« CSA 脆弱性データに対する懸念 (2024.11.11) | Main | 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第304回委員会、第3-5回検討会) »

2024.11.26

カリフォルニア州 消費者プライバシー法の改正案公表 - セキュリティ監査、自動意思決定技術等についての規制を追加 (2024.11.22)

こんにちは、丸山満彦です。

カリフォルニア州の消費者プライバシー法(2018)の改正案が公表され、意見募集がされていますね...

(1)特定の会社に対するセキュリティ監査、リスクアセスメントの要求

(2)事業者による自動意思決定技術の使用に対する消費者のアクセス権、オプトアウト権の明記

(3)保険会社が消費者プライバシー法を遵守しなければならない場合の明確化

などが、考えられているようです...

すでにコメントを受け付けて(期間内のコメント期間後のコメント)を受け付けての規則案の提案なのですが、これから、まだコメントを受け付けて、文面は変わるのでしょうね...

そして、州の上院議会、下院議会の審議でどうなるか...、最後に知事がどうするか...

 

日本でも個人情報保護法の3年ごとの見直しということで改訂の話が進んでいますが...なんか、カリフォルニアや欧州の進んだ考え方に追従せざるを得ない状況となり、改正をしようとするので、一周遅れというか、5年遅れというか、、、そんな感じに見えてしまいますね...

産業界の反対の声が大きいのかもしれませんが、日本でゆるゆるの基準をつくっても、世界で戦う企業は、グローバルな規制に従う必要があるので、グループ全体でマーケットの大きい地域の基準に合わせていくしかなく...

ゆるゆるに見えるグレーな基準をつくるよりも、厳しいかもしれないけど白黒はっきりとした基準をつくるほうが、海外企業も国内企業にもよいかもですね。。。

 

California Privacy Protection Agency

・2024.11.22 Proposed Regulations on CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies

Proposed Regulations on CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies CCPA更新、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、保険会社に関する規制案
On November 8, 2024, the California Privacy Protection Agency (Agency) Board voted to commence formal rulemaking on the following regulatory subjects: CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies. Specifically, the proposed regulations seek to (1) update existing CCPA regulations; (2) implement requirements for certain businesses to conduct risk assessments and complete annual cybersecurity audits; (3) implement consumers’ rights to access and opt-out of businesses’ use of ADMT; and (4) clarify when insurance companies must comply with the CCPA. 2024年11月8日、カリフォルニア州プライバシー保護局(California Privacy Protection Agency)理事会は、以下の規制テーマに関する正式な規則制定を開始することを決議した: CCPAの更新、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、保険会社である。具体的には、(1)既存のCCPA規制の更新、(2)特定の事業者に対するリスクアセスメントの実施と年次サイバーセキュリティ監査の完了要件の実施、(3)事業者によるADMT利用に対する消費者のアクセス権およびオプトアウト権の実施、(4)保険会社がCCPAを遵守しなければならない場合の明確化、である。
Notice Register Publication Date: November 22, 2024 公示日 2024年11月22日
Status of the Proposal: The public comment period for these proposed regulations is now open and closes on January 14, 2025, at 6:00 p.m. Pacific Time. More information about how to submit a written comment can be found in the Notice of Proposed Rulemaking in the rulemaking documents below. The Agency’s Board will determine whether to adopt or further modify the proposed regulations at a future Board Meeting. 提案の状況 本規制案に対するパブリックコメント募集は現在開始されており、2025年1月14日午後6時(太平洋時間)に締め切られる。意見書の提出方法についての詳細は、以下の規則制定文書の「規則案策定通知」に記載されている。同庁の理事会は、今後の理事会において、提案された規則を採択するか、さらに修正するかを決定する。
Rulemaking Documents 規則制定文書
Notice of Proposed Rulemaking 規則案作成通知
Text of Proposed Regulation 規則案本文
Initial Statement of Reasons 当初の理由書
Initial Statement of Reasons Appendix A: Standardized Regulatory Impact Assessment 最初の理由書 附属書A:標準規制影響評価(Standardized Regulatory Impact Assessment
Economic and Fiscal Impact Statement (STD 399) 経済財政影響評価書(STD 399)

 

規則案作成通知(Notice of Proposed Rulemaking

20241126-52436

概要...

INFORMATIVE DIGEST/POLICY STATEMENT OVERVIEW  情報ダイジェスト/方針声明概要 
Summary of Existing Laws and Regulations:  既存法規の概要 
The California Consumer Privacy Act (CCPA) was enacted in 2018 and became effective in 2020. It granted consumers new privacy rights and imposed obligations on businesses that collect personal information about consumers. The CCPA provided consumers with the rights to know about personal information collected by businesses, delete personal information, opt out of the sale of personal information, and be protected from discrimination in service and price when exercising privacy rights. In 2020, the Consumer Privacy Rights Act (CPRA) amended the CCPA, creating the Agency and granting consumers additional rights, such as the rights to correct, limit the use and disclosure of sensitive personal information, and opt-out of the sharing of their personal information. In addition, the CPRA created or amended certain requirements for businesses, such as those relating to the processing of consumers’ personal information, disclosures to consumers, and methods for submitting CCPA requests.   カリフォルニア州消費者プライバシー法(CCPA)は2018年に制定され、2020年に発効した。同法は消費者に新たなプライバシーの権利を付与し、消費者の個人情報を収集する事業者に義務を課した。CCPAは、事業者が収集した個人情報を知る権利、個人情報を削除する権利、個人情報の販売からオプトアウトする権利、プライバシー権を行使する際にサービスや価格における識別的な差別から保護される権利を消費者に提供した。2020年、消費者プライバシー権法(CPRA)はCCPAを改正し、消費者庁を設立し、消費者に訂正権、機微な個人情報の使用と開示の制限権、個人情報の共有のオプトアウト権などの追加権を付与した。さらに、CPRAは、消費者の個人情報の処理、消費者への開示、CCPA要求の提出方法など、事業者に対する一定の要求事項を創設または改正した。 
Although the Attorney General initially had rulemaking authority to implement the CCPA, that authority transferred to the Agency in 2022. Subsequently, the Agency engaged in rulemaking to amend the regulations previously adopted by the Attorney General, operationalize the CPRA amendments to the CCPA, and provide additional clarity and specificity to implement the law. In March 2023, the Agency’s first formal rulemaking process concluded, and its regulations became effective.   当初、司法長官はCCPAを実施するための規則制定権限を持っていたが、その権限は2022年に同庁に移った。その後、同庁は、司法長官が以前に採択した規則を修正し、CPRAの改正をCCPAに運用し、同法を実施するためにさらなる明確性と具体性を提供するための規則制定に取り組んだ。2023年3月、同庁初の正式な規則制定プロセスが終了し、規則が発効した。 
In September 2024, the Governor signed into law three bills that amend the CCPA and become effective January 1, 2025. AB 1008 (2023-2024) amends the definition of personal information to clarify that it includes physical, digital, and abstract digital formats, including metadata or artificial intelligence (“AI”) systems capable of outputting personal information. SB 1223 (2023-2024) expands the definition of sensitive personal information to include “neural data.” Therefore, when the CCPA and existing and proposed regulations reference personal information or sensitive personal information, those references are intended to encompass the definitions of those terms contained in these bills as the proposed regulations would be adopted after January 1, 2025.   2024年9月、知事はCCPAを改正する3つの法案に署名し、2025年1月1日に発効した。AB 1008 (2023-2024)は、個人情報の定義を修正し、メタデータや個人情報を出力できる人工知能(AI)システムを含む、物理的、デジタル、抽象的なデジタル形式を含むことを明確にした。SB1223(2023-2024)は、機微(センシティブ)個人情報の定義を拡大し、「ニューラル・データ」を含める。従って、CCPA、既存および本規則案が個人情報または機微な個人情報に言及する場合、それらの言及は、本規則案が2025年1月1日以降に採用される場合、これらの法案に含まれるこれらの用語の定義を包含することを意図している。 
AB 1824 requires businesses to which personal information is transferred as an asset during certain transactions, such as a merger or acquisition, to honor consumers’ opt-out of sale/sharing preferences. The CCPA’s requirements for the right to opt-out of sale/sharing, including in the existing or proposed regulations, also apply to businesses to which personal information is transferred.   AB1824は、合併や買収など特定の取引において個人情報が資産として移転される企業に対し、消費者の売却・共有のオプトアウト希望を尊重することを求めている。既存または本規則案を含め、売却/共有のオプトアウトの権利に関するCCPAの要件は、個人情報が譲渡される事業者にも適用される。 
Effect of the Proposed Rulemaking:  規則案の効果 
The proposed regulations include updates to existing Agency regulations, as well as the addition of regulations related to cybersecurity audits, risk assessments, automated decisionmaking technology (ADMT), and insurance requirements. The updates to existing regulations modify the regulations to be consistent with current law, refine the existing regulations based on the Agency’s experience and available information since the time these regulations were adopted, and make changes without regulatory effect. The Agency has identified that there is a need to provide clarity to the regulated industry about the interplay between insurance laws and the CCPA; thus, the Agency has included regulations related to insurance requirements. Finally, the Agency is statutorily mandated to adopt regulations to implement and clarify requirements related to cybersecurity audits, risk assessments, and ADMT. The proposed regulations seek to fulfill that mandate.  本規則案には、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険要件に関連する規則の追加に加え、既存の規制の更新が含まれる。既存規制の更新は、現行法との整合性を図るために規制を修正し、これらの規制が採択された時点以降の弊庁の経験や入手可能な情報に基づいて既存規制を改良し、規制効果を伴わない変更を加えるものである。弊庁は、保険法とCCPAの相互関係について、規制される業界に明確性を提供する必要性があると認識しており、保険要件に関連する規制を含んでいる。最後に、サイバーセキュリティ庁は、サイバーセキュリティ監査、リスクアセスメント、ADMTに関連する要件を実施し、明確化するための規制を採択することを法令上義務付けられている。今回本規則案は、その義務を果たすことを目的としている。

 

