高岡智則
年齢:33歳 性別:男性 職業:Webディレクター(兼ライティング・SNS運用担当) 居住地:東京都杉並区・永福町の1LDKマンション 出身地:神奈川県川崎市 身長:176cm 体系:細身〜普通(最近ちょっとお腹が気になる) 血液型:A型 誕生日:1992年11月20日 最終学歴:明治大学・情報コミュニケーション学部卒 通勤:京王井の頭線で渋谷まで(通勤20分) 家族構成:一人暮らし、実家には両親と2歳下の妹 恋愛事情:独身。彼女は2年いない(本人は「忙しいだけ」と言い張る)
cpraとは何か
cpraは California Privacy Rights Act の略称で、アメリカのカリフォルニア州に適用される個人情報保護の新しい法律です。正式名称は CPRA であり、従来の CCPA の枠組みを拡張して権利や義務を強化します。
この法律は、企業が個人情報をどのように取得・保有・利用・共有するかをより厳しく管理するために作られました。重要なポイントは個人の権利の拡張と企業の義務の強化です。CPRAは多くの企業に影響を与え、データ管理の実務を見直す契機となります。
CPRAの歴史と適用範囲
CCPAは2018年に成立しました。CPRAはそれを拡張・強化するために2020年に承認され、施行は2023年1月、執行は2023年7月に開始されました。対象は カリフォルニア州居住者の個人情報を扱う事業者とベンダーです。ここでのベンダーとはデータ処理を外部に委託する企業を指します。
CPRAは州境をまたぐグローバルな企業にも影響を与える可能性があり、カリフォルニアの居住者のデータを扱う際の取り扱いルールを世界的な標準のように意識する企業が増えています。
CPRAの主要な権利と義務
権利の例として、アカウントやデータの取得・削除・訂正・データの移動権(データポータビリティ)、情報の販売または共有のオプトアウト、そして敏感情報の扱いを限定する権利があります。敏感情報には個人の位置情報、健康情報、信用情報、金融情報などが含まれ、これらの情報をどう扱うかには追加の制限が課されます。
企業の義務としては、データ保護に関するポリシーの明確化、オプトアウト手続きの提供、データマッピングの実施、ベンダー契約の見直し、データ保持と削除の適切な管理、そして新たな監督機関CPPAへの対応が挙げられます。これらの義務は自社のデータ処理の透明性を高め、消費者の権利を実際に行使できるように設計されています。
企業が取るべき具体的な対応
CPRAに備えるためには、まず自社のデータマップを作成し、どのデータがどこでどの目的で使われているかを把握します。次に、オプトアウト機能の実装、ポリシーの更新、ウェブサイトとアプリのプライバシー通知の明確化を行います。ベンダーとの契約を再交渉し、データ処理の範囲と責任分担を明確化することも重要です。
さらに、最小化の原則を取り入れ、必要最低限のデータだけを収集・保存する設計を検討します。データの保存期間を定め、不要なデータは削除するプロセスを整備します。教育・訓練も欠かさず、全社でデータ保護の意識を高めましょう。
よくある質問
Q:CPRAは誰に適用されますか?
A:カリフォルニア州居住者の個人情報を扱う事業者とベンダーに適用されます。小規模事業者でも条件を満たす場合は対象になることがあります。
Q:敏感情報の扱いはどう変わりますか?
A:敏感情報はより厳格に取り扱い、利用目的を限定し、オプトアウトの対象として扱われることが多くなります。
Q:CPRAの罰則はどのくらいですか?
