この記事では、カナダのデータ保護規制 PIPEDA と今後の CPPA 規制についてすべて説明します。 次の記事では、Cookie と同意について詳しく説明します。
ピペダとは何ですか?
PIPEDAは個人情報保護および電子文書法の頭字語で、新しいカナダの一般データ保護規則を指します。 この修正案は、以前の 2 つのカナダのデータ保護法、消費者プライバシー保護法(CPPA)と個人情報およびデータ保護裁判所法 (PIDPTA) を結合して、 GDPR と同等の包括的な規制を制定します。 PIPEDA の多くの部分で欧州一般データ保護規則への言及が見られるため、GDPR カナダと呼ばれることがよくあります。
GDPR と同様に、カナダのプライバシー法は、商業活動の一環として収集および保存される個人情報の取り扱いを規定しています。 したがって、個人情報保護および電子文書法PIPEDA は、固定販売か遠隔販売かを問わず、カナダの消費者にサービスや製品を届けたいすべての企業にとって重要です。 PIPEDA の意味における商業活動とは、商業的起源または商業的意図を伴うすべての取引および行為を指します。
PIPEDA は、連邦政府の規制を受け、カナダ法の適用を受ける企業および組織に適用されます。 個人情報保護および電子文書法は、各州が個人情報保護および電子文書法PIPEDA に実質的に類似した独自のデータ保護法を制定していない限り、各州の民間部門にも適用されます。 ブリティッシュ コロンビア州、アルバータ州、ケベック州のみが、個人情報保護および電子文書法PIPEDA とほぼ同様のデータ保護法を制定しています。 企業がブリティッシュ コロンビア州、アルバータ州、またはケベック州に拠点を置く場合、情報の商業利用がその州の境界を越える範囲で、それらの組織によって収集された個人情報には個人情報保護および電子文書法が適用されます。
個人情報保護および電子文書法におけるプライバシー 10 原則 PIPEDA
PIPEDA に準拠する必要がある企業は、カナダのこの GDPR のデータ保護原則を適時に理解する必要があります。 カナダの GDPRに基づき、カナダの消費者との商取引において組織が従わなければならない権利と義務の概要を 10 項目にまとめています。
- 説明責任
- 耳マーク
- 同意
- データ回避とデータエコノミー
- 保管、使用および処理
- 正確さ
- 誠実さと機密保持
- 透明性
- 情報提供の権利
- 控訴の権利
一般データ保護規則に詳しい人なら誰でも、 EU の GDPR にも記載されているPIPEDA の 10 原則の概要の多くの側面に気づくでしょう。 ただし、特に個人データの収集への同意に関しては、詳細に違いがあります。 10のポイントをそれぞれ簡単に見てみましょう。
1. 説明責任
説明責任の原則とは、一定規模の組織が収集された個人データの管理に責任を負う人物を任命しなければならないことを意味します。 この人物は、GDPR ではデータ保護責任者と呼ばれますが、個人情報保護および電子文書法PIPEDA では、プライバシー責任者または最高プライバシー責任者 (CPO)と呼ばれています。 小規模な企業では、プライバシー担当者がパートタイムで職務を遂行することもできます。 その主な任務は、PIPEDA に基づくデータ保護要件を満たす手順を開発、実装、監視することです。 さらに、データ保護担当者は、データ収集に関する苦情を受け取り、対応する必要があります。 従業員のトレーニングや、個々の責任分野に関連するデータ保護要件の伝達も重要な分野です。 消費者が第三者によるデータ処理に同意した場合、プライバシー責任者は第三者による PIPEDA 要件の遵守に責任を負います。
2. 割り当て
なぜ会社は顧客の個人データを保存したいのですか? 目的は、遅くともデータ収集時に消費者に明示する必要があります。 情報開示により透明性が生まれるだけでなく、企業が特定のアクセスを実装することも容易になります。 PIPEDA によれば、データ収集の目的は、顧客と接触するすべての従業員に伝えられる必要があります。 たとえば、顧客が購入時にレジで住所や電話番号を尋ねられた場合、要求に応じてデータ情報の使用について説明する必要があります。 顧客から個人情報を収集する紙およびオンラインのフォームには、収集の目的を明確に記載する必要があります。 収集した個人情報は、お客様の明示的な許可がない限り、新たな目的に使用することはできません。 これを必要とする法的要件は例外です。
