当社はすでに 25,000 を超える Web サイトの GDPR、 TDDDG 、およびePrivacyの準拠を支援してきました。
当社の顧客には、世界最大級のウェブサイトや最も有名なブランドが含まれます。
… などなど。
Web サイトまたはアプリを米国の新しいデータ保護法に準拠させるにはどうすればよいですか?
あなたの会社がデータ保護に関する多数の法律のいずれかに該当する場合 (法律のセクションを参照)、該当する規制に従う必要があります。 ほとんどの州では、これは次のことを意味します。
- ウェブサイト訪問者/アプリユーザーは、データ処理の種類、目的、内容について知らされる必要があります。
- ウェブサイト訪問者/アプリユーザーはデータ処理に反対する権利(オプトアウト)を持っている必要があります
- 場合によっては、データ処理の前に同意を得る必要があります (オプトイン)
- データの最小化、セキュリティ、透明性、機密データの取り扱いの原則など、データの処理方法に関してさまざまな基本ルールが適用されます。
具体的には、ほとんどの場合、ユーザーに必要な情報を提供し、オプトアウトを有効にするために、Web サイトまたはアプリにオプトアウト ソリューションをインストールする必要があることを意味します。
プライバシーの遵守が必要です
…しかし、データをまったく処理していない!?
米国の顧客からよく聞かれる答えの 1 つは、実際にはデータを処理していないため、データ保護法は適用されないというものです。
ここで重要なのは、ウェブサイトやアプリでどのようなデータが処理されるかについては、ウェブサイトとアプリの運営者が責任を負うということです。 したがって、データ保護法は、以下の条件のいずれかを満たす企業に特に適用されます。
1. データは、Google Analytics、Piwik、Hotjar などの追跡ツールなど、独自の目的で処理されていますか?
2. 第三者とのデータの共有も処理ステップです。 データは、たとえば、サードパーティのプラグインを Web サイトやアプリに統合することによって共有されます。 これは、たとえば、YouTube ビデオ、Facebook プラグイン、Google マップ、チャット プログラム、さらには PayPal などの支払いプロバイダーにも適用されます。
3.広告がウェブサイトまたはアプリに統合されると、データは自動的に広告主に送信されます。 送信はデータ処理のステップとして理解されます。
データ処理にいつ同意を与える必要があるかについては州によって若干異なりますが、事実上すべてのデータ保護法ではオプトアウトが必要です。 CCPA/CPRA の場合、これは特に「私の個人情報を販売または共有しないでください」というリンクによって明示的に実装する必要があります。
弁護士およびデータ保護担当者の推薦
新しい標準 IAB GPP
新しい標準で Web サイトを安全にしましょう: IAB GPP
Web サイトまたはアプリ内のオプトインまたはオプトアウトをすべての統合ツール、プラグイン、広告プロバイダーに透過的に伝えるために、いわゆる IAB GPP 標準が IAB によって開発されました。
- GPP は Global Privacy Platform の略で、同意/オプトインまたは拒否/オプトアウトを記録および伝達するための CMP (同意管理プロバイダー、「Cookie バナー」または「プライバシー通知」とも呼ばれる) などのさまざまな方法とインターフェースを定義します。 。 この標準は主に IAB TCF 標準に基づいています。この標準はヨーロッパで長年にわたって成功裏に使用されており、パブリッシャーや広告主にとって必須となっています。
- consentmanager チームは GPP 標準の開発において重要な役割を果たしたので、consentmanager が IAB GPP の生産的な使用を提供した最初のプロバイダーであることは驚くべきことではありません。
GPP について詳しくは、ブログをご覧ください。 - 重要: ほとんどのデータ保護法では、Web サイト運営者とアプリ運営者が「ブラウザー信号」に応答できることも求めています。 これらのシグナルの 1 つは、カリフォルニア州で義務付けられている GPC または「グローバル プライバシー コントロール」です。 consentmanager を使用すると、Web サイトとアプリは運を気にする必要がなくなります。consentmanager ソリューションはブラウザーの信号に自動的に応答し、自動的にオプトアウトを実装します。
- GPP と GPC を使用するようになりました
なぜ今、米国のプライバシー法に準拠する必要があるのでしょうか?
