バージニア州消費者データ保護法(VCDPA)ガイド
米国で、消費者の個人データや機密データを扱う営利組織を経営されていますか?その場合、州ごとにデータプライバシーに関する法律が増えつつあることは懸念されるでしょう。
カリフォルニア州消費者プライバシー法(CCPA)が2020年1月1日に施行されて以来、米国では新たに4つの州(コネチカット州、コロラド州、ユタ州、バージニア州)が独自のデータ・プライバシー法を制定しました。各法律はCCPAを基盤としていますが、制定から若干異なっています。これは米国の組織にとって問題であり、他の国でも同じCCPAコンプライアンスの枠組みを適用することはできないからです。
この記事では、バージニア州消費者データ保護法(VCDPA)の特徴とコンプライアンスを確保する方法について説明します。
VCDPAとは何か?
2021年3月2日にラルフ・ノーザム州知事が署名し、2023年1月1日に施行されたVCDPAは、新しいデータプライバシー法です。これにより、バージニア州民は、企業が消費者の個人データや機密データをどのように取り扱うかについて、一定の権利を有することになります。
この法律にはいくつかの規定があり、以下のように定義されています:
- VCDPAを遵守しなければならない者
- VCDPAの適用除外者
- データ主体の消費者の権利
- 「消費者」、「個人データ」、「機密データ」、「個人データの販売」などの関連用語
- データ管理者の権利と責任
- VCDPAを遵守するために適用される組織がなすべきこと
本ガイドラインは、VCDPAに準拠する組織が遵守すべきデータ収集の慣行を定義するものである。本ガイドラインは、個人データや機密データを収集されるバージニア州住民の権利を保護することを目的としています。
VCDPAデータ対象者の消費者権利とは何か?
バージニア州の新しいデータ・プライバシー法では、「データ対象者」の定義に当てはまる住民を保護する7つの消費者権利があります。
データ対象者とは、データを収集された「特定または識別可能な個人」のことです。個人を特定できるデータには、個人の氏名、住所、生年月日、宗教的信条、移民状況、児童保護評価の状況、民族的出身などが含まれます。
以下は、VCDPAの各消費者の権利に関する内訳です:
- 個人データを知る権利、アクセスする権利、確認する権利: データ対象者は、自分のデータが収集されていることを知る権利、自分のデータにアクセスする権利、収集されているデータが正確かつ最新であることを確認する権利を有します。
- 個人データを削除する権利: データ対象者は、収集した個人データまたは機密な消費者データの削除を要求する権利を有します。
- 不正確な個人データを訂正する権利: データ対象者は、収集したデータの訂正を要求する権利を有します。
- データ移行の権利: データ対象者は、収集したデータを入手する権利、および合理的かつ可能な場合には、収集したデータをあるデータ管理者から別のデータ管理者に移行することを要求する権利を有します。
- データ処理活動をオプトアウトする権利: データ対象者は、個人データまたは機密データの収集をオプトアウトする権利を有します。
- 消費者の個人データおよび機密データの売却をオプトアウトする権利: データ対象者は、収集したデータの第三者への売却をオプトアウトする権利を有します。
権利行使のために差別されない権利: データ対象者は、対象広告またはその他の目的のために、個人データまたは機密な消費者データを収集、処理、および第三者に販売されない権利を行使することにより、差別されない権利を有します。
誰がVCDPAを遵守しなければならないのでしょうか?
VCDPAは営利団体に適用されます。具体的には、バージニア州内で運営され、製品またはサービスを提供する組織です。
さらに、以下2つのいずれかに該当する営利組織は、VCDPAを遵守しなければなりません:
- 会計年度内にバージニア州居住者 100,000 人以上の個人データを収集、処理する場合。
- 最低25,000人のバージニア州住民の個人データを収集、処理し、個人データまたは機密データの販売により総収入の50%以上を得る場合。
営利団体がバージニア州外に居住し、上記のいずれかに該当する場合、VCDPAを遵守しなければなりません。また、当該組織の収入基準に関わらず、資格要件も適用されます。大規模な組織は、上記2つの資格要件のいずれにも該当しない場合、VCDPAの遵守を回避することができます。
VCDPAが保護する消費者データの種類は?