改正案のポイント

Article 1.  General Provisions.   第1条 一般規定
Article 1 of the Agency’s regulations contain general provisions including definitions, restrictions on collection and use of personal information, disclosures and communications with consumers, and requirements for methods of submitting CCPA requests and obtaining consumer consent. The proposed regulations would amend section 7001 to define the following terms: “artificial intelligence,” “automated decisionmaking technology” and “ADMT,” “behavioral advertising,” “cybersecurity audit,” “cybersecurity program,” “deepfake,” “information system,” “multi-factor authentication,” “penetration testing,” “performance at work,” “performance in an educational program,” “physical or biological identification or profiling,” “privileged account,” “profiling,” “publicly accessible place,” “request to access ADMT,”  “request to appeal ADMT,” “request to opt-out of ADMT,” “right to access ADMT,” “right to opt-out of ADMT,” “systematic observation,” “train automated decisionmaking technology or artificial intelligence,” and “zero trust architecture.” The proposed regulations would also amend the definitions of “nonbusiness,” “request to know,” “sensitive personal information,” and “verify.”  一般規定第1条には、定義、個人情報の収集・利用の制限、開示および消費者とのコミュニケーション、CCPA要請の提出方法および消費者の同意の取得方法に関する要件が含まれる。本規則案は、第7001条を改正し、以下の用語を定義する: 人工知能」、「自動意思決定技術」および「ADMT」、「行動広告」、「サイバーセキュリティ監査」、「サイバーセキュリティプログラム」、「ディープフェイク」、「情報システム」、「多要素認証」、「侵入テスト」、「職場でのパフォーマンス」、「教育プログラムでのパフォーマンス」、「身体的または生物学的識別またはプロファイリング」、 「特権アカウント」、「プロファイリング」、「一般にアクセス可能な場所」、「ADMTへのアクセス要求」、「ADMTへの異議申し立て要求」、「ADMTからのオプトアウト要求」、「ADMTへのアクセス権」、「ADMTからのオプトアウト権」、「組織的観察」、「自動意思決定技術または人工知能の訓練」、「ゼロ信頼アーキテクチャ」。 」 本規則案はまた、「non-business」、「request to know」、「sensitive personal information」、「verify 」の定義を修正する。
The proposed regulations would amend section 7002 to clarify that a business must allow a consumer to withdraw consent to collecting and processing personal information, unless an exception applies, and require that businesses comply with all of the requirements within that section for additional collection or processing of personal information.    本規則案は、7002条を改正し、事業者は、例外が適用されない限り、消費者が個人情報の収集・処理に対する同意を撤回することを認めなければならないことを明確にし、事業者は、個人情報の追加的な収集・処理について、同条に含まれるすべての要件を遵守することを義務付ける。  
The proposed regulations would also amend the requirements of section 7003 regarding the appearance of privacy related links on a business website. The proposed regulations would further require mobile applications to include a conspicuous link within the application itself.  また、本規則案は、事業者のウェブサイト上のプライバシー関連リンクの表示に関する第7003条の要件も改正する。本規則案はさらに、モバイル・アプリケーションに、アプリケーション自体の中に目立つリンクを含めることを要求する。
Additionally, the proposed regulations would amend section 7004 to clarify that businesses must incorporate the principles listed in the section in designing and implementing their methods for submitting CCPA requests and for obtaining consumer consent. The proposed regulations would revise and add to the examples provided in the section, replace permissive language with mandatory language for requirements, and address how requests for consent must appear. The proposed regulations would prohibit businesses from using misleading statements or omissions, affirmative misstatements, or deceptive language in obtaining consent, as well as categorize choices that are driven by a false sense of urgency as misleading. The proposed regulations would establish that a consumer’s silence or failure to act affirmatively does not constitute consent. The proposed regulations would further clarify that methods must be tested to ensure that they are functional and do not undermine the consumer’s choice to submit the request. The proposed regulations further clarify that this principle also applies to methods for providing and withdrawing consent and reminds businesses that individuals handling phone calls from consumers submitting CCPA requests must have the knowledge and ability to process those requests. The proposed regulations clarify the illustrative examples in subsection (a) were a non-exhaustive list and that a user interface that has the effect of subverting or impairing consumer choice is a dark pattern.   さらに、本規則案は、第7004条を改正し、事業者は、CCPA要請の提出方法および消費者の同意の取得方法を設計し実施する際に、同条に列挙された原則を取り入れなければならないことを明確にする。本規則案は、同条項で提供される例を修正・追加し、容認的な文言を要求事項に関する強制的な文言に置き換え、同意の要求がどのように表示されなければならないかを取り上げる。本規則案は、同意の取得において、事業者が誤解を招く記述や省略、断定的な虚偽の記述、欺瞞的な表現を使用することを禁止するとともに、誤った切迫感に駆られた選択を誤解を招くものとして分類するものである。本規則案は、消費者が沈黙したり、積極的に行動しなかったりしても同意とはならないことを定めるものである。本規則案はさらに、方法が機能的であり、リクエストを提出するという消費者の選択を損なわないことを確認するためにテストされなければならないことを明確にする。本規則案はさらに、この原則が同意の提供および撤回方法にも適用されることを明確にし、事業者に対し、CCPA要請を提出する消費者からの電話を処理する個人は、それらの要請を処理する知識と能力を有していなければならないことを喚起する。本規則案は、第(a)項の例示が非網羅的なリストであり、消費者の選択を破壊または損なう効果を持つユーザー・インターフェースは暗黒パターンであることを明確にしている。 
Article 2.  Required Disclosures to Consumers.  第2条 消費者に対する必要な開示 
Article 2 contains required disclosures to consumers. The proposed regulations would amend section 7010 to require a business that uses ADMT to provide consumers with a Pre-use Notice, which must include a link through which consumers can opt-out of the business’s use of ADMT. The proposed regulations clarify exceptions to the requirement to provide an opt-out link to consumers.   第2条には、消費者に対する必要な開示が含まれている。本規則案は、第7010条を改正し、ADMTを使用する事業者が消費者に使用前通知を提供することを義務付けるものであり、この使用前通知には、消費者が事業者によるADMTの使用をオプトアウトできるリンクを含めなければならない。本規則案は、消費者にオプトアウト・リンクを提供するという要件の例外を明確にするものである。 
The proposed regulations would amend section 7011 to require mobile applications to include a link to the privacy policy. Businesses would also be required to describe categories of sources and categories of third parties in a manner that provides consumers a meaningful understanding of those things. The proposed regulations would clarify that disclosures for a business purpose are to service providers and contractors, not third parties. The proposed regulations also clarify that businesses must include an explanation of consumers’ right to optout of ADMT and an explanation of the right to access ADMT, if it is using ADMT. The proposed regulations clarify that consumers have a right against retaliation when exercising their privacy rights, and that this right also applies when they are acting as an applicant to an educational program, a job applicant, or a student. The proposed regulations would also require the business to provide a general description of the process it uses to verify a consumer’s “request to access ADMT.”   本規則案は、第7011条を改正し、モバイルアプリケーションにプライバシーポリシーへのリンクを含めることを義務付ける。事業者はまた、プロバイダのカテゴリーおよびサードパーティのカテゴリーについて、消費者に有意義な理解を提供する方法で説明することが求められる。本規則案は、事業目的の開示は第三者ではなく、サービスプロバイダーや請負業者に対するものであることが明確にされる。規則案はまた、事業者は、消費者がADMTをオプトアウトする権利についての説明と、ADMTを利用している場合には、ADMTにアクセスする権利についての説明を含めなければならないことを明確にする。本規則案は、消費者がプライバシーの権利を行使する際に報復を受けない権利を有すること、およびこの権利は、消費者が教育プログラムへの応募者、求職者、または学生として行動している場合にも適用されることを明確にしている。また、本規則案は、事業者に対し、消費者の「ADMTへのアクセス要求」を確認するために使用するプロセスの一般的な説明を提供することを義務付ける。 
The proposed regulations would amend section 7013 to provide more examples of the requirement that the Notice of Right to Opt-Out of Sale/Sharing be provided in the same manner in which the business collects the personal information that it sells or shares.   本規則案は、セクション7013を修正し、事業者が販売または共有する個人情報を収集するのと同じ方法で、販売/共有をオプトアウトする権利の通知を提供するという要件の例を増やす。 
The proposed regulations would amend section 7014 to further implement Civil Code section 1798.135, subdivision (a)(2), by requiring the notice of the consumer’s right to limit the use of sensitive personal information be provided in the same manner in which the business collects the sensitive personal information, and provides examples. The proposed regulations would also amend section 7015 to allow for the adjustment of color to ensure that the opt-out icon is conspicuous and easy to read.  本規則案は、民法第1798.135条(a)(2)をさらに実施するために第7014条を改正し、消費者の機微な個人情報の使用を制限する権利の通知を、事業者が機微な個人情報を収集するのと同じ方法で提供することを義務付け、その例を示す。また、本規則案は、第7015条を改正し、オプトアウトのアイコンが目立ち、読みやすくなるよう、色の調整を可能にする。
Article 3.  Business Practices for Handling Consumer Requests.  第3条 消費者からの要請を処理するための業務慣行
Article 3 contains requirements for how consumer requests must be handled by businesses. The proposed regulations would amend section 7020 to require businesses to provide a means by which the consumer can request that the business, in response to a request to know, provide personal information collected prior to the 12-month period preceding the business’s receipt of the request. The proposed regulations would also amend section 7021 to make requests to access ADMT and to appeal ADMT subject to the timelines contained in the section.   第3条には、事業者が消費者請求をどのように取り扱わなければならないかについての要件が含まれる。本規則案は、第7020条を改正し、消費者が、知ることを要求された事業者に対して、事業者がその要求を受領する前の12ヶ月間以前に収集された個人情報を提供することを要求できる手段を提供することを事業者に義務付ける。また、本規則案は、第7021条を改正し、ADMTへのアクセス要求およびADMTへの不服申立を、同条に含まれるスケジュールの対象とする。 
Additionally, the proposed regulations would amend section 7022 by clarifying what a business must do in response to a request to delete. This includes that businesses, service providers, and contractors are to implement measures to ensure that information subject to a request to delete remains deleted, deidentified, or aggregated. The proposed regulations would also explain that whether a business, service provider, or contractor has implemented these measures factors into whether they have complied with the consumer’s request to delete, and that they should consider and address how previously deleted information may be recollected. The proposed regulations would also require a business that denies a request to delete in whole or in part to inform the consumer that they can file a complaint with the Agency and the Attorney General’s office.   さらに、本規則案は、第7022条を改正し、削除要請に対して事業者が何をしなければならないかを明確化する。これには、事業者、サービスプロバイダー、および請負業者が、削除要請の対象となる情報が削除、非識別化、または集計されたままであることを保証するための措置を実施することが含まれる。規則案はまた、事業者、サービスプロバイダー、請負業者がこれらの措置を実施しているかどうかが、消費者の削除要請に応じたかどうかに影響すること、および以前に削除された情報がどのように再回収される可能性があるかを考慮し、対処すべきであることを説明する。また、本規則案は、削除要請の全部または一部を拒否した事業者に対し、消費者庁および司法長官事務所に苦情を申し立てることができることを消費者に通知することを義務付ける。 
The proposed regulations would also amend section 7023 to clarify that businesses, service providers, and contractors are to implement measures to ensure that information subject to a request to correct remains corrected and that a business is obligated to correct information stored in a backup or archived system only if that system comes into active use. The proposed regulations would require businesses that deny a consumer’s request to correct to inform the consumer that, upon the consumer’s request, it will note both internally and to any person to whom it discloses the personal information that the accuracy of the personal information is contested by the consumer. The proposed regulations would require a business to make a written statement the consumer submits available to any person to whom it discloses the personal information subject to the request to correct health information. Additionally, businesses would be required to provide the name of the source from which it received alleged inaccurate information, or inform the source that the information provided was incorrect and must be corrected. The proposed regulations require businesses to confirm certain information they maintain is the same as what the consumer has provided and clarifies that failing to address the possibility that corrected information may be overridden by inaccurate information factors into whether the business, service provider, or contractor has adequately complied with a consumer’s request to correct. The proposed regulations also clarify that complaints may be filed with the Agency or Attorney General’s office.   本規則案はまた、第7023条を改正し、事業者、サービスプロバイダー、請負業者は、訂正要求の対象となった情報が訂正されたままであることを保証するための措置を実施すること、および事業者は、バックアップまたはアーカイブシステムに保存された情報を訂正する義務があるのは、そのシステムがアクティブに使用されるようになった場合に限られることを明確にする。本規則案は、消費者からの訂正要求を拒否する事業者に対して、消費者からの要求があれば、社内および個人情報の開示先に対して、個人情報の正確性が消費者によって争われていることを通知することを義務付ける。本規則案は、事業者は、健康情報の訂正要求の対象となる個人情報を開示するいかなる者に対しても、消費者が提出した書面を利用できるようにすることが求められる。さらに、事業者は、不正確とされる情報を入手したプロバイダの名前を提供するか、提供された情報が不正確であり、訂正しなければならないことをそのプロバイダに通知することが求められる。本規則案は、事業者が保持する特定の情報が、消費者が提供したものと同じであることを確認するよう求めており、訂正された情報が不正確な情報によって上書きされる可能性に対処しないことは、事業者、サービスプロバイダー、または請負業者が消費者の訂正要求に適切に応えたかどうかに影響することを明確にしている。また、本規則案は、苦情は当庁または司法長官事務所に申し立てることができることを明確にしている。 
The proposed regulations would amend section 7024 to require businesses to provide a way for consumers to confirm that certain sensitive personal information the business maintains is what the consumer believes it should be and that when a business denies a request to know in whole or in part, it must also inform the consumer that they can file a complaint with the Agency and the Attorney General’s office. The proposed regulations would more precisely explain a business’s disclosure obligations under Civil Code sections 1798.110 and 1798.115 and clarify that businesses must identify categories of service providers and contractors in a manner that provides consumers a meaningful understanding of the categories listed.   本規則案は、第7024条を改正し、事業者が保持する特定の機微な個人情報が、消費者がそうあるべきと考えるものであることを確認する方法を消費者に提供することを事業者に義務付けるとともに、事業者が知ることを求める要求の全部または一部を拒否した場合、事業者庁および司法長官事務所に苦情を申し立てることができることを消費者に通知しなければならないとしている。本規則案は、民法第1798.110条および第1798.115条に基づく事業者の開示義務をより正確に説明し、事業者はサービスプロバイダーおよび請負業者のカテゴリーを、記載されたカテゴリーについて消費者に有意義な理解を提供する方法で特定しなければならないことを明確にするものである。 
The proposed regulations would amend section 7025 to require businesses to display the consumer’s choice as it relates to the sale/sharing of their personal information; the business must display whether it has processed the consumer’s opt-out preference signal as a valid request to opt-out of sale/sharing on its website. Exemplar language for how a business can communicate this information to the consumer is included in the proposed regulations.   本規則案は、第7025条を改正し、個人情報の販売/共有に関連する消費者の選択を表示することを事業者に義務付けるものである。事業者は、消費者のオプトアウト希望信号を販売/共有のオプトアウトの妥当性確認要求として処理したかどうかをウェブサイトに表示しなければならない。事業者がこの情報をどのように消費者に伝えるかについての例示的な文言は、規則案に含まれている。 
The proposed regulations would amend section 7026 to require that a business that denies a request to opt-out of sale/sharing to inform the consumer that they can file a complaint with the Agency and the Attorney General’s office. Illustrative examples to explain the timing requirements for requests to opt-out of sale/sharing have been included. The proposed regulations would require businesses to provide a means by which the consumer can confirm that their request to opt-out of sale/sharing has been processed and provide exemplar language for how a business can communicate this information to the consumer.   本規則案は、第7026条を改正し、販売/共有のオプトアウト要求を拒否した事業者が、消費者庁および司法長官事務所に苦情を申し立てることができることを消費者に通知することを義務付けるものである。販売/共有のオプトアウト要求のタイミング要件を説明するための例示が含まれている。本規則案は、消費者が販売/共有のオプトアウト要求が処理されたことを確認できる手段を提供することを事業者に義務付け、事業者がこの情報を消費者に伝える方法について例示的な表現を提供する。 
The proposed regulations would amend section 7027 to include the requirement that when a business denies a request to limit, it must also inform the consumer that they can file a complaint with the Agency and the Attorney General’s office. “Shared” has been replaced with “made available” to be more precise and additional examples have been included. The proposed regulations would also require businesses to provide a means by which the consumer can confirm that their request to limit has been processed.   本規則案は、第7027条を改正し、事業者が制限要求を拒否する場合、事業者庁と司法長官事務所に苦情を申し立てることができることを消費者にも通知しなければならないという要件を含める。「Shared 「はより正確を期すため 」made available "に置き換えられ、追加例が盛り込まれた。本規則案はまた、消費者が制限要求が処理されたことを確認できる手段を提供することを事業者に義務付ける。 
The proposed regulations would amend section 7028 to extend the procedures for requests to opt-in to include requests to opt-in to the sharing of personal information and requests to optin to the use and disclosure of sensitive personal information. The proposed regulations address situations where consumers initiate transactions with businesses after making a request to limit when those transactions may require that the business disclose or use the consumer’s sensitive personal information in a manner inconsistent with the request to limit, allowing a business to obtain the consumer’s consent to use or disclose the information for that purpose even if it is within 12 months of the consumer’s request. The proposed regulations would also clarify that section 7004 applies to obtaining the consumer’s consent.   本規則案は、第7028条を改正し、オプトイン要求の手続を、個人情報の共有に対するオプトイン要求および機微な個人情報の使用および開示に対するオプトイン要求を含むように拡張する。本規則案は、消費者が制限の要請を行った後に事業者と取引を開始した場合、その取引によって、制限の要請と矛盾する方法で事業者が消費者の機微な個人情報を開示または使用する必要が生じる可能性がある状況に対処するもので、事業者は、消費者の要請から12カ月以内であっても、その目的のために情報を使用または開示することについて消費者の同意を得ることができる。また、本規則案は、消費者の同意を得るために7004条が適用されることを明確にする。 
