前回の記事では、PIPEDA と CPPA が実際には何なのかを説明しました。 ここで、Cookie の同意、データ保護ガイドライン、その他に関して Web サイト運営者が考慮すべき点を詳しく見てみましょう。
PIPEDA での Cookie の同意
PIPEDA で個人データを収集することへの同意
個人データの収集、使用、開示に関する情報は完全に提供されなければなりません。 Pipeda の Cookie 同意を理解しやすくするために、いくつかの要素をより強調する必要があります。
個人情報保護および電子文書法では、消費者がPIPEDA の Cookie 同意を通じて同意する内容の性質と目的を迅速に理解することが求められています。 同意が有効かつ有意義であるとみなされるためには、組織はデータ保護の実践に関する包括的でわかりやすい情報を提供する必要があります。 これは、企業がプライバシー慣行に関する情報を、関係者が容易にアクセスできる形式で提供する必要があることを意味します。
残念ながら、重要なプライバシー ポリシー情報が利用規約の中に埋もれていることが多いのが現実です。 データ保護情報のチェックに少しの時間と労力しか費やせない人は、情報の洪水から実際的な利益を得ることができません。 有意義な同意を得るには、組織は Web サイト訪問者がプライバシーに関する決定の主要な要素を迅速かつ直接確認できるようにする必要があります。 これは、たとえば、提供されるサービスまたは製品の使用にアプリまたはその他のアプリケーションの購入またはダウンロードが必要な場合に重要です。
消費者と顧客は、PIPEDA で Cookie に同意したとしても、自分の個人データが本人の知識と同意なしに別の組織に渡されることはないと期待しています。 PIPEDA での Cookie の同意に関しては、この側面も考慮する必要があります。 このため、第三者への開示については明示する必要があります。 単にサービスを提供するのではなく、独自の目的で情報を使用する可能性のある第三者への開示には特に注意を払う必要があります。
個人情報はどのような目的で収集、使用、開示されますか? 顧客と消費者は、情報が収集および使用されるすべての目的を知らされる必要があります。 彼らは何に同意するよう求められているかを理解できなければなりません。 この目的は簡単な言葉で説明する必要があります。 「サービスの最適化」などの曖昧な意図やフレーズは避けるべきです。 サービスの提供に不可欠なものは、そうでないデータと区別する必要があります。 利用可能なすべてのオプションは、明確かつオープンに説明される必要があります。
損害と結果
データの悪用とデータ損失のリスク
企業または組織が個人情報の収集、使用、または開示から生じる可能性のある危害の潜在的なシナリオを設計する場合、個人情報保護および電子文書法では、そのリスクを最小限に抑える責任を企業または組織に求めています。 場合によっては、積極的な軽減努力によりリスクを大幅に軽減できる場合があります。 ただし、他のケースではリスクはほとんど変わりません。
消費者は、重大な損害を伴う重大な残留リスクについて常に知らされる必要があります。 個人情報保護および電子文書法の目的において、重大なリスクとは、最小限の確率を超えるリスクを指します。 重大な損害には、身体的危害、屈辱、評判の毀損、雇用、ビジネスまたは職業上の機会の損失、および経済的損失が含まれます。
これらのリスクには、個人情報の盗難や信用力への悪影響も含まれます。 したがって、危害のリスクは広く定義されるべきです。 直ちに発生する損害に加えて、悪意のある者または他者によって引き起こされる可能性のある予見可能な損害も含めることが合理的です。
個人が「はい」または「いいえ」と言える明確な機会を提供します。
製品やサービスを使用する前に、消費者に選択肢を与えなければなりません。 この選択は明確に説明され、簡単にアクセスできるようにする必要があります。 それぞれの選択を「オプトイン」または「オプトアウト」と表現するのが最適かどうかは、Pipeda の Cookie 同意に関係する要素によって異なります。
革新的かつ創造的になる
組織は、 PIPEDA で Cookie 同意のための革新的な同意プロセスを設計および/または実装する必要があります。このプロセスは、ジャストインタイムで実装でき、コンテキスト固有で、使用されるインターフェイスのタイプと一致します。
PIPEDA での Cookie の同意
PIPEDA における Cookie同意の形式でのインフォームド・コンセントは、状況の変化に応じて変更される継続的なプロセスです。組織は、静的な時点に依存するのではなく、同意を動的で対話的なプロセスとして扱う必要があります。
データ保護規則の変更
組織がカナダの GDPR に基づいてプライバシー慣行に重大な変更を加えることを計画している場合、変更が有効になる前にユーザーに通知し、同意を得る必要があります。 重大な変更には、当初意図されていなかった新しい目的での個人データの使用、またはサービスの提供に必要な処理以外の目的での第三者への個人データの新たな開示が含まれます。
データ保護を忘れないでください
企業は個人にプライバシーの選択を定期的に思い出させ、カナダの GDPR に従ってそれらを確認するよう依頼することを検討する必要があります。 最後に、ベスト プラクティスとして、組織は情報管理慣行を定期的に見直して、個人情報が個人に説明されたとおりに引き続き取り扱われることを確認する必要があります。
コンプライアンスの実証
組織は、求められた場合、コンプライアンスを実証できなければなりません。特に、有効で有意義な同意を可能にするために、実施する同意プロセスが対象者の一般的な観点から十分に理解できるものであることを証明できる必要があります。
意味のある同意を取得し、カナダのプライバシー法に基づく関連義務を果たすには、組織は次のことを行う必要があります。
- 完全なデータ保護情報を提供し、次の 4 つの重要な要素を強調または注意を促します。
- どのような個人データを収集する必要がありますか?
- 個人データはどの当事者と共有されますか?
- 個人情報はどのような目的で収集、使用、開示されますか?
- 損害やその他の結果のリスクは何ですか?
- 同意の形式 – PIPEDA の Cookie 同意
- 収集、使用、開示については明示的な同意を取得します。
