カリフォルニア州 プライバシー保護法案の修正案についての意見募集 (2025.05.08)
こんにちは、丸山満彦です。
カリフォルニア州の消費者プライバシー保護法の改正案が2024.11.22にだされ、意見募集されたのですが、その結果を受けて再びの改正案が公表されていますね...
サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険会社に関する規制に関する改正案ですね...
● California Privacy Protection Agency
| Proposed Regulations on CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies | CCPA の更新、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険会社に関する規制案 |
| On November 8, 2024, the California Privacy Protection Agency (Agency) Board voted to commence formal rulemaking on the following regulatory subjects: CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies. Specifically, the proposed regulations seek to (1) update existing CCPA regulations; (2) implement requirements for certain businesses to conduct risk assessments and complete annual cybersecurity audits; (3) implement consumers' rights to access and opt–out of businesses' use of ADMT; and (4) clarify when insurance companies must comply with the CCPA. | 2024年11月8日、カリフォルニア州プライバシー保護庁(以下「庁」)理事会は、CCPA の更新、サイバーセキュリティ監査、リスクアセスメント、自動意思決定技術(ADMT)、および保険会社に関する以下の規制事項について、正式な規則制定を開始することを決議した。具体的には、この規制案は (1) 既存の CCPA 規制の更新、(2) 特定の事業者にリスクアセスメントの実施と年次サイバーセキュリティ監査の完了を義務付ける要件の導入、(3) 消費者が事業者の ADMT の利用にアクセスし、それをオプトアウトする権利の導入、および (4) 保険会社が CCPA を遵守しなければならない場合について明確化することを目的としている。 |
| Notice Register Publication Date: November 22, 2024 | 通知登録日:2024年11月22日 |
| Status of the Proposal: On May 9, 2025, the Agency noticed modifications to the text of the proposed regulations. The Public Comment Period for the proposed changes is open from May 9, 2025 – June 2, 2025. The comment period closes on June 2, 2025, at 5:00 p.m. Pacific Time. | 提案の現状:2025年5月9日、当局は提案された規制の文言の変更を通知した。提案された変更に関するパブリックコメント期間は、2025年5月9日から2025年6月2日まで。コメント期間は、2025年6月2日午後5時(太平洋時間)に終了する。 |
| Public comments may be submitted to the Agency electronically at [mail] , or by mail at the address included in the Notice of Modifications to Text of Proposed Regulations and Additional Documents Relied Upon. Please include “Public Comment on CCPA Updates, Cyber, Risk, ADMT, and Insurance Regulations” in the subject line of your comment. |
パブリックコメントは、[mail] から電子的に、または「規制案の文面変更および追加資料に関する通知」に記載された住所宛てに郵送で提出することができる。コメントの件名には、「CCPA の更新、サイバー、リスク、ADMT、および保険に関する規制に関するパブリックコメント」と記載してください。 |
| Please note that all information provided in oral and written comments is subject to public disclosure. | 口頭および書面によるコメントで提供された情報は、すべて公開されることにご留意ください。 |
| Rulemaking Documents | 規則制定文書 |
| May 9, 2025 – Public Notice of Modifications to Proposed Regulations | 2025年5月9日 – 提案規則の改定に関する公的通知 |
| ・Notice of Modifications to Text of Proposed Regulations and Additional Materials Relied Upon | ・提案規則の本文の改定および依拠する追加資料に関する通知 |
| ・Modified Text of Proposed Regulations | ・提案規則の改定本文 |
 |
|
| January 13, 2025 – Public Notice of Extension of Comment Period | 2025年1月13日 – コメント期間の延長に関する公的通知 |
| ・Notice of Extension of Public Comment Period and Additional Hearing Date | ・コメント期間の延長および追加公聴会の日程に関する通知 |
| November 22, 2024 – Public Notice of Rulemaking and Related Documents | 2024年11月22日 – 規則制定および関連文書に関する公的通知 |
| ・Notice of Extension of Public Comment Period and Additional Hearing Date | ・意見提出期間の延長および追加公聴会の日程に関する公告 |
| ・Notice of Proposed Rulemaking | ・規則制定案の公告 |
| ・Text of Proposed Regulation | ・規則案の本文 |
| ・Initial Statement of Reasons | ・最初の理由説明 |
| ・Initial Statement of Reasons Appendix A: Standardized Regulatory Impact Assessment | ・最初の理由説明 附属書 A:標準化された規制影響評価 |
| ・Economic and Fiscal Impact Statement (STD 399) | ・経済および財政への影響に関する声明(STD 399 |
| Public Comments | パブリックコメント |
| Comments received during the November 22, 2024 – February 19, 2025 Comment Period are linked below. | 2024 年 11 月 22 日から 2025 年 2 月 19 日までの意見提出期間に寄せられたコメントは、以下のリンクからご覧いただけます。 |
| Written Comments | 書面によるコメント |
| Oral Comments | 口頭によるコメント |
| Preliminary Rulemaking Activities | 予備的な規則制定活動 |
| The California Privacy Protection Agency solicited preliminary written comments from the public via an Invitation for Preliminary Comments on Proposed Rulemaking on the following topics: Cybersecurity Audits, Risk Assessments, and Automated Decisionmaking from February 10, 2023 through March 27, 2023. That period has now closed, and the public comments are available via the links below. | カリフォルニア州プライバシー保護局は、2023年2月10日から2023年3月27日まで、サイバーセキュリティ監査、リスクアセスメント、および自動意思決定に関する規則制定案に関する予備的意見募集を通じて、予備的な書面による意見を一般から募集した。この期間は終了しており、パブリックコメントは、以下のリンクからご覧いただけます。 |
| Preliminary Public Comments | 予備的なパブリックコメント |
| Comments received during preliminary public comment period | 予備的な公開コメント期間中に受け付けたコメント |
| Comments received after close of preliminary public comment period | 予備的な公開コメント期間終了後に受け付けたコメント |
| Transcripts | 議事録 |
| Public Hearing – January 14, 2025 | 公開聴聞会 – 2025年1月14日 |
| Public Hearing – February 19, 2025 | 公開聴聞会 – 2025年2月19日 |
| Webcasts | ウェブキャスト |
| Public Hearing – January 14, 2025 | 公開聴聞会 – 2025年1月14日 |
| Public Hearing – February 19, 2025 | 公開聴聞会 – 2025年2月19日 |
| Further Information | 詳細情報 |
| Information regarding the rulemaking process will be posted to [web]. If you would like to receive notifications regarding rulemaking activities, please subscribe to the “Rulemaking Proceedings” email list at [web]. Please note that comments are public records and will be published on the Agency's website. | 規則制定手続きに関する情報は、[web] に掲載されます。規則制定活動に関する通知を受け取りたい場合は、[web]. で「Rulemaking Proceedings」メールリストに登録してください。コメントは公文書であり、機関のウェブサイトに公開されることにご注意ください。 |
修正案の削除部分を削除した内容...
↓
| MODIFIED TEXT OF PROPOSED REGULATIONS | 規制案の修正文 |
| TITLE 11. LAW DIVISION 6. CALIFORNIA PRIVACY PROTECTION AGENCY CHAPTER 1. CALIFORNIA CONSUMER PRIVACY ACT REGULATIONS | タイトル 11. 法律ディビジョン 6. カリフォルニア州プライバシー保護機関 第 1 章. カリフォルニア州消費者プライバシー法規制 |
| The original text published in the California Code of Regulations has no underline. The initial proposal (noticed on November 22, 2024) is illustrated by blue underline for proposed additions and for proposed deletions, unless otherwise indicated, as in Articles 9, 10, and 11. Changes made after the 45-day comment period are illustrated by purple doubleunderline for proposed additions and for proposed deletions. | カリフォルニア州規則集に公表された元のテキストには下線はありません。2024年11月22日に公示された最初の案では、第9条、第10条、および第11条を除き、提案された追加部分と削除部分は青色の下線で示されています。45日間のコメント期間後に加えられた変更は、提案された追加部分と削除部分ともに紫色の二重下線で示されています。 |
| ARTICLE 1. GENERAL PROVISIONS | 第 1 条 一般規定 |
| § 7001. Definitions. | § 7001. 定義 |
| In addition to the definitions set forth in Civil Code section 1798.140, for purposes of these regulations: | 民法第 1798.140 条に規定される定義に加え、本規則において、以下の用語は、それぞれ以下の意味を有する。 |
| (a) “Agency” means the California Privacy Protection Agency established by Civil Code section 1798.199.10 et seq. | (a)「機関」とは、民法第 1798.199.10 条以降で設立されたカリフォルニア州プライバシー保護機関を意味する。 |
| (b) “Alternative Opt-out Link” means the alternative opt-out link that a business may provide instead of posting the two separate “Do Not Sell or Share My Personal Information” and | (b)「代替オプトアウトリンク」とは、民法第 1798.135 条 (a)(3)項に規定され、第 7015 条で指定されている 2 つの別々の「私の個人情報を販売または共有しない」および |
| “Limit the Use of My Sensitive Personal Information” links as set forth in Civil Code section 1798.135, subdivision (a)(3), and specified in section 7015. | 「私の機密個人情報の使用を制限する」リンクを掲載する代わりに、事業者が提供することができる代替オプトアウトリンクを意味する。 |
| (c) | (c) |
| (c) “Attorney General” means the California Attorney General or any officer or employee of the California Department of Justice acting under the authority of the California Attorney General. | (c)「司法長官」とは、カリフォルニア州司法長官、またはカリフォルニア州司法長官の権限の下で行動するカリフォルニア州司法省の職員または従業員を意味する。 |
| (d) “Authorized agent” means a natural person or a business entity that a consumer has authorized to act on their behalf subject to the requirements set forth in section 7063. | (d)「認定代理人」とは、第 7063 条に規定される要件に従って、消費者に代わって行動することを消費者が認定した自然人または事業体を意味する。 |
| (e) “Automated decisionmaking technology” or “ADMT” means any technology that processes personal information and uses computation to replace human decisionmaking or substantially replace human decisionmaking. | (e)「自動意思決定技術」または「ADMT」とは、個人情報を処理し、計算を用いて人間の意思決定を代替する、または人間の意思決定を実質的に代替するあらゆる技術を意味する。 |
| (1) | (1) |
| (2) For purposes of this definition, to “substantially replace human decisionmaking” means a business uses the technology’s output to make a decision without human involvement. Human involvement requires the human reviewer to: | (2)この定義において、「人間の意思決定を実質的に代替する」とは、企業が、人間の関与なしに、その技術の出力に基づいて意思決定を行うことを意味する。人間の関与とは、人間のレビュー担当者が以下を行うことを意味する。 |
| (A) Know how to interpret and use the technology’s output to make the decision; | (A)決定を行うために、その技術の出力の解釈および使用方法を知っていること。 |
| (B) Review and analyze the output of the technology, and any other information that is relevant to make or change the decision; and | (B)決定を行う、または決定を変更するために、その技術の出力、およびその他の関連情報を確認、分析すること。 |
| (C) Have the authority to make or change the decision based on their analysis in subsection (B). | (C)(B)項における分析に基づいて、決定を行う、または決定を変更する権限を有すること。 |
| (2) ADMT includes profiling. | (2)ADMT には、プロファイリングが含まれる。 |
| (3) ADMT does not include web hosting, domain registration, networking, caching, website-loading, data storage, firewalls, anti-virus, anti-malware, spam- and robocall-filtering, spellchecking, calculators, databases, and spreadsheets, provided that they do not replace human decisionmaking. | (3)ADMT には、ウェブホスティング、ドメイン登録、ネットワーク、キャッシュ、ウェブサイト読み込み、データストレージ、ファイアウォール、ウイルス対策、マルウェア対策、スパムおよびロボコールのフィルタリング、スペルチェック、計算機、データベース、およびスプレッドシートは、人間の意思決定に取って代わるものでない限り、含まれない。 |
| (1) | |
| (2) | |
| (f) “Categories of sources” means types or groupings of persons or entities from which a business collects personal information about consumers, described with enough particularity to provide consumers with a meaningful understanding of the type of person or entity. They may include the consumer directly, advertising networks, internet service providers, data analytics providers, government entities, operating systems and platforms, social networks, and data brokers. | (f)「情報源のカテゴリー」とは、事業者が消費者に関する個人情報を収集する個人または事業体の種類またはグループを指し、消費者がその種類について意味のある理解ができるよう、十分に具体的に記述したもの。これには、消費者自身、広告ネットワーク、インターネットサービスプロバイダ、データ分析プロバイダ、政府機関、オペレーティングシステムおよびプラットフォーム、ソーシャルネットワーク、データブローカなどが含まれる。 |
| (g) “Categories of third parties” means types or groupings of third parties with whom the business shares personal information, described with enough particularity to provide consumers with a meaningful understanding of the type of third party. They may include advertising networks, internet service providers, data analytics providers, government entities, operating systems and platforms, social networks, and data brokers. | (g)「サードパーティのカテゴリー」とは、事業者が個人情報を共有するサードパーティのタイプまたはグループを指し、消費者がサードパーティのタイプを十分に理解できるほど十分に具体的に記述したもの。これには、広告ネットワーク、インターネットサービスプロバイダ、データ分析プロバイダ、政府機関、オペレーティングシステムおよびプラットフォーム、ソーシャルネットワーク、データブローカーなどが含まれる。 |
| (h) “CCPA” means the California Consumer Privacy Act of 2018, Civil Code section 1798.100 et seq. | (h)「CCPA」とは、2018 年カリフォルニア州消費者プライバシー法、民法第 1798.100 条以降を意味する。 |
| (i) “COPPA” means the Children’s Online Privacy Protection Act, 15 U.S.C. sections 6501 to 6506 and 16 Code of Federal Regulations part 312. | (i)「COPPA」とは、児童オンラインプライバシー保護法、15 U.S.C. 第 6501 条から第 6506 条、および 16 連邦規則集第 312 部を意味する。 |
| (j) “Cybersecurity audit” means the annual cybersecurity audit that every business whose processing of consumers’ personal information presents significant risk to consumers’ security as set forth in section 7120, subsection (b), is required to complete. | (j)「サイバーセキュリティ監査」とは、第 7120 条 (b)項に規定されている、消費者の個人情報の処理が消費者のセキュリティに重大なリスクをもたらすすべての事業者が実施を義務付けられている、年次サイバーセキュリティ監査を意味する。 |
| (k) “Cybersecurity program” means the policies, procedures, and practices that protect personal information from unauthorized access, destruction, use, modification, or disclosure; and protect against unauthorized activity resulting in the loss of availability of personal information. | (k)「サイバーセキュリティプログラム」とは、個人情報への不正アクセス、破壊、使用、変更、または開示から個人情報を保護する、および個人情報の利用不能をもたらす不正行為から保護する方針、手順、および慣行を意味する。 |
| (l) “Cybersecurity audit report” means the document that every business must create as part of its cybersecurity audit. The cybersecurity audit report includes the information set forth in section 7123, subsection (e). | (l)「サイバーセキュリティ監査報告書」とは、すべての事業者がサイバーセキュリティ監査の一環として作成しなければならない文書を意味する。サイバーセキュリティ監査報告書には、第 7123 条 (e)項に規定される情報が含まれる。 |