Article 4.  Service Providers, Contractors, and Third Parties.  第4条 サービスプロバイダー、請負業者、サードパーティ
Article 4 of the proposed regulations contains the requirements related to service providers, contractors, and third parties. The proposed regulations would amend section 7050 to clarify that the purposes for which a service provider or contractor retains, uses, or discloses personal information must be reasonably necessary and proportionate to serve the purposes listed in the regulation and provides an example. The proposed regulations would also require that service providers and contractors cooperate with businesses for those businesses’ cybersecurity audits and risk assessments with respect to the personal information that the service provider or contractor has collected pursuant to their written contract with the business. The proposed regulations would explain that cooperating with a business’s completion of its cybersecurity audit includes making available to the business’s auditor all relevant information that the auditor requests and not misrepresenting any fact that the auditor deems relevant to the audit. The proposed regulations would also explain that cooperating with a business that is conducting a risk assessment includes making available to the business all facts necessary to conduct the risk assessment and not misrepresenting any fact necessary to conduct the risk assessment.   本規則案の第4条には、サービスプロバイダー、請負業者、サードパーティに関する要件が含まれている。本規則案は、第7050条を改正し、サービスプロバイダーまたは請負業者が個人情報を保持、使用、開示する目的は、規則に列挙された目的を果たすために合理的に必要かつ比例したものでなければならないことを明確にし、その例を示している。本規則案はまた、サービスプロバイダーや請負業者が、事業者との書面による契約に従って収集した個人情報に関して、事業者のサイバーセキュリティ監査やリスクアセスメントに協力することを義務付ける。本規則案は、事業者のサイバーセキュリティ監査の完了に協力することには、監査人が要求するすべての関連情報を事業者の監査人に提供すること、監査人が監査に関連するとみなすいかなる事実も虚偽の説明をしないことが含まれると説明される。また、本規則案は、リスクアセスメントを実施している事業者に協力することには、リスクアセスメントを実施するために必要なすべての事実を事業者に提供すること、およびリスクアセスメントを実施するために必要ないかなる事実についても虚偽の説明をしないことが含まれると説明している。 
The proposed regulations would amend section 7051 by including additional examples of requirements that a business may include in its contracts with service providers or contractors. 本規則案は、第7051条を改正し、事業者がサービスプロバイダーまたは請負業者との契約に含めることができる要件の追加例を含める。
Article 5.  Verification of Requests.  第5条 要請の検証
Article 5 contains the responsibilities of businesses to verify that the person making the request is also the subject of the information impacted by the request. The proposed regulations would amend section 7060 to include requests to access and to opt-out of ADMT. The proposed regulations would clarify that businesses must first consider how they can verify a consumer’s identity using personal information that they already maintain about the consumer before asking the consumer to provide additional information. The proposed regulations would make certain requirements mandatory when verifying requests and require a business that compensates the consumer for the cost of the notarization to provide the consumer with instructions on how they will be reimbursed prior to the consumer’s submission of the notarization. The proposed regulations would also extend the requirement to implement “reasonable security measures” to information about a business’s use of ADMT with respect to a consumer. The proposed regulations would clarify that a business must not use personal information that is the subject of a request to correct to verify the consumer.   第5条には、要請を行う者が、その要請によって影響を受ける情報の対象者でもあることを確認する事業者の責任が含まれている。本規則案は、7060条を改正し、ADMTへのアクセスおよびオプトアウトの要請を含める。本規則案は、事業者は、消費者に追加情報の提供を求める前に、消費者について既に保 有している個人情報を使用して消費者の身元を確認する方法を最初に検討しなければならない ことを明確にする。本規則案は、要請を検証するときに特定の要件を必須とし、公証の費用を消費者に補償する事業者は、消費者が公証を提出する前に、どのように弁済されるかについての指示を消費者に提供することを義務付ける。また、本規則案は、「合理的なセキュリティ対策」を実施する要件を、事業者による消費者に関するADMTの利用に関する情報にも拡大する。本規則案は、事業者は、消費者を確認するために、訂正要求の対象である個人情報を使用してはならないことを明確にする。 
The proposed regulations would amend section 7062 to include “request to access ADMT.”   本規則案は、第7062条を改正し、「ADMTへのアクセス要求」を含める。 
The proposed regulations would also amend section 7063 to clarify that businesses shall not require consumers to resubmit their request in their individual capacity.  また、本規則案は、第7063条を改正し、事業者は、消費者に対し、個人の資格で再提出を求めてはならないことを明確にする。
Article 6.  Special Rules Regarding Consumers Less Than 16 Years of Age.    第6条 16 歳未満の消費者に関する特別規則   
The proposed regulations would modify the title of the article to use the term “less than” instead of “under” to be consistent with the content within the article.   本規則案は、条文内の内容と整合させるため、条文のタイトルを修正し、「under」ではなく「less than」という用語を使用する。 
Article 7.  Non-Discrimination.  第7条 識別的差別の禁止
The proposed regulations would amend section 7080 to include requests to access and to optout of ADMT.   本規則案は、第7080条を修正し、ADMTへのアクセス及びオプトアウトの要請を含める。 
Article 8.  Training and Record-Keeping.  第8条 研修と記録の保管 
The proposed regulations would amend section 7102 to require the compilation and disclosure of metrics for requests to access and to opt-out of ADMT that the business received, complied with in whole or in part, and denied.   本規則案は、第7102条を修正し、事業者が受領し、その全部または一部に応じ、拒否した、 ADMT へのアクセスおよびオプトアウトの要請の測定基準の集計および開示を義務付ける。 
Article 9.  Cybersecurity Audits.    第9条 サイバーセキュリティ監査 サイバーセキュリティ監査
Article 9 of the proposed regulations would be a new article containing the requirements for cybersecurity audits. The proposed regulations would add section 7120 that explains which businesses’ processing presents significant risk to consumers’ security. The proposed regulations would clarify that a business that “meets the threshold set forth in Civil Code section 1798.140, subdivision (d)(1)(C), in the preceding calendar year” is a business whose processing of consumers’ personal information presents significant risk to consumers’ security. The proposed regulations would identify a business that meets the annual gross revenue threshold set forth in Civil Code section 1798.140, subdivision (d)(1)(A), and one of two processing thresholds in the preceding calendar year as presenting significant risk to consumers’ security. The proposed regulations would clarify that the two processing thresholds are met if the business processed either (1) the personal information of 250,000 or more consumers or households, or (2) the sensitive personal information of 50,000 or more consumers.   規則案の第9条は、サイバーセキュリティ監査の要件を含む新たな条文となる。本規則案は、どのような事業者の処理が消費者のセキュリティに重大なリスクをもたらすかを説明する第7120条を追加する。本規則案は、「前暦年において民法第1798.140条(d)(1)(C)に規定される閾値を満たす」事業者は、消費者の個人情報の処理が消費者のセキュリティに重大なリスクをもたらす事業者であることを明確にする。本規則案は、民法第1798.140条第(d)項第(1)号(A)に規定された年間総収入の閾値を満たし、かつ前暦年に2つの処理閾値のいずれかを満たした事業者を、消費者のセキュリティに重大なリスクをもたらす事業者と認定する。本規則案は、事業者が(1)250,000人以上の消費者または世帯の個人情報を処理した場合、または(2)50,000人以上の消費者の機微な個人情報を処理した場合に、2つの処理基準を満たすことを明確にする。 
The proposed regulations would add section 7121, which provides a business with 24 months from the effective date of the proposed regulations to complete its first cybersecurity audit and subsequently requires one every calendar year, with no gap in the months covered by successive cybersecurity audits.   本規則案は第7121条を追加する。この条は、事業者が最初のサイバーセキュリティ監査を完了するために、本規則案の発効日から24ヶ月をプロバイダに提供し、その後、連続したサイバーセキュリティ監査の対象となる月に空白期間を設けずに、暦年ごとに1回の監査を要求するものである。 
The proposed regulations would add section 7122, which contains the requirements for thorough and independent cybersecurity audits. The proposed regulations would require use of a qualified, objective, independent auditor who uses procedures and standards generally accepted in the profession of auditing; and provide guidance as to what auditor objectivity and independence mean, and how businesses must preserve auditor independence. For example, the proposed regulations would clarify that the auditor must exercise impartial judgment, be free to make decisions and assessments without influence by the business, and not participate in the very business activities that the auditor may assess in the current or subsequent cybersecurity audits. If the auditor is internal, the proposed regulations would require that they report directly to, and have their performance-evaluation and compensation determined by, the business’s board, governing body, or the business’s highest-ranking executive who does not have direct responsibility for the cybersecurity program. The proposed regulations would require a business to make all information available to the auditor that the auditor requests as relevant, make good-faith efforts to disclose to the auditor all facts relevant to the cybersecurity audit, and not misrepresent any fact relevant to the cybersecurity audit. The proposed regulations would specify that the audit must articulate its scope and criteria; identify the specific evidence examined to make decisions and assessments; explain why the scope, criteria, and evidence are appropriate; explain why the specific evidence examined is sufficient to justify the auditor’s findings; not rely primarily on assertions or attestations but rather on specific evidence that the auditor deemed appropriate; assess, document, and summarize each applicable component of the business’s cybersecurity program; identify gaps or weaknesses in the business’s cybersecurity program; and address the status of any gaps or weaknesses identified in any prior cybersecurity audit, and any corrections or amendments to any prior cybersecurity audit. The proposed regulations would also require the audit to include the auditor’s name, affiliation, and relevant qualifications; as well a signed statement by each auditor certifying that they completed an independent review, exercised objective and impartial judgment, and did not rely primarily on assertions or attestations by the business’s management. The proposed regulations would require the audit to be reported to the business’s board, governing body, or highest-ranking executive responsible for its cybersecurity program and to contain a signed statement by that person certifying that the business did not influence, and made no attempt to influence, the auditor’s decisions or assessments, as well as that they have reviewed, and understand the findings of, the cybersecurity audit. The auditor would be required to retain all documents relevant to each cybersecurity audit for a minimum of five (5) years.   本規則案は、徹底した独立したサイバーセキュリティ監査の要件を含むセクション7122を追加する。また、監査人の客観性と独立性とは何を意味するのか、企業はどのように監査人の独立性を維持しなければならないのかについてガイダンスを提供する。例えば、本規則案は、監査人は公平な判断力を発揮し、事業者の影響を受けずに自由に意思決定やアセスメントを行うことができなければならず、監査人が今回の監査やその後のサイバーセキュリティ監査で評価する可能性のある事業活動そのものに参加してはならないことを明確にしている。監査人が内部監査人である場合、本規則案は、監査人は事業者の取締役会、ガバナンス団体、またはサイバーセキュリティプログラムに直接的な責任を持たない事業者の最高位の経営者に直接報告し、その業績評価と報酬を決定することが求められる。本規則案は、事業者は、監査人が関連するとして要求したすべての情報を監査人に提供し、サイバーセキュリティ監査に関連するすべての事実を監査人に開示するために誠実に努力し、サイバーセキュリティ監査に関連するいかなる事実も虚偽の説明をしないことが求められる。本規則案は、監査はその範囲と規準を明確にすること、判断と評価を行うために調査した具体的な証拠を特定すること、その範囲、規準、証拠が適切である理由を説明すること、調査した具体的な証拠が監査人の発見を正当化するのに十分である理由を説明すること、主に主張や識別に頼らず、監査人が適切と判断した具体的な証拠に頼らなければならないことが規定されている; 事業者のサイバーセキュリティプログラムの該当する各構成要素をアセスメントし、文書化し、要約すること、事業者のサイバーセキュリティプログラムのギャップや弱点を特定すること、過去のサイバーセキュリティ監査で特定されたギャップや弱点の状況、および過去のサイバーセキュリティ監査に対する修正や修正に対処すること。また、本規則案は、監査人に、監査人の氏名、所属、関連する資格、および、各監査人が独立したレビューを完了し、客観的かつ公平な判断を行使し、事業者の経営者による主張または立証に主に依存していないことを証明する署名入りの声明を含めることを求めている。本規則案は、監査は、企業の取締役会、ガバナンス団体、またはサイバーセキュリティプログラムに責任を持つ最高位の経営者に報告され、企業が監査人の意思決定やアセスメントに影響を与えず、影響を与えようともしなかったこと、またサイバーセキュリティ監査の結果を検討し、理解したことを証明する、その人物による署名入りの声明が含まれることが要求される。監査人は、各サイバーセキュリティ監査に関連するすべての文書を最低5年間保存することが求められる。 
The proposed regulations would add section 7123, which contains what the cybersecurity audit must cover. The proposed regulations would require the audit to identify, assess, and document how the business’s cybersecurity program (that is appropriate to the business’s size, complexity, and the nature and scope of its processing activities) protects personal information from unauthorized actions; and identify, assess, and document 18 components of the business’s cybersecurity program, as applicable, or explain why a component is not necessary and how the safeguards the business has in place provide at least equivalent security.   本規則案は、サイバーセキュリティ監査がカバーしなければならない内容を含むセクション7123を追加する。本規則案は、事業者のサイバーセキュリティプログラム(事業者の規模、複雑さ、および処理活動の性質と範囲に適切なもの)が、不正行為から個人情報をどのように保護しているかを特定、評価、文書化すること、および事業者のサイバーセキュリティプログラムの18の構成要素を特定、評価、文書化すること(該当する場合)、または構成要素が不要な理由を説明すること、および事業者が実施している保護措置が少なくとも同等のセキュリティをどのように提供しているかを説明することを監査に求めている。 
The components include: (1) authentication, including multi-factor authentication and strong unique passwords or passphrases; (2) encryption of personal information, at rest and in transit; (3) zero trust architecture; (4) account management and access controls, including restricting access to personal information and functions to what is necessary for that person to perform their duties; the number of privileged accounts and their functions, using a privileged-access management solution; the creation of new accounts and ensuring that their access and privileges are limited; and restricting and monitoring physical access to personal information; (5) inventory and management of personal information and the business’s information system, including inventories, classification, and tagging of personal information; hardware and software inventories and the use of allowlisting; hardware and software approval processes and preventing the connection of unauthorized hardware and devices to the business’s information system; (6) secure configuration of hardware and software, including software updates and upgrades; securing on-premises and cloud-based environments; masking sensitive and other personal information as appropriate by default in applications; security patch management; and change management; (7) internal and external vulnerability scans, penetration testing, and vulnerability disclosure and reporting; (8) audit-log management, including the centralized storage, retention, and monitoring of logs; (9) network monitoring and defenses, including the deployment of bot-detection and intrusion-detection and intrusion-prevention systems, and data-loss-prevention systems; (10) antivirus and antimalware protections; (11) segmentation of an information system; (12) limitation and control of ports, services, and protocols; (13) cybersecurity awareness, education, and training, including training for each employee, independent contractor, and any other personnel to whom the business provides access to its information system; and how the business maintains current knowledge of changing cybersecurity threats and countermeasures; (14) secure development and coding best practices, including code-reviews and testing; (15) oversight of service providers, contractors, and third parties; (16) retention schedules and proper disposal of personal information no longer required to be retained by (a) shredding, (b) erasing, or (c) otherwise modifying the personal information to make it unreadable or undecipherable through any means; (17) how the business manages its responses to security incidents; and (18) the business’s businesscontinuity and disaster-recovery plans, including data-recovery capabilities and backups.   構成要素には以下が含まれる: (1) 認証(多要素認証、強力な固有パスワードまたはパスフレーズを含む)、(2) 個人情報の暗号化(静止時および転送時)、(3) ゼロトラスト・アーキテクチャ、(4) アカウント管理およびアクセス管理(個人情報および機能へのアクセスを、その者が職務を遂行するために必要なものに制限すること、特権アクセス管理ソリューションを使用した特権アカウントの数およびその機能、新規アカウントの作成とそのアクセスおよび特権の制限、個人情報への物理的アクセスの制限および監視を含む); (5) 個人情報の棚卸し、分類、タグ付け、ハードウェアおよびソフトウェアの棚卸し、許可リストの使用、ハードウェアおよびソフトウェアの承認プロセス、未許可のハードウェアおよびデバイスの事業情報システムへの接続の防止を含む、個人情報および事業情報システムの棚卸しおよび管理; (6) ソフトウェアの更新とアップグレードを含む、ハードウェアとソフトウェアの安全な設定、オンプレミスとクラウドベースの環境の保護、アプリケーションのデフォルトによる機密情報およびその他の個人情報の適切なマスキング、セキュリティパッチ管理、変更管理、(7) 内部および外部の脆弱性スキャン、侵入テスト、脆弱性の開示と報告; (8) 監査ログ管理(ログの集中保管、保存、監視を含む) (9) ネットワーク監視および防御(ボット検知、侵入検知、侵入防御システム、データ損失防御システムの展開を含む) (10) ウイルス対策およびマルウェア対策 (11)情報システムのセグメンテーション、(12)ポート、サービス、プロトコルの制限および管理、(13)サイバーセキュリティ意識向上、教育およびトレーニング; (14) コードレビューとテストを含む、安全な開発とコーディングのベストプラクティス (15) サービスプロバイダー、請負業者、サードパーティの監督; (16) (a)シュレッダー、(b)消去、または(c)いかなる手段によっても読めなくする、または解読できなくするために個人情報を変更することによって、もはや保持する必要のない個人情報の保持スケジュールと適切な廃棄 (17) セキュリティインシデントへの事業者の対応管理方法 (18) データ復旧能力とバックアップを含む、事業者の事業継続計画と災害復旧計画。 
