privacy-and-online-law
中小企業の新規データプライバシー法の遵守方法
Table of Contents
新しいデータプライバシーの風景を理解する
データのプライバシー規制は、高度プロファイル違反によって駆動され、個人情報を制御するための消費者の需要が高まっています。中小企業の所有者にとって、コンプライアンスはもはやオプションではありません。欧州連合の一般データ保護規則(GDPR)およびカリフォルニア州消費者プライバシー法(CCPA)などの法律は、新しいグローバル基準を設定し、バージニア州、コロラド州、コネチカット州の追加の州レベルの法律は、既に効果が高まっているか、すぐになります。 行動を順守する失敗は、法的損失と顧客の罰金を払うことができます。
このガイドでは、限られたリソースでも、コンプライアンスを達成し維持するために実用的な手順を説明します。データプライバシー法が要求するデータ、現在の慣行を監査する方法、同意メカニズムを実装し、消費者の権利要求を処理します。これらの戦略に従うことによって、あなたの中小企業は、罰則を回避するだけでなく、顧客のデータの信頼できる スチュワーデスとして評判を築くことができます。
プライバシーの遵守は、一種のフィットネス・オール・エクササイズではありません。 あなたが受けるアプローチは、あなたが運営する管轄区域、あなたが収集するデータの量と感度、そして既存のインフラに依存します。 しかし、コアの原則 - 透明性、制御、セキュリティ、および説明責任 - ユニバーサルです。 あなたがソロ・起業家や5のチームにいる場合でも、ここで概説された手順は、あなたのリソースに合ったスケールをすることができます。
主要データプライバシー法 中小企業の感染
GDPR(一般データ保護規則)
2018年5月以降、GDPRは、ビジネスが拠点を置く場所に関係なく、EUの個人に商品やサービスを提供するあらゆる事業に適用されます。 主な要件は次のとおりです。
- 個人データの処理に関する法的根拠(契約、契約、法的義務、正当な利益など)
- 簡潔で簡単にアクセスでき、明確な言語で書かれている透明なプライバシー通知
- 個々の権利:アクセス権、訂正、消去の権利(「忘れる権利」)、処理の制限、データポータビリティ、および異議
- 違反がデータ主体に危険を発することに異ならず、監督当局に72時間の違反通知
- 処理活動の記録(第30条) - 250人以上の従業員を持つ組織のために技術的に要求されるが、中小企業は、特に機密データやリスクを伴うもの、特定の処理活動を文書化しなければならない
罰金は、毎年、世界の売上高の20万ユーロまたは4%に達することができます。ただし、監督当局は、中小企業によるマイナーな初めての不断に対する警告や返信を発行することが多い。重要なことは、良い信仰の努力を示すことです。
EU以外の中小企業にとって、EUの顧客とのみ相互作用するというわけではありません。EUの個人行動を監視する場合、GDPRは依然として適用されます。例えば、EUの訪問者を追跡したり、EUの住民にターゲットを絞ったメールキャンペーンを送信したりするアナリティクスクッキーを使用して、GDPRの義務をトリガーします。
CCPA/CPRA(カリフォルニアコンシューマープライバシー法/カリフォルニアプライバシー権法)
CCPAは、CPRAが2023年1月に有効にすることを改正し、2020年1月施行しました。これは、カリフォルニアの住民の個人情報を集め、これらの閾値のいずれかを満たしている非営利団体に適用されます。
- 年間売上高は25億ドル超
- カリフォルニア在住の住民や世帯の個人情報を購入、受取り、販売
- 消費者の個人情報販売から年間売上高が50%以上増加
小規模な企業は、多くの場合、これらのしきい値の下落しますが、重要な量のデータを処理するか、データを販売する人は、依然に従う必要があります。 主な義務には、知って、削除、販売のオプトアウト、および非差別化の権利が含まれます。 CPRAは、機密個人情報(例えば、正確な地理位置、地方自治体または民族的な起源、健康データ)を含む保護を拡大し、専用の執行機関、カリフォルニア州個人情報保護庁(CPPA)を作成しました。
あなたのビジネスがCCPAのしきい値を満たしていない場合でも、同様の状態の法律が適用される場合があります。例えば、コロラド州のCPAは、より低い収益のしきい値を持ち、25,000以上の消費者の個人データを処理する企業に適用され、データを販売するから利益を導きます。 全国の顧客ベースの中小企業は、少なくとも1つの州法の対象となると仮定する必要があります。