| (m) “Disproportionate effort” within the context of a business, service provider, contractor, or third party responding to a consumer request means the time and/or resources expended by the business, service provider, contractor, or third party to respond to the individualized request significantly outweighs the reasonably foreseeable impact to the consumer by not responding, taking into account applicable circumstances, such as the size of the business, service provider, contractor, or third party, the nature of the request, and the technical limitations impacting their ability to respond. For example, responding to a consumer request to know may require disproportionate effort when the personal information that is the subject of the request is not in a searchable or readilyaccessible format, is maintained only for legal or compliance purposes, is not sold or used for any commercial purpose, and there is no reasonably foreseeable material impact to the consumer by not responding. By contrast, the impact to the consumer of denying a request to correct inaccurate information that the business uses and/or sells may outweigh the burden on the business, service provider, contractor, or third party in honoring the request when the reasonably foreseeable consequence of denying the request would be the denial of services or opportunities to the consumer. A business, service provider, contractor, or third party that has failed to put in place adequate processes and procedures to receive and process consumer requests in accordance with the CCPA and these regulations cannot claim that responding to a consumer’s request requires disproportionate effort. | (m)消費者からの要求に対応する事業、サービスプロバイダ、請負業者、またはサードパーティの文脈における「不均衡な努力」とは、事業、サービスプロバイダ、請負業者、またはサードパーティが、個別の要求に対応するために費やした時間および/またはリソースが、事業、サービスプロバイダ、請負業者、またはサードパーティの規模、 要求の性質、および対応能力に影響を与える技術的制約を考慮して、事業、サービスプロバイダ、請負業者、または第三者が対応するために費やす時間および/またはリソースが、対応しない場合、消費者に与える合理的に予測可能な影響を大幅に上回る場合をいう。例えば、消費者の情報開示要求に対応するには、要求の対象となる個人情報が検索可能または容易にアクセス可能な形式ではない場合、法的またはコンプライアンス上の目的のみのために保持されている場合、商業目的で販売または使用されていない場合、および対応しない場合、消費者に合理的に予測可能な重大な影響がない場合、不均衡な努力が必要になる場合がある。一方、事業者が使用および/または販売する不正確な情報の訂正要求を拒否した場合、その要求を拒否することで消費者に生じると合理的に予測できる結果が、消費者に対するサービスまたは機会の拒否である場合には、その要求に応じることで事業者に生じる負担よりも、消費者に生じる影響の方が大きいと考えられる。CCPA および本規則に従って消費者の要求を受け付け、処理するための適切なプロセスおよび手順を整備していない企業、サービスプロバイダ、契約業者、またはサードパーティは、消費者の要求への対応に過度の努力が必要であると主張することはできない。 |
| (n) “Employment benefits” means retirement, health, and other benefit programs, services, or products to which consumers and their dependents or their beneficiaries receive access through the consumer’s employer. | (n)「雇用給付」とは、消費者およびその扶養家族または受益者が、消費者の雇用主を通じてアクセスできる退職、健康、その他の給付プログラム、サービス、または製品を意味する。 |
| (o) “Employment-related information” means personal information that is collected by the business about a natural person for the reasons identified in Civil Code section 1798.145, subdivision (m)(1). The collection of employment-related information, including for the purpose of administering employment benefits, shall be considered a business purpose. | (o)「雇用関連情報」とは、民法第 1798.145 条第 (m)(1)項で特定される理由により、事業者が自然人について収集する個人情報をいう。雇用給付の管理を目的とする場合を含む、雇用関連情報の収集は、事業目的とみなされる。 |
| (p) “Financial incentive” means a program, benefit, or other offering, including payments to consumers, for the collection, retention, sale, or sharing of personal information. Price or service differences are types of financial incentives. | (p)「金銭的インセンティブ」とは、個人情報の収集、保持、販売、または共有の見返りとして消費者に対して提供されるプログラム、福利厚生、その他の提供物(消費者への支払を含む)をいう。価格またはサービスの違いは、金銭的インセンティブの一種である。 |
| (q) “First party” means a consumer-facing business with which the consumer intends and expects to interact. | (q)「第一者」とは、消費者との相互作用を意図し、期待する消費者向け事業者をいう。 |
| (r) “Frictionless manner” means a business’s processing of an opt-out preference signal that complies with the requirements set forth in section 7025, subsection (f). | (r)「摩擦のない方法」とは、第7025条第(f)項に定める要件に準拠して、事業者がオプトアウトの意思表示を処理することをいう。 |
| (s) “Information practices” means practices regarding the collection, use, disclosure, sale, sharing, and retention of personal information. | (s)「情報取り扱い慣行」とは、個人情報の収集、使用、開示、販売、共有、および保持に関する慣行を意味する。 |
| (t) “Information system” means the resources (e.g., network, hardware, and software) organized for the processing of personal information or that can provide access to personal information. The business’s information system includes the resources organized for the business’s processing of personal information, regardless of whether the business owns those resources. | (t)「情報システム」とは、個人情報の処理のために組織化された、または個人情報へのアクセスを提供できるリソース(ネットワーク、ハードウェア、ソフトウェアなど)を意味する。事業者の情報システムには、事業者が個人情報を処理するために組織化されたリソースが含まれる。事業者がそのリソースを所有しているかどうかは問わない。 |
| (u) “Multi-factor authentication” means authentication through verification of at least two of the following types of authentication factors: (1) knowledge factors, such as a password; (2) possession factors, such as a token; or (3) inherence factors, such as a biometric characteristic. | (u)「多要素認証」とは、以下の認証要素のうち、少なくとも 2 つを検証することによる認証を意味する。(1)パスワードなどの知識要素、(2)トークンなどの所有要素、または (3)生体認証などの固有要素。 |
| (v) “Nonbusiness” means a person or entity that does not meet the definition of a “business” as defined in Civil Code section 1798.140, subdivision (d). For example, government entities and many non-profits are nonbusinesses because they are not “organized or operated for the profit or financial benefit of its shareholders or other owners.” | (v)「非事業」とは、民法第 1798.140 条 (d)項で定義される「事業」の定義に該当しない個人または事業体を指す。例えば、政府機関や多くの非営利団体は、「株主またはその他の所有者の利益または経済的利益のために組織または運営されている」ものではないため、非事業に該当する。 |
| (w) “Notice at Collection” means the notice given by a business to a consumer at or before the point at which a business collects personal information from the consumer as required by Civil Code section 1798.100, subdivisions (a) and (b), and specified in these regulations. | (w)「収集時の通知」とは、民法典第1798.100条(a)項および(b)項の規定に基づき、事業者が消費者から個人情報を収集する時点またはその前に、消費者に対して行う通知をいう。これらの規則で定める内容を含む。 |
| (x) “Notice of Right to Limit” means the notice given by a business informing consumers of their right to limit the use or disclosure of the consumer’s sensitive personal information as required by Civil Code sections 1798.121 and 1798.135 and specified in these regulations. | (x)「利用制限に関する通知」とは、民法典第1798.121条および第1798.135条の規定に基づき、事業者が消費者に対し、その消費者の機微な個人情報の利用または開示を制限する権利があることを通知するものをいう。 |
| (y) “Notice of Right to Opt-out of Sale/Sharing” means the notice given by a business informing consumers of their right to opt-out of the sale or sharing of their personal information as required by Civil Code sections 1798.120 and 1798.135 and specified in these regulations. | (y)「販売/共有のオプトアウトに関する通知」とは、事業者が消費者に対し、民法典第1798.120条および第1798.135条の規定に基づき、個人情報の販売または共有からオプトアウトする権利があることを通知する通知をいう。 |
| (z) “Notice of Financial Incentive” means the notice given by a business explaining each financial incentive or price or service difference as required by Civil Code section 1798.125, subdivision (b), and specified in these regulations. | (z)「金銭的インセンティブに関する通知」とは、民法典第1798.125条第(b)項に基づき、事業者が各金銭的インセンティブまたは価格またはサービスの違いを説明する通知をいう。 |
| (aa) “Opt-out preference signal” means a signal that is sent by a platform, technology, or mechanism, on behalf of the consumer, that communicates the consumer choice to opt-out of the sale and sharing of personal information and that complies with the requirements set forth in section 7025, subsection (b). | (aa)「オプトアウトの優先信号」とは、消費者、プラットフォーム、テクノロジー、またはメカニズムが、消費者に代わって、個人情報の販売および共有をオプトアウトする消費者の選択を伝達する信号で、第 7025 条 (b)項に規定される要件に準拠するものをいう。 |
| (bb) “Penetration testing” means testing the security of an information system by attempting to circumvent or defeat its security features by authorizing attempted penetration of the information system. | (bb)「侵入テスト」とは、情報システムへの侵入を試み、そのセキュリティ機能を回避または無効化することで、情報システムのセキュリティをテストすることをいう。 |
| (cc) “Performance at work” means the performance of job duties for which the consumer has been hired or has applied to be hired. The following are not “performance at work”: a consumer’s union membership or interest in unionizing; a consumer’s interest in seeking other employment opportunities; a consumer’s location when off-duty or on breaks; or a consumer’s use of a personal account (e.g., email, text messages, or social media) unless solely to prevent or limit the use of these accounts on the business’s information system or to prevent the disclosure of confidential information. | (cc)「業務上のパフォーマンス」とは、消費者が雇用されている、または雇用を申請している職務の遂行をいう。以下のものは「業務遂行」には含まれない:消費者の労働組合への加入または労働組合結成への関心;消費者の他の雇用機会を求める関心;消費者が勤務時間外または休憩中にいる場所;または消費者が個人用アカウント(例:メール、テキストメッセージ、またはソーシャルメディア)を使用する場合(ただし、これらのアカウントを事業者の情報システムでの使用を防止または制限するため、または機密情報の開示を防止するためのみに使用する場合を除く)。 |
| (dd) “Performance in an educational program” means the performance of coursework in an educational program in which the consumer is enrolled or has applied to be enrolled. The following are not “performance in an educational program”: a consumer’s use of a personal account (e.g., email, text messages, or social media) unless solely to prevent or limit the use of these accounts on the educational program provider’s information system, including to prevent the disclosure of confidential information or to prevent cheating; or a consumer’s location when they are not performing coursework. | (dd)「教育プログラムにおける業務」とは、消費者が登録している、または登録を申請している教育プログラムにおける授業の履修を意味する。以下は「教育プログラムにおける成績」には該当しない。消費者が、教育プログラムプロバイダの情報システムにおけるこれらのアカウントの使用を防止または制限する目的(機密情報の開示の防止や不正行為の防止を含む)のみの場合を除き、個人アカウント(E メール、テキストメッセージ、ソーシャルメディアなど)を使用した場合。消費者が授業を受けていないときの消費者の位置情報。 |
| (ee) “Physical or biological identification or profiling” means identifying or profiling a consumer using automated measurements or analysis of their physical or biological characteristics, or automated measurements or analysis of or relating to their body. This includes using biometric information, vocal intonation, facial expression, and gesture (e.g., to identify or infer emotion). This does not include processing physical or biological characteristics that do not identify, and cannot reasonably be linked with, a particular consumer. | (ee)「身体的または生物学的識別またはプロファイリング」とは、消費者の身体的または生物学的特徴の自動測定または分析、あるいは消費者の身体に関する自動測定または分析を用いて、消費者を識別またはプロファイリングすることを意味する。これには、生体情報、声のイントネーション、表情、ジェスチャー(感情の識別または推測など)の使用が含まれる。これには、特定の消費者を識別せず、また特定の消費者と合理的に関連付けることができない身体的または生物学的特徴の処理は含まれない。 |
| (ff) “Price or service difference” means (1) any difference in the price or rate charged for any goods or services to any consumer related to the collection, retention, sale, or sharing of personal information, or (2) any difference in the level or quality of any goods or services offered to any consumer related to the collection, retention, sale, or sharing of personal information, including the denial of goods or services to the consumer. | (ff)「価格またはサービスの違い」とは、(1)個人情報の収集、保持、販売、または共有に関連して、消費者に対して課される商品またはサービスの価格または料金の差、または (2)個人情報の収集、保持、販売、または共有に関連して、消費者に対して提供される商品またはサービスのレベルまたは品質の差(消費者に商品またはサービスを拒否することを含む)を意味する。 |
| (gg) “Privacy policy,” as referred to in Civil Code sections 1798.130, subdivision (a)(5), and 1798.135, subdivision (c)(2), means the statement that a business shall make available to consumers describing the business’s online and offline information practices, and the rights of consumers regarding their own personal information. | (gg)民法 1798.130 条 (a)(5)および 1798.135 条 (c)(2)で言及されている「プライバシーポリシー」とは、企業が消費者に提供すべき、企業のオンラインおよびオフラインの情報取り扱い方針、および消費者の自身の個人情報に関する権利について記載した文書を意味する。 |
| (hh) “Privileged account” means any authorized user account (i.e., an account designed to be used by an individual) or service account (i.e., an account designed to be used only by a service, not by an individual) that can be used to perform functions that other user accounts are not authorized to perform, including but not limited to the ability to add, | (hh)「特権アカウント」とは、他のユーザーアカウントには許可されていない機能(アカウントの追加、変更、削除、情報システムの設定変更など)を実行するために使用できる、認可されたユーザーアカウント(個人によって使用されるように設計されたアカウント)またはサービスアカウント(個人ではなくサービスによってのみ使用されるように設計されたアカウント)を意味する。 |
| change, or remove other accounts, or make configuration changes to an information system. | 変更、削除、または情報システムの構成変更を行う機能を含むがこれらに限定されない。 |
| (ii) “Profiling” means any form of automated processing of personal information to evaluate certain personal aspects relating to a natural person and in particular to analyze or predict aspects concerning that natural person’s intelligence, ability, aptitude, performance at work, economic situation, health (including mental health), personal preferences, interests, reliability, predispositions, behavior, location, or movements. | (ii)「プロファイリング」とは、自然人に関する特定の個人属性を評価するため、特にその自然人の知能、能力、適性、業務上のパフォーマンス、経済状況、健康(精神健康を含む)、個人的な好み、興味、信頼性、傾向、行動、位置、または移動に関する側面を分析または予測するために、個人情報を自動処理するあらゆる形態をいう。 |
| (jj) “Request to access ADMT” means a consumer request that a business provide information to the consumer about the business’s use of ADMT with respect to the consumer, pursuant to Civil Code section 1798.185(a)(15) and Article 11. | (jj)「ADMT へのアクセス要求」とは、民法第 1798.185(a)(15)および第 11 条に基づき、事業者が消費者に対して、消費者に関する ADMT の使用に関する情報を提供するよう要求することをいう。 |
| (kk) “Request to appeal ADMT” means a consumer request to appeal the business’s use of ADMT for a significant decision as set forth in section 7221, subsection (b)(2). | (kk)「ADMT の異議申立て請求」とは、第7221条第(b)(2)項に定める重要な決定における事業者のADMTの利用に対して、消費者が異議を申し立てることをいう。 |