The proposed regulations also would require the audit to describe how the business implements and enforces compliance with the applicable components, how effective the business’s cybersecurity program components are at protecting consumers’ personal information, the status of any gaps or weaknesses of the applicable components, and the business’s plan to address them. The proposed regulations would require the audit to include the titles of individuals responsible for the business’s cybersecurity program; and the date that the program and any evaluations of it were presented to the business’s board, governing body, or to the business’s highest-ranking executive responsible for the program. The audit would also be required to include a sample copy or a description of any required notification to a consumer or any agency with jurisdiction over privacy laws or other data processing authority, as well as dates and details of the activity that gave rise to the required notifications and any related remediation measures taken by the business. The proposed regulations would also clarify that if a business has engaged in a cybersecurity audit, assessment, or evaluation that meets all of the requirements of Article 9, the business is not required to complete a duplicative cybersecurity audit, but must explain how what it has already done meets all of the regulatory requirements, and supplement it with additional information if it does not meet all such requirements.   また、本規則案は、事業者が該当する構成要素のコンプライアンスをどのように実施し、実施しているか、事業者のサイバーセキュリティプログラムの構成要素が消費者の個人情報を保護する上でどの程度効果的であるか、該当する構成要素のギャップや弱点の状況、およびそれらに対処するための事業者の計画について説明することを監査に求めている。本規則案は、監査に、事業者のサイバーセキュリティ・プログラムの責任者の団体名、プログラムおよびその評価が、事業者の取締役会、政府機関、または事業者の最高位の責任者に提示された日付を含めることが求められる。監査はまた、消費者、プライバシー法を管轄する機関、またはその他のデータ・プロセッシング権限を持つ機関への必要な通知のサンプル・コピーまたは説明、必要な通知の原因となった活動の日付と詳細、事業者が講じた関連する是正措置を含めることも要求される。本規則案はまた、事業者が第9条のすべての要件を満たすサイバーセキュリティ監査、アセスメント、または評価に従事している場合、その事業者は重複するサイバーセキュリティ監査を完了する必要はないが、既に行ったことが規制要件のすべてをどのように満たしているかを説明し、そのような要件のすべてを満たしていない場合は追加情報で補足しなければならないことを明確にする。 
The proposed regulations would add section 7124, which provides for businesses required to complete a cybersecurity audit to submit to the Agency every calendar year a written certification that the business completed the cybersecurity audit. The certification would be submitted to the Agency through https://cppa.ca.gov/, identify the 12 months that the audit covers, be signed by a member of the business’s board, governing body, or highest-ranking executive with authority to certify on behalf of the business and who is responsible for oversight of the business’s cybersecurity-audit compliance, and include a statement certifying that the signer, identified by name and title, has reviewed and understands the findings of the cybersecurity audit.   本規則案は、サイバーセキュリティ監査を完了することが義務付けられている事業者が、暦年ごとに、サイバーセキュリティ監査を完了したことを証明する書面を同庁に提出することをプロバイダに規定する第7124条が追加される。この証明書は、https://cppa.ca.gov/ を通じて同庁に提出され、監査の対象となる 12 か月を特定し、事業者の取締役会、統治体、または事業者を代表して認可する権限を有し、事業者のサイバーセキュリティ監査遵守の監督に責任を負う最高位の幹部の一人が署名し、名前と役職で特定される署名者がサイバーセキュリティ監査の結果を確認し、理解していることを証明する声明を含む。 
Article 10.  Risk Assessments.    第10条 リスク評価 リスクアセスメント
Article 10 would be a new article containing the requirements for risk assessments. The proposed regulations would add section 7150 to address when a business must conduct a risk assessment, which is when their processing of consumers’ personal information presents significant risk to consumers’ privacy. The proposed regulations would require a risk assessment when a business sells or shares personal information; or processes sensitive personal information, except for when a business processes sensitive personal information solely and specifically for administering compensation payments, determining and storing employment authorization, administering employment benefits, or for wage reporting as required by law. A risk assessment would also be required when a business uses ADMT for a significant decision concerning a consumer or for extensive profiling. For this purpose, “significant decision” would mean a decision that results in access to, or the provision or denial of financial or lending services; housing; insurance; education enrollment or opportunity; criminal justice; employment or independent contracting opportunities or compensation; healthcare services; or essential goods or services. The proposed regulations would clarify that “education enrollment or opportunity” includes admission or acceptance into academic or vocational programs, educational credentials, and suspension and expulsion; and that “employment or independent contracting opportunities or compensation” includes hiring, allocation/assignment of work and compensation, promotion; and demotion, suspension, and termination. The proposed regulations would also explain that “significant decisions” include only decisions using information that is not subject to relevant data-level exceptions in the CCPA. The proposed regulations would define “extensive profiling” to include profiling consumers in work and educational contexts, in public, or for behavioral advertising. The proposed regulations would further identify processing of personal information to train ADMT or AI that is capable of being used for a significant decision, to establish individual identity, for physical or biological identification or profiling, for the generation of a deepfake, or for the operation of generative models, as a significant risk to consumers’ privacy requiring a risk assessment. Illustrative examples of when a business must conduct a risk assessment are also included.   第10条は、リスクアセスメントの要件を含む新たな条文となる。事業者がリスクアセスメントを実施しなければならない場合とは、消費者の個人情報の処理が消費者のプライバシーに重大なリスクをもたらす場合である。ただし、報酬支払いの管理、雇用認可の決定と保管、雇用手当の管理、または法律で義務付けられている賃金報告のためにのみ特別に機微な個人情報を処理する場合は例外である。リスクアセスメントは、事業者がADMTを消費者に関する重要な決定のために使用する場合、または広範なプロファイリングのために使用する場合にも必要となる。この目的のために、「重要な決定」とは、金融もしくは貸付サービス、住宅、保険、教育登録もしくは機会、刑事司法、雇用もしくは独立請負の機会もしくは報酬、医療サービス、または必要不可欠な商品もしくはサービスへのアクセス、もしくはその提供もしくは拒否につながる決定を意味する。本規則案は、「教育への登録や機会」には、学業や職業プログラムへの入学や受け入れ、教育資格、停学や退学が含まれ、「雇用や独立した請負の機会や報酬」には、雇用、仕事の割り当てや報酬、昇進、降格、停学、解雇が含まれることを明確にする。また、「重要な決定」には、中退共法の関連データレベルの例外の対象者ではない情報を使用した決定のみが含まれると説明する。本規則案は、「広範なプロファイリング」を定義し、仕事や教育の場、公共の場、行動広告のために消費者をプロファイリングすることを含むとする。本規則案は、さらに、重大な意思決定に使用される可能性のあるADMTまたはAIを訓練するため、個人の識別を確立するため、身体的または生物学的識別またはプロファイリングのため、ディープフェイクの生成のため、または生成的モデルの運用のための個人情報の処理を、リスクアセスメントを必要とする消費者のプライバシーに対する重大なリスクとして特定する。事業者がリスクアセスメントを実施しなければならない場合の例示も含まれている。 
The proposed regulations would add section 7151, which requires businesses to ensure that relevant individuals at the business prepare, contribute to, or review the risk assessment, based upon their involvement in the processing activity. “Relevant” individuals are those whose job duties pertain to the processing activity, and examples of these types of individuals are included. The proposed regulations would require relevant individuals to make good-faith efforts to disclose all facts necessary to conduct the risk assessment and not misrepresent any facts. The proposed regulations would clarify that a risk assessment may involve external parties to identify, assess, and mitigate privacy risks, and include examples of the types of external parties that may be involved in the risk-assessment process.   本規則案は、第7151条が追加され、事業者は、処理活動への関与に基づき、事業者の関連する個人がリスクアセスメントを準備し、貢献し、またはレビューすることを保証することが求められる。「関連する」個人とは、処理活動に関連する職務を持つ個人であり、これらのタイプの個人の例が含まれている。本規則案は、関連する個人に対し、リスクアセスメントを実施するために必要なすべての事実を開示し、いかなる事実についても虚偽の説明をしないよう誠実に努力することを求めている。本規則案は、リスクアセスメントがプライバシーリスクを特定し、アセスメントし、軽減するために外部の関係者を関与させることができることを明確にし、リスクアセスメントプロセスに関与することができる外部の関係者の種類の例を含む。 
The proposed regulations would add section 7152, which contains the requirements for the risk assessment and clarifies that the purpose of a risk assessment is to determine whether the risks to consumers’ privacy outweigh the benefits for a given processing activity. It also explains how a business must conduct a risk assessment. Businesses would be required to identify why they will be processing consumers’ personal information and would be prohibited from identifying this purpose in generic terms. The proposed regulations would also require businesses to identify the categories of personal information to be processed, whether they include sensitive personal information, and the minimum personal information necessary to achieve the purpose of the processing. The proposed regulations would also require a business to identify its actions to maintain data quality for certain uses of ADMT or AI, and the proposed regulations would provide a definition of “quality of personal information,” which includes completeness, representativeness, timeliness, validity, accuracy, consistency, and reliability of sources. Examples are included of the types of actions a business may take, such as identifying the source of the personal information and whether that source is reliable; identifying how the personal information is relevant to the task being automated and how it is expected to be useful for the development, testing, and operation of the ADMT or AI; identifying whether the personal information contains sufficient breadth to address the range of real-world inputs the ADMT or AI may encounter; and identifying how errors from data entry, machine processing, or other sources are measured and limited. The proposed regulations would also require a business to identify the operational elements of the processing activity: the planned method of processing and the sources of personal information; the length of, and criteria for, retention; the relationship between the consumer and the business; the approximate number of consumers whose personal information the business seeks to process; relevant disclosures made to the consumer, how they were made, and relevant actions to make the disclosures specific, explicit, prominent, and clear to the consumer; names or categories of relevant entities in the processing activity, the purpose for disclosing personal information to them, and actions taken to make the consumer aware of these entities’ involvement; and the technology to be used, including the logic of the relevant ADMT, its output, and how the business will use that output.  本規則案は、リスクアセスメントの要件を含むセクション7152を追加し、リスクアセスメントの目的は、消費者のプライバシーに対するリスクが、所定の処理活動における便益を上回るかどうかを判断することであることを明確にする。また、事業者がどのようにリスクアセスメントを実施しなければならないかについても説明している。事業者は、消費者の個人情報を処理する理由を特定する必要があり、この目的を一般的な用語で特定することは禁止される。また、この規則案では、事業者に対して、処理される個人情報のカテゴリーを特定すること、そのカテゴリーに機微(センシティブ)個人情報を含むかどうか、処理の目的を達成するために必要な最小限の個人情報を特定することを求めている。また、本規則案は、ADMTまたはAIの特定の利用について、データ品質を維持するための措置を特定することを事業者に求めている。本規則案は、「個人情報の品質」の定義を定めており、これには、完全性、代表者性、適時性、妥当性確認、正確性、一貫性、情報源の信頼性が含まれる。例えば、個人情報の出所とその出所が信頼できるかどうかを特定すること、個人情報が自動化されるタスクにどのように関連し、ADMTまたはAIの開発、試験、運用にどのように役立つことが期待されるかを特定すること、ADMTまたはAIが遭遇する可能性のある実世界の入力の範囲に対処するのに十分な幅を個人情報が含むかどうかを特定すること、データの入力、機械処理、またはその他の出所によるエラーをどのように測定し、制限するかを特定することなどが含まれる。また、本規則案は、事業者に対し、処理活動の運用要素を特定することを求めている: 計画された処理方法および個人情報の情報源、保存期間および保存の規準、消費者と事業者の関係、事業者が個人情報を処理しようとしている消費者のおおよその数、消費者に行われた関連する開示、それがどのように行われたか、および消費者に開示を具体的、明示的、顕著かつ明確にするための関連する措置; 処理活動に関連する事業体の名前またはカテゴリー、それらの事業体に個人情報を開示する目的、およびこれらの事業体の関与を消費者に認識させるために取られた措置、および関連するADMTのロジック、その出力、および事業者がその出力をどのように使用するかを含む、使用される技術。
The proposed regulations would require a business to specifically identify the benefits to the business, the consumer, other stakeholders, and the public from the processing of the personal information. It provides an example of what would not meet the specificity requirement. The proposed regulations would require a business that profits monetarily from the activity to identify this benefit and, when possible, estimate the expected profit, while clarifying that benefits cannot be stated in a generalized manner. The business would also be required to specifically identify the negative impacts to consumers’ privacy associated with the processing, including the sources and causes of these negative impacts and any criteria used to make these determinations. Different types of negative impacts to consumers’ privacy that the business may consider are included. The proposed regulations would require a business to identify the safeguards it plans to implement to address the negative impacts, and would include different safeguards that a business may consider.   本規則案は、事業者に対し、個人情報の処理から事業者、消費者、その他の利害関係者、および公衆にもたらされる利益を具体的に特定することを求めるものである。具体性の要件を満たさないものの例を示す。本規則案は、活動から金銭的利益を得る事業者に対し、この利益を特定し、可能であれば、予想される利益を見積もることを要求するものである。また、事業者は、その処理に関連する消費者のプライバシーへの悪影響を、これらの悪影響の発生源と原因、およびこれらの判断を下すために使用された規準も含めて、具体的に特定することが求められる。事業者が考慮しうる、消費者のプライバシーに対するさまざまな種類の悪影響が含まれる。本規則案は、事業者に対して、負の影響に対処するために実施する予定の保護措置を特定することを求めるものであり、事業者が検討しうるさまざまな保護措置が含まれる。 
The proposed regulations would require businesses to identify, for certain uses of ADMT, whether they evaluated the ADMT to ensure it works as intended and does not discriminate based upon protected classes. The proposed regulations would also require the business to identify the policies, procedures, and training the business has implemented or plans to implement to ensure the ADMT works as intended and does not discriminate. The proposed regulations would clarify that when a business has obtained the ADMT from another person, it must identify whether it reviewed that person’s evaluation of the ADMT, including any requirements or limitations relevant to the business’s proposed use, as well as any accuracy and nondiscrimination safeguards the business implemented or plans to implement. Examples are included.   本規則案は、事業者に対し、ADMTの特定の用途について、ADMTが意図されたとおりに機能し、保護される階層に基づいて識別的でないことを確認するために評価したかどうかを特定することを求める。また、本規則案は、事業者に対し、ADMTが意図したとおりに機能し、識別的でないことを保証するために、事業者が実施した、または実施する予定の方針、手順、および訓練を特定することを求める。本規則案は、事業者がADMTを他者から入手した場合、事業者の提案する使用に関連する要件または制限、ならびに事業者が実施したまたは実施する予定の正確性および無差別の保護措置を含む、当該他者のADMTの評価を確認したか否かを明らかにしなければならないことを明らかにする。例も含まれる。 
The proposed regulations would also require a business to identify whether it will initiate the processing activity that triggered the risk assessment. The proposed regulations would require businesses to identify who contributed to the risk assessment, when it was reviewed and approved and by whom, the individual who decides whether the business will initiate the processing activity; and if a business presents the risk assessment for review to its board of directors, governing body, or highest-ranking executive responsible for oversight of riskassessment compliance, then the business must include the date of that review.  本規則案は、事業者がリスクアセスメントのきっかけとなった処理活動を開始するかどうかを特定することも求めている。また、事業者がリスクアセスメントを取締役会、ガバナンス団体、またはリスクアセスメント遵守の監督に責任を負う最高位の役員にレビューのために提示する場合、事業者はそのレビューの日付を含めなければならない。
The proposed regulations would add section 7153, which requires businesses that make ADMT or AI available to other businesses to provide all necessary facts to those recipient-businesses to conduct their own risk assessments and provide a plain language explanation of any relevant requirements or limitations associated with the permitted uses of that technology. The proposed regulations would limit this requirement to ADMT or AI trained using personal information. The proposed regulations would add section 7154, which prohibits businesses from processing personal information for specified processing activities if the risks to consumers’ privacy outweigh the benefits to the consumer, the business, other stakeholders, and the public from the processing.   本規則案は、ADMT又はAIを他の事業者が利用できるようにする事業者に対し、それらの取得者が自らリスクアセスメントを実施するために必要なすべての事実を提供し、当該技術の許容される使用に関連する関連する要件又は制限について分かりやすい説明を提供することを求める第7153条を追加する。本規則案は、この要件を、個人情報を使用して訓練されたADMTまたはAIに限定する。本規則案は、第7154条を追加する。第7154条は、消費者のプライバシーに対するリスクが、消費者、事業者、他の利害関係者、および公衆にとっての処理による利益を上回る場合、事業者が特定の処理活動のために個人情報を処理することを禁止する。 