あなたの会社の保護
CCPA、VCDPA、CAPAPなどは2023年から施行されており、必ず導入する必要があります。 連邦司法長官は現在、法律に基づいて罰金を課すことができるが、これはすでに多くの事件で起こっている。 もうためらわずに、今すぐウェブサイトやアプリを準拠させてください。
あなたの収入を守る
広告会社は 2023 年に新しい IAB GPP 標準に依存することになります。 ヨーロッパでは、ヨーロッパの標準を無視して広告が販売されることはほとんどありません。米国でも、傾向は同じ方向に向かっています。 IAB GPP 標準をサポートしない人は広告収入を逃すことになります。
顧客の保護
顧客はますます批判的になり、企業がデータをどのように扱うかについて疑問を抱いています。 プライバシーを尊重しない企業は、信頼、顧客、売上を失います。 あなたが本当に顧客を気にかけているということを顧客に示しましょう。
使った分だけお支払いください
柔軟な価格設定モデル
ConsentManager CMP は手頃な価格で、柔軟なモデルで利用できます。料金は使用した分だけお支払いください。
Basic
ウェブサイト
- 5,000 ビュー / 月 (含む)
- GDPR準拠
- 既製のデザイン
- クロール/週1回
- サポート:チケット
追加。 電話予約可能IAB TCF互換CMPIAB GPP規格A/B テストと最適化追加。 ユーザーアカウント白いラベル
Beginner
ウェブサイト
- 100,000 ビュー/月 (視聴回数を含む)
- 追加。 ビュー:0.1 € / 1000
- GDPR準拠
- カスタマイズ可能なデザイン
- ハイハイ3回/日
- サポート:チケット
A/B テストと最適化IAB TCF互換CMPIAB GPP規格追加。 ユーザーアカウント白いラベル
Standard
3 つの Web サイトまたはアプリ
- 100万ビュー/月(視聴回数を含む)
- 追加。 ビュー:0.05 € / 1000
- GDPR準拠
- IAB TCF互換CMP
- IAB GPP規格
- カスタマイズ可能なデザイン
- A/B テストと最適化
- クロール10回/日
- サポート: チケットとメール
追加。 ユーザーアカウント白いラベル
Agency
20 個の Web サイトまたはアプリ
- 1,000万ビュー/月(視聴回数を含む)
- 追加。 ビュー:0.02 € / 1000
- GDPR準拠
- IAB TCF互換CMP
- IAB GPP規格
- カスタマイズ可能なデザイン
- A/B テストと最適化
- 100 クロール/日
- 合計10個 ユーザーアカウント
- サポート: チケット、メール、電話
個人アカウントマネージャー白いラベル
Enterprise
- 任意のビュー/月
- 追加。 ビュー:0.02 € / 1000
- GDPR準拠
- IAB TCF互換CMP
- IAB GPP規格
- カスタマイズ可能なデザイン
- A/B テストと最適化
- クロール/日
- 追加の ユーザーアカウント
- サポート: チケット、メール、電話
- 個人アカウントマネージャー
- 白いラベル
概要:
米国でデータ保護法はいつ施行されましたか?
これらは米国の重要なプライバシー基準です
米国にはどのようなデータ保護法がありますか?
米国に拠点を置き、米国内で事業を行ったりサービスを提供したり、米国居住者と取引を行ったりする企業は、多くのデータ保護法のいずれかの適用を受ける可能性が高くなります。
- 他の多くの国とは異なり、米国のデータ保護法は、全国的なデータ保護法が制定されるまでは州レベルで規制されます。 したがって、企業は、どの連邦法が適用されるかどうかを確認する必要があります。 詳細には次のとおりです。
CCPA / CPRA – カリフォルニア
CCPAはCalifornia Consumer Privacy Actの略で、2019年に制定されました。 これは特にカリフォルニア州またはカリフォルニア州住民に適用されます。 CCPA の「更新」は、CPRA またはカリフォルニア州プライバシー権法です。 CPRA の下では、いくつかの規制がより具体化され、強化されます。
ネバダ-NPICICA
ネバダ州のプライバシー法である消費者法によるインターネットで収集された情報のネバダプライバシー法 (NPICICA) は、2019 年 10 月 1 日に発効し、オンラインで収集された個人情報を管理する消費者の権利を強調しました。 上院法案 220 (SB-220) や上院法案 260 (SB-260) などの修正案では、消費者がデータの販売をオプトアウトできるメカニズムを提供することを Web サイト運営者に義務付けることで、これらの権利が拡大されました。 ネバダ州のプライバシー法はカリフォルニア州など他の州ほど包括的ではありませんが、それでも違反に対する罰則が規定されており、ネバダ州司法長官によって違反ごとに最大 5,000 ドルの罰金が科せられます。 企業はプライバシー ポリシーで特定の情報を開示し、消費者がデータの販売をオプトアウトできるメカニズムを提供する必要があります。
