11月3日、カリフォルニア州の有権者は、カリフォルニア州プライバシー権利法(CPRA)を成立させるためのプロポジション24を承認しました。
CPRAは、カリフォルニア州消費者プライバシー法 (CCPA) に基づいています。CPRAが2023年1月に施行されれば、企業のデータプライバシーに関するより厳格な規則が制定され、消費者により多くの権利が与えられ、規則を制定して施行するための機関として、カリフォルニアプライバシー保護庁 (CPPA) が別に設置されることになります。
CPRAは次のようなものです。
- 個人の人種や民族、遺伝子データ、性的指向、健康に関するデータなど、消費者が承認された用途に限定できる情報を含む、 「機密性の高い」 個人データの幅広いカテゴリーを作成します。
- 消費者が自分のデータを販売、共有、使用しないことを選択できるように、企業にホームページ上にリンクを作成することを義務付ける。
- 消費者に企業が持っている情報を訂正する権利を与える。
- 子供に関するデータのオプトイン要件を強化し、そのようなデータの禁止された使用や共有に対する罰則を強化する。
- 企業がデータを保持できる期間に制限を設ける。
- ウェブサイト、アプリ、サービスなど、さまざまなデジタルタッチポイントで収集されたユーザーの個人情報に基づいてターゲットを絞った広告としてCPRAで定義されている「クロスコンテクスト行動広告」のオプトアウトを提供する。
すでにCCPAの遵守期限を守ろうと苦闘しているマーケターにとって、CPRAはもう一つの法的ハードルであり、少なくとも10万以上のデータを保有する大規模マーケターにとっては、現在直面している問題よりもはるかに厄介な問題となります。同法が2023年に施行されれば、ほとんどのパーソナライズされた広告はカリフォルニアでは不可能になり、データエコシステムの多くの部分が適応に苦しむことになるでしょう。
しかし、この法律が施行されるまでには長い時間がかかるため、企業はそれに適応するための時間があります。また、この法律は、それに代わる国のデータプライバシー法を制定するよう、連邦政府にさらなる圧力をかけます。「私は、CPRAの最も影響力のある条項は、それが施行される2023年1月だと思う。」と、International Association of Privacy Professionals (IAPP) のリサーチディレクターであるCaitlin Fennessy氏は、法案可決に先立ち述べています。
【参考】