その他の米国国家プライバシー法
バージニア州の消費者データ保護法(VCDPA)、コロラド州のプライバシー法(CPA)、コネチカット州のデータプライバシー法(CTDPA)、およびUtahの消費者プライバシー法(UCPA)は、すべての取られた効果またはすぐに発生します。CCPAと類似性を共有する間、差は、アプリケータビリティのしきい値、免除、および執行に存在します。例えば:
- バージニア州のVCDPAは、25,000以上の消費者の個人データを管理または処理する企業に適用され、または25,000以上の消費者のデータを販売する収入の50%以上を導きます。
- コロラドのCPAは、100,000以上の消費者や、25,000以上の消費者のデータを販売する収益を処理する企業(場合によっては非営利団体を含む)に適用されます。
- コネチカットのCTDPAはコロラドと同じしきい値を持っていますが、最初の違反のための14日間の治療期間が含まれています。
- UtahのUCPAは、年間売上高25万ドルの事業を要求し、100,000以上の消費者を処理したり、25,000以上の消費者のデータ販売から50%以上の収益を導き出す必要があります。
複数の州で動作する小規模な企業は、これらの変化を追跡しなければなりません。 実用的なアプローチは、多くの場合、すべての拠点をカバーする最も厳しい適用法に準拠することです。
国際的考察
ブラジルのLGPD、南アフリカのPOPIA、日本APPI、カナダのPIPEDAなどの法律は、これらの管轄区域からデータを処理する場合に適用される場合があります。グローバルトレンドはより強力な保護に向けられているため、世界中でプライバシー優先のフレームワークの利点を構築します。お客様がウェブサイトをグローバルに運営している場合は、ユーザーの位置を検出し、適切なルールを適用する同意管理プラットフォームを実施することを検討してください。
権威ある指導については、【】UK ICOのデータ保護ガイドと[]]]のCalifornia Attorney GeneralのCCPA FAQ]を参照してください。
現在のデータプラクティスを評価する
データ監査を実施
コンプライアンスを守れる前に、収集するデータ、それがどのように流れているのか、アクセスした人を知る必要があります。簡単な在庫から始めましょう。
- データタイプ:[]] 名前、メール、電話、住所、支払い情報、IPアドレス、閲覧行動、ソーシャルメディアの処理など
- [] 収集ソース:[]] ウェブサイトのフォーム、CRM、電子メールマーケティング、POST、サードパーティの統合(例えば、Facebookピクセル、Googleアナリティクス、TikTokピクセル)、カスタマーサポートチャネル、およびオフラインの相互作用。
- []ストレージの場所:[]クラウドサービス(AWS、Googleドライブ、Dropbox、OneDrive)、ローカルサーバー、スプレッドシート、電子メール受信トレイ、紙ファイル。
- [データ処理者:]]] 任意のベンダーまたはサービスが、(例えば、Mailchimp、Stripe、Shopify、HubSpot、Zendesk、AWS) データを処理します。 目的、データ共有のカテゴリ、およびセキュリティ対策を文書化します。
データマップや処理活動記録のすべてを文書化します。このマップは、すべてのその後のコンプライアンス手順の基礎となります。データカテゴリ、ソース、ストレージの場所、保持期間、適法に基づいて、サードパーティのプロセッサ、およびセキュリティ対策の列を持つスプレッドシートを使用します。少なくとも毎年更新するか、新しいツールを追加するたびに。
処理のための法的根拠を特定する
GDPR では、ほとんどの処理は適法な基礎を必要とします。小規模な企業のための共通の拠点は次のとおりです。
- :]] マーケティングメールまたは非必須クッキーの場合。 同意は、自由に与えられ、特定の、通知され、無包囲されなければなりません。 事前禁止されたボックスは有効ではありません。
- 契約上必要:[ 注文を履行し、サービスを提供したり、契約に入る前に、個人を要求する手順を取るために必要な処理。
- [正当な利益:[]]]不正防止、ネットワークセキュリティ、ダイレクトマーケティング(オプトアウトに差し込む)、または分析。 消費者の権利とあなたの利益のバランスをとる正当な利益評価(LIA)を実施する必要があります。