VCDPAに適用される主なデータは、個人データと機密データの2種類です。
個人データデータとは、自宅の住所、生年月日、電話番号など、個人を特定できるデータのことです。一般に入手可能なデータ、または非特定化(自然人または団体との関連付けを解除)されたデータは、個人データとはみなされません。
機密データとは、個人データの一つである。これは、特定された子供の収集データであるか、個人または特定の人物に関する見解を形成するために使用できるデータのいずれかです。機密データの例としては、民族、宗教、政治的信条、性的指向に関するデータなどがあります。
VCDPAに準拠する組織は、2 種類のデータについて違いを理解することが重要であり、これを怠ると違反1件につき最高7,500ドルの罰則が科される可能性があります。たとえば、ある組織が機密データを収集したい場合(そうする正当な理由がある場合)、まず消費者から同意を得なければなりません。これを怠った場合、VCDPA違反となり、違反件数に応じて複数の罰則が科される可能性が出てきます。
VCDPA遵守枠組み
特にこのような法律に初めて遭遇する場合、VCDPAの条項を理解することは困難なことです。データプライバシー法の知識がある組織であっても、VCDPAを理解するために時間をかけるべきでしょう。
VCDPA遵守の枠組みを5つのステップで紹介します。
1. データの評価
最初に、バージニア州消費者データ保護法(VCDPA)について時間をかけて理解しましょう。そして、この法律があなたの組織に適用されるかどうかを判断するためにこの記事「VCDPAは誰に適用されるのか」の項目を読み役立ててください。
データ対象者の基準を満たしているのか確認をするには?Matomoのようなウェブ解析プラットフォームを利用し、ウェブビジターがどこにいるのか、そのうちの何人(特定の地域から)がWebサイトを訪問しているのか、そのうちの何人から個人データや機密データを収集しているのかを確認ができます。
Matomoでは、ダッシュボードを開き、「位置データ」”項目を見て、表示されているデータを使用し、バージニア州の住民があなたのWebサイトを訪問している数を確認することができます。
ダッシュボードの使用は、VCDPAが自社に適用されるかどうかを判断するのに便利です。
2. プライバシー保護の運用を評価
既存の個人データ保護方針および運用を見直し、VCDPAに準拠するよう更新します。ビジターの機密性、完全性、およびアクセシビリティを確実に保護します。
これを行う方法は、訪問者のIPを自動的に匿名化することです。この機能は自動的にデフォルトに設定されます。
IP匿名化のもう一つの優れた点は、ビジターがWebサイトを離れた後、訪問した形跡が消え、そのようなデータは誰にも追跡できないことです。
3. データ対象者に自らの権利を知らせます
自社組織においてVCDPAを確実に遵守するためには、データ対象者に対し、自己のデータにアクセスする権利、データを別の管理者に移行する権利、および自社のデータ収集活動からオプトアウトする権利など、データ対象者の権利を通知する必要があります。
最後は最も重要なポイントの一つです。消費者の権利要求に対応できるよう、事前にオプトアウトフォームを用意しておきます。ビジターがトラッキングの拒否を希望する場合、迅速かつ簡単に除外することができます。これは、VCDPAに準拠するのに役立つだけでなく、ビジターがプライバシーを真剣に受け止めているという事実を高く評価することに繋がります。
Matomoでオプトアウト用のフォームを作成するには、プライバシー設定項目にアクセスし(上部メニューの歯車アイコンをクリック)、プライバシー項目の下にある「ユーザーオプトアウト」メニュー項目をクリックします。フォームを作成したら、カスタマイズしてHTMLコードの一部として公開し、Webサイトのページに配置することができます。
4. ベンダーとの契約を見直す
組織の性質によっては、サードパーティのビジネス・アソシエイトとベンダー契約を結んでいる場合があります。これらは、貴社の製品やサービスの提供を適正に行うために協力する個人または組織となります。