3. 同意
当社は、お客様の知識および同意なしに個人情報を収集、使用、または開示することはできません。 顧客データを収集する意図は、明確かつ明確に伝達される必要があります。 フォームで個人データを要求する場合、あいまいな表現は許可されません。 データ情報の提供を拒否しても、個人が不利益を被ることはありません。 したがって、企業は、製品やサービスに関連しないデータを提供したくない消費者にも自社の製品やサービスを利用できるようにする必要があります。 いくつかの例外があります。法的または医学的理由がある場合、企業は同意を放棄することができます。 安全上の理由は、特定の製品にも適用される場合があります。 また、法執行のために情報が収集される場合、同意も必要なくなります。 未成年者、重病人、または精神障害者の場合には、同意が放棄されることもあります。 ただし、権限のある代理人が同意することもできます。
同意の種類に関しては、次のように区別されます。
- 明示的な
- 暗黙的に
- 身を引く
オンライン登録などの多くの場合、欧州一般データ保護規則と同様に、ここでは消費者からの明示的な同意が必要です。 通常、オプトアウトは提供されません。 Cookie Consent PIPEDA (GDPR の Cookie 規制に相当) の場合、チェックマークやボタンを事前に割り当てることはできません。 原則として、同意は書面で行う必要はなく、口頭での同意で十分です。 たとえば、利害関係者は電話でニュースレターに掲載されることに同意するだけで十分です。 しかし、電話での同意では、企業が証拠を提出することが困難になることがよくあります。 場合によっては、消費者の行動から直接同意を得ることができます。
消費者は、契約上および法律上の制限および期限に従って、いつでも同意を撤回することができ、企業は、同意を撤回した場合の影響について顧客に通知する必要があります。
4. データ回避とデータエコノミー
データ収集を目的に必要なデータ量に制限するという原則は、欧州の GDPR でも重要な役割を果たします。 企業が収集する個人データは、ビジネス関係における活動に必要なものに限定される必要があります。
PIPEDA では、不必要な個人データの収集と保管も避けなければなりません。 「公正かつ合法的な手段」という言葉の裏に隠されたデータの公正かつ合法的な取り扱いは、顧客のデータ主権と透明性のあるプロセスの必要性を目的としています。 特定の個人データが収集される目的は、欺瞞や曖昧な記述によって曖昧になってはなりません。
5. 保管、使用および処理
収集されたデータの使用は、顧客が知っており、顧客が同意した範囲内でのみ使用できます。 個人情報の開示またはその他の使用は、カナダの一般データ保護規則 (PIPEDA) によって許可されていません。 保存期間は、会社の要件およびその他の法的規制に基づいています。 企業に推奨される最低保存期間は 1 年です。 この期間は、会社に法的要件を確認して遵守する十分な能力を残します。 最長保存期間は会社が決定し、開示する必要があります。
データを無制限に保持することは許可されていません。消費者は、要求に応じて、データがいつ完全に削除されるかを通知する必要があります。 リクエストがあれば、データは期限内に匿名化して早期に破棄することができます。 さらに、組織はデータを処理することに誰がどの程度同意を得たかを開示できなければなりません。
6. 精度
正確性の原則により、企業が収集した個人データが、その使用目的に対して正確、完全、最新であることが保証されます。
収集されたデータは消費者の最善の利益のために使用されなければならないことを考慮する必要があります。
PIPEDA の正確さの要件は、企業と顧客との関係にとって重要であるだけではありません。 たとえば、組織が採用プロセス前に応募者のプロフィールを確認するために個人データを収集する場合、不正確または不完全な記録によって応募者に不利益が生じないようにする必要があります。
個人情報の更新
個人データの自動および定期的な更新は通常許可されていません。 PIPEDA のこのポリシーは、第三者と共有される情報にも適用されます。