- 法的義務:[]]] 税務レコード、会計、その他の法令順守。
- 不在の状況で使用した、 断念的関心: 。
CCPAのような米国法では、「一貫性」は、販売またはクロスコンテキスト行動広告の共有をオプトアウトする権利に置き換えられます。 これらの権利をトリガーし、明確なオプトアウトメカニズム(例えば、「私の個人情報を販売または共有しないでください」リンク)を提供する活動を特定する必要があります。
コンプライアンスフレームワークの構築
プライバシーポリシーの更新
あなたのプライバシーポリシーは明確で、特定的、そして見つけやすくなければなりません。以下を含みます。
- 収集した個人データと、その情報源
- 収集および適法な基礎(GDPRの場合)または事業目的(CCPAの場合)
- データの共有方法(第三者とマーケティング、分析など)
- 消費者の権利(アクセス、削除、オプトアウト、ポータビリティ、修正)およびそれらを行使する方法
- 個人情報に関するお問い合わせ(メールアドレス・メールアドレス)
- 最終更新日
- 該当する場合、クッキーと類似技術に関するセクション
法律でなく、法律で定められた言語を使用してください。 法律で定められた法律で定められた法律で、あなたのウェブサイトのフッター、チェックアウト時に、個人データを収集する際に、ポリシーをリンクからアクセス可能にしてください。 レイヤードアプローチ:完全なポリシーへのリンクに関する短い要約。
例テンプレートリソース: PrivacyPolicies.com または の ]]。 しかし、常にテンプレートをカスタマイズして、実際の慣行を反映させます。 一般的なポリシーをコピーすることは、不正確であるかどうかよりも悪い可能性があります。
一貫したメカニズムを実装
同意が必要(例えば、マーケティングメール、非必須クッキー)、あなたは明示的、通知され、自由に同意を与えられた取得しなければなりません。 使用:
- []Cookieの同意バナー:[]] 異なるカテゴリ(必須、分析、マーケティング)の顆粒オプトインを許可します。 プレティックボックスをしないでください。 「すべてを注入」オプションを「すべてを受け入れる」として顕著に提供してください。
- []ニュースレターまたはアカウント登録のためのサインアップフォームのオプトインチェックボックス[。 データは、そのサービスに必要な場合を除き、サービスを受けるための条件として、彼らは必要ではないことを確認してください。
- [] 異なる処理目的のために(電子メールマーケティングのための1つのチェックボックス、パートナーと共有するための別の、パーソナライズされた広告のための別の)同意[[を分離します。
- [] レコードの保存:] 時刻と同意のテキスト、ポリシーのバージョン、およびユーザー識別子のときに、どのように同意が与えられたかを記録します。 あなたのCRMまたは同意管理プラットフォームでこの証拠を保存します。
CCPAオプトアウトでは、「マイ個人情報を販売または共有しない」という簡単なリンクが十分ですが、グローバルプライバシーコントロール(GPC)信号も使用できます。 ウェブサイトがこれらの信号を尊重することを確認してください。
消費者の権利要求を処理する
中小企業は、特定の時間枠内で要求に応答しなければなりません(例えば、CCPAの45日、GDPRの30日)。 プロセスを確立します。
- データのプライバシー・コンタクト(ビジネスオーナーまたは責任ある従業員に限る)を設計する。
- 消費者がリクエストを提出するための簡単なフォームまたはメールアドレスを作成します(例:[email protected])。専用の電話番号もアクセシビリティに役立ちます。
- リクエストのアイデンティティ(例えば、メールと名前を一致させる、不要な情報を求めることを避けます)を確認します。 CCPA の削除要求については、処理前に、リクエストを検証する必要があります。
- 許可されたウィンドウ内のリクエストを埋めます(例えば、保持されたすべてのデータを提供し、削除し、販売からそれらを選択するか、または誤った誤りを修正します)。データポータビリティのために、一般的に使用される機械読み取り可能なフォーマット(CSV、JSON)でデータを提供します。
- 完了の要求、要求、および完了の日付を記録して下さい。少なくとも24か月の記録を(CCPAの条件)保って下さい。
