OCPA、FDBR、TDPSA ? 米国の新しい個人情報保護法について知っておくべきこと
2024年7月1日、フロリダ州、オレゴン州、テキサス州で新しいプライバシー法が施行されました。これらの州の人々は、自分の個人データをよりコントロールできるようになり、米国におけるプライバシーポリシーの変化を示しています。ここでは、これらの法律について知っておくべきことと、プライバシーに焦点を当てたアナリティクスが貴社のビジネスのコンプライアンス維持にどのように役立つかを説明します。
3つの法律すべてにおいて消費者の権利が前面に出ています
フロリダ州デジタル権利章典(FDBR)、オレゴン州消費者プライバシー法(OCPA)、テキサス州データプライバシーおよびセキュリティ法(TDPSA)は、消費者に同様の権利を認めています。
アクセス 消費者は企業が保有する個人データにアクセスすることができます。
訂正: 消費者は不正確なデータを訂正することができます。
削除: 消費者はデータの削除を要求することができます。
オプトアウト 消費者は、個人データの販売やターゲット広告のオプトアウトが可能です。
オレゴン州消費者プライバシー法(OCPA)
オレゴン州消費者プライバシー法(OCPA)は、2023年6月23日に署名され、2024年7月1日より施行されました。2025年7月1日以降、当局はデータ保護評価を義務付ける条項を施行し、企業は2026年1月1日までに普遍的なオプトアウトの仕組みを認めなければなりません。オレゴン州では、OCPAは以下のような企業に適用されます:
・オレゴン州内で事業を行う、またはオレゴン州居住者に商品やサービスを提供する。
・10 万人以上の消費者の個人情報を管理または処理している。
・25,000 人以上の消費者の個人情報を管理または処理し、個人情報の販売から総収入の25%以上を得ている。
例外として、州政府や地方自治体などの公的機関、金融機関、特定の金融規制の下で運営されている保険会社が含まれます。また、HIPAAやその他の特定の連邦規制の対象となる保護されるべき健康情報も除外されます。
業務上の義務
データ保護評価: 企業は、機微(センシティブ)データに関わる処理や児童を対象とする処理など、リスクの高い処理活動についてデータ保護アセスメントを実施しなければなりません。
機微(センシティブ)データの同意: 企業は、人種や民族的出身、宗教的信条、健康情報、生体認証データ、地理的位置情報などの機微な個人データを収集、処理、販売する前に、明示的な同意を得なければなりません。
ユニバーサル・オプトアウト:2025年1月1日以降、企業は、グローバル・プライバシー・コントロールのような、消費者がデータ収集・処理活動からオプトアウトできるユニバーサル・オプトアウト・メカニズムを認めなければなりません。
施行
オレゴン州司法長官は、違反1件につき最高7,500ドルの罰金を科すことができます。私訴権はありません。
OCPAの特徴
OCPAは、他の州の個人情報保護法とは異なり、機密情報や子供のデータの処理にオプトインの同意が必要であり、非営利団体もその範囲に含まれます。また、2026年からはグローバルブラウザのオプトアウトメカニズムも要求しています。
フロリダ州デジタル権利章典(FDBR)
フロリダ州デジタル権利章典(FDBR)は2023年6月6日に法制化され、2024年7月1日に施行されました。この法律は、デジタル活動に関連する事業や収益が大きい企業を対象とし、フロリダ州住民の情報管理を強化し、企業により厳しい義務を課すことで、フロリダ州住民の個人情報を保護することを目的としています。この法律は以下の事業体に適用されます:
・フロリダ州で事業を行う、またはフロリダ州住民を対象とした製品やサービスを提供する、
・年間グローバル総収入が10億ドルを超える、
・デジタル広告から収益の50%以上を得ている、またはアプリストアやバーチャルアシスタント付きスマートスピーカーなどの重要なデジタルプラットフォームを運営している。
政府機関、非営利団体、Gramm-Leach-Bliley法の適用を受ける金融機関、HIPAAの適用を受ける団体などは免除されます。
業務上の義務
データ・セキュリティ対策: 企業は、不正アクセスや侵害から個人データを保護するために、合理的なデータ・セキュリティ対策を実施することが求められます。
機微(センシティブ)データの取り扱い: センシティブ・データ(人種や民族的出身、宗教的背景、個人情報など)の取り扱いには、明示的な同意が必要です。
