カリフォルニア消費者プライバシーアクト(CCPA) は、モバイルアプリがユーザーデータを取り扱う方法を変えている。ここでは、必要なことを知っておく必要があります。
- 影響を受けるのは誰: 年間25万ドル以上の収益、100,000人以上のユーザーのデータ、またはデータを売却で50%以上の収益を得るアプリ
- 主な要件:
- データ収集の実践を明示する(デバイスIDやIPアドレスなど)。
- ユーザーにデータのアクセス、削除、または共有のオプトアウトのためのツールを提供する。
- 暗号化とアクセス制御でデータを保護します。
- 強制: 違反は、$7,988 ドルあたり 1 回のインシデントにつき罰金につながる可能性があります。注目すべき事例としては、 セファロア ($1.2M の罰金) と ドアダッシュ ($375K の罰金) などがあります。
- 一般的なミス: 「販売しない」リンクの欠如、グローバル プライバシー コントロール (GPC) 信号の無視、非規制データ共有などです。
クイック アドバイス: データのアウトプットを確認し、プライバシーポリシーを更新してください。 Capgo, とツールを使用して OneTrust または Osano を使用して、合意事項を簡素化します。
アプリのコンプライアンス
アプリのデータ収集の披露
アプリ開発者は、デバイス識別子、IPアドレス、家庭情報などのデータを収集する際に、明確かつ事前にお知らせする必要があります。 [1]この通知は、データがどのように使用されるかを説明し、データ収集前にアプリの設定内で容易にアクセスできるようにする必要があります。 [3]この通知には、すべてのデータカテゴリとその目的を含める必要があります。 [3].
あなたのアプリがユーザーのデータを売りまたは共有する場合、ユーザーの個人情報の販売または共有をしないリンクを表示する必要があります。
CCPAは、ユーザーの権利を保護することの重要性を強調しています。
CCPAは、開発者が指定された時期内に遵守する義務がある特定の権利をアプリユーザーに与えます。ビジネスは、少なくとも2つの方法でユーザーが要求を提出できるようにする必要があります。たとえば、料金無料の電話番号です。アプリの場合、インタラクティブなWebフォームも利用可能でなければなりません。 [4].
ユーザー要求を取り扱う方法はこちらです。
- アクセス要求: 10日以内に受領を確認し、45日以内に要求されたデータを提供します。
- 削除要求: 2段階の確認プロセスを使用して要求を検証します。
- オプトアウト要求: 過去90日間でユーザーのデータを受け取った第三者に通知し、15日以内にオプトアウトプロセスを完了します。
「CCPAへの適合の主な要素は、GDPRにおけるデータ主題のアクセス要求と同様の消費者要求の管理プロセスの実施です。- TrustArc [4]
ユーザーデータの保護は、これらのプライバシーの権利の重要な要素です。
データセキュリティ要件
これらのプライバシー対策を支援するために、CCPAは厳格なデータセキュリティ基準を適用しています。主な実践には、
- 暗号化:データの保存と送信の両方に強力な暗号化を適用します。
- アクセス制御:厳格な認証と承認プロトコルを実装します。
- 定期的なテスト:定期的なセキュリティ評価と侵入テストを実行します。
- インシデント対応:侵入の通知手順を更新し、準備しておきます。
:プライバシー関連の活動の記録と24か月間ユーザーの要求を保持する必要があります。 [5].
CA司法長官によるモバイルアプリプライバシーの強制推進
CCPA強制例
最近のケースは、カリフォルニア州がモバイルアプリのプライバシーレギュレーションを厳格に適用していることを示しています。厳しい罰金は、開発者が規制基準を満たさなければならないことを明確に警告しています。
重大な罰金と罰則
カリフォルニア州の検事総長とカリフォルニアプライバシープロテクションエージェンシー (CPPA) は、カリフォルニア消費者プライバシーアクト (CCPA) の違反に対して積極的に取り組んでいます。以下に2つの注目すべきケースを紹介します。
セファロアの1200万ドル罰金 (2022)
セファロアは、複数の規制違反に対して、1200万ドルを支払うことを同意しました。
- 消費者データの販売を明示せず
- グローバルプライバシーコントロール (GPC) のシグナルを無視
- オプトアウトの要求を無視
- 30日以内に違反を解決するための窓口を欠落させた [2]
[2].