The proposed regulations would add section 7155, which addresses the timing requirements for risk assessments. The proposed regulations would require businesses to conduct and document their risk assessments before initiating any of the activities triggering a risk assessment, and would require them to review their risk assessments at least once every three years for accuracy and update them as needed. The proposed regulations would also require businesses to immediately update their risk assessments whenever there is a material change to the processing activity. The proposed regulations clarify that a change is material when it diminishes the benefits of the activity, creates new negative impacts or increases their likelihood or magnitude, or diminishes the effectiveness of safeguards. The proposed regulations include examples. The proposed regulations require businesses to retain their risk assessments for as long as the activity continues, or for five years after completion of the risk assessment, whichever is later. Businesses would be required to conduct a risk assessment for any processing activity triggering a risk assessment that is ongoing after the effective date of these proposed regulations within 24 months of the effective date of these proposed regulations.  本規則案は、リスクアセスメントの時期的要件に対応するセクション7155を追加する。本規則案は、事業者に対し、リスクアセスメントのトリガーとなる活動を開始する前に、リスクアセスメントを実施し、文書化することを要求し、少なくとも3年に1回、リスクアセスメントの正確性を確認し、必要に応じて更新することを要求する。また、本規則案は、企業は、処理活動に重大な変更があった場合には、直ちにリスクアセスメントを更新することが求められる。本規則案は、その変更が、その活動の便益を減少させる場合、新たな負の影響を生じさせる場合、またはその可能性や大きさを増加させる場合、あるいは保護措置の有効性を低下させる場合に、重大な変更であると明言している。規則案には例が含まれている。本規則案は、事業者に対して、その活動が継続する限り、またはリスクアセスメント完了後5年間のいずれか遅い方の期間、リスクアセスメントを保持することを求めている。事業者は、本規則案の発効日以降も継続しているリスクアセスメントのきっかけとなる処理活動について、本規則案の発効日から24カ月以内にリスクアセスメントを実施することが求められる。
The proposed regulations would add section 7156, which explains that a business may conduct a single risk assessment for a comparable set of processing activities. It defines “comparable set of processing activities” as a set of similar processing activities that present similar risks to consumers’ privacy and provides an example. Businesses that conduct and document a risk assessment to comply with another law or regulation would not be required to conduct a duplicative risk assessment. If that risk assessment does not meet all of the risk-assessment requirements of Article 10, a business must supplement the risk assessment with any required information to meet all of the requirements of these proposed regulations.   本規則案は、第7156条が追加され、事業者は同等の一連の処理活動に対して単一のリスクアセスメントを実施することができると説明される。この規則では、「同等の一連の処理活動」を、消費者のプライバシーに同様のリスクをもたらす同様の処理活動として定義し、例を示している。他の法律や規制を遵守するためにリスクアセスメントを実施し、文書化している事業者は、重複したリスクアセスメントを実施する必要はない。そのリスクアセスメントが第10条のリスクアセスメント要件のすべてを満たさない場合、事業者は、本規則案の要件のすべてを満たすために、必要な情報でリスクアセスメントを補足しなければならない。 
The proposed regulations would add section 7157, which establishes when a business must submit risk-assessment materials to the Agency. The proposed regulations would require businesses to submit their first risk-assessment materials to the Agency within 24 months of the effective date of these proposed regulations and subsequently, every calendar year with no gap in the months covered by successive submissions. The proposed regulations would address which risk-assessment materials must be submitted to the Agency. This includes a written certification that the business has conducted its risk assessments as set forth in Article 10, a certification from the highest-ranking executive who is responsible for oversight of the business’s risk-assessment compliance, that specifies: (1) which months the business is certifying compliance for, and the number of risk assessments that were conducted and documented during that time; (2) an attestation that the designated executive has reviewed, understood, and approved the risk assessments; (3) an attestation that the business initiated any of the activities set forth in subsection 7150(b) only after conducting and documenting a risk assessment; and (4) the designated executive’s name, title, signature, and date of certification. The proposed regulations would require a business to submit an abridged form of its new or updated risk assessments to the Agency in the business’s annual submissions, which includes: (1) identification of which activity in triggered the risk assessment; (2) a plain language explanation of the purpose for processing consumers’ personal information; (3) the categories of personal information processed, and whether they include sensitive personal information; and (4) a plain language explanation of the safeguards that the business has implemented or plans to implement for that activity, unless providing the information would compromise security, fraud prevention, or safety. The proposed regulations would allow the business the option to include in its submission to the Agency a hyperlink to a public webpage that contains its unabridged risk assessment. The proposed regulations would not require businesses to submit a risk assessment if they do not initiate the processing activity subject to that risk assessment or to submit an updated abridged risk assessment if there is no change to a previously submitted abridged risk assessment. The proposed regulations would require businesses to submit risk-assessment materials through the Agency’s website at https://cppa.ca.gov/ and to provide their unabridged risk assessments within 10 business days of a request from the Agency or the Attorney General.   本規則案は、事業者がいつリスクアセスメント資料をアセスメント庁に提出しなければならないかを定める第7157条を追加する。本規則案は、事業者に対して、本規則案の発効日から24ヶ月以内に最初のリスクアセスメント資料を提出し、その後、暦年ごとに、連続提出の対象となる月に空白期間を設けずに提出することを義務付ける。本規則案は、どのリスクアセスメント資料を当庁に提出しなければならないかが規定されている。これには、事業者が第10条に定めるリスクアセスメントを実施したことを証明する書面、事業者のリスクアセスメント遵守の監督責任を負う最高位の幹部による証明書、および以下を明記した証明書が含まれる: (1)事業者がどの月について遵守を証明するのか、及び、その間に実施され、文書化されたリスクアセスメントの数、(2)指名された役員がリスクアセスメントをレビューし、理解し、承認したというアセスメント、(3)事業者が第7150条(b)項に定める活動のいずれかを、リスクアセスメントを実施し、文書化した後にのみ開始したというアセスメント、(4)指名された役員の氏名、役職、署名、及び、証明書の日付。本規則案は、事業者は、事業者の年次提出書類において、以下を含む新規または更新されたリスクアセスメントの簡略化された書式を本省に提出することが求められる: (1)リスクアセスメントの引き金となった活動の特定、(2)消費者の個人情報を処理する目的の平易な説明、(3)処理される個人情報のカテゴリー、およびそれらに機微な個人情報が含まれるかどうか、(4)情報を提供することでセキュリティ、詐欺防止、または安全性が損なわれない限り、事業者がその活動に対して実施した、または実施する予定の保護措置の平易な説明。本規則案は、事業者がアセスメントに提出する書類に、簡略化されていないリスクアセスメントを含む公開ウェブページへのハイパーリンクを含める選択肢を認めている。本規則案は、事業者がリスクアセスメントの対象となる処理活動を開始しない場合はリスクアセスメントを提出する必要はなく、また、以前に提出された要約リスクアセスメントに変更がない場合は、更新された要約リスクアセスメントを提出する必要はない。本規則案は、事業者に対して、同庁のウェブサイト(https://cppa.ca.gov/)を通じてリスクアセスメント資料を提出し、同庁または司法長官からの要請から10営業日以内に要約されていないリスクアセスメントを提供することを求めるものである。 
Article 11.  Automated Decisionmaking Technology.   第11条 自動意思決定技術
Article 11 would be a new article containing the requirements for businesses’ use of automated decisionmaking technology. The proposed regulations would add section 7200, which requires businesses to comply with the requirements for ADMT when they use it for: (1) a significant decision concerning a consumer; (2) extensive profiling of a consumer; or (3) training uses of ADMT. For this purpose, “significant decision” would mean a decision that results in access to, or the provision or denial of financial or lending services; housing; insurance; education enrollment or opportunity; criminal justice; employment or independent contracting opportunities or compensation; healthcare services; or essential goods or services. The proposed regulations would clarify that “education enrollment or opportunity” includes admission or acceptance into academic or vocational programs, educational credentials, and suspension and expulsion; and that “employment or independent contracting opportunities or compensation” includes hiring, allocation/assignment of work and compensation, promotion; and demotion, suspension, and termination. The proposed regulations would also explain that “significant decisions” include only decisions using information that is not subject to relevant data-level exceptions in the CCPA. The proposed regulations would define “extensive profiling” to include profiling consumers in work and educational contexts, in public, or for behavioral advertising. The proposed regulations would further identify training uses of ADMT as processing of personal information to train ADMT or AI that is capable of being used for a significant decision, to establish individual identity, for physical or biological identification or profiling, or for the generation of a deepfake.   第11条は、企業による自動意思決定技術の使用に関する要件を含む新たな条文となる。本規則案は、第7200条が追加され、事業者がADMTを使用する場合、ADMTの要件に従うことが要求される: (1) 消費者に関する重要な意思決定、(2) 消費者の広範なプロファイリング、(3) ADMTの訓練利用。この目的のため、「重要な決定」とは、金融もしくは貸付サービス、住宅、保険、教育登録もしくは機会、刑事司法、雇用もしくは独立請負の機会もしくは報酬、医療サービス、または必要不可欠な商品もしくはサービスへのアクセス、またはその提供もしくは拒否につながる決定を意味する。本規則案は、「教育への登録や機会」には、学業や職業プログラムへの入学や受け入れ、教育資格、停学や退学が含まれ、「雇用や独立した請負の機会や報酬」には、雇用、仕事の割り当てや報酬、昇進、降格、停学、解雇が含まれることを明確にする。また、本規則案は、「重要な決定」には、中退共法の関連データレベルの例外の対象者ではない情報を使用した決定のみが含まれると説明されている。本規則案は、「広範なプロファイリング」を定義し、職場や教育現場、公衆の面前での消費者のプロファイリング、行動広告のためのプロファイリングを含むとする。規則案はさらに、ADMTの訓練利用を、重要な意思決定、個人の識別、身体的もしくは生物学的識別、プロファイリング、またはディープフェイクの生成に使用できるADMTまたはAIを訓練するための個人情報の処理として特定する。 
The proposed regulations would add section 7201, which requires a business that uses physical or biological identification or profiling for a significant decision concerning a consumer, or for extensive profiling of a consumer, to conduct an evaluation of the physical or biological identification or profiling to ensure that it works as intended for the business’s proposed use and does not discriminate based upon protected classes. If the business obtained the technology from another person, the business must review that person’s evaluation, including any relevant requirements or limitations, but the business is not required to conduct its own evaluation of the ADMT. The proposed regulations would also require a business to implement policies, procedures, and training to ensure that the physical or biological identification or profiling works as intended for the business’s proposed use and does not discriminate.   本規則案は、第7201条を追加する。この条は、消費者に関する重要な決定のために物理的もしくは生物学的識別またはプロファイリングを使用する事業者、または消費者の広範なプロファイリングのために物理的もしくは生物学的識別またはプロファイリングを使用する事業者に対し、それが事業者の提案する用途のために意図されたとおりに機能し、保護される階層に基づいて識別的でないことを確認するために、物理的もしくは生物学的識別またはプロファイリングの評価を実施することを義務付けるものである。事業者が当該技術を他者から入手した場合、事業者は、関連する要件または制限を含め、当該他者の評価をレビューしなければならないが、事業者がADMTの独自の評価を行う必要はない。本規則案はまた、物理的または生物学的な識別またはプロファイリングが、事業者の提案する用途のために意図されたとおりに機能し、識別的でないことを確保するための方針、手順、および訓練を実施することを事業者に要求する。 
The proposed regulations would add section 7220, which clarifies that a business using ADMT must provide a Pre-use Notice to consumers that informs consumers about the business’s use of ADMT and the consumers’ rights to opt-out of, and to access information about, the business’s use of ADMT. The proposed regulations would also require that the Pre-use Notice be easy-to-read and understandable to consumers, available in readable formats and necessary languages, reasonably accessible to consumers with disabilities, presented prominently and conspicuously before using ADMT, and presented in the manner in which the business primarily interacts with the consumer. The Pre-Use Notice must include: in plain non-generic language, the business’s purpose for using the ADMT; the specific uses for which the ADMT is capable of being used and the categories of personal information that the business plans to process for training uses; a description of consumer’s the right to opt-out of ADMT and how to submit their opt-out request, subject to any relevant exception to providing the opt-out right; if the business is relying upon the human appeal exception, how consumers may submit their appeal; a description of the consumer’s right to access ADMT and how to submit their access request; that the business cannot retaliate against consumers for exercising their CCPA rights; and a plain language explanation of how the ADMT works, including (1) the logic of the ADMT and key parameters that affect its output and (2) the intended output of the ADMT and how the business plans to use it, as well as the role of any human involvement. It also provides illustrative examples. The proposed regulations would clarify that a business relying upon the security, fraud prevention, and safety exception is not required to include information that would compromise the business’s ability to protect itself and consumers from: (1) security incidents that compromise personal information; (2) malicious, deceptive, fraudulent, or illegal actions; and (3) threats to consumers’ physical safety. The proposed regulations would also clarify that certain components of the Pre-use Notice requirements do not apply to a business’s use of ADMT solely for training uses. The proposed regulations further clarify that a business may consolidate its Pre-use Notices in different ways, provided that the consolidated notices include the information required by Article 11 for each of the business’s proposed uses.   本規則案は、第7220条を追加し、ADMTを使用する事業者は、事業者によるADMTの使用、および事業者によるADMTの使用をオプトアウトする権利、および事業者によるADMTの使用に関する情報にアクセスする権利を消費者に通知する使用前通知を消費者に提供しなければならないことを明確にする。本規則案はまた、使用前通知が、消費者にとって読みやすく理解しやすいものであること、読みやすい形式および必要な言語で入手可能であること、障害のある消費者が合理的にアクセス可能であること、ADMTを使用する前に目立つように提示されること、事業者が主に消費者と接する方法で提示されることを求める。使用前通知には、以下が含まれなければならない: ADMTを利用する事業者の目的、ADMTを利用することができる特定の利用目的、および事業者が訓練目的のために処理することを計画している個人情報のカテゴリー、オプトアウトの権利を提供するための関連する例外に従うことを条件として、消費者のADMTオプトアウトの権利およびオプトアウト要求の提出方法の説明、事業者が人的不服申立の例外に依拠する場合、消費者が不服申立を提出する方法; ADMTにアクセスする消費者の権利とアクセス要求の提出方法の説明、事業者が中高生協の権利を行使した消費者に報復できないこと、(1)ADMTのロジックとその出力に影響を与える主要なパラメータ、(2)ADMTの意図する出力とそれを事業者がどのように使用する予定か、また、人的関与の役割を含む、ADMTがどのように機能するかの平易な説明。また、例示的な例も示している。本規則案は、セキュリティ、詐欺防止、安全性の例外に依拠する事業者が、事業者自身および消費者を保護する能力を損なうような情報((1)個人情報を危険にさらすセキュリティインシデント、(2)悪意ある、欺瞞的な、詐欺的な、または違法な行為、(3)消費者の物理的安全に対する脅威)を含める必要はないことを明確にする。また、本規則案は、事前通知要件の一部の構成要素は、事業者によるADMTの訓練用途のみの使用には適用されないことを明確化する。さらに、本規則案は、事業者が使用前通知を様々な方法で統合することができるが、統合された通 知には、事業者が提案する用途ごとに第11条が要求する情報が含まれることを条件とすることを明確化する。 
The proposed regulations would add section 7221, which explains that a business must provide consumers with the ability to opt-out of the business’s use of ADMT if the ADMT is used for a significant decision, extensive profiling, or training uses of ADMT. The proposed regulations would identify exceptions to the consumer’s right to opt-out of ADMT, including when it is used solely for security, fraud prevention, and safety; or in situations where consumers are provided with the ability to appeal a significant decision to a qualified human reviewer who has the authority to overturn that decision. To qualify for the latter exception, the proposed regulations would require that a human reviewer consider relevant information provided by a consumer; and that the business provide a method of appeal that is easy to execute, require minimal steps, and comply with section 7004; and that the business respond to requests to appeal within specified timelines. The proposed regulations would also provide that a business does not need to provide an opt-out of ADMT when it uses ADMT for admission, acceptance, or hiring decisions; for allocation or assignment of work and compensation decisions; or for work or educational profiling, provided that the business’s use of the ADMT is necessary for these respective purposes, that the business has evaluated its use of ADMT to ensure it works as intended for the business’s proposed use and does not discriminate, and that the business has implemented accuracy and nondiscrimination safeguards. The proposed regulations would also clarify that these exceptions do not apply to profiling for behavioral advertising or to training uses of ADMT.   本規則案は、第7221条を追加し、ADMTが重要な意思決定、広範なプロファイリング、またはADMTの訓練用途に使用される場合、事業者は、事業者によるADMTの使用をオプトアウトする能力を消費者に提供しなければならないと説明する。本規則案は、ADMTがセキュリティ、不正防止、安全のためだけに使用される場合、または重要な決定がなされた場合に、その決定を覆す権限を有する適格な人間によるレビューに不服を申し立てる能力が消費者に提供される場合など、消費者のオプトアウトの権利の例外を特定する。後者の例外に該当するためには、本規則案は、人間による審査者が消費者から提供された関連情報を考慮すること、事業者が実行が容易で、最小限のステップで済み、7004条に準拠した不服申し立て方法を提供すること、事業者が不服申し立ての要請に対して指定された期限内に対応することが求められる。また、本規則案は、事業者がADMTを、入学、受入、または雇用の決定、仕事の配分または割り当て、および報酬の決定、または仕事または教育のプロファイリングのために使用する場合、事業者がADMTを使用することがこれらのそれぞれの目的のために必要であること、事業者がADMTの使用を評価し、それが事業者の提案する用途のために意図されたとおりに機能し、差別的でないことを確認すること、および事業者が正確性および識別的でない保護措置を実施していることを条件として、事業者がADMTのオプトアウトを提供する必要はないことを規定する。また、本規則案は、これらの例外は、行動広告のためのプロファイリングやADMTのトレーニング利用には適用されないことを明確化する。 
