ガートナー は、今年末までに世界中の65%の人々が、個人情報保護規制によって自分の個人データを保護されるようになると予測しています。これは消費者にとっては嬉しいニュースですが、データを使って事業を行おうとする企業にとっては難しい課題です。
現在、世界には120を超えるデータ保護とプライバシーに関する規制があります。そして、さらに多くの規制が制定されようとしています。グローバルに事業を展開する企業にとって、このような規制を理解することは非常に困難です。広告主は、これらの規制を理解することで、コンプライアンスを維持し、プライバシーに準拠したデータプロバイダーやパートナーを自信を持って選択できるようにすることが極めて重要です。
この包括的なガイドでは、広告主がファーストパーティデータでできること、できないことをより理解できるように、最も厳しく制限されたデータ保護法を説明します。
データプライバシーへの非遵守は高い代償を払うことになる
データプライバシーに関しては、主に2つのリスクがあります。
- ユーザーのデータの扱い方に対する信頼を失い、ビジネスを失う。
- コンプライアンスに反するデータの取り扱いにより、規制当局から罰金を科されること。
これらのリスクはいずれも、ビジネスに深刻な打撃を与えるコストを伴います。例えば、ブラジルのデータ保護法は、企業がブラジルで生み出す収益の2%を、欧州連合のGDPRは、グローバル企業の収益の4%を請求することができます。これらの法律の多くはまだ新しいものですが、多くの すでに多額の罰金刑が確定している企業.
GDPRの大きな罰金についての早見表。
- これまでで最大の罰金は、2021年のアマゾンに対するGDPRの罰金8億7700万ドルです。
- メタ(旧フェイスブック)は2022年に4億3300万ドルの罰金を科された。
- GDPR最大の制裁金 は、総額6,500万ドルの罰金を2度にわたって科されたGoogleも含まれています。
- GDPRは、アンに罰金を科した。 推定1,000社 は、過去2年間に累積12.5億ドルの罰金を科した。
米国内でしか事業を展開していない企業にとっては、州ごとの規制があります。最初に活発化した規制はカリフォルニア州のCCPAで、個々の消費者データプライバシー侵害に対して7,500ドルの罰金を科すというものです。現在までに10社が罰金を科せられましたが、その総額は公表されていません。はっきりしているのは、CCPAのような規制は、消費者が問題を特定すると、問い合わせ解決と追加料金の悪夢を引き起こす可能性があるということです。
企業は、コンプライアンス違反の罰則を回避するために予防措置を講じる必要があります。特に、ターゲットオーディエンスの特定や広告契約の締結のために多くのデータを活用して広告を出すマーケティング担当者には、その傾向が顕著です。そのため、広告主は、最も厳格なポリシーと、コンプライアンスを確保するために社内外に問うべき重要な質問を明確に理解することが重要です。
注目のデータプライバシー規制
現在、最も話題になっている規制は、猶予期間を設けて法制化されたものや、積極的に罰金を渡しているものです。欧州連合の一般データ保護規則(GDPR)は、最も厳しく、最も公表されているものの一つです。ブラジルのデータ保護法(LGPD)はGDPRの後に出てきたもので、南米では最も重要な規制である。米国では、カリフォルニア州の消費者データプライバシー法(CCPA)が最初に成立し、コロラド州のプライバシー法、バージニア州の消費者データ保護法(CDPA)がそれに次いで成立しています。世界の先例となるこれらの活発な規制の内訳を紹介します。
一般データ保護規則(GDPR)である。
- 法律が成立した日 2016年4月14日
- 発効した日2018年5月25日
- 定義する。GDPRは、企業がデータを共有する際にいくつかの許可を求めることを義務付け、個人にそのデータへのアクセス、削除、または使用を制御する権利を与えています。GDPRでは、ユーザーが電子メールやニュースレターの受信を希望する場合、電子メールアドレスや、場合によっては氏名などの個人情報を提供し、積極的に申し込むオプトインの許可を認めています。なお、イギリスにもGDPRの独自版があります。 UK GDPR
- 施行する。 EU加盟27カ国の個々のデータ保護当局(DPA)がGDPRを施行する。DPAは政府から独立しています。DPAの役割は、苦情の調査、データ保護に関するアドバイス、GDPRに違反した場合の判断などである。
- 罰金です。特に重大な違反に対しては、最高2,000万ユーロ、または前会計年度の世界総収入の4%までのいずれか高い方の罰金を科すことができる。それ以下の違反については、最高1,000万ユーロ、または前会計年度の全世界の売上高の2%のいずれか高い方の罰金となります。
- 広告主にとっての意味GDPRは、EU市民や居住者の個人データを処理したり、商品やサービスを提供したりするすべての企業に適用されます。これに該当する企業は、この7つの原則を遵守する必要があります。