| (ll) “Request to correct” means a consumer request that a business correct inaccurate personal information that it maintains about the consumer, pursuant to Civil Code section 1798.106. | (ll)「訂正請求」とは、民法1798.106条に基づき、事業者が保有する消費者に関する不正確な個人情報を訂正するよう求める消費者の請求をいう。 |
| (mm)“Request to delete” means a consumer request that a business delete personal information about the consumer that the business has collected from the consumer, pursuant to Civil Code section 1798.105. | (mm)「削除請求」とは、民法1798.105条に基づき、事業者が消費者から収集した消費者に関する個人情報を削除するよう求める消費者の請求をいう。 |
| (nn) “Request to know” means a consumer request that a business disclose personal information that it has collected about the consumer pursuant to Civil Code sections 1798.110 or 1798.115. It includes a request for any or all of the following: | (nn)「開示請求」とは、事業者が消費者について収集した個人情報を開示するよう、消費者から請求することをいう。これは、以下のいずれかまたはすべてを含む請求を含む: |
| (1) Specific pieces of personal information that a business has collected about the consumer; | (1)事業者が消費者について収集した個人情報の特定項目; |
| (2) Categories of personal information it has collected about the consumer; | (2)事業者が消費者について収集した個人情報のカテゴリー |
| (3) Categories of sources from which the personal information is collected; | (3)個人情報が収集された情報源のカテゴリー |
| (4) Categories of personal information that the business sold, shared, or disclosed for a business purpose about the consumer; | (4)事業者が事業目的で消費者の個人情報を販売、共有、または開示した個人情報のカテゴリー |
| (5) Categories of third parties to whom the personal information was sold, shared, or disclosed ; and | (5)個人情報が販売、共有、または開示されたサードパーティのカテゴリー |
| (6) The business or commercial purpose for collecting, selling, or sharing personal information. | (6)個人情報の収集、販売、または共有の事業目的または商業目的。 |
| (oo) “Request to limit” means a consumer request that a business limit the use and disclosure of the consumer’s sensitive personal information, pursuant to Civil Code section 1798.121, subdivision (a). | (oo)「利用制限の請求」とは、民法1798.121条(a)項に基づき、事業者が消費者の機微な個人情報の利用および開示を制限するよう求める消費者の請求をいう。 |
| (pp) “Request to opt-in to sale/sharing” means an action demonstrating that the consumer has consented to the business’s sale or sharing of personal information about the consumer by a parent or guardian of a consumer less than 13 years of age or by a consumer at least 13 years of age. | (pp)「販売/共有への同意」とは、13歳未満の消費者の親権者または後見人、または13歳以上の消費者により、事業者が消費者の個人情報を販売または共有することに同意したことを示す行為をいう。 |
| (qq) “Request to opt-out of ADMT” means a consumer request that a business not use ADMT with respect to the consumer, pursuant to Civil Code section 1798.185(a)(15) and Article 11. | (qq)「ADMTへの参加拒否の請求」とは、民法1798.185条(a)(15)および第11条に基づき、事業者が消費者に関するADMTを使用しないよう求める消費者の請求をいう。 |
| (rr) “Request to opt-out of sale/sharing” means a consumer request that a business neither sell nor share the consumer’s personal information to third parties, pursuant to Civil Code section 1798.120, subdivision (a). | (rr)「販売/共有のオプトアウトの要求」とは、民法第 1798.120 条 (a)項に基づき、事業者が消費者の個人情報をサードパーティに販売または共有しないことを要求する消費者の要求を意味する。 |
| (ss) “Right to access ADMT” means a consumer’s right to request that a business provide information to the consumer about the business’s use of ADMT with respect to the consumer as set forth in Civil Code section 1798.185(a)(15) and Article 11. | (ss)「ADMT へのアクセス権」とは、民法第 1798.185 条 (a)(15)および第 11 条に規定される、事業者が消費者に対して、消費者に関する ADMT の使用に関する情報を提供するよう要求する消費者の権利を意味する。 |
| (tt) “Right to correct” means the consumer’s right to request that a business correct inaccurate personal information that it maintains about the consumer as set forth in Civil Code section 1798.106. | (tt)「訂正権」とは、消費者が、事業者が保有する当該消費者に関する不正確な個人情報を訂正するよう請求する権利を、民法典第1798.106条に定める通り意味する。 |
| (uu) “Right to delete” means the consumer’s right to request that a business delete any personal information about the consumer that the business has collected from the consumer as set forth in Civil Code section 1798.105. | (uu)「削除権」とは、消費者が、事業者が当該消費者から収集した当該消費者に関する個人情報を削除するよう請求する権利を、民法典第1798.105条に定める通り意味する。 |
| (vv) “Right to know” means the consumer’s right to request that a business disclose personal information that it has collected, sold, or shared about the consumer as set forth in Civil Code sections 1798.110 and 1798.115. | (vv)「開示請求権」とは、消費者に対し、事業者が当該消費者について収集、販売、または共有した個人情報を開示するよう請求する権利をいう。これは、民法1798.110条および1798.115条に定める通りである。 |
| (ww) “Right to limit” means the consumer’s right to request that a business limit the use and disclosure of a consumer’s sensitive personal information as set forth in Civil Code section 1798.121. | (ww)「利用制限権」とは、消費者が、事業者が消費者に関する機微な個人情報の利用および開示を制限するよう請求する権利をいう。これは、民法1798.121条に定める通りである。 |
| (xx) “Right to opt-out of ADMT” means a consumer’s right to direct that a business not use ADMT with respect to the consumer as set forth in Civil Code section 1798.185(a)(15) and Article 11. | (xx)「ADMTからのオプトアウト権」とは、消費者による、事業者が消費者に関するADMTを使用しないよう指示する権利を、民法典第1798.185条(a)(15)および第11条に定める通り意味する。 |
| (yy) “Right to opt-out of sale/sharing” means the consumer’s right to direct a business that sells or shares personal information about the consumer to third parties to stop doing so as set forth in Civil Code section 1798.120. | (yy)「販売/共有のオプトアウト権」とは、民法第 1798.120 条に規定されているとおり、消費者に関する個人情報をサードパーティに販売または共有する事業者に、その行為の停止を指示する消費者の権利をいう。 |
| (zz) “Risk assessment report” means the document that every business that is required to conduct a risk assessment must create as part of its risk assessment. The risk assessment report includes the information set forth in section 7152, subsections (a)(1)-(3), (6)-(9). | (zz)「リスクアセスメント報告書」とは、リスクアセスメントの実施を義務付けられているすべての事業者が、リスクアセスメントの一環として作成しなければならない文書を意味する。リスクアセスメント報告書には、第 7152 条 (a)(1)から (3)、(6)から (9)に規定される情報が含まれる。 |
| (aaa) “Sensitive location” means any of the following physical places: healthcare facilities including hospitals, doctors’ offices, urgent care facilities, and community health clinics; pharmacies; domestic violence shelters; food pantries; housing/emergency shelters; educational institutions; political party offices; legal services offices; union offices; and places of worship. | (aaa)「機密場所」とは、病院、診療所、救急医療施設、地域医療クリニックなどの医療施設、薬局、家庭内暴力避難所、食糧配給所、住宅/緊急避難所、教育機関、政党事務所、法律事務所、労働組合事務所、および礼拝所などの物理的な場所をいう。 |
| (bbb) “Sensitive personal information” means: | (bbb)「機密個人情報」とは、以下の情報をいう。 |
| (1) Personal information that reveals: | (1)以下の情報を明らかにする個人情報 |
| (A) A consumer’s social security, driver’s license, state identification card, or passport number. | (A)消費者の社会保障番号、運転免許証番号、州発行の身分証明書番号、またはパスポート番号。 |
| (B) A consumer’s account log-in, financial account, debit card, or credit card number in combination with any required security or access code, password, or credentials allowing access to an account. | (B)消費者のアカウントログイン情報、金融口座番号、デビットカード番号、またはクレジットカード番号と、アカウントへのアクセスに必要なセキュリティコード、アクセスコード、パスワード、または認証情報との組み合わせ。 |
| (C) A consumer’s precise geolocation. | (C)消費者の正確な地理的位置。 |
| (D) A consumer’s racial or ethnic origin, citizenship or immigration status, religious or philosophical beliefs, or union membership. | (D)消費者の人種または民族、国籍または移民のステータス、宗教的または哲学的信条、または労働組合への加入状況。 |
| (E) The contents of a consumer’s mail, email, and text messages unless the business is the intended recipient of the communication. | (E)企業がコミュニケーションの意図した取得者でない限り、消費者の郵便、E メール、およびテキストメッセージの内容。 |
| (F) A consumer’s genetic data. | (F)消費者の遺伝情報。 |
| (G) A consumer’s neural data, which means information that is generated by measuring the activity of a consumer’s central or peripheral nervous system, and that is not inferred from nonneural information. | (G)消費者の神経データ。これは、消費者の中枢神経系または末梢神経系の活動を測定して生成される情報であり、非神経情報から推測されるものではない。 |
| (2) The processing of biometric information for the purpose of uniquely identifying a consumer. | (2)消費者を個別に識別する目的で生体情報を処理すること。 |
| (3) Personal information collected and analyzed concerning a consumer’s health, sex life, or sexual orientation. | (3)消費者の健康、性生活、または性的指向に関して収集、分析された個人情報。 |
| (4) Personal information of consumers that the business has actual knowledge are less than 16 years of age. A business that willfully disregards the consumer’s age shall be deemed to have had actual knowledge of the consumer’s age. | (4)事業者が 16 歳未満であることを実際に知っている消費者の個人情報。消費者の年齢を故意に無視した事業者は、消費者の年齢を実際に知っていたものとみなされる。 |
| Sensitive personal information does not include information that is “publicly available” pursuant to Civil Code section 1798.140, subdivision (v)(2). | 機密性の高い個人情報には、民法第 1798.140 条第 (v)(2)項に基づき「公開されている」情報は含まれない。 |
| (ccc) “Signed” means that the written attestation, declaration, or permission has either been physically signed or provided electronically in accordance with the Uniform Electronic Transactions Act, Civil Code section 1633.1 et seq. | (ccc)「署名」とは、書面による証明、宣言、または許可が、民法第 1633.1 条以降に規定される統一電子取引法に従って、物理的に署名されたか、または電子的に提供されたことを意味する。 |
| (ddd) “Significant decision” means a decision that results in the provision or denial of financial or lending services, housing, education enrollment or opportunities, employment or independent contracting opportunities or compensation, or healthcare services. For purposes of this definition: | (ddd)「重要な決定」とは、金融または融資サービス、住宅、教育への登録またはその機会、雇用または独立契約の機会または報酬、あるいは医療サービスの提供または拒否につながる決定を意味する。この定義において |
| (1) “Financial or lending services” means the extension of credit or a loan, transmitting or exchanging funds, the provision of deposit or checking accounts, check cashing, or installment payment plans. | (1)「金融または融資サービス」とは、信用またはローンの供与、資金の送金または交換、預金または当座預金口座の提供、小切手の現金化、または分割払いプランを意味する。 |
| (2) “Housing” means any building, structure, or portion thereof that is used or occupied as, or designed, arranged, or intended to be used or occupied as, a home, residence, or sleeping place by one or more consumers including for permanent or temporary occupancy. The use of ADMT that provides or denies housing to a consumer based solely on the availability or vacancy of the housing or the successful receipt of payment for housing from the consumer is not making a significant decision. | (2)「住宅」とは、1 人以上の消費者によって、恒久的または一時的な居住、居住、または睡眠場所として使用、占有、またはそのように設計、配置、または使用、占有を目的とした建物、構造物、またはその一部をいう。住宅の利用可能性または空室状況、あるいは消費者からの住宅代金の支払いの成功のみに基づいて、消費者に住宅の提供または拒否を行う ADMT の使用は、重要な決定には該当しない。 |
| (3) “Education enrollment or opportunities” means: | (3)「教育への登録または機会」とは、以下のものを意味する。 |
| (A) Admission or acceptance into academic or vocational programs; (B) Educational credentials (e.g., a degree, diploma, or certificate); and | (A)学業または職業訓練プログラムへの入学または受け入れ(B)教育資格(学位、卒業証書、認定書など) |
| (C) Suspension and expulsion. | (C)停学および退学 |
| (4) “Employment or independent contracting opportunities or compensation” means: | (4)「雇用または独立契約の機会または報酬」とは、以下のものを意味する。 |
| (A) Hiring; | (A)採用 |
| (B) Allocation or assignment of work for employees; or salary, hourly or perassignment compensation, incentive compensation such as a bonus, or another benefit (“allocation/assignment of work and compensation”); | (B)従業員への業務の配分または割り当て;または給与、時間給、または業務ごとの報酬、ボーナスなどのインセンティブ報酬、またはその他の利益(「業務の配分/割り当てと報酬」); |
| (C) Promotion; and | (C)昇進;および |
| (D) Demotion, suspension, and termination. | (D)降格、停職、および解雇。 |
| (5) “Healthcare services” means services related to the diagnosis, prevention, or treatment of human disease or impairment, or the assessment or care of an individual's health. | (5)「医療サービス」とは、人間の病気や障害の診断、予防、治療、あるいは個人の健康の評価やケアに関連するサービスを意味する。 |
| (6) Significant decision does not include advertising to a consumer. | (6)重要な決定には、消費者に対する広告は含まれない。 |
| (eee) “Systematic observation” means methodical and regular or continuous observation. This includes, for example, methodical and regular or continuous observation using Wi-Fi or Bluetooth tracking, radio frequency identification, drones, video or audio recording or live-streaming, technologies that enable physical or biological identification or profiling; and geofencing, location trackers, or license-plate recognition. | (eee)「体系的な観察」とは、方法論的かつ定期的または継続的な観察を意味する。これには、例えば、Wi-FiまたはBluetooth追跡、無線周波数識別、ドローン、動画または音声の記録またはライブストリーミング、物理的または生物学的識別またはプロファイリングを可能にする技術;およびジオフェンシング、位置追跡装置、またはナンバープレート認識を含む。 |
| (fff) “Train” for the purposes of sections 7150, subsection (b)(6), and 7153 means the process through which a technology discovers underlying patterns, learns a series of actions, or is taught to generate a desired output. Examples of training include adjusting the parameters of an algorithm used for ADMT , improving the algorithm that determines how a machine-learning model learns, and iterating the datasets fed into ADMT . | (fff)第 7150 条(b)(6)および第 7153 条における「トレーニング」とは、技術が基礎となるパターンを発見し、一連の行動を学習し、または望ましい出力を生成するように教えられるプロセスを意味する。トレーニングの例としては、ADMT に使用されるアルゴリズムのパラメータの調整、機械学習モデルが学習する方法を決定するアルゴリズムの改善、および ADMT に投入されるデータセットの反復処理などが挙げられる。 |
| (ggg) “Third-party identity verification service” means a security process offered by an independent third party that verifies the identity of the consumer making a request to the business. Third-party identity verification services are subject to the requirements set forth in Article 5 regarding requests to delete, requests to correct, or requests to know. | (ggg)「サードパーティの本人確認サービス」とは、事業者に要求を行う消費者の本人確認を行う、独立したサードパーティが提供するセキュリティプロセスを意味する。サードパーティの本人確認サービスは、削除要求、修正要求、または開示要求に関する第 5 条に規定される要件に従うものとする。 |