権利を行使する消費者に対しては、差別化(サービス拒否、異なる価格の請求、異なる品質の提供など)することはできません。ただし、適切に開示され、消費者がオプトインした場合、データ収集に対する金融インセンティブを提供する場合があります。
ベンダーとサードパーティの管理
個人データを代わって処理するベンダー(データプロセッサ)は、そのデータを保護し、コンプライアンスを支援するために契約的に義務付けられている必要があります。 あなたの合意を以下に確認してください。
- メールマーケティングプラットフォーム(メールチャット、定番コンタクト)
- 支払プロセッサ(Stripe、PayPal、正方形)
- クラウドストレージプロバイダ(Googleワークスペース、Dropbox、AWS)
- アナリティクスサービス(Google Analytics、Facebookピクセル、Hotjar)
- カスタマーサポートツール(Zendesk, Intercom)
- CRM(HubSpot, Salesforce, Pipedrive) の使い方
GDPRは、書面によるデータ処理契約(DPA)を必要とします。 多くのより大きなプロバイダは、デジタルで受け入れることができる標準的なDPAを提供します。 小規模なベンダーの場合、あなたは1つを交渉する必要があります。 ベンダーがデータ、サブプロセッサ、およびセキュリティ認証(SOC 2, ISO 27001)にアクセスできる追跡。 ベンダーを変更するたびに、レコードを更新します。
また、ベンダーのプライバシーポリシーを検討してください。データを販売または共有しますか? 集計されたデータを販売するツールを使用する場合、CCPAの下で「共有」データを検討し、オプトアウトを提供する必要があります。
データセキュリティとブレークレスポンス
適切なセキュリティ対策を実施
コンプライアンスは、データの安全を維持する必要があります。セキュリティのレベルは「リスクに適切な」でなければなりません。小規模なビジネスでは、以下が含まれます。
- [暗号化:]]] データを残りの部分(サーバー、ラップトップ、モバイルデバイス)で暗号化し、トランジット(あなたのウェブサイト上のHTTPS、電子メールの送信のためのTLSを使用して)。
- []アクセス制御:[]]]は、必要な従業員のみに個人データへのアクセスを制限します。強力なパスワード(12 +文字)、二要素認証(2FA)、およびロールベースの権限を使用します。
- [通常バックアップ:[]] ストアのバックアップを安全に(暗号化、オフサイト)、復元手順を少なくとも四半期ごとにテストします。
- ソフトウェアアップデート:] CMS、プラグイン、テーマ、およびすべてのシステムがパッチ適用されます。 安全な自動更新を有効にします。
- ] 物理的なセキュリティ:[] 紙のレコードを含むオフィスとファイルキャビネットをロックします。 処分前に文書をシュレッドします。
- [ネットワークセキュリティ:[]]]ファイアウォール、WPA3と安全なWi-Fi、リモートアクセス用のVPNを使用します。
NIST Cybersecurity Frameworkの5つの機能のような基本的なサイバーセキュリティフレームワークを検討してください。 識別、保護、検出、応答、回復。 中小企業にとって、 CISA Cybersecurity Toolkitは無料のリソースを提供します。
ブリーチ対応プランを作成する
システムが100%安全ではありません。 外部の手順で潜在的な違反の準備:
- [:]]]] 影響を受けたシステムを分離し、パスワードを変更し、ログを保存します(証拠を削除しないでください)。
- Assessment:]]は、データが露出されたか、影響を受けた多くの個人、および(アイデンティティ盗難、不正など)害を判断します。 必要に応じてフォレンジックの専門家に相談してください。
- [通知:]] GDPRの下で、リスクを起こさないために違反が異ならず、72時間以内に監督当局に通知します。 多くの米国州の法律は、同様の適時性(例えば、カリフォルニア州の45日、コロラドの30日間)を持っています。 また、影響を受ける個人に不当な遅延を通知する必要がある場合もあります。 米国の州の要件 - 65 +州および米国内の領土法は、通知の義務があります。
- [] 修正:]]] 脆弱性を修正し、制御を改善(例えば、既に2FAを実装し、機密データが露出された場合には、クレジット監視またはアイデンティティ保護サービスを提供することを検討してください。