VCDPA-バージニア州
VCDPA はバージニア消費者データ保護法の略で、バージニア州で事業を行う企業、またはバージニア州の国民を対象とする企業を指します。 VCDPA は 2023 年 1 月 1 日に発効しました。
CPA – コロラド州
CPA またはコロラドプライバシー法は、コロラド州のプライバシー法です。 この法律は 2023 年 7 月 1 日に発効し、コロラド州に拠点を置く企業、または州の居住者からのデータを処理する企業によって施行されなければなりません。 この法律は、Web サイトにユニバーサル オプトアウト メカニズムという要件を課し、Web サイトが使用するマーケティングおよび分析サービスに対してユーザーに 1 つのオプトアウト ボタンを提供することを義務付けています。
UCPA-ユタ州
米国西部のユタ州の米国データ保護法は、UCPA またはユタ消費者プライバシー法と呼ばれます。 前述の 2 つの法律とは異なり、UCPA は 2023 年 12 月 31 日まで発効しません。 この法律は、州住民の一定量(ここでは年間 100,000 件)のデータを処理するすべての企業にも影響します。
CAPDP-コネチカット州
CTDPA は Connecticut Data Privacy Act (個人データのプライバシーとオンライン モニタリングに関する Connecticut Act とも呼ばれます) の略で、コネチカット州の連邦データ保護法です。 この法律は 2023 年 7 月 1 日に発効し、州に拠点を置く企業、事業を行う企業、または州住民のデータを処理する企業に影響を与えます。
TDPSA – テキサス州
2024 年 7 月 1 日に発効するテキサス州データ プライバシーおよびセキュリティ法 (TDPSA) は、テキサス州で事業を展開する企業、またはテキサス州居住者にサービスを提供する企業に適用されます。
OCDPA-オレゴン州
2024 年 7 月 1 日に発効するオレゴン州消費者データ プライバシー法 (OCDPA) は、州内で事業を展開する企業、または州住民にサービスを提供する企業に適用されます。 これには、データ管理者と処理者に対する GDPR のような役割が含まれており、詳細なデータ保護通知が必要であり、リスクの高いアクティビティについてはデータ保護評価が必要です。
MTCDPA-モンタナ州
2024 年 10 月 1 日発効のモンタナ州消費者データ プライバシー法 (MTCDPA) は、モンタナ州で事業を行う企業、またはモンタナ州居住者を対象とする企業に適用され、処理される個人データの量と個人データの販売から得られる収益に基づいて適用範囲のしきい値を設定します。特定の企業および種類のデータを除きます。
CDPA-アイオワ州
2025 年 1 月 1 日に発効するアイオワ州消費者データ保護法は、アイオワ州住民の大量の個人情報を処理する、またはそのような情報の販売から多額の収益を得ているデータ管理者およびデータ処理者を対象としています。
DPDPA-デラウェア州
2025 年 1 月 1 日に発効するデラウェア州個人データプライバシー法は、米国の一般的な傾向と一致して、消費者データの保護に関するデラウェア州の立場を確立していますが、ほとんどの非営利団体や高等教育機関を免除していない点で注目に値します。
TIPA-テネシー州
2025 年 7 月 1 日に発効するテネシー州情報保護法 (TIPA) は、企業がテネシー州住民の個人情報をどのように扱わなければならないかについて厳格な基準を定めています。 TIPA は、データ処理の売上高と量に基づいて制限的な適用範囲のしきい値を設定し、アクセス、修正、削除、データのポータビリティ、特定のデータ使用に対する異議を含む詳細な消費者の権利を定義します。
CDPA-インディアナ州
2026 年 1 月 1 日に施行されるインディアナ州データ保護法は、インディアナ州で活動する、またはインディアナ州居住者を対象とする「データ管理者」と「データ処理者」の両方に対処します。 この法律は適用範囲に一定の基準を設けており、政府機関や HIPAA 対象事業体などのさまざまな事業体を免除しています。
MHMD-ワシントン
2024 年 3 月 31 日に発効したワシントン州の My Health My Data Act (MHMD) は、健康データを収集、共有、または処理する企業に厳しい要件を課しています。 MHMD は、医療消費者のプライバシーを保護するために、医療情報の収集には事前の同意を求め、その開示には追加の同意を求めています。 この法律は詳細なデータ セキュリティ要件を定めており、医療提供者の近くでのジオフェンシングを制限しています。
MODPA-メリーランド州
メリーランド州議会は、メリーランド州オンライン データ プライバシー法 (MODPA) を可決しました。これは、可決されれば 2025 年 10 月 1 日に発効するプライバシー法です。 MODPA の主な規定には、機密データの販売の禁止、より厳格なデータ最小化要件、必須のプライバシー評価、独自のターゲットを絞った広告要件、更新されたプライバシー通知によるオプトアウトの権利が含まれます。 遵守しない場合は、違反ごとに最大 10,000 ドルの罰金が科される可能性があります。