7. 誠実さと機密保持
完全性と機密性の原則は、個人データが紛失や盗難、不正アクセス、公開、コピー、変更、または不正使用から保護されなければならないことを意味します。 この原則は、データが保存される形式に関係なく適用されます。
適切な保護措置
努力は会社の規模によって異なります。 オンライン ニュースレター用に顧客の電子メール アドレスを作成する中小企業は、その電子メール アドレスをスプレッドシートに保存できます。 テーブルがパスワードで保護されており、高度に暗号化されている場合は、適切な保護が期待できます。
大規模な組織では、あらゆるデータの最小化にもかかわらず、大量の機密の個人データを管理することがよくあります。 これらの企業は攻撃者の標的になることも多いため、ここでは非常に強力なセキュリティ予防措置を講じる必要があります。
すべてのセキュリティ対策は、高レベルの完全性を確保するために、保護対象の個人データに対して平均以上の保護を提供する必要があります。
個人情報の破棄
個人データが廃棄または破壊される場合は、人間の裁量により、またデータ破壊のための高度な技術基準を適用することにより、回復を排除する必要があります。 これは、紙文書の物理的破壊とストレージ モジュール上のデータの破壊の両方に当てはまります。
8. 透明性
企業は、個人情報の取り扱いに関するポリシーと手順を簡単にアクセスできるようにする必要があります。 したがって、顧客は複雑な迂回をせずにこの情報にアクセスできる必要があります。 データ保護に関する消費者の問い合わせに対する回答は、合理的な期間内に、可能な限り直接的に回答しなければなりません。 提供される情報は、一般的に理解できる方法で表現されている必要があります。 法的な条件は避けるべきです。
PIPEDAからの要件
PIPEDA によると、組織は要求に応じて次のデータを提供する必要があります。
- 組織のポリシーおよび慣行の責任者、および苦情や問い合わせの転送先となる人物の名前または役職および住所。
- 個人データにアクセスする方法
- 収集される個人データの種類 (その用途の説明を含む)。
- 会社組織の方針や基準を説明した書面情報
9. 情報を得る権利
企業は、要求に応じて、保存されている個人データと認証後の個人データの使用方法に関する情報を個人に提供する必要があります。 顧客が個人データの正確性または完全性に疑問を抱いた場合、記録されたデータの変更を主張することができます。 これは、データの修正、削除、追加を意味します。
例外
個人データに関する情報は、さまざまな理由により拒否される場合があります。 これは、情報が弁護士と依頼者の特権の対象となる場合、またはビジネス上の機密情報が開示される可能性がある場合に当てはまります。
認証要件
企業は、個人データへのアクセスを許可する前に、適切な人物と通信していることを確認する必要があります。
一部の組織では、政府発行の身分証明書の提出を求めています。 必要に応じて、アカウント情報と旧姓や保存されているパスワードなどの情報を組み合わせて認証することも可能です。 ただし、厳格な認証要件が情報に対する権利の障害となることがあってはなりません。
情報 – 時間と費用
情報の要求には、合理的な時間内に、個人の負担を最小限または無料で応答しなければなりません。 リクエストは受信後 30 日以内に回答する必要があります。 企業が情報提供に例外的にさらに時間が必要な場合は、その人に中間決定を送り、遅延のもっともらしい理由を提供しなければなりません。
10. 苦情を言う権利
PIPEDA に根付いた苦情の権利により、カナダの GDPR の規定に違反した場合、顧客と消費者は企業に対して的を絞った行動を取ることができます。
企業は苦情や問い合わせを受け付けて対応する手順を定めなければなりません。 これらの手順はシンプルで使いやすいものでなければなりません。 さらに、カナダの GDPR によれば、企業は、苦情が正当であると信じていないように見える場合でも、苦情を調査し調査する必要があります。 苦情が正当であることが証明された場合、それを解決するために適切な措置を講じなければなりません。 企業のデータ保護責任者は、苦情を受け取り、手続きを開始する責任を負います。