CCPAとは？概要とコンプライアンス

CCPA規則は2018年に施行されましたが、企業は2020年1月までに自社のシステムが準拠していることを確認する必要がありました。CCPAの規則に基づく消費者の要求には45日以内に回答する必要があります。

監査後、システムが準拠していない旨の通知を受けることがあります。その場合、その企業は30日以内に問題を解決しなければならず、解決しなかった場合は、問題1件につき最高7,500ドルの罰金が科せられます。ユーザーは、データ侵害1件につき750ドルの損害賠償を請求することができます。

また、コンプライアンス違反は、企業にさらなる訴訟の可能性をもたらします。深刻なデータ流出が多数の消費者に影響を与えた場合、企業は何年もの訴訟に直面し、弁護士費用や賠償金などの追加費用が発生する可能性があります。

サイバーセキュリティが関与する場合、CCPAコンプライアンスは複雑で分かりにくいものとなりますが、プロセスに精通した専門家が適切なガイダンスを提供することで、すべてのステップが適切に実施されるようになります。企業は、6つの基本的なステップに従うことによって、CCPAのコンプライアンスを遵守できます。

1. データプライバシーを担当するチームまたは個人を任命する。この役割は、CCPAやその他のコンプライアンス基準、およびデータ保護を取り巻くサイバーセキュリティに焦点を当てるべきです。
2. データをインベントリ化し、何が収集され、何が保護されなければならないかを判断する。データがどのように収集され、どのようにシステムから別のシステムへ流れるかを理解することで、サイバーセキュリティ対策を実施するためのロードマップを提供します。
3. リスクアセスメントを実施する。リスクアセスメントでは、組織はデータとそのデータを保存するシステムを発見し、未知のインフラストラクチャを含む戦略を作成します。
4. データを保護するツールを開発し、実装する。これらのツールは、サードパーティによる実装や、データへのアクセス制御を追加するためのカスタムコードであるかもしれません。
5. データに関するポリシーとガバナンスを定義する。これらのポリシーは、ベンダーのアクセスやサプライチェーンのリスク管理など、消費者データの軽減と監視を監督するものでなければなりません。
6. データプライバシーに関するすべてのポリシーと手順の監査証跡を維持する。監査とポリシーの証跡を通じて、ポリシーを見直し、教訓を明らかにして、今後の改善に役立てることができます。