【CCPA】CCPAがモバイル広告及びAdtechに及ぼす影響

カリフォルニア州自体は、世界第5位の経済規模で評価されています。この数値は、2018年のGDPは2兆9400億ドルで、フランス、イギリス、イタリアよりも順位が高くなります。エンターテイメントのメッカ、ハリウッドだけでなくGoogle、Apple、Teslaのような有名な巨大テクノロジー企業の本社であるシリコンバレーの拠点であるところです。
国際的に需要が多くの市場であり、世界の革新的な可能性がありというタイトルが付いている場所で、カリフォルニア州は、多くのビジネスがデジタル的に行き来しています。ここら「CCPA」が開始されます。

世界経済規模の順位 (参考:https://thenextweb.com/ )

1.CCPAとは何か?

カリフォルニア州の個人情報保護を強化するための法律です。カリフォルニア州消費者プライバシー法と言います。2020年1月により施行されました。
この法律は個人情報へのアクセス、削除、共有に関する新しい消費者の権利を生み出す州全体の規制です。

CCPAは、特定の消費者や家構と直接または間接的に関連する可能性がある「オンライン識別子、IPアドレス、ナビゲーション履歴、消費者とウェブサイト、アプリケーション、または広告との相互作用に関連する情報と地域データ」などのデータを個人情報として明示しています。

CCPAは個人情報について、非常に包括的な定義をしており、透明性の要件を導入しました。
また、消費者に下記のような権利を提供します。

  • どのように収集、使用、共有されているか、また販売されているかを"知る権利"
  • 消費者が保有されている自分の個人情報を"削除する権利"
  • 個人情報の販売を"拒否する権利"
  • プライバシー権利を行使する際に"不当に差別されない権利"

2.CCPAが適用される事業は?

 CCPAの対象になる組織は下記の通りです。

  • 年間の総収入が2,500ドル以上
  • カリフォルニア州民の個人情報を販売することで年間収益の50%以上を得ている
  • 5万人以上のカリフォルニア州民の個人情報購買または販売している
    (カリフォルニアからの固有訪問者数(UV)が5万以上)

これらの条件を満たしているすべてのビジネスは、データ収集時や消費者に通知を提供すると同時に、ウェブサイトやモバイルアプリの両方に「私の情報を販売していない」というopt-outリンクを提供する必要があります。

3.CCPAはモバイル広告主とApp Developerにどの影響があるか?

EUに相当するGDPRの法律と同様に、CCPAは、ネイティブ市民とその地域に本社を置く企業の両方、およびそれらの市民と交流する外部ビジネスに影響を与えます。 「カリフォルニア」の資格は企業向けではなく、エンドユーザー向けです。 モバイルテクノロジーは、まさにモバイルです。 アプリやモバイル広告の地理的な急増に加えて、ユーザー獲得、クリック、ダウンロードの最大化に基づいて業界が構築されているため、CCPAは特に脆弱です。

★ご注意★ GDPRとCCPAは同じものとして扱われるべきではありません。 GDPRは「オプトイン」であり、より具体的な要件があります。 CCPAはオプトアウトですが、データをより広く定義します。
(データについては、個人識別子、商業データ、地理位置情報データ、生体データ、従業員データを含む)

個人識別情報(PII)の処理は、モバイル技術およびモバイル広告業界に広まっています。パーソナルコンピューターやサーバーの場合と同様に、モバイルアプリやデバイスもこの決定に準拠することが重要です。

企業が消費者のプライバシー設定を管理するのに役立つツールの大部分は、Webに焦点を当てています。モバイルアプリには、すぐに利用できる同じフレームワークがありません。アプリは、個々のユーザーに添付したデータ、そのデータの通信と管理の方法、およびサードパーティによるデータの使用方法を理解するために、意味のある手順を実行する必要があります。

モバイルアプリ開発者は、完全にツールキットがないわけではありません。アプリ開発者がCCPAに対応できるように、Googleの開発者はAndroidとiOSの両方に対応したSDKをリリースしました。これらのSDKにより、パブリッシャーは、特定の一意の識別子とデータがサービスの提供で処理される方法を制限するパラメーターを有効にすることができます。これらがオンになっている場合でも、Googleはパーソナライズされていない広告のみを表示します。これは、モバイルマーケティング担当者に大きな悪影響を与える要因です。

4.CCPAにより問題が発生する可能性を最小化するためにはどうする?

CCPAに捕まる可能性を最小限に抑えるには、モバイル広告主とアプリ開発者は次の手順に従う必要があります。

1)プライバシーポリシーを再検討する – CCPAの必要な開示のすべてに準拠していることを入念にチェックします。
2)データ収集の具体的な目的を述べる – ユーザーの同意は、通知され、明確でなければなりません。
3)詳細なデータ管理フレームワーク監査を実行する – データ管理フレームワークに穴がないことを保証するために、収集から処理、ストレージまでの消費者データ使用のライフサイクルを計画します。これを使用して、弱点と脆弱性を識別します。
4)データ共有パートナーのリストを作成および更新する – 自分の権限と記録を注意深く保守するだけでは不十分です。サードパーティのツールを使用する場合は、業界最高の標準に準拠したツールのみを使用してください。データ監査の一環として、プログラマティック広告主は、データを共有した人のリストを維持する必要があります。これには、広告サーバー、エクスチェンジ、DSP、DMPが含まれます。
5)プライバシー要求を緊急のものとして扱う - ユーザーのプライバシー要求の管理と応答を優先します。同意の撤回要求に対応するのが遅すぎると、悲惨な状況になる可能性があります。
6)保存する価値のあるデータを再検討する – すでにアクセスおよび保存されている消費者データの種類を調査します。これには、2019年1月1日までのルックバック期間が含まれます。企業は、保存するデータセットを最小限に抑え、重要でないデータセットを削除することで、CCPAの影響を受けるリスクを軽減できます。

5. 最後に

“Do Not Sell My Personal Information”

米国の企業は、最近のホームページに上記のようなフレーズを追加しています。わずか数ヶ月前、2019年にはなかったがフレーズはなぜ追加になったのでしょう? 2020年からCCPAが施行されたためです。

カリフォルニアは、Google、Facebook、AppleをはじめとするグローバルIT企業とシリコンバレーが位置しており、米国の人口の10%を超える4000万人が居住しているので、専門家は、CCPAの影響力が非常に大きいことと予想しています。特に直接的または間接的に、カリフォルニア州で事業を進めている場合もCCPAが適用されるため、全世界では、この法案を注目しています。

CCPAで最も注目すべき点は、個人情報の流出時、誰が責任を負っているのかです。
データが適切に保護されていない状態であれば、それに対する企業は賠償金を支払う必要があります。
つまり、個人情報保護のための法的な責任は、企業が持っています。グローバルビジネスをしているか、計画している企業であれば、GDPRそしてCCPAを遵守することができるデータの暗号化ソリューションを導入すべきでしょう。