メインコンテンツにスキップ

CCPAの執行がアプリに与える影響

CCPAは、ユーザーデータの管理を含むモバイルアプリの運用方法を変え、透明性、ユーザーの権利、厳格なセキュリティ対策を強調しています。

マーティン・ドナディュー

マーティン・ドナディュー

コンテンツマーケター

CCPAの執行がアプリに与える影響

カリフォルニア消費者プライバシー法 (CCPA) は、ユーザーデータの取り扱い方を変えるように、モバイルアプリを変えている。ここでは、知るべきことがあります。

  • 影響を受ける人: 年間25万ドル以上の収益、100,000人以上のユーザーのデータ、またはデータの売却から50%以上の収益を得るアプリ
  • 主な要件:
    • データ収集の実践を明らかにする (デバイスIDやIPアドレスなど)
    • ユーザーにデータのアクセス、削除、または共有のオプトアウトのためのツールを提供する
    • データを暗号化とアクセス制御で保護する
  • 執行: 違反は、1件あたり7988ドルまでの罰金につながる。注目すべき事例には セフオラ (1,200万ドルの罰金)と ドアダッシュ (375万ドルの罰金)。
  • 一般的なミス:「販売しない」リンクの欠如、グローバルプライバシーコントロール(GPC)信号の無視、非規制されたデータ共有。

クイックアドバイス:データアウディットから始め、プライバシーポリシーを更新し、ツールとして ワン・トラストを使用すること。 プライバシーポリシー データ共有 Osano コンプライアンスを簡素化する。コンプライアンスを維持することは、罰金を避けることだけではなく、ユーザーの信頼を築き、ビジネスを保護することです。

アプリのCCPAコア要件

データ収集の披露

アプリ開発者は、デバイス識別子、IPアドレス、家庭情報などのデータを収集する前に、データ収集についての明確で前向きな通知を提供する必要があります。 [1]データ収集の通知は、データ収集の目的を説明し、ユーザーが容易にアクセスできるようにする必要があります。理想的には、アプリの設定内で。 [3]データ収集の通知には、すべてのデータカテゴリとその目的を含める必要があります。 [3].

データを売りまたは共有するアプリの場合、ユーザーの個人情報を売りまたは共有しないようにするリンクを表示する必要があります。

CCPAは、披露と並んでユーザーの権利を保護することの重要性を強調しています。

ユーザーのプライバシーの権利 [4].

CCPAは、アプリのユーザーに特定の権利を付与し、開発者はこれらの権利を期限内に尊重する義務があります。ビジネスは、少なくとも2つの方法でユーザーが要求を提出できるようにする必要があります。たとえば、料金無料の電話番号。アプリの場合、インタラクティブなウェブフォームも利用可能でなければなりません。

  • ユーザーの要求を取り扱う方法はこちらです。: 10 日以内に受領を確認し、45 日以内に要求されたデータを提供する。
  • Deletion Requests: 2 つのステップの確認プロセスを使用して、要求を検証する。
  • Opt-Out Requests: 15 日以内にオプトアウトプロセスを完了し、過去 90 日間にユーザーのデータを受信した第三者に通知する。

“CCPA に準拠するには、GDPR のデータサブジェクトアクセス要求と同様の消費者要求の管理プロセスを実装することが重要な要素です。” - TrustArc [4]

ユーザーデータ保護は、プライバシーの権利の重要な要素です。

Data Security Requirements

CCPA では、プライバシーをサポートするために厳格なデータセキュリティ基準を適用しています。主な実践として、以下があります。

  • Encryption: ストレージされたデータと送信されたデータの両方に強力な暗号化を適用する。
  • Access Controls: __CAPGO_KEEP_0__を厳密に認証および承認するプロトコルを実装する。
  • 定期テスト: 定期的なセキュリティアセスメントおよび侵入テストを実行する。
  • インシデント対応: 不正アクセス通知手続きを最新に保ち、準備する。

さらに、ビジネスはプライバシー関連の活動とユーザーの要求の記録を24か月間保持する必要があります。 [5].

