PIPEDA/CPPA 同意ソリューション

当社はすでに 25,000 を超える Web サイトの GDPR、TTDSG、および eプライバシーへの準拠を支援してきました。

当社の顧客には、世界最大級のウェブサイトや最も有名なブランドが含まれます。

… などなど。

PIPEDA の一部としての Cookie の同意

PIPEDA で個人データを収集することへの同意

• 個人データの収集、使用、開示に関する情報は完全に提供されなければなりません。 カナダの個人情報保護および電子文書法 (PIPEDA) における Cookie の同意を理解するには、いくつかの要素を強調する必要があります。
• 個人データ保護および電子文書法では、消費者は PIPEDA での Cookie 同意を通じて同意する内容の性質と目的を迅速に理解する必要があります。 同意が有効で有意義であるとみなされるためには、企業は自社のデータ保護規則および規制に関する情報を包括的かつわかりやすい方法で提供する必要があります。 これは、組織がデータ保護の規則や規制に関する情報を、個人が簡単にアクセスできる形式で提供する必要があることを意味します。
• 残念なことに、現実には、プライバシー ポリシーに関する重要な情報が利用規約に隠されていることがよくあります。 プライバシー情報を確認する時間とエネルギーがほとんどない人は、情報過多から実質的な利益を得ていません。 意味のある同意を得るには、組織は Web サイト訪問者がプライバシー ポリシーの主要な要素を迅速かつ直接確認できるようにする必要があります。 これは、たとえば、提供されるサービスまたは製品の使用にアプリの購入またはダウンロードが必要な場合に重要です。
• 消費者と顧客は、PIPEDA の Cookie 同意があっても、自分の個人データが本人の知識と同意なしに他の組織と共有されないことを期待しています。 PIPEDA Canada での Cookie の同意についても、この側面を考慮する必要があります。 このため、第三者への譲渡は明確に記載する必要があります。 単にサービスを提供するためではなく、独自の目的で情報を使用する可能性のある第三者への開示には特に注意を払う必要があります。
• 個人データはどのような目的で収集、使用、開示されますか? 顧客と消費者は、情報が収集および使用されるすべての目的を知らされる必要があります。 彼らは何に同意するよう求められているかを理解できなければなりません。 この目的は簡単な言葉で説明する必要があります。 「サービスの最適化」などの曖昧な目的や表現は避けるべきです。 サービスの提供に不可欠なものは、そうでないデータと区別する必要があります。 利用可能なすべてのオプションを明確に説明する必要があります。

データの悪用とデータ損失のリスク

• 損害と結果

  企業または組織が個人データの収集、使用、または開示によって生じる可能性のある損失の潜在的なシナリオを設計する場合、個人データ保護および電子文書法では、このリスクを責任を持って最小限に抑えることが求められています。 場合によっては、積極的な軽減努力によりリスクを大幅に軽減できる場合があります。 ただし、他のケースではリスクはほとんど変わりません。

• 消費者は、重大な損失を伴う重大な残留リスクについて常に知らされる必要があります。 個人データ保護および電子文書法の目的において、重大なリスクとは、発生確率が最小限以上であるリスクのことです。 重大なリスクには、身体的危害、屈辱、風評被害、雇用、ビジネスまたは職業上の機会の喪失、経済的損失が含まれます。

• 個人情報の盗難や信用への悪影響もこれらのリスクに含まれます。 したがって、損傷のリスクは広く定義される必要があります。 直接的な損害に加えて、悪意のある行為者またはその他の当事者によって引き起こされる可能性のある予見可能な損害を含めることが適切です。

• 個人が「はい」または「いいえ」と言える明確な機会を提供します。

• 製品やサービスを使用する前に、消費者に選択肢を提供する必要があります。 この選択は明確に説明され、簡単にアクセスできる必要があります。 それぞれの選択を「オプトイン」または「オプトアウト」と表現するのが最適かどうかは、PIPEDA の Cookie 同意で指定された要素によって異なります。

• 革新的かつ創造的になる

  組織は、PIPEDA で Cookie 同意のための革新的な同意プロセスを設計および/または実装する必要があります。このプロセスは、ジャストインタイムで実装でき、コンテキスト固有で、使用されるインターフェイスのタイプと一致します。

PIPEDA での Cookie の同意

データ保護規制の変更

PIPEDA における Cookie の同意を変更するという形でのインフォームド・コンセントは、状況の変化に応じて変更される継続的なプロセスです。組織は、静的な時点に依存するのではなく、同意を動的かつ対話型のプロセスとして扱う必要があります。

• 組織がカナダの GDPR に基づいてプライバシー規則および規制に重大な変更を加えようとする場合、変更が有効になる前にユーザーに通知し、同意を得る必要があります。 実質的な変更には、当初同意されていなかった別の目的での個人データの使用、またはサービスの提供に必要な目的以外の目的での個人データの第三者への開示が含まれます。

• プライバシーに関するリマインダー

  組織は、カナダの GDPR に基づくプライバシー オプションについて定期的に個人に通知し、見直しを求めることを検討する必要があります。 最後に、ベスト プラクティスとして、組織は情報管理規則や規制を定期的に見直し、個人データが個人と合意した方法で継続的に処理されるようにする必要があります。

• コンプライアンスの実証

  要求に応じて、組織は、有効かつ有意義な同意を確保するために、コンプライアンス、特に対象グループの一般的な観点から実施する同意プロセスの明確で曖昧さのない性質を実証できる必要があります。

• 明示的な同意を取得し、カナダのプライバシー法に基づく義務を遵守するには、組織は次のことができる必要があります。
  • プライバシー情報を完全に提供し、次の 4 つの重要な要素を強調または注意を喚起します。
    • どのような個人データが収集されますか?
    • 個人データは誰と共有されますか?
    • 個人データはどのような目的で収集、使用、開示されますか?
    • 損害やその他の結果のリスクは何ですか?
  • 同意の形式 – PIPEDA カナダにおける Cookie の同意。
  • 情報の収集、使用、または開示について明示的な同意を取得します。