載されています: 「セクション1798.81.5(d)(1)(A)で定義される通り、その暗号化されていない非編集形式の個人情報が、個人情報を保護するための、情報の性質に合った合理的なセキュリティ手続および慣行を実装および維持する義務に企業が違反したことにより、不正アクセスおよび漏洩、盗難または開示の対象となった人は、民事訴訟を起こすことができます…」
さらに、暗号化鍵の保護は、CCPAに関連する法律で対処されています。 特に、議会法案1130は、カリフォルニア州の侵害通知法を更新するために導入されたもので、データが暗号化されておらず、暗号化鍵がデータとともに取得されていない場合を除き、データが侵害された人に通知する必要があります。
CCPAと GDPR
GDPRとCCPAはどのような点が類似していますか?
GDPRとCCPAはどちらも、それぞれの地域に住む人々のプライバシーとデータの権利を保護することを目的としています。 どちらも、組織が居住する地域にあるかどうかに関係なく、居住者と取引を行う組織に範囲を広げています。
CCPAとGDPRはどちらも、個人データに関する特定の権利を個人に付与し、そのデータを保持および処理する組織からの透明性を要求します。
CCPAとGDPRの両方:
- 企業が収集した個人に関する個人情報を開示するよう企業に要求します。
- 組織が個人データをどう扱うかを明らかにすることを要求します。
- 個人データを保持する組織に対し、データが関係する人物の要求に応じてそのデータを削除するよう要求します。
- 個人の個人データを保護するために、組織にサイバーセキュリティ対策を講じることを要求します。
- 違反には罰金を課します。
GDPRとCCPAはどう違いますか?
- GDPRでは、企業は居住者に関するデータを処理する前に法的根拠を取得する必要があります。 CCPAはそうではありません。
- GDPRは、上記の法的根拠の要件を満たすすべてのビジネスに適用されます。 CCPAは、年間総収入が2,500万ドルを超える企業にのみ適用されます。
- CCPAの下では、個人は企業が個人データを販売するのを防ぐことができ、組織はこれらの個人を差別することはできません。
- GDPRでは、「遺伝子データ」や「生体認証データ」などの用語を含めることでより具体的になるため、健康関連の情報を処理する企業に追加の条件を課します。 CCPAは一般的で包括的な用語を使用します。
- 一般に、GDPRの罰金は、CCPAの罰金よりも高いようです。 ただし、CCPAは民事訴訟への扉を開きます。これは、違反している組織にとって同じくらい費用がかかる可能性があります。