これらのケースは、繰り返し非準拠の問題を強調し、ビジネスがプライバシー法に準拠するのに直面する課題を明らかにしています。
トップの非準拠のミス
モバイルアプリは、特定のCCPA要件に苦労し、一般的な違反につながります。ここでは、頻繁なミスと回避方法の詳細を紹介します。
| 違反の種類 | 影響 | 対策 |
|---|---|---|
| 「販売しない」通知の欠如 | 消費者あたり$7,500までの罰金 | アプリの設定で明確なオプトアウトリンクを追加する |
| 同意管理の不十分さ | 未成年者(16歳未満)の場合、罰金が$22,500まで | 16歳未満のユーザーに特に明確な同意ツールを使用する |
| データ共有の制御なし | より高い責任のリスク | 第三者パートナーの監査とドキュメントをすべて実施 |
| シグナルを無視する | 共通の強制トリガー | アプリがGPCシグナルを認識し、対応する |
二つの強制の変更点が注目される。
- 30日間の違反期間の治癒期間は削除されました。
- グローバルプライバシー制御要件への適合性の確認が強化されています。 [6].
“法務長官の焦点は、法律への適合性、消費者の選択肢とコントロールを提供することです。 しかし、カリフォルニアのプライバシーファンドの収益を上げる意図はありません。 それが、適合性を促進することです。” – Melissa G. Powers、LewisRiceの弁護士 [6]
モバイルアプリ開発者は、プライバシー規制の進化に合わせて、コンプライアンスを優先しなければなりません。
sbb-itb-f9944d2
CCPA 審査ガイド
モバイルアプリのコンプライアンスを維持することは、最近の執行措置の背景においても不可欠です。ここでは、実用的なガイドを提供します。
データアクセス手順
まず、ユーザーデータの詳細なインベントリを作成してください。アプリが収集、処理、共有するすべてのデータを網羅するようにしてください。
- データ収集ポイントの特定: 登録フォーム、購入、分析ツール、第三者SDKなど、データの入力元をすべてドキュメントしてください。
- データの分類: 以下のタイプに分類してください。
- 識別情報(例:名前、メールアドレス、デバイスID)
- 商用データ
- オンライン活動
- 地理位置情報
- 生体情報
- 専門情報
プライバシーポリシーの更新
あなたのプライバシーポリシーでは、CCPAに準拠してデータの取り扱いを明確に説明する必要があります。以下の表を参考にしてください。
| セクション | 記載するべき事項 | 実装のヒント |
|---|---|---|
| データ収集 | 個人情報の種類をすべて記載する | 簡潔で明確な言葉を使用する |
| ユーザーの権利 | ユーザーがデータの共有から削除、またはオプトアウトする方法を説明する | ステップごとに指示を提供する |
| データ共有 | 第三者との関係を明確にし、データの販売について説明する | データを受け取る人を具体的に説明する |
| 連絡先 | あなたに連絡する方法を複数提示する | メール、電話、ウェブフォームを含む |
ユーザーの権利の請求を効果的に処理するために、次の更新が不可欠です。
ユーザー権利管理
CCPAに適合するには、45日以内にプライバシー要求を処理するシステムが必要です。ここで注目すべき点は
-
アクセス要求:
- アプリ内にプライバシー ダッシュボードを追加する
- ユーザー識別子を使用してフォームを事前入力して便利にします。
- ユーザーが登録されていない場合のデバイスIDトラッキングを使用します。
-
削除要求:
- データの削除を処理するためのワークフローを自動化します。
- データの削除をサポートする第三者SDKが存在することを確認します。
- すべての削除要求の詳細な記録を保持します。
データセキュリティ設定
データ保護は法的遵守の重要な部分です。セキュリティを強化する方法については、以下をご覧ください。
-
技術的措置:
- データの転送中のエンドツーエンド暗号化を使用します。
- データを安全に保管するためにデータを暗号化します。
- 厳格なアクセス制御と認証を設定します。
- 定期セキュリティの監査を実施する。
-
第三者監査:
- __CAPGO_KEEP_0__のSDKはすべてCCPAに準拠していることを確認する。
- データの共有方法を記録し、オプトアウトの選択肢を提供する。
- すべての第三者のセキュリティ慣行を定期的に確認する。
例えば、 Flurry SDKにはユーザーのプライバシーを尊重し、データの削除を管理するためのオプトアウトAPIが含まれている。 [1].