| (hhh) “Unstructured” as it relates to personal information means personal information that is not organized in a pre-defined manner and could not be retrieved or organized in a pre-defined manner without disproportionate effort on behalf of the business, service provider, contractor, or third party. | (hhh)個人情報に関する「非構造化」とは、あらかじめ定義された方法で整理されておらず、事業者、サービスプロバイダ、契約業者、またはサードパーティが過度の努力を要することなく、あらかじめ定義された方法で取得または整理することができない個人情報を意味する。 |
| (iii) “Value of the consumer’s data” means the value provided to the business by the consumer’s data as calculated under section 7081. | (iii)「消費者のデータの価値」とは、セクション 7081 に基づいて計算された、消費者のデータが事業者に提供する価値を意味する。 |
| (jjj) “Verify” means to determine that the consumer making a request to delete, request to correct, request to know, or request to access ADMT is the consumer about whom the business has collected information, or if that consumer is less than 13 years of age, the consumer’s parent or legal guardian. | (jjj)「確認」とは、ADMT の削除、修正、開示、またはアクセスを要求する消費者が、事業者が情報を収集した消費者本人である、またはその消費者が 13 歳未満の場合は、その消費者の親または法定後見人であることを確認することを意味する。 |
| (kkk) | (kkk) |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections | 注:引用元:民法第 1798.185 条。参照:第 |
| 1798.100, 1798.105, 1798.106, 1798.110, 1798.115, 1798.120, 1798.121, 1798.125, 1798.130, 1798.135, 1798.140, 1798.145, 1798.150, 1798.155, 1798.175, 1798.185, 1798.199.40, 1798.199.45, 1798.199.50 and 1798.199.65, Civil Code. | 1798.100、1798.105、1798.106、1798.110、1798.115、1798.120、1798.121、1798.125、1798.130、1798. 135、1798.140、1798.145、1798.150、1798.155、1798.175、1798.185、1798.199.40、1798.199.45、1798.199. 50 および 1798.199.65、民法。 |
| § 7002. Restrictions on the Collection and Use of Personal Information. | § 7002. 個人情報の収集および利用の制限。 |
| (a) In accordance with Civil Code section 1798.100, subdivision (c), a business’s collection, use, retention, and/or sharing of a consumer’s personal information shall be reasonably necessary and proportionate to achieve: | (a)民法第 1798.100 条 (c)項に従い、事業者が消費者の個人情報を収集、利用、保持、および/または共有する場合は、以下の目的を達成するために合理的に必要かつ比例的なものでなければならない。 |
| (1) The purpose(s) for which the personal information was collected or processed, which shall comply with the requirements set forth in subsection (b); or | (1)個人情報が収集または処理された目的(サブセクション (b)に定める要件を満たすもの);または |
| (2) Another disclosed purpose that is compatible with the context in which the personal information was collected, which shall comply with the requirements set forth in subsection (c). | (2)個人情報が収集された文脈と相容れる他の開示された目的(サブセクション (c)に定める要件を満たすもの)。 |
| (b) The purpose(s) for which the personal information was collected or processed shall be consistent with the reasonable expectations of the consumer(s) whose personal information is collected or processed. The consumer’s (or consumers’) reasonable expectations concerning the purpose for which their personal information will be collected or processed shall be based on the following: | (b)個人情報が収集または処理された目的は、当該個人情報が収集または処理される消費者の合理的な期待と一致しなければならない。消費者の合理的な期待は、以下の事項に基づいて判断される: |
| (1) The relationship between the consumer(s) and the business. For example, if the consumer is intentionally interacting with the business on its website to purchase a good or service, the consumer likely expects that the purpose for collecting or processing the personal information is to provide that good or service. By contrast, for example, the consumer of a business’s mobile flashlight application would not expect the business to collect the consumer’s geolocation information to provide the flashlight service. | (1)消費者と事業者との関係。例えば、消費者が、商品またはサービスを購入するために、事業者のウェブサイト上で意図的に事業者とやり取りを行っている場合、消費者は、個人情報の収集または処理の目的は、その商品またはサービスの提供にあると予想するだろう。一方、例えば、事業者のモバイル懐中電灯アプリケーションの消費者は、懐中電灯サービスを提供するために、事業者が消費者の位置情報を収集することを予想しないだろう。 |
| (2) The type, nature, and amount of personal information that the business plans to collect or process. For example, if a business’s mobile communication application requests access to the consumer’s contact list in order to call a specific individual, the consumer who is providing their contact list likely expects that the purpose of the business’s use of that contact list will be to connect the consumer with the specific contact they selected. Similarly, if a business collects the consumer’s fingerprint in connection with setting up the security feature of unlocking the device using the fingerprint, the consumer likely expects that the business’s use of the consumer’s fingerprint is only for the purpose of unlocking their mobile device. | (2)企業が収集または処理する個人情報の種類、性質、および量。例えば、企業のモバイル通信アプリケーションが、特定の個人に電話をかけるために消費者の連絡先リストへのアクセスを要求する場合、連絡先リストを提供する消費者は、その連絡先リストの使用目的は、消費者が選択した特定の連絡先に接続することであると予想するでしょう。同様に、事業者が指紋によるデバイスのロック解除機能の設定に関連して消費者の指紋を収集する場合、消費者は、事業者がその指紋をモバイルデバイスのロック解除の目的のみに使用することを期待していると考えられる。 |
| (3) The source of the personal information and the business’s method for collecting or processing it. For example, if the consumer is providing their personal information directly to the business while using the business’s product or service, the consumer likely expects that the business will use the personal information to provide that product or service. However, the consumer may not expect that the business will use that same personal information for a different product or service offered by the business or the business’s subsidiary. | (3)個人情報の出所および事業者がその情報を収集または処理する方法。例えば、消費者が事業者の製品またはサービスを利用しながら、その事業者に個人情報を直接提供する場合、消費者は、その事業者がその個人情報をその製品またはサービスの提供のために使用することを期待するでしょう。しかし、消費者は、その事業者がその同じ個人情報を、その事業者またはその子会社が提供する別の製品またはサービスのために使用することを期待しないでしょう。 |
| (4) The specificity, explicitness, prominence, and clarity of disclosures to the consumer(s) about the purpose for collecting or processing their personal information, such as in the Notice at Collection and in the marketing materials to the consumer(s) about the business’s good or service. For example, the consumer who receives a pop-up notice that the business wants to collect the consumer’s phone number to verify their identity when they log in likely expects that the business will use their phone number for the purpose of verifying the consumer’s identity and not for marketing purposes. Similarly, the consumer may expect that a mobile application that markets itself as a service that finds gas prices near the consumer’s location will collect and use the consumer’s geolocation information for that specific purpose when they are using the service. | (4)消費者に個人情報の収集または処理の目的について開示する際の、開示の具体性、明確性、目立ちやすさ、および明確さ。例えば、収集時の通知や、事業者の商品またはサービスに関する消費者に提供するマーケティング資料における開示など。例えば、事業者が消費者のログイン時に身分確認のため電話番号を収集したいとポップアップ通知で表示した場合、消費者はその電話番号が身分確認の目的で利用され、マーケティング目的で利用されないことを期待するだろう。同様に、消費者は、自分の現在地周辺のガソリン価格を検索するサービスとして宣伝されているモバイルアプリケーションが、そのサービスを利用している間に、その特定の目的のために自分の位置情報を収集し、使用することを期待するだろう。 |
| (5) The degree to which the involvement of service providers, contractors, third parties, or other entities in the collecting or processing of personal information is apparent to the consumer(s). For example, the consumer likely expects an online retailer’s disclosure of the consumer’s name and address to a delivery service provider in order for that service provider to deliver a purchased product, because that service provider’s involvement is apparent to the consumer. By contrast, the consumer may not expect the disclosure of personal information to a service provider if the consumer is not directly interacting with the service provider or the service provider’s role in the processing is not apparent to the consumer. | (5)個人情報の収集または処理におけるサービスプロバイダ、契約業者、サードパーティ、またはその他の事業体の関与が、消費者にとってどの程度明らかであるか。例えば、消費者は、購入した商品を配送するために、オンライン小売業者が配送サービスプロバイダに消費者の氏名および住所を開示することを予想するだろう。これは、そのサービスプロバイダの関与が消費者にとって明らかだからだ。対照的に、消費者がサービスプロバイダと直接やり取りをしていない場合、またはサービスプロバイダの処理における役割が消費者にとって明らかではない場合、消費者は、サービスプロバイダへの個人情報の開示を予想しないかもしれない。 |
| (c) Whether another disclosed purpose is compatible with the context in which the personal information was collected shall be based on the following: | (c)他の開示された目的が個人情報の収集の文脈と相容れるかどうかは、以下の基準に基づいて判断される: |
| (1) At the time of collection of the personal information, the reasonable expectations of the consumer(s) whose personal information is collected or processed concerning the purpose for which their personal information will be collected or processed, based on the factors set forth in subsection (b). | (1)個人情報の収集時に、収集または処理される個人情報の消費者(複数可)が、その個人情報が収集または処理される目的について、サブセクション (b)に定める要因に基づいて抱く合理的な期待。 |
| (2) The other disclosed purpose for which the business plans to further collect or process the consumer’s personal information, including whether it is a business purpose listed in Civil Code section 1798.140, subdivisions (e)(1) – (e)(8). | (2)事業者が消費者の個人情報をさらに収集または処理する予定の他の開示された目的(民法1798.140条(e)(1)から(e)(8)に定める事業目的を含む)。 |
| (3) The strength of the link between subsection (c)(1) and subsection (c)(2). For example, a strong link exists between the consumer’s reasonable expectations that | (3)(c)(1)と(c)(2)の間の関連性の強さ。例えば、消費者の合理的な期待と |
| the personal information will be used to provide them with a requested service at the time of collection, and the use of the information to repair errors that impair the intended functionality of that requested service. This would weigh in favor of compatibility. By contrast, for example, a weak link exists between the consumer’s reasonable expectations that the personal information will be collected to provide a requested cloud storage service at the time of collection, and the use of the information to research and develop an unrelated facial recognition service. | 収集時に要求されたサービスを提供するために個人情報を使用することと、その要求されたサービスの意図された機能を損なうエラーを修復するために個人情報を使用することとの間には、強い関連性がある。これは、適合性を支持する要因となる。対照的に、例えば、収集時に要求されたクラウドストレージサービスを提供するために個人情報が収集されるという消費者の合理的な期待と、その情報を無関係の顔認識サービスの研究開発に使用することとの間には、弱い関連性がある。 |
| (d) For each purpose identified in compliance with subsection (a)(1) or (a)(2), the collection, use, retention, and/or sharing of a consumer’s personal information to achieve that purpose shall be reasonably necessary and proportionate. The business’s collection, use, retention, and/or sharing of a consumer’s personal information shall also be reasonably necessary and proportionate to achieve any purpose for which the business obtains the consumer’s consent in compliance with subsection (e). Whether a business’s collection, use, retention, and/or sharing of a consumer’s personal information is reasonably necessary and proportionate to achieve the purpose identified in compliance with subsection (a)(1) or (a)(2), or any purpose for which the business obtains consent, shall be based on the following: | (d)(a)(1)または (a)(2)に準拠して特定された各目的について、その目的を達成するために消費者の個人情報を収集、使用、保持、および/または共有することは、合理的に必要かつ比例的であるものとします。事業者が消費者の個人情報を収集、利用、保持、または共有することは、サブセクション (e)に従って消費者の同意を取得した目的を達成するためにも、合理的に必要かつ比例的である必要がある。事業者が、サブセクション (a)(1)または (a)(2)に準拠して特定した目的、または事業者が同意を得た目的を達成するために、消費者の個人情報を収集、使用、保持、および/または共有することが合理的に必要かつ比例的であるかどうかは、以下に基づいて判断される。 |
| (1) The minimum personal information that is necessary to achieve the purpose identified in compliance with subsection (a)(1) or (a)(2), or any purpose for which the business obtains consent. For example, to complete an online purchase and send an email confirmation of the purchase to the consumer, an online retailer may need the consumer’s order information, payment and shipping information, and email address. | (1)(a)(1)または (a)(2)に準拠して特定された目的、または事業者が同意を取得した目的を達成するために必要な最小限の個人情報。例えば、オンライン購入を完了し、購入確認の E メールを消費者に送信するには、オンライン小売業者は、消費者の注文情報、支払いおよび配送情報、E メールアドレスを必要とする場合があります。 |
| (2) The possible negative impacts on consumers posed by the business’s collection or processing of the personal information. For example, a possible negative impact of collecting precise geolocation information is that it may reveal other sensitive personal information about the consumer, such as health information based on visits to healthcare providers. | (2)当該事業者が個人情報を収集または処理することにより、消費者に与える可能性のある悪影響。例えば、正確な位置情報を収集することによる悪影響としては、医療プロバイダへの訪問履歴に基づく健康情報など、消費者に関するその他の機密性の高い個人情報が明らかになる可能性がある。 |
| (3) The existence of additional safeguards for the personal information to specifically address the possible negative impacts on consumers considered by the business in subsection (d)(2). For example, a business may consider encryption or automatic deletion of personal information within a specific window of time as potential safeguards. | (3)事業者が(d)(2)で考慮した消費者への潜在的な負の影響を具体的に対処するための、個人情報の追加的な保護措置の有無。例えば、事業者は、暗号化または特定の期間内に個人情報を自動的に削除する措置を、潜在的な保護措置として検討することができる。 |