無差別: 事業者は、プライバシー権を行使する消費者を差別しないことを保証しなければなりません。
データの最小化: 企業は必要なデータのみを収集しなければなりません。
ベンダーの管理 企業は、個人データの安全な取り扱いと処理に関して、処理業者およびベンダーにもFDBRを遵守させなければなりません。
施行
フロリダ州司法長官は、違反1件につき最高5万ドルの罰金を科すことができ、故意の違反に対してはより高い罰則が科されます。
FDBRの特徴
カリフォルニア州消費者プライバシー法(CCPA)のような広範な個人情報保護法が、より低い収益基準やデータ処理量に基づいてより広範な企業に適用されるのとは異なり、FDBRはデジタル広告から多額の収益を上げる大規模企業を対象とすることで差別化を図っています。FDBRはまた、オンラインプライバシーに関する懸念の進化する状況を反映し、現代のデジタルインタラクションに関連する特定の消費者の権利を強調しています。
テキサス州データプライバシー・セキュリティ法(TDPSA)
Texas Data Privacy and Security Act (TDPSA)は、2023年6月16日に署名され、2024年7月1日に発効し、テキサス州住民のデータ保護を強化しています。TDPSAは以下の事業体に適用されます:
・テキサス州で事業を行う、またはテキサス州居住者に製品やサービスを提供する。
・個人データの処理または販売に従事している。
・米国中小企業庁の基準(通常、従業員数または平均年間売上高を含む)による中小企業の分類に該当しない。
州政府機関、地方自治体、Gramm-Leach-Bliley法に準拠した金融機関、HIPAAに準拠した事業体はこの法律から除外されます。
業務上の義務
データ保護評価: 企業は、ターゲット広告のための処理、個人データの販売、プロファイリングなど、消費者に危害を及ぼすリスクが高まる処理活動について、データ保護アセスメントを実施しなければなりません。
機微(センシティブ)データに対する同意: 企業は、人種や民族的出身、宗教的信条、健康情報、生体認証データ、地理的位置情報などの機微な個人データを収集、処理、販売する前に、明示的な同意を得なければなりません。
企業は、取り扱う個人情報に応じて、適切なデータ・セキュリティ対策を講じなければなりません。
データ・サブジェクト・アクセス・リクエスト(DSAR): 企業は、消費者からの個人データに関する要求(アクセス、訂正、削除など)に対して、不当な遅延なく、遅くとも要求受領後45日以内に対応しなければなりません。
データの販売: 企業が個人データを販売する場合、これらの慣行を消費者に開示し、オプトアウトの選択肢を提供しなければなりません。
普遍的オプトアウトの遵守: 2025年1月1日以降、企業はグローバル・プライバシー・コントロールのような普遍的なオプトアウトの仕組みを認め、消費者がデータ収集・処理活動からオプトアウトできるようにしなければなりません。
施行
テキサス州司法長官は、違反1件につき最高25,000ドルの罰金を科すことができます。私訴権はありません。
TDPSAの特徴
TDPSAは、小規模事業者の適用除外、収益またはデータ量に基づく特定の基準値の欠如、2025年からの普遍的なオプトアウト・メカニズムの承認要件で際立っています。また、機微(センシティブ)データの処理に関する同意を義務付けており、データ保護評価やプライバシー通知に関する具体的な措置も盛り込まれています。
フロリダ州、オレゴン州、テキサス州のプライバシー通知
3つの法律はすべてプライバシー通知の義務付けを含んでいますが、具体的な要件には微妙な違いがあります。以下はその違いの内訳です:
FDBRプライバシー通知の要件
明確性: プライバシー通知は、個人データの収集と使用について明確に説明しなければなりません。
情報開示:告知は、データへのアクセス、訂正、削除、データ販売やターゲット広告のオプトアウトなどの権利について消費者に通知しなければなりません。
具体性: 事業者は、個人データを販売したり、ターゲット広告に使用したりする場合は、その旨を開示しなければなりません。
セキュリティ慣行: 通知には、実施されているデータ・セキュリティ対策を記載すべきであります。
OCPA プライバシー通知の要件
包括的な情報: 通知には、収集された個人データ、処理目的、アクセス可能な第三者に関する情報を提供しなければなりません。
消費者の権利: 消費者のデータへのアクセス、訂正、削除、およびデータ販売、ターゲット広告、プロファイリングのオプトアウトの権利について明確に説明すること。