- 合法性、公正性、透明性 - 処理は、データ主体に対して合法的であり、公正であり、透明でなければならない。
- 目的の制限 - データを収集する際にデータ主体に対して明示的に指定した正当な目的のためにデータを処理しなければなりません。
- データの最小化 - 指定された目的のために絶対に必要なデータのみを収集し、処理する必要があります。
- 正確性 - 個人データを正確かつ最新の状態に保つ必要があります。
- 保存の制限 - お客様は、指定された目的に必要な期間だけ、個人識別データを保存することができます。
- 完全性と機密性 - 処理は、適切なセキュリティ、完全性、機密性を確保するような方法で行われなければならない(例:暗号化を使用する)。
- 説明責任 - データ管理者は、これらの原則のすべてについてGDPRの遵守を実証できる責任を負います。
また、広告主は、何をもって広告とするかについての厳しい新しいルールに注意することが重要です。 データ主体からの同意 で、その情報を処理する。
- 同意は、"自由に与えられ、具体的で、情報が与えられ、かつ曖昧であってはならない"。
- 同意の要請は、"他の事項から明確に区別され"、"明確かつ平易な表現 "で提示されなければならない。
- データ対象者は、以前に与えた同意をいつでも撤回することができ、あなたはその決定を尊重しなければなりません。処理の法的根拠を他の正当な理由の1つに単純に変更することはできません。
- 13歳未満のお子様は、保護者の方の許可がある場合のみ同意が可能です。
- 同意の証拠となる書類を保管しておく必要があります。
ブラジル一般データ保護法(導光板)
- 法律が成立した日 2018年8月14日
- 発効した日2020年9月18日
- 定義 導光板は、個人の自由とプライバシーという基本的な権利を保護する目的で、個人データの処理を規定するものです。所在地に関係なく、ブラジルに顧客や取引先を持つ組織は、LGPDを遵守する必要があります。つまり、個人情報が保護されるのはブラジル国民だけでなく、ブラジル国内にいる間にデータが収集または処理されたすべての個人ということになります。
- 施行された。 この法律の一部には、連邦独立規制機関であるAutoridade Nacional de Proteção de Dados(ANPD)の設立が含まれています。その役割は、導光板の解釈と施行、および国の監督機関として機能することです。
- 罰則 LGPDに違反した場合、当局が行政処分を行うことがあります。制裁の中には、通知と罰金があり、その額は、その企業のブラジルにおける直近の会計年度の売上高の2%から、1回の違反につき合計5,000万レアル(5億円)に制限されることがあります。また、違反行為の停止を強制するために、1日当たりの罰金を科すことも可能です。
- 広告主にとっての意味 ブラジル滞在中にユーザーの情報を収集する事業者は、個人データの使用に関する明確な同意の取得を含め、これらの基準への準拠を確保する必要があります。GDPRのオプトイン・コンセントのルールに従えば、LGPDに準拠することになります。
カリフォルニア州消費者プライバシー法(CCPA・CPRA)
- 法律が成立した日 2018年6月28日CCPAが成立しました。CPRAはCCPAの修正版であり、2020年11月3日に成立した。
- 施行された日CCPAは2020年1月1日に施行されました。CPRA改正は2023年1月1日に施行されました。
- 定義 この画期的な法律は、カリフォルニアの消費者に以下のような新しいプライバシー権を確保するものです。
- 企業が収集した自分に関する個人情報、およびその使用方法と共有方法について知る権利です。
- 収集した個人情報を削除する権利(一部例外あり)。
- 個人情報の販売または共有からオプトアウトする権利。
- 中退共の権利を行使することで無差別に扱われる権利。
2020年11月、カリフォルニア州の有権者が承認した プロポジション24、CPRAを改正し、2023年1月1日から始まる新たな追加プライバシー保護を追加しました。2023年1月1日以降、消費者は上記に加えて、以下のような新しい権利を持つことになります。
- 事業者が保有する不正確な個人情報を訂正する権利。
- 自分について収集された機密性の高い個人情報の使用および開示を制限する権利。
- 強制執行 カリフォルニア州司法長官は、CCPAを執行する完全な権限を有しています。しかし、CPRAの改正により、カリフォルニア州プライバシー保護庁は、CCPAを実施・執行するための完全な行政権、権限、管轄権を付与され、司法長官は執行権を保持しました。
- 罰則 CCPAの違反は、カリフォルニア州司法長官事務所による強制執行の対象となり、同事務所は、通知と30日間の治癒の機会が提供された後、違反1回につき2,500ドル、故意の違反1回につき7,500ドルの民事罰の適用を求めることができます。
- これが広告主にとって意味すること CCPAの対象となる事業者は、消費者からの権利行使の要請に応じ、消費者に一定の権利を与えるなど、いくつかの責任を負う。 個人情報の取り扱いについて説明する通知.