CA司法長官によるモバイルアプリプライバシー強制推進

CCPA強制例

最近のケースでは、カリフォルニア州のプライバシーの法令の強力な執行を示しており、開発者が規制基準を満たすために厳格な罰金が提示されている。

重大な罰金および罰則

カリフォルニア州の司法長官およびカリフォルニアプライバシープロテクションアGENCY(CPPA)は、カリフォルニア消費者プライバシーアクト(CCPA)の違反に対して積極的に取り組んでいます。以下に2つの注目すべきケースを示します。

Sephoraの$1.2百万の和解 (2022)
Sephoraは、複数の非準拠事例に対して、$1.2百万を支払うことに同意した:

  • 消費者データの販売を明らかにしなかった
  • グローバルプライバシーコントロール(GPC)信号を無視した
  • オプトアウト要求を無視した
  • 違反を解決するために30日以内に到達しなかった [2]

“Technologies like the Global Privacy Control are a game changer for consumers looking to exercise their data privacy rights. But these rights are meaningless if businesses hide how they are using their customer’s data and ignore requests to opt-out of its sale. I hope today’s settlement sends a strong message to businesses that are still failing to comply with California’s consumer privacy law. My office is watching, and we will hold you accountable.” – AG Rob Bonta [6]

グローバルプライバシーコントロールのような技術は、消費者がデータプライバシーの権利を実行するために必要なものですが、ビジネスが顧客のデータを使用している方法を隠し、オプトアウトの要求を無視している場合、権利は意味をなさないことになります。私は、今日の和解が、カリフォルニアの消費者プライバシーの法を準拠していないビジネスに強いメッセージを送ることを願っています。私の事務所は、ビジネスを監視し、責任を負わせることを約束しています。
AG Rob Bonta [2].

DoorDashの$375,000の罰金 (2024)

DoorDashは、顧客データをマーケティング協同組合に共有したことに対して、明示的な同意を得ることなく罰金$375,000を課せられた

これらのケースは、再発する非準拠問題を強調し、プライバシーの法を準拠することが困難であることを示しています。

違反種類 影響 防止対策
「販売しない」通知の欠如 消費者あたり 7,500 ドル以下の罰金 アプリ設定に明確なオプアウトリンクを追加する
consent管理の不十分 未成年者あたり 22,500 ドル以下の罰金 16 歳未満のユーザーに明確なconsentツールを使用する
規制なしのデータ共有 リスクの高い責任 第三者パートナーシップのすべての監査と記録
IGNORING GPC シグナル グローバル プライバシー コントロール (GPC) の強制に共通するトリガー アプリが GPC シグナルを認識して対応するようにする

強制の移行について 2 つの点が注目される:

  • 違反に対する 30 日の猶予期間は廃止された
  • グローバル プライバシー コントロール (GPC) の要件への適合率の高まり [6].

“The Attorney General’s focus is on compliance with the law, giving consumers choices and control. But the intent is not to run up revenue in California’s privacy fund. It’s to encourage compliance.” – Melissa G. Powers, Associate at LewisRice [6]

These enforcement actions make it clear: mobile app developers must prioritize compliance to navigate the evolving privacy landscape while maintaining their marketing goals.

sbb-itb-f9944d2

CCPA Compliance Guide

Staying on top of compliance is crucial for mobile apps, especially in light of recent enforcement actions. Here’s a practical guide to help you navigate the key steps.