機微(センシティブ)データ: 機微(センシティブ)データを処理する場合、企業や団体は明示的な同意を得、それを伝えなければなりません。
ユニバーサル・オプトアウト: 2026年1月1日以降、企業は普遍的なオプトアウトの仕組みを認識し、尊重しなければなりません。
TDPSAプライバシー通知要件
詳細な通知: 収集されたデータおよびその使用目的を含む、データ収集慣行に関する明確かつ詳細な情報を提供しなければなりません。
消費者の権利: データへのアクセス、訂正、削除、データ販売やターゲット広告のオプトアウトの権利を消費者に通知しなければなりません。
高リスク処理: 通知には、リスクの高い処理活動および実施されている保護措置に関する情報を含めること。
機微(センシティブ)データ: 機微(センシティブ)データを処理するためには、事業体や企業は明示的な同意を得なければなりません。
これらの法律が企業にとって意味すること
フロリダ州、オレゴン州、テキサス州で事業を営む企業は、この新しいデータプライバシー法を遵守しなければならなくなりました。罰金を避けるためにできることは以下の通りです:
1.法律を理解する: 消費者の権利や企業の義務など、FDBR、OCPA、TDPSAの具体的な要件をよく理解する。
2.データ保護対策の実施 強固なデータ・セキュリティ対策を確実に実施する。これには、特にリスクの高い処理業務について、定期的なデータ保護評価を実施することが含まれる。
3.プライバシーポリシーの更新 消費者の権利とデータ処理方法について、明確かつ包括的なプライバシー通知を提供する。
4.明示的な同意の取得 センシティブなデータについては、消費者から明示的な同意を得るようにする。これには、健康状態、人種、性的指向などの情報が含まれる。
5.要求を効率的に管理する: 消費者からのデータへのアクセス、訂正、削除、データ販売やターゲティング広告のオプトアウトの要請を、定められた期間内に処理できるよう準備する。
6.オプトアウトの仕組みを認識する: オレゴン州では、企業は2026年1月1日までに普遍的なオプトアウトの仕組みを導入し、認識する準備が整っていなければならない。テキサス州では、オプトアウトの実施は2026年に開始される。フロリダ州では、特定のオプトアウト規定が2024年7月1日に開始される。
7.最新情報の入手 継続的なコンプライアンスを確保するために、これらの法律の変更や更新を常に把握する。Matomoブログ、またはニュースレターの購読をお勧めします。
米国ではプライバシー重視の未来に向かっているのでしょうか?
フロリダ州、オレゴン州、テキサス州は、カリフォルニア州、バージニア州、コロラド州、コネチカット州、ユタ州、アイオワ州、インディアナ州、テネシー州、モンタナ州などの州とともに、消費者のプライバシー保護を強化しています。この傾向は、消費者データの権利と透明性のあるビジネス慣行の重要性を強調し、よりプライバシー重視のインターネットに向けた米国の政策の転換を意味するかもしれません。これらの法律があなたのビジネスに適用されなくても、データとプライバシーポリシーの更新を検討することは賢明です。幸いなことに、プライバシーとコンプライアンス向けに設計されたツールやソリューションがあり、こうした変化を乗り切るのに役立ちます。
Matomoで罰金を回避し、より良いデータを得る
ほとんどの分析ツールは、ユーザーデータの保護を優先していません。Matomoでは、誰もがデータ主権、プライバシー、そして素晴らしいアナリティクスを受ける権利があると信じています。Matomoは、驚くべき洞察を提供しながら、プライバシー規制を満たすソリューションを提供します。Matomoでは、以下のことが可能です:
100%のデータ所有権: データを完全に管理し、プライバシーポリシーに従って使用することができます。
プライバシー保護: プライバシーを念頭に置いて構築された Matomo は、企業がプライバシーに関する法律に準拠できるよう支援します。
強力な機能: ヒートマップ、セッション記録、A/Bテストなどのツールで洞察を得られます。
オープンソース: Matomoはオープンソースであり、透明性とカスタマイズ性を重視しています。
柔軟性: Matomoは、お客様のサーバーまたはクラウドでホスティングし、セキュリティを強化します。
データサンプリングなし: データサンプリングなしで、正確で完全なインサイトを確保します。
プライバシー・コンプライアンス: データは安全に保存され、販売や共有されることはありません。