CPRA(カリフォルニア州プライバシー権法)に対応するためにやるべき5つのこと
2023年1月1日に施行されるCPRA(カリフォルニア州プライバシー権法)。本規則の対象となる企業はどのような対応が必要なのでしょうか。本記事では、CPRAの新しい要件に対応するためにやるべき5つのことをステップバイステップで解説し、電子署名サービスをはじめとしたドキュサインの製品の活用法を紹介します。
2018年5月に施行されたEU一般データ保護規則(GDPR)に続き、2020年1月1日にカリフォルニア州消費者プライバシー法(CCPA)が施行され、コンプライアンスの新時代が到来しました。CCPAは世界中の企業に影響を与え、幅広い個人情報を対象とし、GDPRを超える新たな要件と法的責任を課しました。
2020年11月には、CCPAを改正するカリフォルニア州プライバシー権法(CPRA)が、住民投票により可決されました。CPRAは2023年1月1日に施行されるため、対象となる事業者はこれまで以上のコンプライアンス義務を負うことになります。そこで本記事では、CPRAの新しい要件に対応するためにやるべき5つのことを、ステップバイステップで紹介していきます。
おすすめ記事:CPRA(旧CCPA)とは?対象となる企業や要件、罰則について解説
1. すべての契約を分析し、リスクのある部分を特定
CPRAは、個人情報を共有または販売する事業者に対して、従来のような金銭的利益のための「販売」ではない場合も含めて、要件を課しています。これらの要件に対処するためには、サービス提供者やビジネスパートナーがどのように個人情報を収集し、共有しているかを、取引の前と後の両方で知る必要があります。つまり、契約の内容を明確に把握していなければなりません。ここで問題になるのが、契約書ではデータプライバシーに関する内容が必ずしも標準的な用語で書かれているとは限らないということです。そのため、たとえ契約書リポジトリが検索可能であっても、手作業による面倒な見直し作業を省くことができないのです。
Docusign Insight は、AI(人工知能)を活用した分析により、契約書が企業内のどこに、そしてどのように保存されているかにかかわらず、360度の可視性を提供します。Docusign Insight は、データプライバシーに係る問題を引き起こしうる契約条項を自動的かつ高度な情報処理機能で特定するようあらかじめ設定されています。そのため、サービス提供者やビジネスパートナーによる個人情報の使用に関するコミットメントについて概念的理解をもたらし、CPRAに関するリスクの管理と軽減を可能にします。
2. データを共有する第三者との契約の改訂版を作成
契約書内にデータプライバシー関するリスクがあった場合、契約条件の修正や再交渉が望まれます。しかし、多様なビジネスパートナーやサービス提供者との“書面での契約書の書き換え”は、手間と費用がかかるうえにミスも起きやすくなります。
Docusign CLM は、契約書の作成、交渉、承認を自動化することで、このプロセスを合理化します。すでに承認された条項の文言と企業内システムからのソースデータを活用して、効率的な契約書の作成をサポートします。
すでに Salesforce を使用している場合は、Docusign Gen for Salesforce を導入すれば、改訂版の契約書を効率的かつ確実に準備し、署名を取得し、保存することができます。
3. 迅速かつ効率的な契約の締結
CPRAの施行日が来年1月に迫り、また他の州でも包括的な消費者データプライバシー法が施行されている中、データプライバシーに対応するために改訂された契約は、効率的で信頼性が高く、そして言うまでもなく法的拘束力を持つ方法で締結される必要があります。
ドキュサインの電子署名は、改ざん防止機能を備え、裁判での証拠能力を持つ監査証跡によって、改訂された契約書の法的強制力を確保します。そのうえ、ドキュサインの先進的なワークフロー機能により、合意・契約プロセスの迅速化を実現します。例えば、一括送信機能を使えば、1回の送信で多数のユーザーから個別に同意を得ることができ、自動リマインダーや条件付きルーティングによって、複雑な承認作業も遅滞なく進めることができます。
4. 改訂版の利用規約、プライバシーポリシー等への同意を取得