The proposed regulations require that businesses provide two or more methods for submitting opt-out of ADMT requests, with at least one method reflecting the manner in which the business primarily interacts with the consumer. The proposed regulations also require businesses to provide an opt-out link titled “Opt-out of Automated Decisionmaking Technology” in the Pre-use Notice if the business interacts with consumers online. Illustrative examples are provided of other acceptable opt-out methods. The proposed regulations clarify that a cookie banner or similar notification about cookies does not necessarily comply with the requirements for website methods of submission; to comply, it must notify the consumer about the right to opt-out of ADMT in specific terms. The proposed regulations would clarify that methods for submitting requests to opt-out of ADMT must be easy to execute, require minimal steps, and comply with section 7004; may not require a consumer to create an account or provide additional information beyond what is necessary to direct the business to opt-out the consumer; and prohibits requiring a verifiable consumer request but permits a business to ask for information necessary to complete the request. The proposed regulations would allow a business to deny a request that it has a good-faith, reasonable, and documented belief is fraudulent, if it informs the requestor that it will not comply with the request and provides an explanation of why it believes the request is fraudulent. Consumers would be entitled to a means to confirm that their opt-out of ADMT request has been processed. The proposed regulations would permit a business to provide consumers with the choice of allowing specific uses of ADMT, so long as the business also offers a single option to opt-out of all ADMT subject to the proposed regulations. The proposed regulations would permit a consumer to submit requests using an authorized agent if the consumer provides signed permission to the agent. They would also allow a business to deny an authorized agent’s request if the agent does not provide the signed permission to the business. Businesses would be required to wait at least 12 months before asking consumers that opted out of ADMT to consent to their use of that ADMT and prohibited from retaliating against consumers who exercised their right to opt-out of ADMT.   本規則案は、事業者がADMTのオプトアウト要請を提出するための2つ以上の方法を提供することを求めており、少なくとも1つの方法は、事業者が主に消費者とやりとりする方法を反映したものとなっている。また、本規則案では、事業者がオンラインで消費者とやりとりする場合、使用前通知に「Opt-out of Automated Decisionmaking Technology(自動意思決定技術のオプトアウト)」と題するオプトアウト・リンクを提供することを求めている。その他の許容可能なオプトアウト方法の例示が提供されている。本規則案は、クッキーのバナーまたはクッキーに関する類似の通知は、必ずしもウェブサイトの提出方法に関する要件に準拠するものではなく、準拠するためには、ADMTのオプトアウトの権利について具体的な言葉で消費者に通知しなければならないことを明確にしている。本規則案は、ADMTのオプトアウト要求の提出方法は、実行が容易で、最小限のステップしか必要とせず、第7004条に準拠していなければならないこと、消費者にアカウントを作成させたり、事業者に消費者のオプトアウトを指示するために必要な以上の追加情報を提供させたりすることを要求してはならないこと、消費者の要求を確認することを要求することは禁止するが、事業者が要求を完了するために必要な情報を求めることは許可することを明確にするものである。本規則案は、事業者が、善意で、合理的で、文書化された不正と思われる要求を拒否することを認めるもので、要求者に要求に応じないことを通知し、要求が不正であると考える理由の説明を提供する場合である。消費者は、ADMTオプトアウト要求が処理されたことを確認する手段を得る権利を有する。本規則案は、事業者が、本規則案の対象となるすべてのADMTをオプトアウトする単一の選択肢も提供する限り、ADMTの特定の利用を許可する選択肢を消費者に提供することを認めるものである。本規制案は、消費者が代理人に署名入りの許可を提供する場合、消費者が認可代理人を使って要求を提出することを認めるものである。また、代理人が署名入りの許可を事業者に提供しない場合、事業者が正規代理人の要請を拒否することを認める。事業者は、ADMTをオプトアウトした消費者に対し、そのADMTの使用に同意するよう求める前に、少なくとも12ヶ月待つことが求められ、ADMTをオプトアウトする権利を行使した消費者に対する報復が禁止される。
The proposed regulations would require that when a consumer has opted out of ADMT before the business initiated the processing, the business must not initiate processing of the consumer’s personal information using that ADMT. If a consumer submitted an opt-out of ADMT request after the business initiated the processing, the business would be required to cease processing the consumer’s personal information using that ADMT as soon as possible, and no later than 15 business days after receiving the request. The proposed regulations would also prohibit the business from using or retaining any personal information previously processed by that ADMT and would require the business to notify all other persons to whom it disclosed information using that ADMT that the consumer has opted out and instruct them to comply with the opt-out within the same time frame.   本規則案は、事業者が処理を開始する前に消費者がADMTをオプトアウトした場合、事業者は当該ADMTを用いて消費者の個人情報の処理を開始してはならない。事業者が処理を開始した後に、消費者がADMTのオプトアウト要請を提出した場合、事業者は、その要請を受けてから可能な限り速やかに、遅くとも15営業日以内に、当該ADMTを用いた消費者の個人情報の処理を中止することが求められる。また、本規則案は、事業者が当該ADMTにより過去に処理された個人情報を使用または保持することを禁止し、事業者が当該ADMTを使用して情報を開示した他のすべての者に対して、消費者がオプトアウトしたことを通知し、同じ期間内にオプトアウトに従うよう指示することを義務付ける。 
The proposed regulations would add section 7222, which requires businesses to provide consumers with the ability to access information about the business’s use of ADMT for significant decisions and extensive profiling, but does not require businesses using ADMT solely for training to provide a response to a consumer’s request to access ADMT. The proposed regulations would clarify that businesses must provide a plain language explanation of the specific purpose for which the business used ADMT with respect to the consumer, and that this explanation must not describe the purpose in general terms. In addition, the business must provide a plain language explanation of the output of the ADMT with respect to the consumer. If the business has multiple outputs with respect to the consumer, the business would have the option to provide a simple and easy-to-use method for consumers to access those outputs. The proposed regulations would require a business to provide a plain language explanation of how the business used the output with respect to the consumer. For significant decisions, the proposed regulations would require the business to include the role the output played in the business’s significant decision and the role of any human involvement, and how the business plans to use the output to make a decision. The proposed regulations would require that a business using ADMT for extensive profiling explain the role the output played in the evaluation that the business made with respect to the consumer; and if the business plans to use the output to evaluate the consumer, how the business plans to use the output to evaluate the consumer.   本規則案は、7222条を追加する。この条は、事業者が重要な意思決定や広範なプロファイリングのためにADMTを使用していることに関する情報にアクセスする能力を消費者に提供することを事業者に義務付けるものであるが、トレーニングのためだけにADMTを使用している事業者に対しては、消費者からのADMTへのアクセス要求に対する回答を提供することを義務付けるものではない。本規則案は、事業者が消費者に関してADMTを使用した具体的な目的について平易な言葉で説明しなければならず、この説明は一般的な用語で目的を記述してはならないことを明確にするものである。さらに、事業者は、消費者に関するADMTのアウトプットについて、平易な言葉で説明しなければならない。事業者が消費者に関して複数のアウトプットを有する場合、事業者は、消費者がそれらのアウトプットにアクセスするためのシンプルで使いやすい方法を提供する選択肢を有する。本規則案は、事業者が消費者に関してどのようにアウトプットを使用したかについて、平易な言葉で説明することを義務付ける。重要な意思決定については、本規則案は、事業者に対して、事業者の重要な意思決定においてアウトプットが果たした役割と、人的関与の役割、および事業者が意思決定を行うためにアウトプットをどのように使用する予定であるかを含めることを要求する。本規則案は、広範なプロファイリングのためにADMTを使用する事業者に対して、事業者が消費者に関して行った評価において出力が果たした役割、及び事業者が消費者を評価するために出力を使用する予定である場合には、事業者が消費者を評価するために出力をどのように使用する予定であるかを説明することを求める。 
The proposed regulations would require the business to provide a plain language explanation of how the ADMT worked with respect to the consumer, including how the logic, including its assumptions and limitations, was applied to the consumer, and the key parameters that affected the ADMT and how they were applied to the consumer. Businesses would also be allowed to provide the range of possible outputs or aggregate output statistics, and an example of how to do so is provided. A business relying upon the security, fraud prevention, and safety exception is not required to provide information that would compromise its use of ADMT for security, fraud prevention, or safety purposes. The proposed regulations would also require that a business provide a plain language explanation to consumers that the business is prohibited from retaliating against consumers for exercising their CCPA rights, instructions for how the consumer can exercise their other CCPA rights, and any links to online request forms or portals for making such requests. The proposed regulations would also specify that the business cannot link the consumer to another section of the policy or to a place that requires the consumer to scroll through other information. The proposed regulations would require that methods to submit request to access ADMT are easy to use and do not use dark patterns. Businesses would be allowed to use existing methods to submit requests to know, delete, or correct for requests to access ADMT.   本規則案は、事業者に対し、ADMTが消費者に関してどのように機能したかについて、その前提及び制限を含むロジックがどのように消費者に適用されたか、ADMTに影響を与える主要なパラメータ及びそれらがどのように消費者に適用されたかを含む、平易な説明を提供することを求める。また、事業者は、可能なアウトプットの範囲またはアウトプットの集計統計を提供することが認められ、その方法の例が提供される。セキュリティ、不正防止、および安全の例外に依拠する事業者は、セキュリティ、不正防止、または安全目的のための ADMT の使用を危うくするような情報を提供する必要はない。また、本規則案は、事業者は消費者に対して、事業者が中退共の権利を行使した消費者に対する報復を禁じられていること、消費者がその他の中退共の権利を行使する方法の説明、およびそのような要請を行うためのオンライン要請フォームまたはポータルサイトへのリンクを、平易な言葉で提供することが求められる。また、本規則案は、事業者が消費者を本方針の別のセクションにリンクさせたり、消費者が他の情報をスクロールする必要がある場所にリンクさせたりすることはできないと規定する。本規則案は、ADMTへのアクセス要求を提出する方法が使いやすく、ダークパターンを使用しないことを要求する。事業者は、ADMTへのアクセス要求の照会、削除、訂正の要求を提出するために、既存の方法を使用することが認められる。 
The proposed regulations would require verification of the identity of the person making the request to access ADMT, and if a business cannot verify their identity, the business must inform the requestor that it cannot verify their identity. If a business denies a verified access request because of a conflict with other laws or an exception to the CCPA, the business would be required to inform the requestor and explain the basis of the denial, unless prohibited from doing so by law. If the request is denied only in part, the business would be required to disclose the other information sought by the consumer. The proposed regulations would require that businesses use reasonable security when transmitting the requested information to the consumer. Business would be allowed to maintain password-protected accounts with consumers to comply with a request to access ADMT by utilizing a secure self-service portal for consumers to access, view, and receive a portable copy of the requested information. The proposed regulations would require that the portal fully disclose the requested information that the consumer is entitled to receive about the business’s use of ADMT with respect to them under the CCPA and these proposed regulations, utilize reasonable data security controls, and comply with the verification requirements.   本規則案は、ADMTへのアクセス要求を行う者の本人確認が必要とされ、事業者が本人確認を行うことができない場合、事業者は要求者に本人確認ができない旨を通知しなければならない。事業者が、他の法律または中傷禁止法の例外に抵触することを理由に、確認済みのアクセス要 求を拒否する場合、事業者は、法律で禁止されていない限り、要求者に通知し、拒否の根拠を説 明することが求められる。要求の一部のみが拒否された場合、事業者は消費者が求めるその他の情報を開示することが要求される。本規則案は、事業者が要求された情報を消費者に送信する際に、合理的なセキュリティを使用することを要求する。事業者は、消費者が要求された情報にアクセスし、閲覧し、携帯可能なコピーを受け取るための安全なセルフサービス・ポータルを利用することにより、ADMTへのアクセス要求に応じるために、消費者とのパスワードで保護されたアカウントを保持することが認められる。本規則案は、ポータルサイトが、中環法および本規則案に基づき、消費者が、当該事業者による当該消費者に関するADMTの利用について受領する権利を有する要求情報を完全に開示し、合理的なデータセキュリティ管理を利用し、検証要件を遵守することを要求する。 
The proposed regulations would require that service providers or contractors provide assistance to businesses in responding to verifiable consumer requests to access ADMT, including by providing personal information in their possession or enabling the business to access that information. The proposed regulations would clarify that businesses that use ADMT more than four times within a 12-month period with respect to a consumer may provide aggregate-level responses to a consumer’s request to access ADMT and explain how information required in response to a request to access ADMT can be aggregated. The proposed regulations prohibit businesses from retaliating against a consumer for exercising their right to access ADMT.   本規則案は、サービスプロバイダーまたは請負業者に対し、事業者が保有する個人情報を提供すること、または事業者が当該情報にアクセスできるようにすることを含め、検証可能な消費者からのADMTへのアクセス要求に対応するための支援を提供することを求める。本規則案は、ADMTを消費者に関して12カ月以内に4回以上利用する事業者は、消費者のADMTへのアクセス要求に対して集計レベルの回答を提供することができることを明確にし、ADMTへのアクセス要求への回答に必要な情報がどのように集計され得るかを説明する。本規則案は、事業者が、ADMTにアクセスする権利を行使した消費者に対して報復することを禁止する。 
The proposed regulations would require a business that uses ADMT to make an adverse significant decision concerning a consumer to provide the consumer with notice of their right to access ADMT as soon as feasibly possible and no later than 15 business days from the date of the adverse significant decision. An adverse significant decision would be a significant decision that resulted in a consumer being denied an educational credential; having their compensation decreased; being suspended, demoted, terminated, or expelled; or that resulted in a consumer being denied financial or lending services, housing, insurance, criminal justice, healthcare services, or essential goods or services. The proposed regulations provide that a business must include in that notice: that the business used ADMT to make a significant decision with respect to the consumer; that the business is prohibited from retaliating against consumers for exercising their CCPA rights; that the consumer has a right to access ADMT and how the consumer can exercise their access right; and, if applicable, that the consumer can appeal the decision and how they can submit their appeal and any supporting documentation. The proposed regulations would allow businesses to provide this notice to consumers with their notification of the adverse significant decision and provide an example. The proposed regulations would clarify that a business may provide this additional notice contemporaneously, to address instances where the business does not want to consolidate notices.   本規則案は、ADMTを使用して消費者に関する不利な重要な決定を行う事業者に対して、実行可能な限り速やかに、遅くとも不利な重要な決定の日から15営業日以内に、ADMTにアクセスする権利を消費者に通知することを義務付ける。不利な重大決定とは、消費者が教育資格を拒否される、報酬を減額される、停職、降格、解雇、退学処分を受ける、あるいは金融・融資サービス、住宅、保険、刑事司法、医療サービス、または必要不可欠な商品・サービスを拒否されるような重大決定である。本規則案は、事業者はその通知に、事業者がADMTを用いて消費者に関する重要な決定を行ったこと、事業者が中退共の権利を行使した消費者に対する報復を禁じられていること、消費者がADMTにアクセスする権利を有すること、および消費者がアクセス権を行使する方法、および該当する場合には、消費者が決定に不服があること、および不服の申し立て方法および証拠書類を提出する方法を含めなければならないと規定している。本規則案は、事業者が、重大な不利益決定の通知とともにこの通知を消費者に提供することを認めるものであり、その例を示している。本規則案は、事業者が通知を一本化したくない場合に対応するため、事業者がこの追加通知を同時に提供できることを明確化する。 
Article 12.  Insurance Companies.   第12条 保険会社
Article 12 would be a new article that contains requirements for insurance companies.   第12条は、保険会社に対する要求事項を含む新しい条文となる。 
The proposed regulations would add section 7270, which defines the term “insurance company,” pursuant to the California Insurance Code.  本規則案は、カリフォルニア州保険法に基づき、「保険会社」という用語を定義する第7270条を追加する。
The proposed regulations would add section 7271 to clarify that insurance companies meeting the definition of “businesses” under the CCPA shall comply with the CCPA regarding any personal information collected, used, processed, or retained that is not subject to the California Insurance Code. The proposed regulations would acknowledge that the CCPA and Insurance Code may overlap in their jurisdiction and delineate the boundary between the two legal frameworks. By clarifying the circumstances under which the CCPA applies, the proposed regulations would allow insurance companies to evaluate how the CCPA would apply in situations where the Insurance Code does not apply. Illustrative examples are included.  本規則案は、7271条を追加し、カリフォルニア州保険法の適用を受けない個人情報の収集、利用、処理、保持について、保険会社が中共法の「事業者」の定義を満たすことを明確にするものである。本規則案は、CCPAと保険法がその管轄において重複する可能性があることを認め、2つの法的枠組みの境界を明確にするものである。CCPAが適用される状況を明確にすることにより、保険会社は保険法が適用されない状況においてCCPAがどのように適用されるかを評価することができるようになる。例示が含まれている。
Article 13.  Investigations and Enforcement.   第13条 調査と執行  
The proposed regulations would amend section 7300 by revising subsection (a) to replace “may” with “must” to clarify how consumers are to submit sworn complaints to the Agency.   本規則案は、第7300条を改正し、第(a)項を 「may 」から 「must 」に置き換え、消費者がどのように宣誓した苦情を保険会社に提出するかを明確にする。 
The proposed regulations would amend 7302 to clarify that the Agency will provide the alleged violator with notice of the probable cause proceeding, and that a probable cause proceeding can be conducted in whole or in part by telephone or videoconference unless the alleged violator requests an in-person or public proceeding. An alleged violator would be able to request that the proceeding be in-person while also being closed to the public. Also, the proposed regulations clarify the proceedings may be held in whole or in part by telephone or videoconference. The proposed regulations would replace “participate or appear at” with “attend” and delete subsection (e).   本規則案は、7302 項を修正し、正当な理由による手続の通知を違反被疑者に提供すること、および正当な理由による手続は、違反被疑者 が対面または公開の手続を要求しない限り、全部または一部を電話またはビデオ会議で実施できることを明確にする。違反被疑者は、手続を非公開としながらも、対面で行うことを要求することができる。また、本規則案は、手続の全部または一部を電話またはビデオ会議で行うことができることを明確にしている。本規則案は、「参加または出頭」を「出席」に置き換え、第(e)項を削除する。 

