カリフォルニア州の「追跡禁止」要件への準備はできていますか？

過去数か月にわたり、カリフォルニア州は国内のウェブサイト、オンラインサービス、モバイルアプリケーションの運営者に影響を与える複数の新たなプライバシー・データ保護法を可決した。これには未成年者向けの「インターネット消去サービス」を定める法律や、州のデータ侵害通知要件の変更が含まれる。最新の法案はカリフォルニア州オンラインプライバシー保護法（CalOPPA）を改正するもので、ウェブサイト運営者は2014年1月1日までにプライバシーポリシーを更新し、ウェブブラウザの「Do Not Track（追跡禁止）」機能への対応方法を明示する必要があります。これらの新たな「Do Not Track」要件への準備は整っていますか？

新法は何を要求しているのか？

カリフォルニア州オンラインプライバシー保護法（CalOPPA）では、ウェブサイト運営者は既に、個人を特定できる情報のカテゴリーや共有先を明記したプライバシーポリシーを目立つ場所に掲示することが義務付けられていた。議会法案370による改正により、ウェブサイトおよびモバイルアプリケーション運営者は、いわゆる「Do Not Track（追跡禁止）」メカニズムへの対応方法をユーザーに開示することが新たに義務付けられた。これらは通常、クッキーに類似した小さなコード片であり、ウェブサイトやモバイルアプリケーションに対し、ユーザーが分析ツール、広告ネットワーク、その他のデータ収集・追跡手法を含むサイト訪問の追跡を望まないことを通知するものである。

要件は私に適用されますか？

本法は、カリフォルニア州居住者から追跡情報を収集するすべての企業に適用され、したがって、カリフォルニア州で事業を行いカリフォルニア州居住者を追跡する企業には、当該企業がカリフォルニア州に物理的な拠点を有していない場合であっても適用される。

ユーザーの「追跡拒否」設定を尊重する必要がありますか？

特に、カリフォルニア州は、ウェブサイトおよびモバイルアプリケーションの運営者に対し、ユーザーの「Do Not Track」機能の使用を尊重するよう義務付けてはいない。義務付けられているのは、当該機能がどのように対応されるかについてユーザーに開示することのみである。

どうすれば順守できますか？

ウェブサイト運営者は、新たな要件を満たすために、「運営者が従うプログラムまたはプロトコル（消費者に[追跡されない]選択肢を提供するものである）の説明（その効果を含む）を掲載したオンライン上の場所へ、運営者のプライバシーポリシー内に明確かつ目立つハイパーリンクを提供すること」によって対応できる。デジタル広告連合（DAA）のオンライン行動ターゲティング広告自主規制プログラムは、ウェブ活動追跡に基づくターゲティング広告のオプトアウトを消費者が選択できるように企業を支援する、広く利用されている自主規制プログラムである。

注：遵守期限は2014年1月1日です。

プライバシーポリシーを更新しなかった場合、罰則はありますか？

新たな要件への不遵守は、違反1件につき2,500ドルの罰金対象となる可能性があります。モバイルアプリケーションに関しては、カリフォルニア州司法長官は、新たな要件を満たさないモバイルアプリケーションのダウンロード1件ごとに違反が成立し、罰金の対象となり得ると表明しています。

コンプライアンスのためのベストプラクティス

カリフォルニア州オンラインプライバシー保護法（CalOPPA）の新たな「追跡禁止」要件に準拠するため、プライバシーポリシーを更新する一環として、ウェブサイト所有者および運営者は以下のベストプラクティスを実施すべきです：