| (e) A business shall obtain the consumer’s consent in accordance with section 7004 before collecting or processing personal information for any purpose that does not meet the requirements set forth in subsection (a). Except as set forth Civil Code section 1798.145, subdivision (r), or as otherwise prohibited by the CCPA, a consumer must be able to withdraw consent at any time. | (e)事業者は、サブセクション (a)に定める要件を満たさない目的で個人情報を収集または処理する場合、セクション 7004 に従って消費者の同意を取得しなければならない。民法セクション 1798.145 のサブセクション (r)に定める場合、または CCPA により別途禁止される場合を除き、消費者はいつでも同意を撤回できる必要がある。 |
| (f) A business shall not collect categories of personal information other than those disclosed in its Notice at Collection in accordance with the CCPA and section 7012. If the business intends to collect additional categories of personal information or intends to use the personal information for additional purposes that are incompatible with the disclosed purpose for which the personal information was collected, the business shall provide a new Notice at Collection. However, any additional collecting or processing of personal information shall comply with subsections (a) – (e). | (f)企業は、CCPA および第 7012 条に従って、収集時に通知した個人情報の種類以外の個人情報を収集してはならない。事業者が、追加の個人情報のカテゴリーを収集する、または個人情報の収集目的と矛盾する追加の目的で個人情報を使用する場合、事業者は、新たな収集通知を提供しなければならない。ただし、個人情報の追加の収集または処理は、サブセクション (a)から (e)を遵守しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.100, 1798.106, 1798.121, 1798.130, 1798.135 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参考:民法第 1798.100 条、1798.106 条、1798.121 条、1798.130 条、1798.135 条、および 1798.185 条。 |
| § 7003. Requirements for Disclosures and Communications to Consumers. | § 7003. 消費者への開示およびコミュニケーションに関する要件。 |
| (a) Disclosures and communications to consumers shall be easy to read and understandable to consumers. For example, they shall use plain, straightforward language and avoid technical or legal jargon. | (a)消費者への開示およびコミュニケーションは、消費者が読みやすく、理解しやすいものでなければならない。例えば、平易でわかりやすい言葉を使用し、専門用語や法律用語は避けること。 |
| (b) Disclosures required under Article 2 shall also: | (b)第 2 条で義務付けられている開示は、以下の条件も満たさなければならない。 |
| (1) Use a format that makes the disclosure readable, including on smaller screens, if applicable. | (1)必要に応じて、小さな画面でも読みやすい形式を使用すること。 |
| (2) Be available in the languages in which the business in its ordinary course provides contracts, disclaimers, sale announcements, and other information to consumers in California. | (2)企業が通常の業務において、カリフォルニア州の消費者に対して契約、免責事項、販売告知、およびその他の情報を提供する言語で入手可能であること。 |
| (3) Be reasonably accessible to consumers with disabilities. For notices provided online, the business shall follow generally recognized industry standards, such as the Web Content Accessibility Guidelines, version 2.1 of June 5, 2018, from the World Wide Web Consortium, incorporated herein by reference. In other contexts, the business shall provide information on how a consumer with a disability may access the policy in an alternative format. | (3)障害のある消費者も合理的にアクセスできるものでなければならない。オンラインで提供される通知については、事業者は、参照により本規定に組み込まれている、World Wide Web Consortium の 2018 年 6 月 5 日付の「Web コンテンツアクセシビリティガイドライン」バージョン 2.1 などの、一般的に認められた業界標準に従わなければならない。その他の状況では、事業者は、障害のある消費者が代替形式でポリシーにアクセスする方法に関する情報を提供しなければならない。 |
| (c) For websites, a conspicuous link required under the CCPA or these regulations shall appear in a similar manner as other similarly-posted links used by the business on its homepage(s). For example, the business shall use a font size and color that is at least the approximate size or color as other links next to it that are used by the business on any internet webpage where personal information is collected. | (c)ウェブサイトの場合、CCPAまたはこれらの規則に基づき必要な目立つリンクは、事業者がホームページに表示する他の同様のリンクと類似した方法で表示しなければならない。例えば、事業者は、個人情報を収集するインターネットウェブページ上で事業者が使用する他のリンクと、文字サイズまたは色が少なくともほぼ同じサイズまたは色のフォントを使用しなければならない。 |
| (d) For mobile applications, a conspicuous link shall be included in the business’s privacy policy, which must be accessible through the mobile application’s platform page or download page. It must also be accessible through a link within the application, such as through the application’s settings menu. | (d)モバイルアプリケーションの場合、企業のプライバシーポリシーに、モバイルアプリケーションのプラットフォームページまたはダウンロードページからアクセスできる目立つリンクを含めること。また、アプリケーションの設定メニューなど、アプリケーション内のリンクからもアクセスできること。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.100, 1798.105, 1798.106, 1798.110, 1798.115, 1798.120, 1798.121, 1798.125, 1798.130 and 1798.135, Civil Code. | 注:引用元:民法第 1798.185 条。参照:第 1798.100 条、1798. 105、1798.106、1798.110、1798.115、1798.120、1798.121、1798.125、1798.130、および1798.135、民法。 |
| § 7004. Requirements for Methods for Submitting CCPA Requests and Obtaining Consumer Consent. | § 7004. CCPA 請求の提出方法および消費者同意の取得に関する要件。 |
| (a) Except as expressly allowed by the CCPA and these regulations, businesses shall design and implement methods for submitting CCPA requests and obtaining consumer consent that incorporate the following principles: | (a)CCPA およびこれらの規則で明示的に認められる場合を除き、事業者は、CCPA 請求の提出方法および消費者同意の取得方法を設計し実施する際、以下の原則を組み込むものとする: |
| (1) Easy to understand. The methods shall use language that is easy for consumers to read and understand. When applicable, they shall comply with the requirements for disclosures to consumers set forth in section 7003. | (1)理解しやすい。当該方法は、消費者が読みやすく理解しやすい言語を使用するものとする。該当する場合、7003 項に規定される消費者への開示要件を遵守するものとする。 |
| (2) Symmetry in choice. The path for a consumer to exercise a more privacy-protective option shall not be longer or more difficult or time-consuming than the path to exercise a less privacy-protective option because that would impair or interfere with the consumer’s ability to make a choice. Illustrative examples and requirements follow. | (2)選択の対称性。消費者がよりプライバシー保護の厳しい選択肢を行使するための手順は、プライバシー保護の厳しくない選択肢を行使するための手順よりも、より長く、より困難、または時間のかかるものであってはならない。これは、消費者の選択能力を損なう、または妨げるものとなるからである。以下に、その例と要件を示す。 |
| (A) It is not symmetrical when a business’s process for submitting a request to optout of sale/sharing requires more steps than that business’s process for opting-in to the sale of personal information . For example, the number of steps for submitting a request to opt-out of sale/sharing as measured from when the consumer clicks on the “Do Not Sell or Share My Personal Information” link to completion of the request should be the same or fewer than the number of steps for submitting a request to opt-in to the sale of personal information where the business offers a link for consumers to learn more about opting-in to the business’s sale or sharing of their personal information . | (A)事業者が、個人情報の販売/共有を拒否する請求を提出するプロセスが、個人情報の販売に同意するプロセスよりも多くの手順を要する場合、対称性はない。例えば、消費者が「個人情報の販売または共有を拒否する」リンクをクリックしてからリクエストが完了するまでのステップ数は、事業者が消費者が事業者の個人情報の販売または共有に関するオプトインについて詳細を確認するためのリンクを提供している場合、個人情報の販売に関するオプトインのリクエストを提出するためのステップ数と同等またはそれ以下でなければならない。 |
| (B) A choice to opt-in to the sale of personal information that provides only the two options, “Yes” and “Ask me later,” is not equal or symmetrical because there is no option to decline the opt-in. “Ask me later” implies that the consumer has not declined but delayed the decision and that the business will continue to ask the consumer to opt-in. Framing the consumer’s options in this manner impairs the consumer’s ability to make a choice. An equal or symmetrical choice could be between “Yes” and “No.” | (B)「はい」と「後で聞く」の 2 つの選択肢のみを提供する個人情報の販売へのオプトインの選択は、オプトインを拒否する選択肢がないため、平等または対称ではない。「後で聞く」は、消費者が拒否したのではなく、決定を延期したことを意味し、事業者は引き続き消費者にオプトインを求めることになる。このように消費者の選択肢を組み立てることは、消費者の選択能力を損なう。平等かつ対称的な選択とは、「はい」と「いいえ」の 2 つの選択肢である。 |
| (C) A website banner that provides only the two options, “Accept All” and “More | (C)消費者に個人情報の使用に関する同意を求める際に、「すべて同意する」と「詳細情報」の 2 つの選択肢のみを提供するウェブサイトのバナー |
| Information,” or, “Accept All” and “Preferences,” when seeking the consumer’s | 、または「すべて同意する」と「設定」の 2 つの選択肢のみを提供するウェブサイトのバナー |
| consent to use their personal information is not equal or symmetrical because the method allows the consumer to “Accept All” in one step, but requires the consumer to take additional steps to exercise their rights over their personal information. Framing the consumer’s options in this manner impairs the consumer’s ability to make a choice. An equal or symmetrical choice could be between “Accept All” and “Decline All.” | 「すべて同意」を選択するだけで済む一方、個人情報の権利を行使するためには追加の手順が必要となるため、平等または対称的ではない。消費者の選択肢をこのように提示することは、消費者の選択能力を妨げる。平等または対称的な選択肢としては、「すべて同意」と「すべて拒否」が挙げられる。 |
| (D) A choice where the “yes” button is more prominent (e.g., larger in size or in a more eye-catching color) than the “no” button is not equal or symmetrical. | (D)「はい」ボタンが「いいえ」ボタンよりも目立つ(例:サイズが大きい、または目立つ色を使用している)選択は、平等または対称的ではない。 |
| (E) A choice where the option to participate in a financial incentive program is selected by default or featured more prominently (e.g., larger in size or in a more eye-catching color) than the choice not to participate in the program is neither equal nor symmetrical. | (E)金融インセンティブプログラムへの参加オプションがデフォルトで選択されている、または参加しないオプションよりも目立つように表示されている(例:サイズが大きい、または目立つ色を使用している)選択は、平等または対称的ではない。 |
| (3) Do not use language or interactive elements that are confusing to the consumer. The methods must not use double negatives, misleading statements or omissions, affirmative misstatements, or deceptive language. Toggles or buttons must clearly indicate the consumer’s choice. A consumer’s silence or failure to act affirmatively does not constitute consent. Illustrative examples of prohibited methods follow. | (3)消費者を混乱させる言語やインタラクティブ要素を使用しないでください。方法は、二重否定、誤解を招く陈述や省略、肯定的な誤陈述、または欺瞞的な言語を使用してはならない。トグルやボタンは、消費者の選択を明確に示さなければならない。消費者の沈黙または積極的な行動の欠如は、同意を構成しない。禁止される方法の例を以下に示す。 |
| (A) Giving the choice of “Yes” or “No” next to the statement “Do Not Sell or Share My Personal Information” is a double negative and a confusing choice for a consumer. | (A)「個人情報を販売または共有しない」という文の隣に「はい」または「いいえ」の選択肢を提示することは、二重否定であり、消費者にとって混乱を招く選択だ。 |
| (B) Toggles or buttons that state “on” or “off” are confusing to a consumer if they do not include further clarifying language. | (B)「オン」または「オフ」と表示されたトグルやボタンは、さらに説明的な文言を含まない場合、消費者にとって混乱を招く。 |
| (C) The unintuitive placement of buttons to confirm a consumer’s choice is confusing to the consumer. For example, it is confusing to the consumer when a business at first consistently offers choices in the order of “Yes,” then “No,” but then offers choices in the opposite order—“No,” then “Yes”—when asking the consumer something that would contravene the consumer’s expectation. | (C)消費者の選択を確認するためのボタンの配置が直感に反するものは、消費者にとって混乱を招く。例えば、事業者が最初に「はい」→「いいえ」の順で選択肢を提示し、その後、消費者の期待に反する事項について「いいえ」→「はい」の逆の順で選択肢を提示する場合、消費者にとって混乱を招く。 |
| (D) A consumer closing or navigating away from a pop-up window on a website that requests consent without first affirmatively selecting the equivalent of an “I accept” button shall not constitute consent. Such a method for obtaining consent is confusing to the consumer. | (D)ウェブサイトで同意を求めながら、消費者が「同意する」ボタンに相当するものを明示的に選択せずにポップアップウィンドウを閉じたり、画面を移動したりした場合、その行為は同意とみなされない。このような同意取得方法は、消費者にとって混乱を招く。 |
| (E) Choices driven by a false sense of urgency are misleading. A countdown clock displayed next to a consent choice which states “time is running out to consent to this data use and receive a limited discount” where the discount is not actually limited by time or availability is misleading. | (E)偽の緊急性を伴う選択は誤解を招く。同意選択の横に「このデータ利用に同意し、限定割引を受けるための時間が残り少なくなっています」と表示され、実際には時間や在庫で制限されていない割引を提示するカウントダウン時計は、誤解を招く。 |
| (4) Do not use choice architecture that impairs or interferes with the consumer’s ability to make a choice. Businesses must not design their methods in a manner that would impair the consumer’s ability to exercise their choice because consent must be freely given, specific, informed, and unambiguous. Illustrative examples and requirements follow. | (4)消費者の選択能力を妨げたり、干渉したりする選択アーキテクチャを使用してはならない。企業は、同意が自由意思に基づき、特定され、情報提供が十分で、明確である必要があるため、消費者の選択権を行使する能力を妨げるような方法で設計してはならない。具体的な例と要件は以下に示す。 |
| (A) Requiring the consumer to click through disruptive screens before they are able to submit a request to opt-out of sale/sharing is a choice architecture that impairs or interferes with the consumer’s ability to exercise their choice. | (A)消費者が販売/共有のオプトアウトをリクエストする前に、邪魔な画面をクリックさせることは、消費者の選択権を行使する能力を妨げるまたは干渉する選択アーキテクチャである。 |
| (B) Bundling choices so that the consumer is only offered the option to consent to using personal information for purposes that meet the requirements set forth in section 7002, subsection (a), together with purposes that are incompatible with the context in which the personal information was collected is a choice architecture that impairs or interferes with the consumer’s ability to make a choice. For example, a business that provides a location-based service, such as a mobile application that finds gas prices near the consumer’s location, shall not require the consumer to consent to incompatible uses (e.g., sale of the consumer’s geolocation to data brokers) together with a reasonably necessary and proportionate use of geolocation information for providing the locationbased services, which does not require consent. This type of choice architecture does not allow consent to be freely given, specific, informed, or unambiguous because it requires the consumer to consent to incompatible uses in order to obtain the expected service. The business must provide the consumer a separate option to consent to the business’s use of personal information that does not meet the requirements set forth in section 7002, subsection (a). | (B)消費者が、個人情報の収集目的と相容れない目的を含む、第7002条(a)項で定められた要件を満たす目的への個人情報の利用に同意する選択肢のみを提示する形で選択肢を束ねることは、消費者の選択能力を阻害または妨げる選択アーキテクチャに該当する。例えば、消費者の現在地付近のガソリン価格を検索するモバイルアプリケーションなどの位置情報サービスを提供する事業者は、位置情報サービスの提供のために合理的に必要かつ比例的な位置情報の利用(同意を必要としない)とともに、相容れない利用(消費者の位置情報のデータブローカーへの販売など)への同意を消費者に要求してはならない。この種の選択アーキテクチャは、消費者が期待するサービスを受けるために、相容れない利用に同意することを要求するため、自由で、具体的、情報に基づく、かつ明確な同意を得ることができない。事業者は、第 7002 条 (a)項に定める要件を満たさない個人情報の利用について、消費者に別途同意を求める選択肢を提供しなければならない。 |