 

 

改正案に対する利点、経済的影響等...

Anticipated Benefits of the Proposed Regulations:  本規則案の期待される利点 
The proposed regulations provide a number of significant benefits to Californians, including both monetary and nonmonetary benefits.   本規則案は、金銭的および非金銭的利益を含め、カリフォルニア州民に多くの重要な利益をプロバイダする。 
The Agency’s economic analysis revealed an anticipated decrease in monetary losses from the proposed regulations. Specifically, the Agency anticipates a reduction in cybercrimes— conservatively estimated to be approximately $1.5 billion in the first year of the proposed regulations’ implementation and $66.3 billion in 2036. However, the primary benefits of the proposed regulations are not immediately calculable into dollars and cents, due to factors such as the abstract nature of privacy benefits, data and measurement limitations, variations in the privacy protections that businesses provide and in how they respond to regulations, and the fact that benefits can be long-term and take time to accrue to businesses, consumers, and society.   当庁の経済分析により、本規則案による金銭的損失の減少が予想されることが明らかになった。具体的には、サイバー犯罪の減少を見込んでおり、控えめに見積もっても、規則案の実施初年度に約15億ドル、2036年には663億ドルになるという。しかし、プライバシーの利益という抽象的な性質、データ・計測の限界、企業が提供するプライバシー防御や規制への対応のばらつき、利益が長期的で企業、消費者、社会にもたらされるのに時間がかかることなどの要因により、本規則案の主な利益はすぐにドルやセントに換算することはできない。 
Despite the inability to translate the primary benefits of the proposed regulations into a monetary figure, they have widespread and profound societal benefits that further the purposes of the CCPA and honor the long history of privacy rights and business innovation in California. These important benefits include increased transparency and consumer control over personal information; reduced incidences of unauthorized actions related to personal information and harm to consumers; promotion of fairness and social equity; efficiencies, operational improvements, and competitive advantage for businesses; and the creation of new jobs and innovation.   本規則案の主要な利益を金銭的な数値に換算することはできないが、CCPAの目的を促進し、カリフォルニア州におけるプライバシーの権利とビジネス革新の長い歴史に敬意を表する、広範で深遠な社会的利益がある。これらの重要な利益には、個人情報に対する透明性の向上と消費者の管理、個人情報に関連する不正行為と消費者への被害の減少、公平性と社会的公正の促進、企業の効率性、業務改善、競争上の優位性、新たな雇用と技術革新の創出などが含まれる。 
Comparable Federal Regulations:  類似の連邦規制: 
There are no existing federal regulations or statutes comparable to these proposed regulations.  本規則案に該当する既存の連邦規制または法令はない。
Determination of Inconsistency/Incompatibility with Existing State Regulations:  既存の州規制との矛盾/非互換性の判断: 
As required by Government Code section 11346.5, subdivision (a)(3)(D), the Agency has conducted an evaluation of these proposed regulations and has determined that they are not inconsistent or incompatible with existing state regulations.  政府法第11346.5条(a)(3)(D)で義務付けられている通り、本ガバメントは本規則案の評価を実施し、既存の州規制との矛盾や互換性はないと判断した。
Forms or Documents Incorporated by Reference:  None.  参照による引用書式または文書: なし。
Other Statutory Requirements:  None.  その他の法定要件 なし。
DISCLOSURES REGARDING THE PROPOSED ACTION Agency’s Initial Determinations:  提案された措置に関する開示 当局の最初の判断: 
Mandate on local agencies or school districts:  None.  地方機関または学区に対する義務 なし。
Cost or savings to any state agency:  The Agency estimates that the proposed regulations will result in a one-time fiscal cost of $44,625 and ongoing fiscal costs of $129,035.    州政府機関に対する費用または節約: 本規則案により、44,625 米ドルの一時的な財政コストと 129,035 米ドルの継続的な財政コストが生じると、当機構は見積もっている。  
These costs result from the new workload for staff at the Agency and Department of Justice (DOJ). That workload includes (1) one-time staff work to build the frameworks necessary to receive required documents from more than 52,000 businesses and letters of complaint from an uncertain number of consumers; and (2) ongoing staff workload to review submitted documents and respond to submittals on a case-by-case basis.   これらの費用は、本庁および司法省(DOJ)の職員の新たな仕事量に起因する。この作業負荷には、(1)52,000を超える企業から必要書類を受け取り、不特定多数の消費者から苦情の手紙を受け取るために必要な枠組みを構築するための一時的なスタッフ作業、および(2)提出された書類を確認し、ケースバイケースで提出書類に対応するための継続的なスタッフ作業が含まれる。 
The Agency’s Information Technology Division will need to develop a web portal to accept the documents referenced above. Total one-time fiscal impact for creating this mechanism is estimated at $44,625. The ongoing fiscal costs of analyst and attorney staff to process this workload is estimated at $129,035.  同庁のインフォメーション・テクノロジー部門は、上記の文書を受け入れるためのウェブポータルを開発する必要がある。この仕組みを構築するための一時的な財政影響は、合計44,625ドルと見積もられる。この作業量を処理するためのアナリストおよび弁護士スタッフの継続的な財政コストは、129,035ドルと見積もられる。
Cost to any local agency or school district which must be reimbursed in accordance with Government Code sections 17500 through 17630:  None.  ガバメント・コード第17500条から第17630条に従い、払い戻しを受けなければならない地方機 関または学区への費用: なし。
Other non-discretionary costs or savings imposed on local agencies:  None. Local governments are not subject to the proposed regulations because they do not meet the CCPA’s definition of “business.”  地方機関に課されるその他の非裁量的費用または節約: なし。地方自治体は、CCPA の「事業」の定義を満たさないため、本規則案の対象とはならない。
Cost or savings in federal funding to the state:  None.  州に対する連邦資金のコストまたは節約: なし。
Cost impacts on representative private person or business:  The compliance costs associated with the regulations will vary considerably depending on the type and size of business, the maturity of the business’s privacy compliance system, the number of California consumers it services, and how it uses personal information. For a small business, initial costs are estimated at $7,045 to $92,896, with ongoing annual costs of $19,317. For a larger business, initial costs are estimated at $7,045 to $122,666, with ongoing costs of $26,015 annually. The Agency found no cost impact on consumers.  代表者である個人または企業へのコスト影響: 規制に関連するコンプライアンス・コストは、事業の種類と規模、事業のプライバシー・コンプライアンス・システムの成熟度、サービスを提供するカリフォルニア州の消費者の数、および個人情報の使用方法によって大きく異なる。小規模企業の場合、初期費用は7,045ドルから92,896ドル、継続的な年間費用は19,317ドルと見積もられている。大企業の場合、初期費用は7,045ドルから122,666ドル、継続費用は年間26,015ドルと見積もられている。消費者への影響はない。
Significant effect on housing costs:  None.  住宅費に大きな影響を与える: なし。
Significant, statewide adverse economic impact directly affecting businesses, including ability to compete:    競争力など、企業に直接影響する州全体への重大な経済的悪影響:   
The Agency has made an initial determination that the proposed regulations may have a significant, statewide adverse economic impact directly affecting business, including the ability of California businesses to compete with businesses in other states.   弊庁は、本規則案が、カリフォルニア州の企業が他州の企業と競争する能力を含め、ビジネスに直接影響する、州全体に及ぶ重大な経済的悪影響を及ぼす可能性があると、最初の判断を下した。 
The Agency has considered proposed alternatives that would lessen any adverse economic impact on business and invites the public to submit proposals. Submissions may include the following considerations:  弊庁は、ビジネスへの経済的悪影響を軽減する代替案を検討し、一般からの提案を求めている。提出される案には、以下の考慮事項が含まれる: 
1. The establishment of differing compliance or reporting requirements or timetables that take into account the resources available to businesses; 1. 企業が利用可能なリソースを考慮した、異なるコンプライアンスまたは報告要件またはスケジュールの設定;
2. Consolidation or simplification of compliance and reporting requirements for businesses; 2. 企業のコンプライアンスおよび報告要件の統合または簡素化;
3. The use of performance standards rather than prescriptive standards; and 3. 規定基準ではなく、パフォーマンス基準の使用。
4. Exemption or partial exemption from the regulatory requirements for businesses. 4. 事業者に対する規制要件の免除または一部免除。
The types of businesses that would be affected are businesses that that exceed $27,950,000.00 in revenue in the preceding calendar year; buy, sell, or share the personal information of 100,000 or more consumers or households per year; or receive 50% or more of their annual revenue from selling or sharing personal information. The proposed regulations may also affect service providers, contractors, and third parties that engage with businesses.   影響を受ける事業者の種類は、前暦年の売上が2,795万ドルを超える事業者、年間10万人以上の消費者または世帯の個人情報を売買または共有する事業者、年間売上の50%以上を個人情報の売買または共有から得ている事業者である。本規則案は、企業と関わるサービスプロバイダー、請負業者、サードパーティにも影響する可能性がある。 
The projected reporting requirements include preparation and submission of a certification of completion of a cybersecurity audit, a certification of conduct of a risk assessment, and a risk assessment in abridged form.   予想される報告要件には、サイバーセキュリティ監査の完了証明書、リスクアセスメントの実施証明書、要約形式のリスクアセスメントの作成と提出が含まれる。 
To the extent that the proposed regulations restrict business activity of California businesses covered by the CCPA, the proposed regulations will impact the businesses’ individual competitiveness against out-of-state competitors.   本規則案がCCPAの対象となるカリフォルニア州の企業の事業活動を制限する範囲において、本規則案は州外の競合企業に対する企業の個々の競争力に影響を与える。 
The Agency does not possess sufficiently detailed enterprise-level data to predict these competitive adjustments at the microeconomic level. However, its analysis—which focuses on supply, demand, and related estimates for the 2-digit NAICS sectors, mainly 51-Information and 52-Finance—indicates that California itself will not face significant percentage firm revenue and employment declines, which are generally in the low single-digit percentages of a more rapidly growing baseline trend (for example, a decrease of 0.47% in California supply and a decrease of 0.78% in investment, both relative to baseline in 2027).    当庁は、このような競争力の調整をミクロ経済レベルで予測できるほど詳細なエンタープライズレベルのデータを保有していない。しかし、主に 51-情報、52-金融の NAICS 2 桁セクターの需給、関連推計に焦点を当てた分析によると、カリフォルニア州自体は、企業収益と雇用の大幅な減少に直面することはなく、一般的には、より急速に成長するベースライン傾向の 1 桁台前半の割合である(例えば、2027 年のベースラインとの比較で、カリフォルニア州の供給は 0.47%減、投資は 0.78%減)。  
With respect to out-of-state competition, as demand falls less than supply in a given year, some business will be diverted across California’s border to available alternatives in other jurisdictions. However, the net slowing of growth for commerce remains modest. Relative impacts (as a percentage of revenue) for the sector are more substantial than in comparison to the statewide economy, but they remain modest. For example, while the Agency estimates that there will be some sectoral diversion of business across California’s border to available alternatives in other jurisdictions in 2027, it estimates that there will be an influx of business into California by 2031 and that the influx will increase substantially through 2036.   州外との競争に関しては、ある年に需要が供給を下回ると、一部のビジネスはカリフォルニア州を越えて他の管轄区域の利用可能な代替品に移行する。しかし、商業成長の正味の鈍化は小幅にとどまる。同部門の相対的な影響(売上高に占める割合)は、州全体の経済と比較するとより大きいが、小幅にとどまる。例えば、2027年には、カリフォルニア州国境を越えて、他の管轄区域の利用可能な代替案への部門的なビジネス転換があると推定しているが、2031年までにカリフォルニア州へのビジネス流入があり、2036年まで流入は大幅に増加すると推定している。 
There are two basic structural adjustments in response to the proposed regulations. First, covered sectors will have to adjust to compliance costs, incurring higher labor costs in the short term and impinging on profit, investment, and capital in the medium term. The other salient impact comes from the demand side of the economy, as reductions in losses related to cybercrimes involving personal information leads to increases in real income for individuals and enterprises. These savings will be recycled through demand, stimulating the economy through traditional multiplier linkages. In California, 70% of aggregate demand comes from households and 70% of household consumption goes to services. In other words, 49% of the incremental benefits from reduced cybercrime losses will be channeled to demand for labor-intensive services, far outweighing the job losses due to compliance costs in more capital-intensive compliant sectors. Financial benefits eventually strongly overtake costs of the proposed regulations over the decade considered, but expenditure shifting to more labor-intensive activities makes these regulations even more pro-employment. 規則案に対応する基本的な構造調整は2つある。第一に、対象となるセクターは、短期的には人件費の上昇、中期的には利益、投資、資本に影響を与えるコンプライアンス・コストへの調整を余儀なくされる。個人情報に関わるサイバー犯罪に関連する損失が減少すれば、個人やエンタープライズの実質所得が増加するためである。これらの貯蓄は需要を通じて再利用され、伝統的な乗数連鎖によって経済を刺激する。カリフォルニア州では、総需要の70%が家計によるものであり、家計消費の70%がサービスに使われている。言い換えれば、サイバー犯罪による損失が減少することで増加する利益の49%は、労働集約的なサービス需要に振り向けられ、資本集約的なコンプライアンス部門におけるコンプライアンスコストによる雇用損失をはるかに上回る。財政的便益は、最終的には、検討された10年間で、本規則案のコストを強く上回るが、支出がより労働集約的な活動にシフトすることで、これらの規制はより雇用促進につながる。
Results of the Standardized Regulatory Impact Assessment:  標準規制影響アセスメントの結果: 
In the first 12 months following full implementation of the proposed regulation, the Agency estimates a direct impact of $3.5 billion in costs on the 52,326 businesses covered by the CCPA and affected by the proposed regulations, and $1.5 billion in quantified benefits. These direct costs and benefits may result in additional indirect and induced economic impacts. The total statewide costs of the proposed regulations are estimated to be $9.725 billion over the first 10 years following implementation. The quantified benefits are estimated to rise to $66.3 billion by 2036.  本規則案の完全実施後、最初の12ヶ月間において、CCPAの対象となり、本規則案の影響を受ける52,326の企業に対し、直接的に35億ドルの費用と15億ドルの便益がもたらされると推定される。これらの直接的な費用と便益は、さらに間接的、誘発的な経済効果をもたらす可能性がある。本規則案の州全体の総費用は、施行後10年間で97億2,500万ドルと見積もられている。定量化された便益は、2036年までに663億ドルに増加すると見積もられている。
(1) The Agency anticipates the elimination of 98,000 jobs in the first 12 months following full implementation, followed by the addition of 233,000 jobs by 2036. (1) 当局は、完全実施後の最初の12ヶ月で98,000人の雇用が減少し、その後2036年までに233,000人の雇用が増加すると見込んでいる。
(2) The Agency does not anticipate that the proposed regulations would lead to the elimination of existing businesses. The proposed regulations are unlikely to eliminate existing businesses in California due to the threshold criteria for coverage and the size and type of businesses impacted. There is a possibility of some industry restructuring that could include a degree of consolidation of businesses that provide personal-information management services, but the Agency lacks information to assess the likelihood or potential for such a consolidation.   (2) 当局は、本規則案が既存事業の廃止につながるとは予想していない。本規則案は、対象となる規準、影響を受ける事業の規模や種類から、カリフォルニア州の既存事業が消滅する可能性は低い。個人情報管理サービスを提供する事業者のある程度の統合を含む業界再編の可能性はあるが、当庁はそのような統合の可能性や潜在性を評価する情報が不足している。 
The Agency anticipates that the proposed regulations would lead to the creation of new businesses. The proposed regulations are likely to create new businesses in California because of a significant increase in demand for labor with technical expertise in cybersecurity audits, risk assessment, automated decision-making technology, and consumer personal information privacy. The proposed regulations may create new businesses or new business lines that will help businesses, service providers, contractors, and third parties to comply with their obligations; and help consumers to understand and exercise their rights related to privacy. 当庁は、本規則案が新たなビジネスの創出につながることを期待している。サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術、消費者個人情報プライバシーに関する技術的専門知識を有する労働力に対する需要が大幅に増加するため、本規則案はカリフォルニア州において新たなビジネスを創出する可能性が高い。本規則案は、企業、サービスプロバイダー、請負業者、およびサードパーティが義務を遵守するのを支援し、消費者がプライバシーに関する権利を理解し行使するのを支援する新しいビジネスまたは新しいビジネスラインを創出する可能性がある。
(3) The Agency anticipates that the proposed regulations would put California businesses at a competitive disadvantage compared to businesses in other states during the first 12 months following full implementation of the proposed regulations. However, the Agency anticipates that the proposed regulations would put California businesses at a competitive advantage by 2031 and that that advantage would continue to increase through 2036. (3) 当局は、本規則案の完全施行後 12 ヶ月間は、カリフォルニア州の企業が他州の企業と比較して競争上不利な立場に置かれることを予想している。しかし、本規則案により、2031年までにカリフォルニア州の企業は競争上有利となり、その優位性は2036年まで増加し続けると予想する。
(4) The Agency anticipates a decrease in investment in the state of $31 billion in the first 12 months following full implementation, followed by an increase in investment in the state of $261 billion by 2036. (4) 当局は、完全実施後の最初の12ヶ月で対州投資が310億ドル減少し、その後2036年までに対州投資が2,610億ドル増加すると予想している。
(5) The Agency anticipates that the proposal would result in incentives for innovation in products, materials, or processes. Where existing practices are subject to restrictions, it is reasonable to expect firms will innovate and invest in product differentiation.  (5) 当局は、本提案が製品、材料、またはプロセスの革新に対するインセンティブをもたらすと予想する。既存の慣行が規制の対象となる場合、企業が革新し、製品の差別化に投資することを期待するのは合理的である。
(6) The Agency anticipates the following benefits from the proposed action: The proposed regulations will enhance protection of consumer’s personal information and increase the ability of individuals to exercise their privacy rights. Requirements to certify completion of risk assessments and cybersecurity audits will lead to reduced risks of cybercrimes against California businesses and individuals. Avoiding cybercrimes that involve consumers’ personal information provides many types of benefits aside from financial measures as they include improvements to the health, safety, welfare, and quality of life for Californians.  (6) 当局は、提案された措置から以下のような利益を見込んでいる: 本規則案は、消費者の個人情報の保護を強化し、個人がプライバシーの権利を行使する能力を高める。リスクアセスメントおよびサイバーセキュリティ監査の完了を証明する要件は、カリフォルニア州の企業および個人に対するサイバー犯罪のリスク低減につながる。消費者の個人情報に関わるサイバー犯罪を回避することは、カリフォルニア州民の健康、安全、福祉、生活の質の改善など、金銭的な対策以外にも多くの利益をもたらす。