FDBR-フロリダ
フロリダデジタル権利章典 (FDBR) は 2023 年 6 月 6 日に署名され、2024 年 7 月 1 日に発効します。 この法律では、消費者のプライバシーを保護するための多くの措置が導入されています。 この制度は主に年間総収益が10億ドルを超える大企業に適用され、デジタル広告に深く関わっている企業や大規模なデジタルプラットフォームの運営には一定の基準が適用される。 FDBR は、音声および顔認識技術によるデータ収集に対する広範なオプトアウト権を提供し、ユーザーの積極的な同意なしでの監視データの収集に厳格な制限を設け、機密データや生体認証データの販売には明確な通知を義務付けています。 さらに、この法律は子供のデータの特別な保護を規定しており、一部の例外はあるものの、政府機関がソーシャルメディア上のコンテンツを管理することを禁止しています。
NDPA-ネブラスカ州
ネブラスカ州知事は 2024 年 4 月 17 日にネブラスカ州データプライバシー法に署名し、2025 年 1 月 1 日に施行されます。 この法律は、ネブラスカ州で個人データを処理する企業に義務を課し、消費者にはデータ処理の確認、不正確さの修正、個人データの削除、特定のデータ処理活動のオプトアウトなどの権利を認めています。 この法律は、データ管理者に対し、明確なデータ保護通知の提供、データ収集の制限、データ セキュリティ手順の導入、およびデータ保護評価の実施を義務付けています。 ネブラスカ州司法長官は、違反ごとに最高 7,500 ドルの罰金を科す場合があります。
SB 255 – ニューハンプシャー
ニューハンプシャー州知事は2024年3月6日に上院法案255に署名し、2025年1月1日に発効する予定だ。 この法律は、個人データを処理し、データの最小化、目的の制限、プライバシー義務、およびアクセス、修正、削除、ポータビリティ、オプトアウトなどの消費者の権利を確立するニューハンプシャー州で事業を行う企業に適用されます。 法の執行はニューハンプシャー州司法長官の独占的な責任であり、司法長官には不備を修正するための60日の猶予が与えられている。
NJPA-ニュージャージー
で 2024 年 1 月 16 日、ニュージャージー州知事はニュージャージー州プライバシー法 (NJPA) に署名し、2025 年 1 月 15 日に施行されます。 NJPA は、企業に対し、他の州のプライバシー法と同様の次のような措置を講じるよう求めています。 B. データの最小化、データのセキュリティ、および影響を受ける人々の権利について。特に機密データと子供の保護に注意を払います。 データ管理者と処理者は、消費者の要求、データセキュリティ、およびデータ侵害の通知に関する規定に従わなければなりません。 この法律はニュージャージー州司法長官によって独占的に執行され、消費者に対する規制と救済に関する規定が含まれています。
KCDPA-ケンタッキー州
ケンタッキー州は 2024 年 4 月 4 日にケンタッキー州消費者データプライバシー法 (KCDPA) を可決し、2026 年 1 月 1 日に施行されます。 この法律は個人データの処理を規制し、消費者の権利を確立し、ケンタッキー州司法長官に法律を施行する権限を与えています。 この法律は、金融データや健康データを含むさまざまなエンティティや種類のデータを除き、ケンタッキー州住民のデータを処理する管理者に適用されます。 管理者は、明示的な同意なしに機密データを処理しないことに重点を置き、明確なプライバシー通知を提供し、データ収集を制限し、セキュリティを確保し、消費者の権利を尊重する必要があります。 執行はケンタッキー州司法長官の責任であり、違反を是正するための 30 日前の通知と民事罰の可能性があります。
よくある質問
CMP が必要かどうかわからないですか?
GDPR、CMP、同意などについて役立つように、最もよくある質問をここにまとめました。
この法律は 2023 年 7 月 1 日に施行されました。
CAPDP (場合によっては CTPDP) は、個人データのプライバシーに関するコネチカット法を表します。
UCPA は 2023 年 12 月 31 日に発効しました。
ユタ州消費者プライバシー法。
CPAは2023年1月1日に発効しました。
コロラド州プライバシー法。
VCDPA は 2023 年 1 月 1 日に発効しました。
VCDPA はバージニア州消費者データ保護法の略です。
はい。 連邦検察はすでに熱心に罰金を科している。 これまでで最も注目を集めた訴訟は、セフォラ社に対する120万ドルの罰金刑だ。
法律はすでに施行されています。
カリフォルニア州プライバシー権利法
カリフォルニア州消費者プライバシー法
当社では法的なアドバイスは提供できませんので、あらかじめご了承ください。 この FAQ の一部の項目は、時間の経過とともに変更されるか、裁判所によって異なる解釈がされる可能性があります。 だからこそ、必ず弁護士に相談してください。