また、収集したデータを処理する第三者と契約することもあります。たとえば、ビジターのデータを洞察に変換するためにGoogle Analytics(多くの代替手段があります)を使用している多くのWebサイト所有者がそうです。
証券取引所のような金融機関も、取引のために第三者のデータに依存しています。このような場合、データ処理契約(DPA)を締結している可能性が高くなります。これは、貴社(収集したデータの使用方法と理由を決定するデータ管理者)とデータ処理者(貴社が提供したデータを処理する者)の間で交わされる法的拘束力のある文書となります。
DPAがVCDPAに準拠していることを確認するため、以下の項目が含まれていることを確認してください:
- 用語の定義
- データ処理の指示
- 利用制限(収集したデータについて、すべての関係者ができること、できないことを説明する。)
- 物理的データセキュリティの実施(潜在的リスク、危害の危険性、管理措置など)
- データ対象者の権利
- 消費者からの要請に関する方針(受領後45日以内に回答しなければならないなど)
- 個人データ保護方針
5. 専門家の法的助言を求める
組織がVCDPAに完全に準拠するためには、データおよびプライバシー専門の弁護士に相談することを検討してください。法律を熟知しているためコンプライアンスに欠けている部分やVCDPAに準拠するために必要なアドバイスしてくれます。
また、データ・プライバシー弁護士は、既存のDPAを修正したり、新しいDPAを作成したりする際に役立ち、適切なプライバシー通知を作成したりするお手伝いもしてくれます。必要であれば、CCPAやコロラド州、コネチカット州、ユタ州で新たに発表された法律など、他の州特有のデータ保護法に準拠する分野についてもアドバイスすることもできます。
VCDPAとCCPAの違いは?
VCDPAはCCPAと類似点が多いですが、それでもこの2種類の法律には独自の適用方法があります。
これらの法律の主な違いを簡単に説明します。
消費者の定義
VCDPAでは、消費者とは「個人または家庭内で行動するバージニア州居住者の一般市民」となります。一方、CCPAでは、消費者とは「個人または家庭内で行動するカリフォルニア州居住者の一般市民」を指します。ただし、VCDPAでは雇用関係にある人は除外されていますが、CCPAでは除外されていません。したがって、組織は従業員データを考慮する必要はありません。
個人データの販売
VCDPAは「個人データの販売」を、データ管理者がデータ処理者または第三者と「金銭的対価を伴う」交換を行うことと定義しています。つまり、VCDPAの下では、取引に金銭的価値が伴う場合のみ、その行為は「個人データの販売」と見なされます。
この点は、個人データの売却が行われたかどうかを判断する際に、「その他の価値ある考慮事項」も要素としてカウントされるCCPAとは対照的になります。
オプトアウトの権利
VCDPAは、CCPAと同様に、トラッキングのオプトアウトを希望するユーザーのリクエストに応じなければならないことを明確に規定しています。しかし、CCPAとは異なり、VCDPAはこのような権利に例外を与えていません。つまり、たとえその要請が非現実的であったり、実現が困難であると組織が考えたとしても、 いかなる状況下でもその要請に応じなければなりません。
MatomoによるVCDPA準拠の確保
VCDPAは、米国の他の多くのデータプライバシー法と同様に、個人データや機密データを収集・処理されるバージニア州の消費者の権利を強化するために設計されているためMatomoのようなプラットフォームがこの問題に対し役立てることができます。
Matomoは、VCDPAに準拠するための機能を内蔵した強力なWeb解析プラットフォームです。以下のようなオプションを提供しています:
- Cookieレストラッキング
- 消費者の同意とオプトアウトフォームの作成
- 消費者の個人データへのアクセス
Matomoの21日間無料トライアルを今すぐお試しください。クレジットカードは不要です。