バージニア州消費者データ保護法(VCDPA)である。
- 法律が成立した日 2021年3月2日
- 施行された日2023年1月1日
- 定義 VCDPAは、消費者が自分の個人データにアクセスし、企業に対してその削除を要求する権利を与えるものです。また、ターゲット広告や販売目的の個人データ処理に関連するデータ保護評価の実施を企業に義務付けています。さらに、この法律では、非識別化データ、つまりデータの元となった個人をもはや直接的に識別できないように修正されたデータの使用に関するいくつかの制限も含まれています。
- 強制執行を行う。 バージニア州司法長官は、VCDPAを執行し、損害賠償を求めることができる唯一の組織である。
- 罰則 違反した場合、個々の消費者違反につき最高$7,500の民事罰が課される可能性があります。さらに、企業は、弁護士費用を含む事務所の合理的な経費の償還責任を負うことができます。
- 広告主にとってどういうことか。 バージニア州の法律は、CCPAと大差ありませんが、注意すべきは、企業の売上を特定していないことです。つまり、データを処理するあらゆる規模の企業に適用されます。
世界各国の規制を網羅した一覧表を見ることができます。 これ.
2023年に通過する新しいデータプライバシー規制
データプライバシーに関する規制はさらに増えていますが、ここでは近い将来施行される大きな規制を紹介します。
コロラド州プライバシー保護法(公認会計士)
- 法律が成立した日 2021年7月7日
- 発効日 2023年7月1日
- 定義 コロラド州プライバシー法は、コロラド州の住民に、ターゲット広告、個人データの販売、および特定のタイプのプロファイリングをオプトアウトする権利を提供します。2024年7月1日以降、管理者はユーザーが選択したターゲット広告および販売に関するユニバーサルオプトアウトを尊重する必要があります。コロラド州の住民は、自分の個人データにアクセス、訂正、削除する権利、およびデータポータビリティの権利も有しています。管理者は通常、消費者の要求に応えるために45日間の猶予があります。
- 強制執行。 CPAの遵守は、コロラド州司法長官または地方検事によって独占的に執行されます。
- 罰則について CPAの下では、違反した場合はコロラド州消費者保護法に基づく民事罰の対象となり、個々の消費者からの違反に対して2万ドルを超えない民事罰が規定されています。
- これが広告主にとって何を意味するか。 別の消費者保護法として、これはカリフォルニアとバージニアの活動に追加されることになります。つまり、ある企業がある州で違反行為に問われた場合、同様の規制を持つ他の州にもすぐに波及する可能性があるということです。
コネチカットのデータプライバシー法(CTDPA)である。
- 法律が成立した日 2022年5月10日
- 発効日2023年7月1日
- 定義 CTDPAは、コネチカット州の住民に対し、以下の列挙された権利を提供します。
- 管理者が自分について収集した個人データにアクセスする権利。
- 個人データの不正確な情報を訂正する権利。
- 管理者が第三者を通じて収集した個人データを含む、自己の個人データを削除する権利。
- 他の管理者にデータを容易に移転することができる、携帯可能で容易に使用できる形式の個人データのコピーを入手する権利。
- をオプトアウトする権利。
- 個人情報の販売に関すること。
- ターゲット広告を目的とした個人データの処理。
- 法的またはその他の重大な影響を及ぼす可能性のあるプロファイリング。
- 施行する。 コネティカット州司法長官は、CTDPAを執行する独占的な権限を有します。
- 罰則について1回の違反につき最高5,000ドルまで。民事罰に加え、司法長官は追加の損害賠償を求める訴訟を起こすことも可能です。
- 広告主にとっての意味 コネチカットの住民の個人データを収集し、処理する企業は、以下のことをしなければなりません。
- 処理する個人データの種類、処理目的、第三者との個人データの共有の有無とその理由、消費者が個人データに関する様々な権利(アクセス、削除など)を行使する方法に関する情報を通知すること。
- 個人データの収集を、データが処理される特定の目的に対して適切、適切かつ合理的に必要なものに限定する(「データの最小化」とも呼ばれる)。
- 消費者の機密データを処理する前に、同意を得ること。
- CTDPAに基づき付与された消費者の権利行使の要請への対応。
- 消費者に危害を及ぼすリスクが高まる方法で個人データを処理する前に評価を実施する(「データ保護アセスメント」と呼ぶ)。これには、ターゲット広告、販売、プロファイリングを目的とした個人データの処理、および機密データの処理が含まれます。
ユタ州消費者プライバシー保護法(ユーキャン)
- 法律が成立した日2022年3月24日