Data Audit Steps

データ収集の詳細なインベントリを作成することから始めましょう。アプリが収集、処理、共有するユーザーデータをすべてリストアップしてください。

  • データ収集ポイントの特定: 登録フォーム、購入、分析ツール、第三者SDKなど、すべてのデータ入力源をドキュメント化してください。
  • データの分類: 以下のタイプに分類してください。
    • 識別子(例:名前、メールアドレス、デバイスID)
    • 商用データ
    • オンライン活動
    • 位置情報
    • 生体情報
    • 職業情報

プライバシーポリシーの更新

CCPAに準拠するために、データの取り扱いについて明確に説明するプライバシーポリシーを用意する必要があります。以下の表を参考にしてください。

セクション 実装のためのヒント データ収集
個人情報の種類をすべてリストする 簡潔で明確な言葉を使う ユーザーの権利
ユーザーがデータの共有から削除、またはオプトアウトする方法を説明する ステップバイステップの指示を提供する データの共有
第三者との関係やデータの売却についての概要 __CAPGO_KEEP_0__ データの受信者について具体的に記載する
連絡先方法 複数の連絡方法を提供する メール、電話番号、ウェブフォームを含む

ユーザーの権利要求を効果的に処理するために必要なのは、これらのアップデートです。

ユーザー権利管理

CCPAに準拠するには、45日以内にプライバシーリクエストを処理するシステムが必要です。ここに焦点を当てるべき点があります。

  • アクセス要求:

    • アプリ内にプライバシーダッシュボードを追加する
    • ユーザー識別子を事前に入力して便利にする
    • 未登録ユーザーにデバイスIDトラッキングを使用する
  • デバイスIDトラッキング:

    • データ削除のワークフローを自動化してデータを削除する。
    • 第三者 SDK がデータの削除をサポートすることを確認する。
    • すべての削除要求の詳細な記録を保持する。

データ セキュリティ設定

データ保護は規制の重要な部分です。セキュリティを強化する方法については、以下のとおりです。

  • 技術的対策:

    • データの転送中のエンドツーエンド暗号化を使用する。
    • データを暗号化して安全に保管する。
    • 厳格なアクセス制御と認証を設定する。
    • 定期的なセキュリティ監査を実施する。
  • 第三者 SDK を使用するすべてのものが CCPA に準拠していることを確認する。:

    • データ保護は規制の重要な部分です。セキュリティを強化する方法については、以下のとおりです。
    • Document how data is shared and provide opt-out options.
    • Periodically review the security practices of all third parties.

For example, the Flurry SDK includes an opt-out API that respects user preferences and manages data deletion requests [1].

CCPA Compliance Resources

To meet CCPA standards, app developers need the right tools to simplify compliance processes. Investing in data privacy not only builds trust but can also yield a return of up to $2.70 for every dollar spent [8]. Below are tools designed to make compliance assessments, privacy management, and app updates more manageable.

Compliance Assessment Tools

These tools help evaluate how well your app aligns with CCPA requirements:

ツール 評価 主な機能 最適な対象
OneTrust 3.8/5 データマッピング、自動スキャン 大規模企業
Osano 4.6/5 クッキー同意、ベンダーモニタリング 小規模-中規模アプリ
TrustArc 4.1/5 リスク評価、プライバシーマネジメント Multi-platform apps

__CAPGO_KEEP_0__ これらのプラットフォームでは、自動化されたギャップ分析とリアルタイムのコンプライアンス追跡が提供されます。例えば、Osanoは Lattice [8].

Latticeは、運用上の複雑さを削減し、コンプライアンス努力とマーケティングを統合し、プライバシー第一のコミットメントを維持するのに役立ちました。

プライバシーマネジメントソフトウェア

  • プライバシーマネジメントツールは、以下の4つの主な領域に焦点を当てています。同意管理
  • :ユーザーのプライバシー設定を自動的に収集して追跡します。データ発見
  • :個人情報をスキャンしてカタログ化します。リクエスト自動化
  • 第三者監視: 外部ベンダーとデータを共有する方法を追跡します。

Solutions like Usercentricsiubenda は、これらの機能を効果的に実現するように設計されています。たとえば、 iubenda, Capterraで4.5/5の評価を受けました。アプリをコンプライアンスに保ちながら、運用上の努力を最小限に抑える能力で知られています。 [7].