A:違反した場合には罰則が科される可能性があります。CPPAが監督機関として機能し、適切な対応を促します。
CPRAを理解するための表
| 項目 | CPRAのポイント |
|---|---|
| 対象 | カリフォルニア州居住者の個人情報を扱う事業者とベンダー |
| 新しい概念 | 敏感情報の定義と扱いの制限、データ最小化の強化 |
| 権利の拡張 | アクセス・削除・訂正・データの移動・オプトアウト・敏感情報利用の制限 |
| 執行機関 | 新設の CPPA が監督と罰則の執行を担当 |
まとめ
CPRAは従来の CCPA を拡張し、個人情報の権利を強化するとともに、企業のデータ処理実務に重大な影響を与える法律です。敏感情報の扱いを厳しく管理し、データ最小化やベンダー契約の見直しを求める点が大きな特徴です。中小企業を含む多くの企業は、プライバシー通知の更新やオプトアウトの仕組み、データ削除の手続きなどを整備する必要があります。
cpraの同意語
- California Privacy Rights Act
- CPRAの正式名称。カリフォルニア州で制定された、CCPAを拡張・強化する個人情報保護法。
- カリフォルニア州プライバシー権利法
- CPRAを日本語で表現した名称の一つ。CCPAを補完・改正して、個人情報の権利を強化する法。
- カリフォルニア州個人情報権利法
- CPRAを別表現した日本語名称。個人情報の取り扱いと権利を規定する法。
- CCPAの改正・補完法
- CPRAは元々のCCPAを改正・補完する法令として位置づけられる。
- CPRAの略称
- California Privacy Rights Actの略称。
cpraの対義語・反対語
- プライバシーの侵害
- 個人の情報が不適切に利用・公開され、プライバシーが侵害される状態
- データ収集の無制限
- 目的を問わず大量の個人情報を収集する運用・方針
- データ公開・開示の徹底
- 個人情報が広く公開・共有され、特定が容易になる状況
- 監視社会
- 日常生活のあらゆる場面で監視が強化され、自由度が低下する社会
- 同意不要のデータ収集
- 利用者の同意を要さずデータを取得・利用する運用
- 匿名性の喪失
- 個人を特定できる情報が結びつき、匿名性が保たれなくなる状況
- 情報透明性の欠如
- データ処理の方針や実態が不透明で、利用者が理解しづらい状態
- データ権利の撤廃・弱体化
- アクセス・修正・削除などの権利が著しく制限・廃止される状態
- 個人情報の乱用・悪用
- 取得した情報を本来の目的外で不正に利用する行為が横行
- 不正なデータ取引・販売の促進
- 個人情報が市場で不正・不透明に売買されやすくなる状況
- 企業による過剰データ収集
- 企業が必要以上に多くのデータを収集・保有する運用
- 長期的・過剰なデータ保管
- 不要になってもデータを長期間保存し、処分が遅延・不適切になる状態
cpraの共起語
- CPRA
- カリフォルニア州プライバシー権法の略称。CCPAを改正する法で、個人情報の権利と規制を強化する枠組み。
- CCPA
- カリフォルニア州消費者プライバシー法。CPRAのベースとなる主要法。
- カリフォルニア州
- CPRAおよびCCPAが適用される米国内の州。州法として個人情報の取り扱いを規制する地域。
- 個人情報
- 個人を特定できる情報。氏名、住所、メールアドレス、識別子など。
- プライバシー
- 個人情報の取り扱いを保護し、個人の権利を守る考え方・制度。
- 機微情報
- Sensitive Personal Information(SPI)として扱われる機微な個人情報。例:健康・財務・地理位置・生体データなど。
- データ主体
- 個人情報の権利者となる本人。
- データ処理
- 収集・保管・利用・共有・削除など、個人情報を取り扱う一連の活動。
- データ販売
- 個人情報を第三者へ販売する行為。
- 第三者提供
- データを外部の事業者や広告主などに提供・共有すること。
- ベンダー
- データ処理を委託する外部事業者・サービス提供者。
- プライバシーポリシー
- 個人情報の取り扱い方針を公表する文書。
- アクセス権
- 個人情報へのアクセス・閲覧を求める権利。
- 削除権
- 個人情報の削除を求める権利。
- コンプライアンス
- 法令遵守・規制対応の取り組み。
cpraの関連用語
- CPRA
- カリフォルニア州の個人情報保護法の改正法で、CCPAを拡張・補完します。新しい権利やSPIの導入、執行機関の設置などを含みます。
- CCPA
- California Consumer Privacy Actの略。州民の個人情報の取り扱いを規制する基本法。CPRAによって拡張されます。
- CPPA
- California Privacy Protection Agencyの略。CPRAの執行機関として設置された州の規制機関です。
- 敏感な個人情報(SPI)
- 特に保護が強化される個人情報のカテゴリ。生体情報、健康情報、宗教・政治的信条、性的指向などが含まれる場合があります。
- 個人情報(PI)
- 個人を特定できる情報の総称。氏名・住所・IPアドレス・ブラウザ履歴などを含みます。
- 知る権利 / アクセス権
- 事業者が保有する個人情報のカテゴリ・利用目的・開示先などを知る権利。請求に対して情報を提供します。
- 削除請求権
- 保有する個人情報の削除を請求する権利。適用除外がある場合もあります。
- 訂正権(正確性の訂正)
- 保有する個人情報の不正確な点を訂正するよう求める権利。
- 利用制限権(SPIの使用・開示制限)
- SPIの利用・開示を必要最小限に限定する権利。データの取り扱いをより厳格に制御します。
- データ最小化の原則
- 必要最小限のデータ収集・保存・利用に限定する基本原則。CPRAで重要視されます。
- サービス提供者 / 処理者
- 企業の個人情報処理を代行する外部の事業者。契約で保護義務を課します。
- 契約とサブプロセッサ
- データ処理契約の要件と、データを扱う下請け業者(サブプロセッサ)の管理ルール。
- 適用対象要件
- CPRAの適用対象となるかを判定する基準。売上規模、処理する個人情報の量・カテゴリなど。
- 収集時の通知義務
- 個人情報を収集する時点で、目的・利用範囲・開示先などを通知する義務。
cpraのおすすめ参考サイト
インターネット・コンピュータの人気記事
