Ameesh Divatiaは、Baffle, Inc.の共同設立者であり、CEOです。

Big Data wave

getty

11月3日にカリフォルニア州プライバシー権法(CPRA)が成立し、カリフォルニア消費者プライバシー法(CCPA)が基礎となりました。 EUのプライバシー規制であるGDPRは、データ・プライバシー法のゴールド・スタンダードであり、CPRAは、データ・プライバシーに対する社会の要望を反映し、そのスタンダードに近づいたと言えるでしょう。 さらに、CPRA は、企業が収集した個人データに対する消費者のコントロールとアクセスを CCPA よりもさらに強化します。

CCPA は 1 月に署名され、7 月に施行されたばかりなので、対象事業者にとって、これは規制の「ワンツーパンチ」のように感じられるかもしれません。 企業にとって朗報なのは、CPRA が 2023 年まで発効しないため、企業が準拠するために必要なインフラを構築する時間が得られることです。 5 月に IAPP が説明したように、CPRA には検討すべき多くの側面がありますが、私は、データ保護に関連する重大な課題をもたらす新法の 3 つの領域があると考えています:

– カリフォルニア プライバシー保護局 (CalPPA) の設立。

– 機微な個人情報カテゴリの作成。

– 消費者の権利とデータ管理者のコンプライアンスの拡張。

CalPPA の設立

CPRA では、司法長官から新しく設立された CalPPA に執行責任が移されました。 この機関は、5人のメンバーからなる理事会で構成され、人々のプライバシー権を保護し、一般市民の認識を高め、この法律の下で消費者や企業にガイダンスを提供します。 このように CPRA 専用の機関に責任が移ったことで、執行プロセスはより厳しく、明確に定義されるようになると私は考えています。 その結果、組織は、初日から法律に準拠するために適切なインフラストラクチャを確実に実装することに、さらに専念しなければならなくなるでしょう。 IAPP によると、この情報には、消費者の正確な地理的位置、人種、民族、宗教、性的指向、組合員、パーソナル コミュニケーション、遺伝データ、生体または健康情報などの詳細が含まれます。 まず、保護しなければならないデータ量が指数関数的に増加するため、データの識別の領域でより多くの警戒が必要になります。 2つ目の課題は、機密性の高い個人情報は、社会保障番号、クレジットカードやデビットカードの番号、住所など、従来の識別形式に従っていないため、より微妙なものとなります。

Expanded Consumer Rights And Data Collector Compliance

CPRA は、対象事業者が消費者データをどれくらいの期間保持するかについて、消費者とコミュニケーションをとるよう要求しています。 さらに、この法律では、企業がデータを保持できる期間を公式に制限しています。 CPRA のこの側面に従うことにより、企業は、保持記録を監視および更新するためのプロトコルをさらに改善し、この情報をコンプライアンスに則った方法で消費者に伝えていることを確認する必要があります。

CPRA は、対象企業と協働するサービス プロバイダ、契約業者および第三者に対して新しい法律を遵守するよう要求し、彼ら自身が直接対象となるかどうかに関係なく CPRA の要件を事実上遵守するよう促します。 これらの組織は、受け取ったデータを最初に合意された目的以外に使用することはできません。 また、その情報を販売することもできず、おそらく他の方法で採用するよりも厳格で包括的なプライバシー慣行を実施する必要があるでしょう。

How Organizations Should Prepare For CPRA

CPRA に準拠するためには、ほとんどの対象事業者には多くの努力が必要ですが、準備には 2 年間がかかるため、家を整頓する時間を確保できるはずです。 2023 年の CPRA への準備を確実にするために、以下の提案を検討してください。

– データの識別、保護、および保持のポリシーを今すぐ監査します。 現在のポリシーが CPRA の背景となる矛盾点に注意し、適切な調整を開始する。 おそらく、組織は最近 CCPA コンプライアンスのためにこのステップを踏んだので、CPRA コンプライアンスへのジャンプは今回より容易になるはずです。 GDPR コンプライアンスを追求した組織は、すでに CPRA コンプライアンスのためのスタートを切っていることでしょう。 パートナーは、保護対象事業者が共有するデータについて責任を負うことになるため、それを保護するための手順をよりよく理解する必要があります。 また、潜在的なパートナーを吟味するためには、彼らがCPRAの要件をどのように満たす計画なのかについて問い合わせる必要があります。 これらの企業に対してコンプライアンスに関する質問書を作成し、プロセスを管理しやすくします。

– CPRA 対応のソリューションを要求する。 組織が利用しているソリューションの中には、CPRA への準拠をより容易にするために改訂が必要なものが多数あると思われます (例: クラウドセキュリティ、データ管理、データプライバシー、データ共有ツールなど)。 プロバイダーが提供するものが CPRA コンプライアンスを効果的に維持するのに役立たない場合は、プロバイダーと懸念を積極的に共有するようにしてください。

消費者データ プライバシー法は、地域や業界を問わず勢いを増しており、CPRA は最新の例となっています。 今、困難な側面への投資を強化することで、対象事業者は、法律が発効したときにコンプライアンスを維持する準備ができ、将来のプライバシー法に対処しなければならないときに、より機敏になることができます。

Forbes Technology Councilは、世界クラスのCIO、CTO、テクノロジーエグゼクティブのための招待制コミュニティです。 私はその資格があるのでしょうか?

TwitterまたはLinkedInで私をフォローしてください。 私のウェブサイトをチェックしてください。

Loading …

コメントを残す

メールアドレスが公開されることはありません。