データ・プライバシー規制とは何か?
データプライバシー規制は、特定の地域内の市民または居住者の個人データを保護する。 企業が自分のデータをどのように利用するかについて個人に権利を与え、企業がデータを収集した後に自分のデータがどのように利用されるかについて意思決定できるようにするものです。 これらの規制は、多国籍、国、州、地方レベルで存在する可能性があります。
通常、データプライバシー規制は営利組織に適用され、個人を特定できる情報(PII)の収集、保管、処理方法を規定することができる。 たとえ事業所が別の場所にあったとしても、その場所で営業している事業に影響を与える可能性がある。
保護される個人データの種類、データの保存期間、使用目的などは、規制によって大きく異なる。 コンプライアンス違反がもたらす結果はガイドラインによって異なるが、警告、組織の個人データ処理能力の禁止、数百万ドルから数十億ドルに上る罰金などがある。
データプライバシー規制の例
一般データ保護規則(GDPR)とは?
GDPRは、欧州連合(EU)における消費者のプライバシーを保護するデータプライバシー法である。 これには、EUにおける個人のプライバシー権のリストが含まれ、また、個人データを処理する組織が守らなければならないデータ保護原則も含まれている。 GDPRで保護されるデータの例としては、氏名、電子メールアドレス、物理的住所、民族、性別、ウェブクッキーなどがある。
GDPRの原則にはいくつかの要件が規定されている。 例えば、データがすべての法律に従い、個人にとって公正で透明性のある方法で処理されることが要求される。 また、データを収集する際にはその処理目的を特定し、組織はその目的に必要な量のデータのみを収集するよう求めている。 個人のデータは、事業者が保管する限り最新の状態に保たれなければならず、収集された目的に必要な期間を超えて保管することはできない。
GDPRはまた、機密性と安全性を保持するため、データ処理時に安全対策を講じることを要求しており、組織内で個人データにアクセスできる者と、コンプライアンスを実証する責任を負う者を制限している。
カリフォルニア州消費者プライバシー法(CCPA)とは?
CCPAは、たとえ一時的にカリフォルニア州外にいたとしても、カリフォルニア州民を保護する。 企業が収集する情報や、その組織がデータをどのように使用し、共有するかを知る権利などが与えられる。 また、企業が収集した個人情報を削除する権利、情報が販売されることを拒否する権利、CCPAに基づく権利を行使することを決定した場合の無差別の権利も与えられている。
CCPAは、個人を特定できる情報(PII)だけでなく、氏名、電子メール、社会保障番号、購入履歴、オンライン閲覧履歴、地理的位置情報、指紋など、世帯にリンクできる情報も保護する。
GDPRとは異なり、CCPAは、年間総収入、データを購入、受領、または販売するカリフォルニア州住民の数、または住民の個人データを販売することによる組織の収入の割合など、適用される企業に対してより具体的な要件を定めている。
個人電子文書法(PIPEDA)とは何ですか?
PIPEDAはカナダの国家プライバシー法のひとつですが、カナダにはそれとは別にプライバシー法もあります。 これは、カナダで商業活動を行い、個人情報を取り扱うすべての民間組織に適用される。
同法は一般的に、氏名、DNA、年齢、配偶者の有無、人種、国籍、民族、病歴、学歴、職歴、財務情報、社会保険番号のような識別番号などの情報を保護する。 PIPEDAを遵守するために、企業はGDPRと同様の10原則を遵守しなければならない。