Evaluating the cybersecurity risks with consumers’ personal information and the effectiveness of cybersecurity systems set up to combat these risks helps inform firms about how to enhance the safety of consumers’ information and privacy. The cybersecurity improvements that California businesses make help alleviate the social and psychological costs that cybersecurity threats impose on California consumers. Effective cybersecurity programs also lower the costs that cybercrimes create. The reduced costs of production and business activity can lower the price of goods and services that consumers pay. This lower cost of consumption together with more cybersecurity and privacy-protective business practices leads to improvements of consumer welfare.  消費者の個人情報に関わるサイバーセキュリティリスクと、これらのリスクと戦うために構築されたサイバーセキュリティシステムの有効性を評価することは、消費者の情報とプライバシーの安全性を高める方法について企業に情報を提供するのに役立つ。カリフォルニアの企業がサイバーセキュリティを改善することで、サイバーセキュリティの脅威がカリフォルニアの消費者に課す社会的・心理的コストを軽減することができる。効果的なサイバーセキュリティ・プログラムは、サイバー犯罪が生み出すコストも低下させる。生産と事業活動のコストが削減されることで、消費者が支払う財やサービスの価格が低下する。このような消費コストの低減は、サイバーセキュリティとプライバシ保 護のビジネス慣行と相まって、消費者福祉の改善につながる。
In addition, the assessment of risks related to how businesses manage and protect personal information can lead to actions that help reduce those risks and improve safety within the workplace. Workers can focus their time and efforts on safety and efficiency, as they face less burden in protecting consumer personal information, especially when businesses develop cybersecurity systems that mitigate risks and damages of cybercrimes.  さらに、企業が個人情報をどのように管理し保護するかに関連するリスクをアセスメントすることで、それらのリスクを低減し、職場内の安全性を向上させるための行動を導くことができる。特に、事業者がサイバー犯罪のリスクや被害を軽減するサイバーセキュリティシステムを構築することで、消費者の個人情報を保護するための負担が軽減され、労働者は安全と効率に時間と労力を集中することができる。
Proposed requirements for training and uses of ADMTs will also provide benefits to businesses and individuals. Businesses that are required to evaluate their use of ADMTs will help ensure that the intended outcomes of those technologies are achieved, help improve efficiencies in the use of those ADMTs, and avoid a wide range of adverse outcomes associated with any of the unintended consequences of ADMTs implemented without such evaluations. The unintended consequences can include things like discrimination in both the hiring of employees and the provision of goods or services to consumers. Avoiding these adverse outcomes provides benefits in the workplace and to the health, safety, and welfare of California residents. ADMTの訓練と使用に関する提案された要件は、企業と個人にも利益をもたらす。ADMTの使用を評価することが求められる企業は、それらの技術の意図された成果が確実に達成されることを支援し、それらのADMTの使用における効率性の改善に役立ち、そのような評価なしに実施されたADMTの意図しない結果に関連するさまざまな悪影響を回避することができる。予期せぬ結果には、従業員の雇用や消費者への商品やサービスの提供における識別的なものが含まれる。このような悪影響を回避することは、職場やカリフォルニア州住民の健康、安全、福祉に利益をもたらす。
Business report requirement:  The proposed regulations would require businesses that meet certain thresholds to submit reports to the Agency. If a business meets certain thresholds, it may be required to submit a certification of completion of its cybersecurity audit or a certification of conduct of its risk assessment and risk assessment in abridged form.   事業報告義務: 本規則案は、一定の基準を満たす事業者に対し、報告書の提出を義務付けている。事業者が一定の閾値を満たす場合、サイバーセキュリティ監査の完了証明書、またはリスクアセスメントとリスクアセスメントの実施証明書を簡略化して提出することが求められる。 
The Agency finds it is necessary for the health, safety or welfare of the people of this state that the reports be created and submitted by businesses. The certification of completion of a business’s cybersecurity audit—together with Article 9’s substantive requirements—is necessary to protect consumers’ welfare. Specifically, it provides an assurance of, and accountability for, the thoroughness and independence of the business’s audit, which will further protect consumers’ personal information. Similarly, the certification of conduct of a business’s risk assessment, and the submission of risk assessments in abridged form, are similarly necessary to protect consumers’ welfare. In addition to fulfilling the CCPA’s statutory mandate that risk assessments be submitted to the Agency on a regular basis, the certification of conduct of a business’s risk assessment and the submission of risk assessments in abridged form provide assurances of, and accountability for, the business’s risk assessments, which will further protect consumers’ privacy.  同庁は、事業者が報告書を作成し提出することが、本州の人々の健康、安全、または福祉のために必要であると判断する。事業者のサイバーセキュリティ監査の完了証明は、第9条の実質的要件とともに、消費者の福祉を保護するために必要である。具体的には、事業者の監査の徹底性と独立性を保証し、説明責任を果たすことで、消費者の個人情報をさらに保護することができる。同様に、事業者のリスクアセスメントの実施証明、および簡略化したリスクアセスメントの提出も、同様に消費者の福祉を保護するために必要である。リスクアセスメントを定期的に本庁に提出するというCCPAの法定義務を果たすことに加え、事業者のリスクアセスメントの実施証明と要約された形でのリスクアセスメントの提出は、事業者のリスクアセスメントに対するアセスメントメントと説明責任を保証し、消費者のプライバシーをさらに保護する。
Small business determination:  The Agency has determined that the proposed action affects 6,915 to 27,659 small businesses.  中小企業の判断 当庁は、提案された措置が6,915から27,659の中小企業に影響すると決定した。
Summary of Department of Finance Comments Regarding the Standardized Regulatory Impact Analysis and Agency Responses:  標準規制影響分析に関する大蔵省のコメントと省庁の回答の要約: 
The Department of Finance provided comments on the Standardized Regulatory Impact Analysis (“SRIA”) that addressed four issues relevant to the macroeconomic assessment and specifically requested additional clarification in those areas. Below is the Department of Finance’s feedback, followed by Agency responses.  財務省は、標準規制影響分析(SRIA)に対して、マクロ経済評価に関連する4つの問題を取り上げたコメントを提供し、特にこれらの分野における追加的な明確化を要求した。以下は、財務省の意見と、それに続く省庁の回答である。
1. The SRIA should clearly identify the state revenue baseline used. The SRIA projects state tax revenue impacts to range from a decline of about $3 billion (or -0.13 percent, as stated in the SRIA) to an increase of $6 billion (0.3 percent) over the implementation period. However, these percentage estimates understate the projected state revenue impact, as $6 billion accounts for roughly 2 percent to 3 percent of the state’s revenues, while the percentages estimated in the SRIA, imply a state revenue baseline of roughly $2 trillion. 1. SRIAは、使用した州歳入ベースラインを明確に特定すべきである。SRIAは、州税収への影響を、実施期間中に約30億ドルの減少(SRIAに記載されている通り、-0.13%)から60億ドル(0.3%)の増加までと予測している。しかし、これらの割合の見積もりは、州の歳入のおよそ2%から3%を占める60億ドルであるのに対し、SRIAで見積もられた割合は、およそ2兆ドルの州歳入ベースラインを意味するため、予測される州歳入への影響を控えめにしている。
Response:  Table 5.1 in Section 5.3 has been corrected – the BEAR Model results remain unchanged, but this table was constructed with incorrect baseline data for State and Federal revenues, which led to miscalculations of level and percent changes. These numbers have been revised in the table and reported in the text (e.g., in the paragraph preceding Table 5.1).  回答 セクション5.3の表5.1は修正された。BEARモデルの結果に変更はないが、この表は州歳入と連邦歳入の誤ったベースラインデータで作成されていたため、水準と変化率の計算が間違っていた。これらの数値は表の中で修正され、本文中でも報告されている(例えば、表5.1の前の段落)。
2. The SRIA is currently lacking critical disclosures and justification regarding impacts to the state’s economy and budget including the following: 1) The estimated impact on Gross State Product (GSP) ranges from a decline of nearly $30 billion to an increase of $280 billion across the implementation period. Moreover, the ratio of GSP to state tax revenues averaged about 16- to-1 from 2017 to 2023, however, the projected ratio in the SRIA ranges from about 10-to-1 through 2031 before increasing significantly to 46-to-1 by 2036. The SRIA should further explain and justify the substantial change in the ratio of GSP to state revenues and why it is projected to rise significantly over the implementation period.  2. SRIAは現在、州経済と予算への影響に関して、以下のような重要な開示と正当化が欠けている: 1) 州総生産(GSP)への影響は、実施期間を通じて300億ドル近い減少から2,800億ドルの増加までと見積もられている。さらに、2017年から2023年までの州税収に対するGSPの比率は平均約16対1であったが、SRIAで予測される比率は、2031年までは約10対1であったが、2036年には46対1と大幅に増加する。SRIAは、州税収に対するGSPの比率の大幅な変化と、それが実施期間中に大幅に上昇すると予測される理由をさらに説明し、正当化すべきである。
Response:  See response to item 1 above. These figures are now in agreement with DOF’s notes related to baseline tax revenues and share of GSP. These modifications do not significantly alter the conclusions of the SRIA. 回答 上記1の回答を参照のこと。これらの数値は、ベースラインの税収とGSPの割合に関するDOFの注釈と一致している。これらの修正はSRIAの結論を大きく変えるものではない。
3. The SRIA describes the initial negative impact of the regulations on state investment as  3. SRIAは、州への投資に対する規制の初期的なマイナスの影響を次のように説明している。
“small,” at -5.5 percent of total state investment in 2027. Investment in all sectors (including those not directly affected by the regulation) across the state is subsequently projected to increase by $257 billion, or nearly 36 percent, by the end of the implementation period in 2036. The SRIA should explain why investment is assumed be this significantly impacted, both initially and cumulatively over the ten-year window. 2027年の州総投資額の-5.5%と「小さい」としている。その後、州全体の全セクター(規制の影響を直接受けないセクターを含む)の投資は、実施期間終了の2036年までに2,570億ドル(約36%)増加すると予測されている。SRIAは、当初および10年間の累積で、投資がこれほど大きな影響を受けると想定される理由を説明すべきである。
Response:  The estimates of Direct Costs and Benefits exhibit a strong reversing trend from net cost to net benefit across the decade considered. Costs and benefits are structurally quite different and generally accrue to different stakeholders. While costs are incurred by the California businesses impacted by the proposed regulations, as set forth in Section 2, benefits are much more general and have been allocated across all sectors of the economy in proportion to value added. Other rules for targeting benefits could yield different microeconomic impacts, but there are no reliable predictions of the detailed incidence of cybercrime damages over the next decade, let alone patterns of cybercrimes averted by the proposed regulations. The main growth (investment, employment, etc.) drivers for these results are macroeconomic, however, driven by the aggregate savings-investment constraint applied to baseline labor and capital allocation patterns. 回答 直接費用と便益の試算は、検討された10年間を通じて、正味費用から正味便益への強い逆転傾向を示している。コストと便益は構造的に全く異なり、一般的に異なる利害関係者に発生する。第2 節で述べたように、コストは本規則案の影響を受けるカリフォルニア州の企業によって発生す るが、便益はより一般的なものであり、付加価値に比例して経済の全セクターに配分される。ベネフィットを対象とする他のルールがあれば、異なるミクロ経済的影響をもたらす可能性があるが、規則案によって回避されるサイバー犯罪のパターンはおろか、今後10年間のサイバー犯罪被害の詳細な発生率について信頼できる予測はない。しかし、これらの結果の主な成長(投資、雇用など)の原動力はマクロ経済的なものであり、ベースラインの労働と資本の配分パターンに適用される総体的な貯蓄-投資制約によって駆動される。
We estimate that California businesses, as set forth in Section 2, incur costs, including increased labor costs and reduced profits and statewide saving. Impacted businesses increase spending on skilled labor, but the economy as a whole experiences lower aggregate savings, which with the BEAR Model’s saving-investment balance necessarily reduces net investment. 第2節で述べたように、カリフォルニア州の企業は、人件費の増加、利益や州全体の貯蓄の減少などのコストを負担すると推定される。影響を受けた企業は熟練労働者への支出を増加させるが、経済全体としては総貯蓄額が減少し、BEARモデルの貯蓄-投資バランスでは必然的に純投資額が減少する。
Benefits are modeled as accruing across the entire economy (not only to impacted businesses) and represent savings from reductions in the subset of cybercrimes identified in Section 3. In the absence of detailed information about exact patterns of future cybercrime, these savings are allocated across all sectors in proportion to their value-added. In fact we do not know exactly who will experience the savings from reduced cybercrimes, but the cumulative savings are substantial (averaging $18.6B in annual avoided losses over the decade evaluated) and will support higher economywide investment levels through the same aggregate saving-investment balance. This leads to incremental and compounded average investment growth of about 3.1% annually and 34% over a decade. Admittedly, we optimistically assume the savings are reinvested in California, but this improvement in the investment climate is fully consistent with the intention of the proposed regulations to further protect consumers’ privacy (including by protecting their personal information) and facilitate responsible innovation. 恩恵は(影響を受けた企業だけでなく)経済全体にもたらされるものとしてモデル化されており、セクション3で特定されたサイバー犯罪のサブセットの減少による貯蓄を代表者としている。将来のサイバー犯罪の正確なパターンに関する詳細な情報がないため、これらの削減効果は、付加価値に比例して全セクターに配分される。実際、サイバー犯罪の減少による節約を誰が享受するかは正確にはわからないが、累積節約額は相当なものであり(評価した10年間の年間回避損失額は平均186億ドル)、同じ節約-投資バランスを通じて経済全体の投資水準の上昇を支えることになる。この結果、平均投資成長率は年率約3.1%、10年間で34%増加する。確かに、この貯蓄がカリフォルニア州に再投資されることを楽観的に想定しているが、この投資環境の改善は、消費者のプライバシー保護(個人情報の保護を含む)と責任あるイノベーションの促進という規則案の意図に完全に合致するものである。
Note that this explanation has been added to Section 4.3 of the SRIA. なお、この説明はSRIAの4.3節に追加されている。
4. The SRIA projects employment to decline by up to 126,000 in 2030 before increasing by 241,000 by the end of the implementation period in 2036. As the proposed regulation is expected to disproportionately impact higher earners across the state in the information and professional, scientific, and technical services industries, which together account for about 10 percent of the state’s total employment, the SRIA should discuss the disparate employment impacts by industry to the extent possible. 4. SRIAは、2030年には雇用が最大126,000人減少し、2036年の実施期間終了時には241,000人増加すると予測している。本規則案は、州全体の雇用の約10%を占める情報産業と専門・科学・技術サービス産業の高所得者に不釣り合いな影響を与えることが予想されるため、SRIAでは、可能な限り、産業別の雇用への不釣り合いな影響について議論すべきである。
Response:  The disparate employment impacts by industry are described in Section 4.4 and 4.7 of the SRIA. Note that only the direct cost impacts will be concentrated in the “information and professional, scientific, and technical services” sectors and occupations. Most economywide effects, including direct benefits and all indirect and induced impacts will be dispersed across most economic activities and occupation categories (see response to Item 3 above). Even for the impacted businesses, there will be tradeoffs for skilled workers, between those hired to support compliance and those let go because of increased costs, and we lack prior information to predict this at the enterprise level.  回答 産業別の雇用格差の影響は、SRIAの4.4節と4.7節に記載されている。直接的なコスト影響のみが、「情報および専門的・科学的・技術的サービス」セクターおよび職業に集中することに留意されたい。直接便益やすべての間接的・誘発的影響を含む経済全体への影響のほとんどは、ほとんどの経済活動や職業カテゴリーに分散する(上記項目3への回答を参照)。影響を受けるビジネスにおいても、熟練労働者については、コンプライアンスをサポートするために雇用される労働者と、コスト増のために離職する労働者との間でトレードオフが生じるだろうが、エンタープライズレベルでこれを予測するための事前情報が不足している。
For this reason, most occupations follow the aggregate adjustment process. The current version of the BEAR Model does detail 22 Standard Occupational Classification (SOC) 2digit occupations and 60 sectors, but our fairly general assumptions about net benefit allocation do not shed much light on these detailed compositional effects. このため、ほとんどの職種は、全体的な調整プロセスに従う。BEARモデルの現行バージョンは、22の標準職業分類(SOC)2桁の職業と60のセクターについて詳述しているが、正味給付配分に関する我々のかなり一般的な仮定では、これらの詳細な構成効果にあまり光が当たらない。
Note that minor text changes have been made to Section 4.4 and a revised Table 4-3 has been added to Section 4.7 of the SRIA. なお、4.4節に若干の文章変更を加え、SRIAの4.7節に表4-3を追加した。
CONSIDERATION OF ALTERNATIVES  代替案の検討 
In accordance with Government Code section 11346.5, subdivision (a)(13), the Agency must determine that no reasonable alternative considered by the Agency or that has otherwise been identified and brought to the attention of the Agency would be more effective in carrying out the purpose for which the action is proposed, would be as effective and less burdensome to affected private persons than the proposed action, or would be more cost effective to affected private persons and equally effective in implementing the statutory policy or other provision of law. The Agency invites interested parties to submit alternatives with respect to the proposed regulations. The Agency’s own alternatives to the proposed regulations are described in the Initial Statement of Reasons on pages 121–122.   ガバナンス政府第11346.5条(a)(13)に従い、省庁は、省庁が検討した、または省庁が特定し注意を喚起した合理的な代替案が、その行動が提案された目的を遂行する上でより効果的であるか、影響を受ける民間人にとって提案された行動と同等に効果的で負担が少ないか、影響を受ける民間人にとってより費用対効果が高く、法的方針または他の法律の規定を実施する上で同等に効果的であると判断しなければならない。当庁は、利害関係者に対し、本規則案に関する代替案を提出するよう求めている。本規則案に対する当庁独自の代替案は、121-122ページの「最初の理由説明書」に記載されている。 

 

 


 

規則案本文(Text of Proposed Regulation

20241126-52446

 


 

正確性は限定的なところはありますが、数値で影響評価をするところがちゃんとしていますよね...

当初の理由書 (Initial Statement of Reasons

最初の理由書 附属書A:標準規制影響評価Initial Statement of Reasons Appendix A: Standardized Regulatory Impact Assessment

・経済財政影響評価書(STD 399)(Economic and Fiscal Impact Statement (STD 399)

 

 

 

|

« CSA 脆弱性データに対する懸念 (2024.11.11) | Main | 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第304回委員会、第3-5回検討会) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« CSA 脆弱性データに対する懸念 (2024.11.11) | Main | 個人情報保護委員会 いわゆる3年ごと見直しに係る検討関係(第304回委員会、第3-5回検討会) »