コンプライアンスとフレームワーク
CCPA
別称: California Consumer Privacy Act, CPRA
定義
カリフォルニア州の消費者プライバシー法で、カリフォルニア州住民が事業者の保有する個人情報に対して有する権利を定める米国の州法。
2018 年制定の California Consumer Privacy Act(CCPA)は、2020 年成立の California Privacy Rights Act(CPRA)で改正され、2023 年からカリフォルニア州プライバシー保護局(CPPA)が執行する、米国を代表する州プライバシー法です。カリフォルニア州住民の個人情報を取り扱い、売上・データ量・個人情報販売量などの基準を満たす営利事業者に適用されます。消費者には、知る権利、削除権、訂正権、販売・共有のオプトアウト、機微情報の利用制限などが認められます。事業者はプライバシー通知の公開、オプトアウト手段の提供、サービス プロバイダーや受託先との契約上の縛りを行う義務を負います。
例
- 大手米国小売業者が自社サイトに「Do Not Sell or Share My Personal Information」リンクを掲示。
- SaaS 事業者がデータ処理者と CCPA サービス プロバイダー追加契約を締結。
関連用語
GDPR
EU 域内および EEA に所在する個人の個人データ処理を規律する欧州連合の一般データ保護規則。
Data Protection Impact Assessment
Data Protection Impact Assessment — definition coming soon.
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。
HIPAA
個人を特定可能な医療情報の保護に関する国家基準を定めた米国の医療保険の相互運用性と説明責任に関する法律。
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。