| (C) Acceptance of general or broad terms of use, or a similar document, that contains descriptions of personal information processing along with other, unrelated information. This type of choice architecture prevents consent from being freely given, specific, and informed, or from signifying agreement for a narrowly defined particular purpose. | (C)個人情報の処理に関する説明が、他の無関係な情報とともに記載された、一般的または広範な利用規約、または同様の文書への同意。この種の選択の仕組みでは、自由で、具体的かつ情報に基づく同意を得ることができず、また、狭義の特定の目的への同意を意味することにもならない。 |
| (5) Easy to execute. The business shall not add unnecessary burden or friction to the process by which the consumer submits a CCPA request or provides or withdraws consent. Methods must be tested to ensure that they are functional and do not undermine the consumer’s choice to submit the request. Illustrative examples and requirements follow. | (5)実行が容易であること。企業は、消費者が CCPA に基づく要求を提出したり、同意を提供または撤回したりするプロセスに、不必要な負担や摩擦を追加してはならない。その方法が機能し、消費者の要求の提出の選択を損なうものではないことを確認するためのテストを行う必要がある。以下に、その例と要件を示す。 |
| (A) Upon clicking the “Do Not Sell or Share My Personal Information” link, the business shall not require the consumer to search or scroll through the text of a privacy policy or similar document or webpage to locate the mechanism for submitting a request to opt-out of sale/sharing. | (A)「私の個人情報を販売または共有しない」リンクをクリックした場合、企業は、販売/共有のオプトアウト要求を提出するための仕組みを見つけるために、消費者にプライバシーポリシーや同様の文書、ウェブページのテキストを検索またはスクロールすることを要求してはならない。 |
| (B) A business that knows of, but does not remedy, circular or broken links, or nonfunctional email addresses, such as inboxes that are not monitored or have aggressive filters that screen emails from the public, may be in violation of this regulation. | (B)通達やリンクの破損、または監視されていない受信箱や一般からのメールを排除する強力なフィルタが設定されている受信箱など、機能しないメールアドレスを認識しながら、その改善を行わない事業者は、本規制に違反している可能性がある。 |
| (C) Businesses that require the consumer to unnecessarily wait on a webpage as the business processes the request or require consumers to fill out multiple or duplicative forms or impose unnecessary waiting periods between form submissions may be in violation of this regulation. | (C)事業者が、消費者がウェブページ上で不要な待機を要する、または複数の重複するフォームの記入を要求する、またはフォームの提出間に不要な待機期間を課す場合、この規制に違反する可能性がある。 |
| (D) Businesses that require the consumer to call a toll-free telephone number to submit a CCPA request must ensure that the individuals handling those phone calls have the knowledge and ability to process the consumer’s CCPA requests. | (D)事業者が、CCPA 請求を提出するために消費者にフリーダイヤル番号への電話を要求する場合、その電話対応者は、消費者の CCPA 請求を処理する知識と能力を有していることを確認しなければならない。 |
| (b) A method that does not comply with subsection (a) may be a dark pattern. The illustrative examples provided in subsection (a) constitute a non-exhaustive list of dark patterns. Any agreement obtained through the use of dark patterns shall not constitute consumer consent. For example, a business that uses dark patterns to obtain consent from a consumer to sell their personal information shall be in the position of never having obtained the consumer’s consent to do so. | (b)(a)項に準拠していない方法は、ダークパターンである可能性がある。(a)項で挙げた例は、ダークパターンの例の一部であり、すべてを網羅するものではない。ダークパターンを使用して取得した合意は、消費者の同意とはみなされない。例えば、ダークパターンを使用して消費者に個人情報の販売に関する同意を取得した事業者は、消費者の同意をまったく取得していないものとみなされる。 |
| (c) A user interface is a dark pattern if the interface has the effect of substantially subverting or impairing user autonomy, decisionmaking, or choice. A business’s intent in designing the interface is not determinative in whether the user interface is a dark pattern, but a factor to be considered. If a business did not intend to design the user interface to subvert or impair user choice, but the business knows of and does not remedy a user interface that has that effect, the user interface is still a dark pattern. | (c)ユーザーインターフェースは、ユーザーのアウターノミー、意思決定、または選択を実質的に妨害または損なう効果を有する場合は、ダークパターンに該当する。事業者がインターフェースを設計する際の意図は、ユーザーインターフェースがダークパターンに該当するかどうかを決定する要因ではないが、考慮すべき要因の一つである。事業者が、ユーザーの選択を覆したり損なうようなユーザーインターフェースを設計する意図はなかったものの、その効果のあるユーザーインターフェースを認識しながら、それを是正しなかった場合、そのユーザーインターフェースはダークパターンとなる。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.100, 1798.105, 1798.106, 1798.110, 1798.115, 1798.120, 1798.121, 1798.125, 1798.130, 1798.135, 1798.140 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:第 1798.100 条、第 1798.105 条、第 1798. 106、1798.110、1798.115、1798.120、1798.121、1798.125、1798.130、1798.135、1798.140および1798.185、民法。 |
| ARTICLE 2. REQUIRED DISCLOSURES TO CONSUMERS | 第 2 条 消費者に対する開示義務 |
| § 7010. Overview of Required Disclosures. | § 7010. 開示義務の概要 |
| (a) Every business that must comply with the CCPA and these regulations shall provide a privacy policy in accordance with the CCPA and section 7011. | (a)CCPA および本規則を遵守しなければならないすべての事業者は、CCPA および第 7011 条に従って、プライバシーポリシーを提示しなければならない。 |
| (b) A business that controls the collection of a consumer’s personal information from a consumer shall provide a Notice at Collection in accordance with the CCPA and section 7012. | (b)消費者から消費者の個人情報の収集を管理する事業者は、CCPA および第 7012 条に従って、収集時に通知を提供しなければならない。 |
| (c) A business that uses ADMTas set forth in section 7200, subsection (a), must provide consumers with a Pre-use Notice in accordance with section 7220. | (c)第 7200 条 (a)項に規定される ADMT を使用する事業者は、第 7220 条に従って、消費者に使用前の通知を提供しなければならない。 |
| (d) Except as set forth in section 7221, subsection (b), a business that uses ADMT as set forth in section 7200, subsection (a), must include in its Pre-use Notice a link through which consumers can opt-out of the business’s use of ADMT , in accordance with section 7221, subsection | (d)第7221条第(b)項に定める場合を除き、第7200条第(a)項に定めるADMTを利用する事業者は、第7221条第(c)(1)項に従い、消費者が事業者のADMTの利用を拒否できるリンクを事前利用通知に含めなければならない。 |
| (c)(1). | |
| (e) Except as set forth in section 7025, subsection (g), a business that sells or shares personal information shall provide a Notice of Right to Opt-out of Sale/Sharing or the Alternative Opt-out Link in accordance with the CCPA and sections 7013 and 7015. | (e)第 7025 条(g)項に規定する場合を除き、個人情報を販売または共有する事業者は、CCPA および第 7013 条および第 7015 条に従って、販売/共有のオプトアウトの権利に関する通知、または代替のオプトアウトリンクを提供しなければならない。 |
| (f) A business that uses or discloses a consumer’s sensitive personal information for purposes other than those specified in section 7027, subsection (m), shall provide a Notice of Right to Limit or the Alternative Opt-out Link in accordance with the CCPA and sections 7014 and 7015. | (f)第 7027 条 (m)項で規定されている目的以外で消費者の機密個人情報を使用または開示する企業は、CCPA および第 7014 条および第 7015 条に従って、制限の権利に関する通知または代替オプトアウトリンクを提供しなければならない。 |
| (g) A business that offers a financial incentive or price or service difference shall provide a Notice of Financial Incentive in accordance with the CCPA and section 7016. | (g)金銭的インセンティブ、価格またはサービスの差額を提供する事業者は、CCPA およびセクション 7016 に従って、金銭的インセンティブに関する通知を提供しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.100, 1798.105, 1798.106, 1798.110, 1798.115, 1798.120, 1798.121, 1798.125, 1798.130, 1798.135, and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:セクション 1798.100、1798.105、1798.106、1798. 110、1798.115、1798.120、1798.121、1798.125、1798.130、1798.135、および 1798.185、民法。 |
| § 7011. Privacy Policy. | § 7011. プライバシーポリシー。 |
| (a) The purpose of the privacy policy is to provide consumers with a comprehensive description of a business’s online and offline information practices. It shall also inform consumers about the rights they have regarding their personal information and provide any information necessary for them to exercise those rights. | (a)プライバシーポリシーの目的は、消費者に、企業のオンラインおよびオフラインの情報取り扱いについて包括的に説明することです。また、消費者に、自分の個人情報に関する権利について通知し、その権利を行使するために必要な情報を提供しなければなりません。 |
| (b) The privacy policy shall comply with section 7003, subsections (a) and (b). | (b)プライバシーポリシーは、第 7003 条 (a)および (b)を遵守しなければなりません。 |
| (c) The privacy policy shall be available in a format that allows a consumer to print it out as a document. | (c)プライバシーポリシーは、消費者が文書として印刷できる形式で提供しなければならない。 |
| (d) The privacy policy shall be posted online and accessible through a conspicuous link that complies with section 7003, subsections (c) and (d), using the word “privacy” on the business’s website homepage(s) or on the download or landing page of a mobile application. If the business has a California-specific description of consumers’ privacy rights on its website, then the privacy policy shall be included in that description. A business that does not operate a website shall make the privacy policy conspicuously available to consumers. A mobile application must also include a link to the privacy policy in the application’s settings menu. | (d)プライバシーポリシーは、企業のウェブサイトのホームページ、またはモバイルアプリケーションのダウンロードページもしくはランディングページに、「プライバシー」という単語を使用して、第 7003 条 (c)および (d)に準拠した目立つリンクからアクセスできる形で掲載しなければならない。事業者が、そのウェブサイトにカリフォルニア州特有の消費者のプライバシー権に関する説明を掲載している場合は、プライバシーポリシーはその説明に含めること。ウェブサイトを運営していない事業者は、プライバシーポリシーを消費者が目立つように公開すること。モバイルアプリケーションには、アプリケーションの設定メニューにプライバシーポリシーへのリンクも掲載すること。 |
| (e) The privacy policy shall include the following information: | (e)プライバシーポリシーには、以下の情報を含めること。 |
| (1) A comprehensive description of the business’s online and offline information practices, which includes the following: | (1)企業のオンラインおよびオフラインの情報取り扱いに関する包括的な説明。これには以下が含まれる。 |
| (A) Identification of the categories of personal information the business has collected about consumers in the preceding 12 months. The categories shall be described using the specific terms set forth in Civil Code section 1798.140, subdivisions (v)(1)(A) – (K) and (ae)(1) – (2). To the extent that the business has discretion in its description, the business shall describe the category in a manner that provides consumers a meaningful understanding of the information being collected. | (A)企業が過去 12 ヶ月間に消費者について収集した個人情報のカテゴリーの特定。カテゴリーは、民法第 1798.140 条、サブディビジョン (v)(1)(A)– (K)および (ae)(1)– (2)に規定される特定の用語を使用して記述するものとする。事業者がその記述について裁量権を有する場合、事業者は、消費者が収集される情報を意味的に理解できる方法で、そのカテゴリーを記述しなければならない。 |
| (B) Identification of the categories of sources from which the personal information is collected. The categories shall be described in a manner that provides consumers a meaningful understanding of where the information is collected. | (B)個人情報が収集される情報源のカテゴリーの特定。カテゴリーは、消費者が情報が収集される場所を意味的に理解できる方法で記述しなければならない。 |
| (C) Identification of the specific business or commercial purpose for collecting personal information from consumers. The purpose shall be described in a manner that provides consumers a meaningful understanding of why the information is collected. | (C)消費者から個人情報を収集する具体的な事業または商業上の目的。その目的は、消費者がその情報が収集される理由について意味のある理解ができるように記述するものとする。 |
| (D) Identification of the categories of personal information, if any, that the business has sold or shared to third parties in the preceding 12 months. If the business has not sold or shared consumers’ personal information in the preceding 12 months, the business shall disclose that fact. | (D)過去 12 ヶ月間に事業者がサードパーティに販売または共有した個人情報のカテゴリー(ある場合)。過去 12 ヶ月間に消費者の個人情報を販売または共有していない場合は、その事実を開示するものとする。 |
| (E) For each category of personal information identified in subsection (e)(1)(D), the categories of third parties to whom the information was sold or shared. The categories of third parties shall be described in a manner that provides consumers a meaningful understanding of the parties to whom the information is sold or shared. | (E)(e)(1)(D)で特定された個人情報のカテゴリーごとに、その情報が販売または共有されたサードパーティのカテゴリー。サードパーティのカテゴリーは、消費者がその情報が販売または共有された当事者を十分に理解できる方法で記載しなければならない。 |
| (F) Identification of the specific business or commercial purpose for selling or sharing consumers’ personal information. The purpose shall be described in a manner that provides consumers a meaningful understanding of why the information is sold or shared. | (F)消費者の個人情報を販売または共有する具体的な事業または商業目的を特定すること。その目的は、消費者がその情報が販売または共有される理由を意味のある形で理解できる形で記載すること。 |
| (G) A statement regarding whether the business has actual knowledge that it sells or shares the personal information of consumers under 16 years of age. | (G)16 歳未満の消費者の個人情報を販売または共有していることを事業者が実際に認識しているかどうかに関する声明。 |