ウェブサイトおよびオンラインサービス上で実施されている追跡メカニズムを特定すること。これには以下が含まれる：(a) 追跡メカニズムによって収集される個人情報の具体的な種類、(b) ユーザーが当該メカニズムの使用の有無および方法を制御する選択肢を有するか否か、ならびに事業者がユーザーの選択を尊重するか否か。リストには、事業者自身が使用する追跡メカニズムに加え、広告主や分析サービスを含む第三者が設置した追跡メカニズムも記載すること。
第三者が採用する追跡メカニズムの場合、事業者は当該メカニズムがユーザーの個人情報を収集するかどうかを判断すべきである。たとえメカニズムが個人情報を収集しない場合でも、第三者事業者が追跡データを他の情報源から収集したユーザーの個人情報と組み合わせる可能性があるため、事業者はプライバシーポリシーにおいて当該メカニズムを特定することが望ましい。
ソーシャルメディアプラグインを含め、ユーザーから個人情報を収集するその他の仕組みを特定してください。CalOPPAの変更は必ずしもこうしたデータ収集手段を対象としていませんが、事業者はプライバシーポリシーにおいてユーザーに開示することを検討すべきです。
上記で特定された情報を、ウェブサイトのプライバシーポリシーの開示内容に組み込むこと。これには、ウェブサイト活動の追跡に関連してユーザーから収集される情報、およびユーザーがその情報の収集や追跡情報に基づくターゲティング広告の受信をオプトアウトする方法が含まれる。

議会法案370の全文はこちらから入手できます。

免責事項

このブログは、フォーリー＆ラードナー法律事務所（「フォーリー」または「当事務所」）が情報提供のみを目的として公開しているものです。このブログは、クライアントのために当事務所の法的立場を伝えるものではなく、特定の法的助言を伝えるものでもありません。本記事で表明された意見は、必ずしもフォーリー＆ラードナー法律事務所、そのパートナー、またはそのクライアントの見解を反映するものではありません。従って、資格を有する弁護士の助言を求めることなく、この情報に基づいて行動しないでください。このブログは、弁護士とクライアントの関係を構築することを意図したものではなく、またこのブログの受領は弁護士とクライアントの関係を構成するものでもありません。本ウェブサイトを通じて電子メール、ブログ記事、またはその他の方法でフォーリーと連絡を取ることは、いかなる法的問題に関しても弁護士とクライアントの関係を構築するものではありません。従って、電子メール、ブログ投稿、その他の方法を問わず、本ブログを通じてフォーリーに送信された通信または資料は、機密または専有物として扱われることはありません。本ブログの情報は「現状のまま」公開されており、完全性、正確性、最新性を保証するものではありません。フォーリーは、本サイトの運営または内容に関して、明示または黙示を問わず、いかなる種類の表明または保証も行いません。Foley は、法令、法律、商業的使用、その他に起因するか否かを問わず、商品性、特定目的への適合性、権原、非侵害の黙示的保証を含め、明示または黙示を問わず、その他のあらゆる保証、保証、条件、および表明を明示的に否認します。いかなる場合においても、フォーリーまたはそのパートナー、役員、従業員、代理人、関連会社は、直接的、間接的を問わず、法の理論（契約、不法行為、過失、その他）を問わず、本サイト（情報およびその他のコンテンツを含む）または第三者のウェブサイト、またはそのようなウェブサイトを通じてアクセスされた情報、リソース、資料の作成、使用、またはそれらに起因する、またはそれらに依存することによって生じる、直接的、間接的、特別、付随的、懲罰的、または結果的な請求、損失、または損害について、お客様または他の誰に対しても責任を負わないものとします。法域によっては、本ブログの内容が弁護士広告とみなされる場合があります。該当する場合、過去の結果が同様の結果を保証するものではないことにご注意ください。写真は演出のためのものであり、モデルが含まれている場合があります。似顔絵は必ずしも現在のクライアント、パートナーシップ、従業員の地位を意味するものではありません。

ダークスーツ、白いシャツ、青いネクタイを身につけ、ひげと口ひげを蓄えた中年男性が、ぼやけた企業法律事務所の背景の前に立ち、カメラに向かって微笑んでいる。

[email protected]

ジャクソンビル 904.359.8745

カリフォルニア州の「追跡禁止」要件への準備はできていますか？

著者

チャンリー・T・ハウエル

関連インサイト

Eleventh Circuit Hears Oral Argument in Landmark Constitutional Challenge to False Claims Act’s Qui Tam Provisions

知的財産ポートフォリオ管理における独占禁止法リスクとコンプライアンス戦略

カリフォルニア州大気資源局（CARB）、SB 261および253に関する規制案を発表