リモート業務/在宅勤務
新型コロナウイルス(COVID-19)が経済に与えた変化の中で最も身近な側面の一つは、在宅勤務(WFH)プロトコルの広範な適用である。WFHにより、従業員がリモートで業務を遂行できるようになり、企業は事業運営を維持できるようになった。リモート業務では、雇用主が仮想プライベートネットワーク(VPN)を提供し、従業員が自宅の端末から社内ネットワークに接続できるようにすることが多い。
VPN経由でウェブサイトにアクセスする場合、訪問者は通常、VPNサーバーの所在地から接続しているように見えます。これにより、VPNを利用する個人がカリフォルニア州、欧州連合、または市民の個人情報保護や利用を規制する法律を有するその他の管轄区域の居住者である場合、コンプライアンス上の問題が生じる可能性があります。
カリフォルニア消費者プライバシー法(CCPA)および一般データ保護規則(GDPR)
過去数年間、多くの管轄区域では、市民の個人情報を保護することを目的とした詳細な規制枠組みを制定してきた。 最も顕著な例として、欧州連合(EU)の一般データ保護規則(GDPR)とカリフォルニア州のカリフォルニア消費者プライバシー法(CCPA)が挙げられる。これらの法律は、個人情報を収集・利用する企業に対し、情報保護のための詳細な安全対策を遵守すること、収集する情報の種類と利用目的(個人情報の販売を含む)を開示すること、収集・処理される情報の対象者に対して特定のオプトアウト権を付与することなどを義務付けている。
GDPRやCCPAなどのプライバシー規制に準拠するため、多くのウェブサイト運営者は訪問者の所在地に応じて異なる情報やURLを表示します。 ウェブサイト運営者は、個人がインターネットにアクセスするために使用しているデバイスのIPアドレスを通じて各訪問者の地理的位置を特定し、適切な情報へ誘導します。ただし、VPNを使用している場合、訪問者はVPNサーバーの所在地からサイトにアクセスしているように見えます。これは、カリフォルニア州にいる従業員が、別の地理的位置からウェブサイトやアプリケーションにアクセスしているように見える可能性があることを意味します。 (例えばロサンゼルス在住の従業員が、コンピューターにログインして「現地」の天気情報を提供するウェブサイトを訪問すると、ニューヨークの天気が表示されるのはこのためです。)したがって、カリフォルニア州在住者は、(i) CCPAで義務付けられたプライバシー情報を表示するウェブサイトのバージョンが表示されない可能性があり、(ii) 自身の個人情報が、CCPAの要件に基づいて処理・保持されるウェブサイト運営者のユーザー情報サイロに分類されない可能性があります。 この懸念は、在宅勤務環境だけでなく、広域ネットワーク(WAN)によりサテライトオフィスの端末IPアドレスが本社や中央サーバーと同じ都市に所在しているように見えるマルチオフィス環境にも適用されることに留意されたい。
不遵守の結果
CCPAおよびGDPRへの非遵守に対する罰則は厳しいものとなる可能性があります。両規制とも、意図的でない違反であっても多額の法定罰金を科すほか、影響を受けた個人に対する私的訴訟権を認めています。GDPRでは、欧州連合加盟国は違反に対する刑事罰を追加することも認められています。CCPAおよびGDPRの要件と罰則に関する詳細はこちらをご覧ください。
あなたには何ができる?
リモートワーク環境は、CCPAおよびGDPRの対象となる事業体にとって重大なリスクを生み出します。貴社が上記の考慮事項の影響を受ける可能性があるとお考えの場合、以下の活動は、CCPA、GDPRおよび類似のプライバシー規制によって保護される個人に関連する個人情報の不適切な処理から生じるリスクを評価し軽減するために有用である可能性があります。
- CCPA/GDPR評価を実施するすべての企業がCCPAの対象となるわけではありません。一般的に、CCPAは営利団体で以下のいずれかに該当するものを対象とします:(i) 年間総収益が25,000,000ドルを超えるもの、(ii) 50,000以上の消費者、世帯、またはデバイスの個人情報を保有するもの、または(iii) 年間収益の半分以上を消費者の個人情報の販売によって得ているもの。 GDPRの適用範囲はより広範ですが、欧州居住者を対象とした製品・サービスを提供していない企業には該当しない可能性があります。貴社の事業においてCCPAおよびGDPRが適用対象となるか否かの判断を支援いたします。
- 個人情報の取り扱い確認カリフォルニア州および欧州の顧客やウェブサイト訪問者の個人情報を、他の個人とは異なる方法で処理する場合、そのような個人向けに設けられた保護措置の一部を、一般的な情報処理慣行に追加することが賢明です。 例えば、事業で処理する全ての個人情報に同様のセキュリティ対策を適用すること、あるいはあらゆる個人に自身の情報へのアクセスや削除請求を認めることで、CCPAとGDPRの両方に基づく特定のリスクを最小化できます。カリフォルニア州、欧州、その他の地域の居住者向けに異なるプライバシーポリシーを表示している場合は、異なる管轄区域に必要な考慮事項を網羅した単一の文書に統合することを検討してください。当社は豊富な経験を有しており、このプロセスを支援できます。
- ウェブサイトのクッキー/ピクセル/アナリティクスに関する契約と設定を確認するCCPAには、対象となる個人の個人情報を販売する際に企業が遵守すべき追加要件が含まれています。CCPAにおける「販売」は広範な概念であり、非金銭的対価を伴う情報の開示さえも含まれます。 例えば、サードパーティのトラッキングツールや分析ツールの使用さえも、CCPA上の「販売」に該当する可能性があります。特定の契約条件を満たせばこの判定を回避できる場合があり、複数のベンダーがCCPA上の「販売」指定を避けるため、データ処理を最小化する製品設定の提供を開始しています。本記事で説明した考慮事項が貴社の事業に影響する場合、ウェブサイト訪問者の個人情報を受領・処理するサードパーティとの契約内容を見直すことをお勧めします。
要約すると、CCPAおよびGDPRの対象となる可能性のある企業は、新型コロナウイルスによる悪影響や、リモートワークにおけるVPN利用に伴う継続的なリスクを軽減するため、今すぐ追加対策を講じることが重要です。推奨される対策の詳細については、担当のFoleyパートナーまでお問い合わせください。
経済のあらゆる分野の企業が、新型コロナウイルス感染症(COVID-19)の影響を受け続けています。フォリーは、クライアントが事業利益、運営、目標に対する短期的・長期的な影響に効果的に対処できるよう支援します。フォリーは、複数の業界と分野にわたる洞察と戦略を提供し、企業がコロナウイルスの影響に対処しながら事業を行う中で直面する幅広い法的・経営的課題について、タイムリーな見解をお届けします。 最新の課題と将来の機会に取り組む当社の主要出版物で、常に最新情報を入手し、時代の先を行くためにこちらをクリックしてください。このコンテンツを直接メールボックスで受け取るには、こちらをクリックしてフォームを送信してください。