- 発効する日2023年12月31日
- 定義消費者は、UCPAのもと、主に4つの権利を与えられています。
- アクセス権 - 管理者が自分のデータを処理しているかどうかを確認する権利と、その個人データにアクセスする権利。
- 削除権 - 会社が管理者に提供した個人データを削除させる権利です。
- データポータビリティの権利-容易に利用可能な形式で個人データのコピーを入手する権利。
- 特定の処理をオプトアウトする権利 - ターゲット広告を目的とした個人データの処理、または個人データの販売についてオプトアウトする権利です。
- 強制執行 ユタ州司法長官は、UCPAを執行する独占的な権限を有しています。
- 罰則がある。 企業は通知を受けた後、30日以内に違反を是正する必要があります。その期間内に修正されない場合、司法長官は1回の違反につき最高7,500ドルの罰金および損害賠償を課すことができる。
- 広告主にとっての意味 この法律は、カリフォルニア州、バージニア州、コロラド州の法律よりも、ビジネスにとって簡単なものです。企業がこれらの厳しい規制に準拠している限り、この法律が施行されても変化はないはずです。
米国における連邦データ保護
米国では、消費者のデータプライバシーは州レベルで処理されていますが、特定の業界に適用される連邦レベルの規制も数多くあり、それらを遵守する必要があります。
児童オンラインプライバシー保護法(COPPA)
COPPAは、13歳未満の児童を対象としたウェブサイトやオンラインサービスの運営者、および13歳未満の児童からオンラインで個人情報を収集していることを実際に知っている他のウェブサイトやオンラインサービスの運営者に対して、一定の要件を課しています。
健康保険の持続可能性と会計に関する法律(HIPAA)である。
1996年に制定された「医療保険の携行性と説明責任に関する法律」(通称HIPAA)は、保護された医療情報(PHI)の合法的な使用と開示を概説する一連の規制基準である。HIPAAの遵守は、保健福祉省(HHS)によって規制され、市民権局(OCR)によって執行されます。
グラム・リーチ・ブライリー法 (GLBA)である。
グラム・リーチ・ブライリー法は、金融機関(消費者にローン、金融・投資アドバイス、保険などの金融商品やサービスを提供する企業)に対し、情報共有の方法を顧客に説明し、機密データを保護するよう求めています。
公正信用報告法 (FCRA)である。
公正信用報告法は、信用情報機関、医療情報会社、入居審査サービスなどの消費者報告機関が収集する情報を保護する法律です。消費者報告書に記載された情報は、同法に定められた目的以外の人に提供することはできません。また、消費者情報機関に情報を提供する企業は、争いのある情報を調査する義務など、特定の法的義務を負っています。さらに、信用、保険、雇用を目的とした情報の利用者は、そのような報告に基づいて不利な措置が取られた場合、消費者に通知しなければなりません。
データプライバシーコンプライアンスを確保するためにデータ提供者に求めるべきこと
データプロバイダーやパートナーと協力する場合、個人データを適切に取り扱っているかどうかを確認することが、これまで以上に重要になっています。ここでは、新しいデータプロバイダーが現在および今後の規制を遵守しているかどうかを確認するために、重要な質問をします。
- あなたの会社には、個人情報保護コンプライアンスを推進する個人情報保護チームがありますか?それとも、プライバシーは設計上組み込まれているのでしょうか?
- 収集するデータについて、同意、使用方法、保存場所、どの従業員が責任を持つかなど、どのような文書を保持していますか。
- データの保管について、どのようなセキュリティ対策をしていますか?
- 各地域の個人情報保護規制当局が課すオプトインとオプトアウトの要件にどのように対処していますか?
- 最近の米国の州法に対応するために、どのような取り組みをしていますか?
- 最近のGDPR規制への対応についてお聞かせください。
- プライバシーを遵守した方法で機密データを扱うこと、特に機密性の高い健康や宗教に関するデータを扱うことを、どのように確認していますか?
- 今年、最終的な認証のためにプライバシー監査/レビューを受ける予定ですか?もしそうなら、どの組織と一緒に取り組む予定ですか?
このような質問をすることで、データプロバイダーがデータ保護とプライバシーにどれだけ真剣に取り組んでいるか、また、国際的な規制への準拠を実証するための準備がどれだけ整っているかを明確に把握することができます。ShareThis のように、データ・プライバシーを最重要視するデータ・プロバイダーと提携することで、広告主はデータ・プライバシーの遵守について心配することなく、広告の成功に集中できるようになります。