- ドキュメント:]] 何が起こったのか、アクション、および学習したレッスンを記録します。 このドキュメントは、規制のお問い合わせに役立ちますし、将来の応答を改善することができます。
サイバーリスク保険は、データ侵害事件をカバーすると考えます。また、一部のポリシーでは、インシデント対応の専門家、法的相談員、広報サポートへのアクセスも提供しています。あなたの業界やリスクプロファイルに合ったカバレッジのショップ。
資源: FTCの中小企業向けサイバーセキュリティと]国家サイバーセキュリティアライアンス。
プライバシーの維持と文化の継続的な
チームを訓練する
スタッフは、データ保護の最も弱いリンクです。定期的なトレーニングはカバーする必要があります。
- フィッシングメール、フィッシング、ソーシャルエンジニアリングの試みを認識
- 顧客のデータの適切な処理(画面のロック解除を解除しない、機密情報暗号化されていない、大規模な文書の安全なファイル転送を使用して)
- データの対象アクセス要求(DSAR)への対応と違反報告の手順
- 疑わしい違反を直ちに報告する。未保証であっても、内部で過度に報告する方が良い
文書のトレーニングセッションと出席記録を維持します。 年次更新はベストプラクティスです。 新しい法律や裁判所の判決がコンプライアンスに影響を及ぼすと、ターゲットの更新を提供します。 人を知るような、KnowBe4またはSANSなどのプライバシートレーニングプラットフォームを使用することを検討してください。
加工活動の記録を保管
特定の文書要件(GDPRの第30条など)から中小企業が免除される場合でも、フル・レコーダーの250以上の従業員が組織に適用されるが、中小企業は機密データや高リスク活動の文書処理を依然として必要としている)、処理活動記録(ROPA)を維持することは良い習慣です。 以下を含む:
- 組織(管理者)およびジョイントコントローラーの名前と連絡先の詳細
- 加工の目的
- 個人データの対象(顧客、従業員、サプライヤーなど)および個人データのカテゴリ
- 受取人カテゴリー(第3国・国際機関を含む)
- 可能な消去のための時間制限(保持スケジュール)
- 技術的および組織的なセキュリティ対策(TOM)の説明
よく維持されたROPAは、規制の問い合わせに応答し、誠実さを実証し、新しい市場への拡大時にコンプライアンスを簡素化するのに役立ちます。新しい処理活動を追加するたびに、更新してください。
定期的にレビューとアップデート
データプライバシーは、一回限りのプロジェクトではありません。法律は進化し、ビジネスの変化、そして新しいテクノロジーが出現します。四半期または2年目のレビューをスケジュールします。
- お客様が居住する国や国で新しいプライバシー法を調べてください。 ]IAPPの州比較表は、有用な参考文献です。
- あらゆる素材がデータ慣行(新しいツール、新しい目的、新しい共有)の変更後に、プライバシーポリシーを更新します。
- 再監査データ収集およびサードパーティの統合は、少なくとも毎年行われます。
- チームとシミュレートされた違反のシナリオを通る、テーブルトップの練習であなたの違反の応答プランをテストしてください。
- Cookie の遵守を見直し:ブラウザがサードパーティのクッキーを段階的に廃止するにつれて、同意管理のシフトのための風景。
コンプライアンスカレンダーまたはデジタルチェックリストを使用して、期限とタスクの追跡を続けます。各レビュー項目の所有権を割り当てます。
一般的な落札とテムを避ける方法
目標になれると、小さな鳥居を想定
規制当局は、中小企業にますますます重点を置いています。ファインズは、大企業よりも低くてもよいですが、非コンプライアンスはまだ、評判の高い被害、顧客の信頼の喪失、および潜在的なクラスアクション訴訟を含む結果をもたらします。さらに、消費者の信頼は、小さな企業にとって回復するのが困難です。多くの規制当局は、中小企業向けに特にガイダンスとツールを提供しています。
完全にクッキーバナーに頼る
クッキーバナーは、単独で等しいコンプライアンスではありません。処理、適切なベンダー契約、および消費者の権利メカニズムの適法な根拠を持っている必要があります。クッキーバナーは、単なる1つのタッチポイントです。また、バナーが同意(一貫性のある優先アプローチ)の前にクッキーをドロップしないことを確認してください。ユーザーが選択するまで、非必須スクリプトをブロックする同意管理プラットフォームを使用してください。