Capgo: CCPAに準拠したアプリの更新

Capgo: CCPAに準拠したアプリの更新

プライバシー管理の範囲を超えて、プラットフォーム Capgo アップデート時には、CCPAの規制に準拠したままアプリを保証します。 Capgo 以下の機能により、規制に準拠したままアプリをサポートします:

  • エンドツーエンドの暗号化 アップデート時にはユーザーデータを保護するために使用されます。
  • デバイス間のトラッキング または永続的な識別子を含まないものです。
  • 透明性のあるデータハンドリング 統計情報のみを集約することで実現します。
  • ユーザーのコントロール 即時アカウントとデータの削除オプションを提供します。

Capgo は、1,800 の生産アプリケーションを通じて、492.4 百万の更新を成功裏に配信し、厳格なプライバシーガイドラインに従っています。 [9].

「Capgo は、開発者がより生産的になることを望む開発者にとって不可欠なツールです。バグ修正のレビューを避けることは金の価値です。」 - Bessie Cooper [9]

これらのツールを定期的なアクセス審査と合わせて使用することで、CCPA の一貫性のある遵守を維持できます。

結論: CCPA 適合手順

前述の戦略を遵守することで、CCPA に適合するための主なアクションを以下に示します。適合を維持することは、モバイルアプリでユーザーデータを保護するための徹底的なアプローチを取ることです。最近の適合違反の処罰事例は、非適合のリスクを強調しています。たとえば、厳重な罰金が課せられるため、開発者はプライバシー対策を真剣に取り組む必要があります。

ここでは、3 つの主な対象領域を紹介します。

  • データ管理と透明性

    • デバイス識別子や IP アドレスなどの個人情報を収集する際に、データインベントリを実施して、収集されたすべての個人情報をマップする必要があります。 [1].
    • 各ユーザーのデータの取り扱いを追跡し、記録する必要があります。
    • データ収集の実施前に、ユーザーにデータ収集の実施について明確に説明する必要があります。
    • 第三者 SDK を確認し、適合基準を満たしていることを確認する必要があります。
  • ユーザーの権利の実施

    • データアクセスと削除要求を処理するシステムを設定する。
    • ユーザーの要求は、必要な45日間のウィンドウ内で対応されるようにする。
    • 「私の個人情報を売ったり共有しないでください」という簡単に見つけることができるリンクを追加する。
    • ユーザーの要求を安全に管理するための身分確認プロセスを作成する。 [10].
  • 技術インフラ

    • ユーザーデータを保護するために、端末間で暗号化する。
    • ユーザーの同意を安全に保存する。
    • プライバシーにフォーカスした更新ツールを選択する、例えばCapgo。
    • 定期的にセキュリティの検査を行い、プライバシーポリシーを更新する。

継続的なコンプライアンスのために、CCPA規則を満たすように設計されたツールを使用することを検討する。例えば、colensoはCapgoの経験を共有した。

「私たちはCapgo OTA更新を生産環境でロールアウトし、5000人以上のユーザーに適用しました。ほぼすべてのユーザーが、@CapgoにOTAが展開された後、数分以内に最新バージョンにアップデートされました」という経験を共有した。 [9]

「How CCPA Enforcement Impacts Apps」から続ける

If you are using CCPAの適用に伴うアプリの影響 をセキュリティとコンプライアンスの計画に接続する 暗号化 暗号化の実装詳細 コンプライアンス コンプライアンスの実装詳細 Capgo セキュリティ スキャナー Capgo セキュリティ スキャナーの製品ワークフロー Capgo セキュリティ Capgo セキュリティの製品ワークフロー Capgo トラスト センター Capgoの製品ワークフローについての信頼の中心.

Capacitor アプリのリアルタイム更新

ウェブ層のバグが生じた場合、Capgo を使用して修正を配信するのではなく、数日間待ってアプリストアの承認を待つのではなく、修正を配信してください。ユーザーはバックグラウンドで更新を受け取り、ネイティブの変更は通常のレビュー経路を通じて実行されます。

今すぐ始めましょう

ブログの最新記事

Capgo は、プロフェッショナルなモバイルアプリを作成するために必要な最良の洞察を提供します。