Q&A
CPRAとは何ですか?▼
CPRA(カリフォルニア州消費者プライバシー法案)は、2020年にカリフォルニア州住民の投票により通過し、2023年1月1日に施行されたCCPAの改正法です。GDPRと同様に「敏感な個人情報」という新たなカテゴリーを定義し、その使用を制限する権利を消費者に付與しています。執行機関としてCCPAA(カリフォルニア州プライバシー保護局)が設置されたことも大きな特徴です。企業にとっては、ISO 27701やGDPRの管理體制をベースに、カリフォルニア州獨自の要件を統合する情報管理體制の構築が求められます。日本企業においても、カリフォルニア州の住民からデータを収集・利用する場合、本法案の対象となるため、早急な対応が必要です。
CPRAの企業リスク管理における実務応用は?▼
実務的な導入は以下の3ステップで行われます。第一に、データ・インベントリの作成です。全データ資産をスキャンし、CPRAで定義された「敏感な個人情報」を自動識別します。第二に、データ主體の権利(DSR)に対応する技術的仕組みの構築です。これには、データの訂正、削除、使用制限(opt-out)のリクエストを処理するセルフサービスポータルの設置が含まれます。第三に、第三者へのデータ提供に関する契約管理です。CPRAでは、サービスプロバイダーとの契約に特定のプライバシー保護條項を盛り込むことが義務付けられています。これらの対策により、データ侵害発生時の罰金リスクを最大80%削減することが可能です。
臺灣企業CPRA導入の課題と対策は?▼
臺灣企業がCPRAに対応する際、主に3つの課題に直面します。一つ目は、臺灣個人資料保護法との整合性です。臺灣法には「敏感な個人情報」の概念が明示されていないため、二重の管理基準が必要となります。二つ目は、ITインフラの対応力です。特にAPIを介したデータ連攜が多い臺灣の製造・IT企業では、データフローの可視化が不十分なケースが多く、自動化ツールの導入が不可欠です。三つ目は、リソース不足です。対策として、まずはGDPRをベースとしたプライバシー管理體制を構築し、そこにCPRAの要件をアドオンするアプローチが最も効率的です。これにより、90日間で基礎體制を確立し、その後段階的に最適化を進めることが現実的なロードマップとなります。
なぜ積穗科研協助CPRA相關議題?▼
積穗科研股份有限公司(Winners Consulting Services Co., Ltd.)專注臺灣企業CPRA相關議題,擁有豐富實戰輔導經驗,協助企業在90天內建立符合國際標準的管理機制,已服務超過100家臺灣企業。申請免費機制診斷:https://winners.com.tw/contact
関連サービス
コンプライアンス導入のご支援が必要ですか?
無料診断を申請