従業員データの無視
ほとんどの法律は、顧客データに焦点を当てながら、従業員の個人データは同様に保護されます。人事ファイル、給与システム、パフォーマンスレコード、および背景チェックデータは、コンプライアンススコープに含まれています。従業員は、データへのアクセス、修正、削除の権利を持っています(削除は、雇用法または正当な利益によって制限される場合があります)。
過剰-データ収集
業務目的のために本物に必要なデータを収集するだけです。これだけリスクを削減するだけでなく、コンプライアンスも簡素化します。データの最小化の原則を適用します。注文確認を電子メールで送信する必要がある場合は、電話番号を収集しないでください。通常、必要なデータをパージします。明確な保持期間(例えば、税金記録のために必要とされない限り、最後の購入後の顧客データ6か月を削除します)。
データ保護の影響評価の交渉
GDPRでは、処理がデータ主体(例えば、系統的プロファイリング、機密データの大規模な処理、公共エリア監視)に対するリスクが高いと思われる場合には、データ保護の影響評価(DPIA)が必要です。中小企業は、CCTVをインストールしたり、AIチャットボットを使用して、行動分析を実行したりするなど、新しい方法で個人データを処理する新しい技術を実行する前に、DPIAを実行する必要があります。
コンプライアンスのためのレバレッジ技術
小規模なビジネス予算は堅く、いくつかの手頃な価格のツールは、コンプライアンスを合理化することができます。
- 管理プラットフォーム(CMP):[]] クッキーボット、オサノ、ワントラスト(小サイト用の無料ティア)、およびファンシーアナリティクスは、クッキーの同意、記録同意、およびスキャンクッキーの管理を支援します。
- プライバシーポリシージェネレータ:]Iubenda、ターマライズ、およびプライバシーポリシーは、定期的な更新でカスタマイズ可能なテンプレートを提供しています。
- データ主体の要求(DSR)管理:[シンプルなスプレッドシートまたはDataGrailやTranscend(フリーティア)などの専用のソフトウェア。 低ボリュームの場合、テンプレート付きの共有メール受信トレイが動作する。
- ベンダーリスク管理:[]] スプレッドシートを使用して、DPA、セキュリティ認証、サブプロセッサを追跡します。 ベンダーやVantaなどのツール(エンタープライズグレードが縮小できます)。
- データマッピング:]] 、Securiti、BigID、またはスプレッドシートを使用して手動プロセスなどの自動データ検出ツール。
既存の技術スタックと統合するツールを選択します。 多くのCRMとeコマースプラットフォーム(Shopify、Squarespace、Wix)は、基本的なプライバシー機能を備えています。これらの機能を有効にして設定を見直します。 例えば、ShopifyはCCPAとGDPR用の顧客プライバシーページを組み込んでいます。
また、プライバシー・バイ・デザイン・フレームワークの使用を検討してください。新しいソフトウェアの評価を行う場合は、コミットする前にデータ処理の慣行についてベンダーに問い合わせてください。
結論: 競争上の優位性としてのプライバシー
新規のデータプライバシー法の準拠は、罰金を回避するだけでなく、. 消費者は、信頼する組織とビジネスを行うためにますます選択. データプラクティスについて透明性のあること, 消費者の選択肢を尊重し、個人情報を保護することにより, あなたの小さなビジネスは、クラウド市場で際立っています.
簡単な監査で今日から始めましょう。あなたのデータをマッピングし、あなたのプライバシーポリシーを更新し、あなたのチームを訓練します。成長すると、より正式なプロセスの層。投資は、顧客ロイヤルティ、法的リスクを削減し、運用効率を削減します。クリーンなデータと明確なプロセスは、コンプライアンスを超えて多くの方法であなたのビジネスに利益をもたらします。
完璧に達成する必要はありません。 進歩、完璧ではなく、目標です。 規制当局とプライバシーの専門家があなたに提供するリソースを使用して、あなたを導きます。 信頼できる弾力のある小さなビジネスに近づくすべてのステップ。
詳細は、FTCのプライバシーセクションと]の国際プライバシー専門協会(IAPP)を参照してください。