CPRAは、事業者が個人情報を販売、共有、または開示する場合には、消費者に告知するよう義務付けています。事業者はまた、情報を使用する前に、常時「オプトアウト(第三者への個人情報提供の拒否)」の選択肢を表示し、16歳未満の消費者(13歳未満の場合はその親ないし保護者)からは肯定的な「オプトイン(第三者への個人情報提供の許諾)」を得るように求めています。リスクを最小限に抑えるためには、事業者は使用許諾契約(EULA)、利用規約、プライバシーポリシーなどの改訂について消費者から同意を取得し、記録として残すべきでしょう。
Docusign Click を活用すれば、あらゆるプラットフォームにおいて、1回のクリックで、標準条項に対して法的拘束力のある同意を取得することができ、監査も容易です。Docusign Click を使うと、管理者は既存の契約の更新をシームレスに処理でき、どのユーザーがどのバージョンの契約に同意しているかをリアルタイムに把握できます。また、Docusign Click はドキュサインの電子署名と互換性があるため、電子契約やクリックラップ契約のすべてを簡単に一元管理することが可能です。
5. 個人情報開示請求の管理
情報開示請求の処理は、大きく3つのプロセスに分かれます。実はこのプロセスは、プライバシー保護義務をきっかけに事業者が顧客からさらに強い信頼を得る大きなチャンスにもなります。CPRAは、消費者が自身の個人情報の入手、削除、共有停止ができるようにすることを事業者に求めています。そこには、事業者がウェブサイトに「私の個人情報を販売しないこと」という選択肢を追加する義務も含まれます。こうしたデータプライバシー上の「本人による個人情報開示請求」の取り扱いは負担やリスクポイントになり得ますが、逆に、消費者のプライバシーと利便性に対する事業者の取り組み姿勢を示す場にすることもできます。
(1) 消費者が個人情報開示請求を提出する際に、シームレスな体験を提供できるような仕組みを構築する
SmartIQ が開発しドキュサインが販売している Docusign Guided Forms には、消費者が個人情報開示請求を提出するための、使いやすくて実装が容易な書式が用意されています。Docusign Guided Forms は、ユーザーにステップ・バイ・ステップのガイダンスを提供し、既知のデータがあらかじめフォームに入力された状態で表示されるため、提出時の記入漏れを防ぎ、エラーの軽減につながります。
(2) 個人情報を共有してもよい相手かどうか判断するために、請求者の本人確認を行う
Docusign Identify は、SMSや電話、ナレッジベース認証、さらには政府発行IDを使ったオンライン本人確認を可能にします。これは、事業者側のアカウント経由の認証では開示請求者の本人確認に高い信頼性が得られない場合や、前述したような未成年者の「オプトイン」に親の同意が必要な場合に、特に便利です。
(3) データプライバシーに関する請求を、安全かつ完全に監査可能な方法で処理し、情報の開示を行う
ドキュサインの電子署名を使えば、承認が必要な文書を暗号化して各関係者に送信したり、回覧することができます。機密性の高い文書を電子メールで送信する必要がなくなるので、データ漏洩のリスクが減り、受領確認のためのフォローアップも不要になります。ドキュサインは、事業者が個人情報開示請求を承認して開示するための強力なプラットフォームを提供し、その過程のすべてのステップとアクセスポイントに関する完全な監査証跡を確保します。
まとめ
CPRAだけでなく、昨今、日本を含む世界各国で個人情報に関する法規制が整備されています。今や、データプライバシーへの配慮を保つことは、やるかやらないかを選べる事項ではなく、義務となっています。個人情報保護関連法の要件を満たすことは、企業間および企業と消費者間の関係をより良好な形で築き上げることと密接に関係していますし、そうでなければなりません。消費者として、また企業として、個人情報とその取り扱いについて改めて考えてみてはいかがでしょうか。
おすすめ記事:日本はどうなの?今さら聞けない個人情報保護法の基本
※本記事は「5 Strategies for CPRA and Data Privacy Compliance」の抄訳になり、日本向けに一部加筆修正しています。本記事は一般的な情報提供のみを目的としています。法律上の助言となるものではなく、またそうした助言の代わりとなるものでもありません。