| (H) Identification of the categories of personal information, if any, that the business has disclosed to a service provider or contractor for a business purpose in the preceding 12 months. If the business has not disclosed consumers’ personal information for a business purpose in the preceding 12 months, the business shall disclose that fact. | (H)過去 12 ヶ月間に、事業目的のためにサービスプロバイダまたは請負業者に開示した個人情報のカテゴリー(ある場合)。過去 12 ヶ月間に、事業目的のために消費者の個人情報を開示していない場合は、その事実を開示すること。 |
| (I) Identification of the specific business or commercial purpose for disclosing the consumer’s personal information. The purpose shall be described in a manner that provides consumers a meaningful understanding of why the information is disclosed. | (I)消費者の個人情報を開示する具体的な事業または商業目的。その目的は、消費者がその情報の開示理由について意味のある理解ができるように記載するものとする。 |
| (J) A statement regarding whether the business uses or discloses sensitive personal information for purposes other than those specified in section 7027, subsection (m). | (J)事業者が、第 7027 条(m)項で規定される目的以外で、機密性の高い個人情報を利用または開示するかどうかに関する声明。 |
| (2) An explanation of the rights that the CCPA confers on consumers regarding their personal information, which includes all of the following: | (2)CCPA が消費者に付与する、消費者の個人情報に関する権利の説明。これには、以下のすべてが含まれる。 |
| (A) The right to know what personal information the business has collected about the consumer, including the categories of personal information, the categories of sources from which the personal information is collected, the business or commercial purpose for collecting, selling, or sharing personal information, the categories of third parties to whom the business discloses personal information, and the specific pieces of personal information the business has collected about the consumer. | (A)企業が消費者について収集した個人情報(個人情報のカテゴリー、個人情報の収集元、個人情報の収集、販売、共有の事業または商業目的、企業が個人情報を開示するサードパーティのカテゴリー、および企業が消費者について収集した個人情報の具体的な内容を含む)を知る権利。 |
| (B) The right to delete personal information that the business has collected from the consumer, subject to certain exceptions. | (B)事業者が消費者から収集した個人情報を削除する権利(一定の例外を除く)。 |
| (C) The right to correct inaccurate personal information that a business maintains about a consumer. | (C)事業者が消費者について保持する不正確な個人情報を訂正する権利。 |
| (D) If the business sells or shares personal information, the right to opt-out of the sale or sharing of their personal information by the business. | (D)事業者が個人情報を販売または共有する場合、その個人情報の販売または共有を拒否する権利。 |
| (E) If the business uses or discloses sensitive personal information for reasons other than those set forth in section 7027, subsection (m), the right to limit the use or disclosure of sensitive personal information by the business. | (E)事業者が、第7027条第(m)項に定める目的以外で機微な個人情報を利用または開示する場合、事業者が機微な個人情報の利用または開示を制限する権利。 |
| (F) Except as set forth in section 7221, subsection (b), if the business uses ADMT as set forth in section 7200, subsection (a), the right to opt-out of ADMT. | (F)第7221条第(b)項に定める場合を除き、事業者が第7200条第(a)項に定めるADMTを使用する場合、ADMTへの参加を拒否する権利。 |
| (G) If the business uses ADMTas set forth in section 7200, subsections (a), the right to access ADMT. | (G)事業者が第7200条第(a)項に定めるADMTを使用する場合、ADMTへのアクセス権。 |
| (H) The right not to be retaliated against for exercising privacy rights conferred by the CCPA, including when a consumer is an applicant to an educational program, a job applicant, a student, an employee, or an independent contractor . | (H)消費者が教育プログラムへの応募者、就職希望者、学生、従業員、または独立請負業者である場合を含め、CCPA によって付与されたプライバシー権を行使したことに対して報復を受けない権利。 |
| (3) An explanation of how consumers can exercise their CCPA rights and what consumers can expect from that process, which includes all of the following: | (3)消費者が CCPA の権利を行使する方法、およびそのプロセスにおいて消費者が期待できる内容の説明。これには、以下のすべてが含まれる。 |
| (A) An explanation of the methods by which the consumer can exercise their CCPA rights. | (A)消費者がCCPAに基づく権利を行使する方法の説明。 |
| (B) Instructions for submitting a request under the CCPA, including any links to an online request form or portal for making such a request, if offered by the business. | (B)CCPAに基づく請求を提出するための手順、事業者がオンライン請求フォームまたはポータルを提供している場合、そのリンクを含む。 |
| (C) If the business sells or shares personal information, and is required to provide a Notice of Right to Opt-out of Sale/Sharing, the contents of the Notice of Right to Opt-out of Sale/Sharing or a link to that notice in accordance with section 7013, subsection (f). | (C)企業が個人情報を販売または共有し、販売/共有のオプトアウトの権利に関する通知の提供が義務付けられている場合、セクション 7013、サブセクション (f)に準拠した、販売/共有のオプトアウトの権利に関する通知の内容、またはその通知へのリンク。 |
| (D) If the business uses or discloses sensitive personal information for purposes other than those specified in section 7027, subsection (m), and is required to provide a Notice of Right to Limit, the contents of the Notice of Right to Limit or a link to that notice in accordance with section 7014, subsection (f). | (D)企業が、セクション 7027、サブセクション (m)で規定された目的以外で機密性の高い個人情報を使用または開示し、制限の権利に関する通知の提供が義務付けられている場合、セクション 7014、サブセクション (f)に準拠した、制限の権利に関する通知の内容、またはその通知へのリンク。 |
| (E) A general description of the process the business uses to verify a consumer request to know, request to delete, request to correct, and request to access ADMT, when applicable, including any information the consumer must provide. | (E)消費者が ADMT の開示、削除、修正、およびアクセスを要求した場合、事業者がその要求を確認するための一般的な手順の説明。これには、消費者が提供しなければならない情報も含まれる。 |
| (F) Explanation of how an opt-out preference signal will be processed for the consumer (i.e., whether the signal applies to the device, browser, consumer account, and/or offline sales, and in what circumstances) and how the consumer can use an opt-out preference signal. | (F)オプトアウトの好み信号が消費者に対してどのように処理されるか(すなわち、信号がデバイス、ブラウザ、消費者アカウント、および/またはオフライン販売に適用されるかどうか、およびどのような状況下で適用されるか)の説明、および消費者がオプトアウトの好み信号を使用する方法。 |
| (G) If the business processes opt-out preference signals in a frictionless manner, information on how consumers can implement opt-out preference signals for the business to process in a frictionless manner. | (G)企業がオプトアウトの希望信号を摩擦のない方法で処理する場合、消費者がオプトアウトの希望信号を摩擦のない方法で処理するために実施できる方法に関する情報。 |
| (H) Instructions on how an authorized agent can make a request under the CCPA on the consumer’s behalf. | (H)認定代理人が消費者に代わって CCPA に基づく要求を行う方法に関する説明。 |
| (I) If the business has actual knowledge that it sells the personal information of consumers under 16 years of age, a description of the processes required by sections 7070 and 7071. | (I)16 歳未満の消費者の個人情報を販売していることを実際に知っている場合、セクション 7070 および 7071 で要求されるプロセスの説明。 |
| (J) A contact for questions or concerns about the business’s privacy policies and information practices using a method reflecting the manner in which the business primarily interacts with the consumer. | (J)企業のプライバシーポリシーおよび情報取り扱いについて質問や懸念がある場合の、企業が消費者と主にやり取りを行う方法に反映した連絡方法。 |
| (4) Date the privacy policy was last updated. | (4)プライバシーポリシーの最終更新日。 |
| (5) If subject to the data reporting requirements set forth in section 7102, the information required under section 7102, or a link to that information. | (5)第 7102 条に定めるデータ報告要件の対象となる場合、第 7102 条で要求される情報、またはその情報へのリンク。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.100, 1798.105, 1798.106, 1798.110, 1798.115, 1798.120, 1798.121, 1798.125, 1798.130, 1798.135, and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:第 1798.100 条、1798.105 条、1798.106 条、1798. 110、1798.115、1798.120、1798.121、1798.125、1798.130、1798.135、および1798.185、民法。 |
| § 7012. Notice at Collection of Personal Information. | § 7012. 個人情報の収集時の通知。 |
| (a) The purpose of the Notice at Collection is to provide consumers with timely notice, at or before the point of collection, about the categories of personal information to be collected from them, the purposes for which the personal information is collected or used, and whether that information is sold or shared, so that consumers have a tool to exercise meaningful control over the business’s use of their personal information. For example, upon receiving the Notice at Collection, the consumer can use the information in the notice as a tool to choose whether to engage with the business, or to direct the business not to sell or share their personal information and to limit the use and disclosure of their sensitive personal information. | (a)収集時の通知の目的は、収集時点または収集前に、消費者に対して、収集する個人情報のカテゴリー、その個人情報の収集または使用の目的、およびその情報が販売または共有されるかどうかについて、タイムリーに通知し、消費者が企業の個人情報の使用について有意義な管理を行うための手段を提供することです。例えば、収集時の通知を受け取った消費者は、通知に記載された情報をツールとして使用し、事業者と取引を行うかどうかを選択したり、事業者に個人情報の販売または共有を拒否させたり、機微な個人情報の利用や開示を制限させたりすることができる。 |
| (b) The Notice at Collection shall comply with section 7003, subsections (a) and (b). | (b)収集時の通知は、第7003条(a)項および(b)項に準拠しなければならない。 |
| (c) The Notice at Collection shall be made readily available where consumers will encounter it at or before the point of collection of any personal information. Illustrative examples follow. | (c)収集時の通知は、消費者が個人情報を収集する時点またはその前に、消費者が閲覧できる場所に容易にアクセス可能な形で提供されなければならない。具体的な例を以下に示す。 |
| (1) When a business collects consumers’ personal information online, it may post a conspicuous link to the notice on the introductory page of the business’s website and on all webpages where personal information is collected. | (1)企業がオンラインで消費者の個人情報を収集する場合、企業のウェブサイトの見出しページおよび個人情報を収集するすべてのウェブページに、通知への目立つリンクを掲載することができる。 |
| (2) When a business collects consumers’ personal information through a webform, it may post a conspicuous link to the notice in close proximity to the fields in which the consumer inputs their personal information, or in close proximity to the button by which the consumer submits their personal information to the business. | (2)事業者がウェブフォームを通じて消費者の個人情報を収集する場合、事業者は、消費者が個人情報を入力するフィールドの近く、または消費者が個人情報を事業者に送信するボタン付近に、通知への目立つリンクを掲載することができる。 |
| (3) When a business collects personal information through a mobile application, it may provide a link to the notice on the mobile application’s download page and within the application, such as through the application’s settings menu. | (3)企業がモバイルアプリケーションを通じて個人情報を収集する場合、モバイルアプリケーションのダウンロードページ、およびアプリケーションの設定メニューなど、アプリケーション内に通知へのリンクを掲載することができる。 |
| (4) When a business collects consumers’ personal information offline, it may include the notice on printed forms that collect personal information, provide the consumer with a paper version of the notice, or post prominent signage directing consumers to where the notice can be found online. | (4)企業がオフラインで消費者の個人情報を収集する場合、個人情報を収集する印刷されたフォームに通知を記載するか、消費者に通知の紙版を提供するか、または消費者がオンラインで通知を確認できる場所を示す目立つ表示を掲載することができる。 |
| (5) When a business collects personal information over the telephone or in person, it may provide the notice orally. | (5)企業が電話または直接、個人情報を収集する場合、その通知は口頭で行うことができる。 |
| (d) If a business does not give the Notice at Collection to the consumer at or before the point of collection of their personal information, the business shall not collect personal information from the consumer. | (d)企業が、個人情報の収集時点またはその前に、収集時に収集通知を消費者に提供しない場合、その企業は、消費者から個人情報を収集してはならない。 |
| (e) A business shall include the following in its Notice at Collection: | (e)企業は、収集通知に以下の事項を含めるものとする。 |
| (1) A list of the categories of personal information about consumers, including categories of sensitive personal information, to be collected. Each category of personal information shall be written in a manner that provides consumers a meaningful understanding of the information being collected. | (1)収集する消費者の個人情報のカテゴリー(機密性の高い個人情報のカテゴリーを含む)の一覧。個人情報の各カテゴリーは、消費者が収集される情報を意味的に理解できる形で記載しなければならない。 |
| (2) The purpose(s) for which the categories of personal information, including categories of sensitive personal information, are collected and used. | (2)機密性の高い個人情報のカテゴリーを含む、個人情報のカテゴリーを収集および使用する目的。 |
| (3) Whether each category of personal information identified in subsection (e)(1) is sold or shared. | (3)(e)(1)で特定された個人情報の各カテゴリーが販売または共有されるかどうか。 |
| (4) The length of time the business intends to retain each category of personal information identified in subsection (e)(1), or if that is not possible, the criteria used to determine the period of time it will be retained. | (4)事業者が (e)(1)で特定された個人情報の各カテゴリーを保存する予定期間、またはそれが不可能な場合は、保存期間を決定するための規準。 |
| (5) If the business sells or shares personal information, the link to the Notice of Right to Opt-out of Sale/Sharing, or in the case of offline notices, where the webpage can be found online. | (5)企業が個人情報を販売または共有する場合、販売/共有のオプトアウトに関する通知へのリンク、またはオフラインの通知の場合は、そのウェブページがオンラインで閲覧できる場所。 |
| (6) A link to the business’s privacy policy, or in the case of offline notices, where the privacy policy can be found online. | (6)企業のプライバシーポリシーへのリンク、またはオフラインの通知の場合は、そのプライバシーポリシーがオンラインで閲覧できる場所。 |
| (f) If a business collects personal information from a consumer online, the Notice at Collection may be given to the consumer by providing a link that takes the consumer directly to the specific section of the business’s privacy policy that contains the information required in subsections (e)(1) – (6). Directing the consumer to the beginning of the privacy policy, or to another section of the privacy policy that does not contain the required information, so that the consumer is required to scroll through other information to determine the categories of personal information to be collected and/or whether the business sells or shares the personal information collected, does not satisfy this standard. | (f)企業がオンラインで消費者から個人情報を収集する場合、収集時の通知は、(e)(1)から (6)で要求される情報を含む、企業のプライバシーポリシーの特定のセクションに直接アクセスできるリンクを提供することで、消費者に提供することができる。消費者にプライバシーポリシーの冒頭、または必要な情報を含まないプライバシーポリシーの別のセクションに誘導し、消費者が他の情報をスクロールして、収集される個人情報のカテゴリー、および/または企業が収集した個人情報を販売または共有するかどうかを確認することを義務付けることは、この標準を満たさない。 |