CCPAの適合性リソース
CCPAの基準を満たすには、開発者は簡素化された適合性プロセスを実現するための適切なツールが必要です。データプライバシーへの投資は、信頼性を築き、投資した1ドルにつき2.70ドル相当の利益をもたらすこともあります。 [8]以下は、適合性評価、プライバシーマネジメント、およびアプリの更新を容易にするためのツールです。 適合性評価、プライバシーマネジメント、およびアプリの更新を容易にするためのツール より管理しやすい。
Compliance Assessment Tools
これらのツールは、 CCPA 要件に準拠したアプリの評価に役立ちます。
| ツール | 評価 | 主な機能 | 適切なもの |
|---|---|---|---|
| OneTrust | 3.8/5 | データマッピング、自動スキャン | 大規模企業 |
| Osano | 4.6/5 | クッキー同意、ベンダーモニタリング | 小-medium アプリ |
| TrustArc | 4.1/5 | リスク評価、プライバシーマネジメント | Multi-platform アプリ |
これらのプラットフォームは、自動化されたギャップ分析とリアルタイムのコンプライアンストラッキングを提供します。例えば、Osanoは Lattice 運用上の複雑さを軽減し、コンプライアンス努力とマーケティングを統合し、プライバシー第一のコミットメントを維持する [8].
プライバシーマネジメントソフトウェア
プライバシーマネジメントツールは、以下の4つの主な領域に焦点を当てています。
- Consent Management:ユーザーのプライバシー設定を自動的に収集して追跡する
- データディスカバリー: 個人情報のスキャンとカタログ作成。
- 自動化の申請: 必要な45日以内にユーザーの権利要求を取り扱います。
- 第三者監視: 外部のベンダーとデータの共有を追跡します。
例えば、 Usercentrics と iubenda は、 iubendaはCapterraで4.5/5の評価を獲得し、運用上の手間を最小限に抑えながら、適合性を維持するのに役立つことを証明しています。 [7].
Capgo: CCPA法に適合するアプリの更新
プライバシー管理を超えて、プラットフォームとしては Capgo アプリの更新中にCCPA法に適合するように保証します。 Capgo CCPA法に適合するように支援する機能としては
- エンドツーヘンドの暗号化 ユーザーデータの更新中に保護する
- デバイス間のトラッキング または永続的な識別子
- 透明性のあるデータハンドリング 統合統計値のみを使用します。
- ユーザー制御 即時アカウントとデータ削除オプションを通じて
Capgoは、厳格なプライバシーガイドラインに従いながら、1,800の生産アプリに跨って492.4百万回の更新を成功させています。 [9].
「Capgoは、開発者がより生産的になるための必須ツールです。バグ修正のレビューを避けることは金のことです。」 - Bessie Cooper [9]
これらのツールを定期的なオーディットと合わせて使用すると、CCPAの連続性を維持するのに役立ちます。
結論:CCPAの適合手順
前述の戦略に従って、CCPAに適合するために必要な主なアクションの詳細を以下に示します。ユーザーデータを保護するために、モバイルアプリの適合を徹底的に行う必要があります。最近の適合違反のケースは、厳重な罰金を伴うリスクを強調しています。したがって、開発者はプライバシー対策を取り入れる必要があります。
ここでは、3つの主なエリアに焦点を当てます。
-
データ管理と透明性
- デバイス識別子やIPアドレスなどの個人情報を収集したすべての情報をマップするデータインベントリを実行する [1].
- 各ユーザーのデータの取り扱いを追跡およびドキュメントする
- ユーザーにデータ収集実践について明確に知らせる
- 第三者SDKを確認して、法的基準を満たしていることを確認する
-
ユーザーの権利の実装
- データアクセスと削除の要求を処理するシステムを設定する
- 45日以内にユーザーの要求を処理する
- 「私の個人情報を売ったり共有しないでください」という簡単に見つけることができるリンクを追加する
- ユーザーの要求を安全に管理するための身分確認プロセスを作成する [10].
-
技術基盤
- ユーザーデータを保護するためにエンドツーヘンド暗号化を使用する
- ユーザーの同意を安全に保存する
- プライバシーにフォーカスした更新ツールを選択する、例えば Capgo
- 定期的にセキュリティの検査を行い、プライバシーポリシーを更新する
継続的な適合性のために、CCPA規則を満たすように設計されたツールを使用することを検討してください。例えば、コレンスは次のことを共有しました:Capgo
「私たちはCapgoをプロダクションでOTA更新をロールアウトしました。ユーザーベースは5,000人以上で、ほとんどのユーザーは@CapgoにデプロイされたOTAが公開された後、数分以内に最新バージョンにアップデートしています。 [9]
