カリフォルニア消費者プライバシー法 (CCPA)

概要

2018 年 6 月 28 日、カリフォルニア消費者プライバシー法 (CCPA) が法律で制定されました。 CCPA は、カリフォルニア州の消費者が一定レベルのプライバシー権を持つことを目指しています。 

CCPA の詳細については、 カリフォルニア州議会決議をご覧ください。

AWS では、「個人情報とデータ保護についての一般的考慮事項に基づく AWS の使用」および「 カリフォルニア州消費者プライバシー法に備える」という 2 つのホワイトペーパーを含むベストプラクティスとリソースを提供しています。AWS の「サービス機能」のページには、削除、暗号化、処理のモニタリングなど、お客様のコンプライアンスを可能にするサービス機能があります。

AWS がお客様の個人情報を収集し、使用する方法については、弊社のプライバシー 通知、およびデータプライバシーのよくある質問をご覧ください。

  • カリフォルニア州消費者プライバシー法 (CCPA) は、カリフォルニア州議会によって可決され、2018 年 6 月 28 日に法律成立のための署名がなされ、2018 年 9 月 23 日に改正された法案です。CCPA は、カリフォルニアの消費者に次の権利を保証するための法律です。

    • どのような個人情報が収集されているのかを知るためのカリフォルニア州民の権利。
    • 自分の個人情報が販売または開示されている相手を知るためのカリフォルニア州民の権利。
    • 個人情報の販売に対してノーと言うためのカリフォルニア州民の権利。
    • 自分の個人情報にアクセスするためのカリフォルニア州民の権利。
    • プライバシー権を行使した場合であっても、サービスと価格を平等にするためのカリフォルニア州民の権利。
  • CCPA では、ビジネスとは消費者の個人データを収集する営利団体であると定義されています。次のしきい値を 1 つ以上満たすカリフォルニア州のビジネスは、コンプライアンスの対象となる可能性があります。

    • 年間に 25,000,000 USD 以上の収益を得るビジネス
    • 商業目的で、年間 50,000 件以上の消費者、世帯、デバイスの個人情報を購入、受信、販売、または共有するビジネス
    • 年間収益の 50% 以上を消費者個人情報の販売から生み出すビジネス

    CCPA の適用対象と思われる場合は、法務チームにお問い合わせください。

  • AWS は、さまざまなデータ保護体制の下で個人データを含むデータを安全に処理するために世界中でお客様に使用していただけるサービスを設計していますが (AWS のデータプライバシーページを参照)、法的要件の遵守についてお客様にアドバイスすることはできず、コンプライアンスへの最善のアプローチ方法については、顧問弁護士に相談することをお勧めします。

  • AWS 責任共有モデル において、お客様は AWS によって提供される技術的で体系的なセキュリティ対策およびセキュリティ統制に基づいて構築を行い、お客様自身のコンプライアンス要件を管理できます。お客様の責任は、選択した AWS クラウドのサービスに応じて異なります。選択によって、セキュリティに関する責任の一環としてお客様が実行する構成作業の量が決定されます。お客様は、AWS Identity and Access Management といった AWS のセキュリティ機能に加えて、暗号化や多要素認証といった使い慣れた対策を使用してデータを保護できます。

    クラウドソリューションのセキュリティを評価する場合、お客様が以下の点を理解して区別することが重要です。

    • AWS 側で実装および運用するセキュリティ対策 –「クラウドのセキュリティ」
    • AWS のサービスを使用するお客様のコンテンツとアプリケーションのセキュリティに関連してお客様側で実装および運用するセキュリティ対策 –「クラウドにおけるセキュリティ」