| (g) Third Parties that Control the Collection of Personal Information. This subsection shall not affect the first party’s obligations under the CCPA to comply with a consumer’s request to opt-out of sale/sharing. | (g)個人情報の収集を管理するサードパーティ。このサブセクションは、CCPA に基づく、販売/共有のオプトアウトに関する消費者の要求に従うというファーストパーティの義務に影響を与えない。 |
| (1) For purposes of giving Notice at Collection, more than one business may control the collection of a consumer’s personal information, and thus, have an obligation to provide a Notice at Collection in accordance with the CCPA and these regulations. For example, a first party may allow another business, acting as a third party, to control the collection of personal information from consumers browsing the first party’s website. Both the first party that allows the third parties to collect personal information via its website, as well as the third party controlling the collection of personal information, shall provide a Notice at Collection. The first party and third parties may provide a single Notice at Collection that includes the required information about their collective information practices. | (1)収集時の通知を行う目的で、複数の企業が消費者の個人情報の収集を管理する場合、その企業は CCPA および本規則に従って収集時の通知を行う義務を負う。例えば、ファーストパーティは、サードパーティとして行動する別の事業者に、ファーストパーティのウェブサイトを閲覧する消費者からの個人情報の収集を管理することを許可する場合がある。サードパーティがウェブサイトを通じて個人情報を収集することを許可するファーストパーティ、および個人情報の収集を管理するサードパーティは、いずれも収集時の通知を行う必要がある。ファーストパーティとサードパーティは、両者の情報取り扱いに関する必要な情報を記載した単一の収集時の通知を提供することができる。 |
| (2) A business that, acting as a third party, controls the collection of personal information on another business’s physical premises, such as in a retail store or in a vehicle, shall provide a Notice at Collection in a conspicuous manner at the physical location(s) where it is collecting the personal information. | (2)サードパーティとして、小売店や自動車など、他の企業の物理的な施設において個人情報の収集を管理する企業は、個人情報を収集する物理的な施設において、収集時に通知を目立つように提供しなければならない。 |
| (3) Illustrative examples follow. | (3)例を以下に示す。 |
| (A) Business F allows Business G, a third party ad network, to collect consumers’ personal information through Business F’s website. Business F may post a conspicuous link to its Notice at Collection on its homepage(s). Business G shall provide a Notice at Collection on its homepage(s) or include the required information about its information practices in Business F’s Notice at Collection. | (A)企業 F は、サードパーティの広告ネットワークである企業 G が、企業 F のウェブサイトを通じて消費者の個人情報を収集することを許可している。企業 F は、そのホームページに、収集時の通知への目立つリンクを掲載することができる。企業 G は、そのホームページに収集時の通知を掲載するか、企業 F の収集時の通知に、自社の情報取り扱いに関する必要な情報を記載しなければならない。 |
| (B) Business H, a coffee shop, allows Business I, a business providing Wi-Fi services, to collect personal information from consumers using Business I’s services on Business H’s premises. Business H may post conspicuous signage at the entrance of the store or at the point-of-sale directing consumers to where the Notice at Collection for Business H can be found online. In addition, Business I shall post its own Notice at Collection on the first webpage or other interface consumers see before connecting to the Wi-Fi services offered. | (B)コーヒーショップである企業 H は、Wi-Fi サービスを提供する企業 I が、企業 H の店舗内で企業 I のサービスを利用する消費者から個人情報を収集することを許可している。企業 H は、店舗入口または販売場所に、企業 H の収集に関する通知をオンラインで閲覧できる場所を示す目立つ表示を掲載することができる。さらに、事業Iは、Wi-Fiサービスに接続する前に消費者が最初に閲覧するウェブページまたはインターフェースに、自社の「個人情報の収集に関する通知」を掲載しなければならない。 |
| (C) Business J, a car rental business, allows Business K to collect personal information from consumers within the vehicles Business J rents to consumers. Business J may give its Notice at Collection to the consumer at the point of sale (i.e., at the rental counter) either in writing or orally. Business K may provide its own Notice at Collection within the vehicle, such as through signage on the vehicle’s dashboard directing consumers to where the notice can be found online. | (C)「レンタカー事業を行う企業 J は、企業 K が、企業 J が消費者に貸し出す車両内で、消費者の個人情報を収集することを許可している。企業 J は、販売時点(すなわち、レンタカーの受付カウンター)で、書面または口頭で、収集時の通知を消費者に提供することができる。企業 K は、車両内のダッシュボードに、オンラインで通知を確認できる場所を示す表示を貼るなどして、車両内で独自の収集時の通知を提供することができる。 |
| (h) A business that neither collects nor controls the collection of personal information directly from the consumer does not need to provide a Notice at Collection to the consumer if it neither sells nor shares the consumer’s personal information. | (h)消費者から直接個人情報を収集も収集の管理も行わない事業者は、消費者の個人情報を販売も共有もしない場合、消費者に収集に関する通知を提供する必要はない。 |
| (i) A data broker registered with the Attorney General pursuant to Civil Code section 1798.99.80 et seq. that collects personal information from a source other than directly from the consumer does not need to provide a Notice at Collection to the consumer if it has included in its registration submission a link to its online privacy policy that includes instructions on how a consumer can submit a request to opt-out of sale/sharing. | (i)民法第 1798.99.80 条以降に基づき司法長官に登録されているデータブローカーで、消費者から直接ではなく他の情報源から個人情報を収集するものは、登録申請書に、消費者が販売/共有のオプトアウトを申請する方法を記載したオンラインのプライバシーポリシーへのリンクを記載している場合、消費者に収集に関する通知を提供する必要はない。 |
| Note: Authority: Section 1798.185, Civil Code. Reference: Sections 1798.99.82, 1798.100, 1798.115, 1798.120, 1798.121, 1798.145 and 1798.185, Civil Code. | 注:権限:民法第 1798.185 条。参照:民法第 1798.99.82 条、1798.100 条、1798.115 条、1798.120 条、1798.121 条、1798.145 条、および 1798.185 条。 |
| § 7013. Notice of Right to Opt-out of Sale/Sharing and the “Do Not Sell or Share My Personal Information” Link. | § 7013. 販売/共有のオプトアウトの権利に関する通知および「私の個人情報を販売または共有しない」リンク。 |
| (a) The purpose of the Notice of Right to Opt-out of Sale/Sharing is to inform consumers of their right to direct a business that sells or shares their personal information to stop selling or sharing their personal information and to provide them with the opportunity to exercise that right. The purpose of the “Do Not Sell or Share My Personal Information” link is to immediately effectuate the consumer’s right to opt-out of sale/sharing, or in the alternative, direct the consumer to the Notice of Right to Opt-out of Sale/Sharing. Accordingly, clicking the business’s “Do Not Sell or Share My Personal Information” link will either have the immediate effect of opting the consumer out of the sale or sharing of personal information or lead the consumer to a webpage where the consumer can learn about and make that choice. | (a)販売/共有のオプトアウトの権利に関する通知の目的は、消費者に、自分の個人情報を販売または共有する事業者に、その個人情報の販売または共有を停止するよう指示する権利があることを知らせ、その権利を行使する機会を提供することです。「私の個人情報を販売または共有しないでください」リンクの目的は、消費者の販売/共有のオプトアウト権を直ちに実行するか、または消費者に販売/共有のオプトアウト権に関する通知に誘導することです。したがって、事業者の「個人情報の販売または共有を拒否する」リンクをクリックすると、消費者の個人情報の販売または共有を即時停止する効果が生じ、または消費者がその選択について学び、選択を行うことができるウェブページに誘導される。 |
| (b) The Notice of Right to Opt-out of Sale/Sharing shall comply with section 7003, subsections (a) and (b). | (b)「販売または共有の拒否権に関する通知」は、第7003条(a)および(b)に準拠しなければならない。 |
| (c) The “Do Not Sell or Share My Personal Information” link shall be a conspicuous link that complies with section 7003, subsections (c) and (d) and is located at either the header or footer of the business’s internet homepage(s). | (c)「個人情報の販売または共有を拒否する」リンクは、第7003条(c)および(d)に準拠した目立つリンクであり、事業者のインターネットホームページのヘッダーまたはフッターに配置されること。 |
| (d) In lieu of posting the “Do Not Sell or Share My Personal Information” link, a business may provide the Alternative Opt-out Link in accordance with section 7015 or process opt-out preference signals in a frictionless manner in accordance with section 7025, subsections (f) and (g). The business must still post a Notice of Right to Opt-out of Sale/Sharing in accordance with these regulations. | (d)「私の個人情報を販売または共有しない」リンクを掲載する代わりに、企業は、第 7015 項に従って代替オプトアウトリンクを提供するか、第 7025 項 (f)および (g)に従って、摩擦のない方法でオプトアウトの希望を処理することができる。企業は、これらの規制に従って、販売/共有のオプトアウトの権利に関する通知を依然として掲載しなければならない。 |
| (e) A business that sells or shares the personal information of consumers shall provide the Notice of Right to Opt-out of Sale/Sharing to consumers as follows: | (e)消費者の個人情報を販売または共有する事業者は、消費者に販売/共有のオプトアウトの権利に関する通知を次のように提供しなければならない。 |
| (1) A business shall post the Notice of Right to Opt-out of Sale/Sharing on the internet webpage to which the consumer is directed after clicking on the “Do Not Sell or Share My Personal Information” link. The notice shall include the information specified in subsection (f) or be a link that takes the consumer directly to the specific section of the business’s privacy policy that contains the same information. If clicking on the “Do Not Sell or Share My Personal Information” link immediately effectuates the consumer’s right to opt-out of sale/sharing or if the business processes opt-out preference signals in a frictionless manner and chooses not to post a link, the business shall provide the notice within its privacy policy. | (1)企業は、「私の個人情報を販売または共有しないでください」リンクをクリックした消費者が表示されるインターネットのウェブページに、販売/共有のオプトアウトの権利に関する通知を掲載しなければならない。この通知には、サブセクション (f)で指定される情報、または同じ情報が記載された企業のプライバシーポリシーの特定のセクションに消費者を直接誘導するリンクを記載しなければならない。「私の個人情報を販売または共有しないでください」リンクをクリックすることで、消費者の販売/共有のオプトアウトの権利が直ちに有効になる場合、または事業者がオプトアウトの希望をスムーズに処理し、リンクを掲載しないことを選択した場合、事業者は、プライバシーポリシー内にその旨の通知を掲載しなければならない。 |
| (2) A business that does not operate a website shall establish, document, and comply with another method by which it informs consumers of their right to opt-out of sale/sharing. That method shall comply with the requirements set forth in section 7003. | (2)ウェブサイトを運営していない事業者は、消費者に販売/共有のオプトアウトの権利を通知する別の方法を確立、文書化し、これを遵守しなければならない。その方法は、第 7003 条に定める要件に準拠しなければならない。 |
| (3) A business shall also provide the notice to opt-out of sale/sharing in the same manner in which it collects the personal information that it sells or shares. Illustrative examples and requirements follow. | (3)事業者は、販売または共有する個人情報を収集する方法と同じ方法で、販売/共有のオプトアウトに関する通知も提供しなければならない。その例および要件を以下に示す。 |
| (A) A business that sells or shares personal information that it collects in the course of interacting with consumers offline, such as in a brick-and-mortar store, shall provide notice through an offline method, e.g., on the paper forms that collect the personal information or by posting signage in the area where the personal information is collected directing consumers to where the notice can be found online. | (A)実店舗など、オフラインで消費者とやり取りする過程で収集した個人情報を販売または共有する事業者は、オフラインの方法(個人情報を収集する紙面、個人情報を収集する場所に、オンラインで通知を確認できる場所を示す看板を掲示するなど)で通知を行うこと。 |
| (B) A business that sells or shares personal information that it collects over the phone shall provide notice orally during the call when the information is collected. | (B)電話で収集した個人情報を販売または共有する事業者は、その情報を収集する際に、電話口で口頭で通知を行うこと。 |
| (C) A business that sells or shares personal information that it collects through a connected device (e.g., a smart television or a smart watch) shall provide notice in a manner that ensures that the consumer will encounter the notice before or at the time the device begins collecting the personal information that it sells or shares. | (C)接続されたデバイス(スマートテレビやスマートウォッチなど)を通じて収集した個人情報を販売または共有する事業者は、そのデバイスが販売または共有する個人情報の収集を開始する前に、またはその開始時に、消費者がその通知を確実に閲覧できる方法で通知を行うこと。 |
| (D) A business that sells or shares personal information that it collects in augmented or virtual reality, such as through gaming devices or mobile applications, shall provide notice in a manner that ensures that the consumer will encounter the notice either: (1) before or at the time the consumer enters the augmented or virtual reality environment; or (2) before or at the time the consumer encounters the business within the augmented or virtual reality environment. | (D)ゲーム機器やモバイルアプリケーションなどを通じて、拡張現実または仮想現実で収集した個人情報を販売または共有する事業者は、消費者が以下のいずれかの時点で通知を確認できる方法で通知を行うこと。(1)消費者が拡張現実または仮想現実環境に入る前、またはその時点。(2)消費者が拡張現実または仮想現実環境内で事業者に遭遇する前、またはその時点。 |
| (f) A business shall include the following in its Notice of Right to Opt-out of Sale/Sharing: | (f)事業者は、販売/共有のオプトアウトに関する通知に、以下の内容を記載しなければならない: |
| (1) A description of the consumer’s right to opt-out of the sale or sharing of their personal information by the business; and | (1)事業者が消費者の個人情報を販売または共有することに対する消費者のオプトアウト権の説明;および |
| (2) Instructions on how the consumer can submit a request to opt-out of sale/sharing. If notice is provided online, the notice shall include the interactive form by which the consumer can submit their request to opt-out of sale/sharing online, as required by section 7026, subsection (a)(1). If the business does not operate a website, the notice shall explain the offline method by which the consumer can submit their request to opt-out of sale/sharing. | (2)消費者が販売/共有のオプトアウトを請求する方法の指示。通知がオンラインで提供される場合、その通知には、第 7026 条 (a)(1)の規定に従い、消費者が販売/共有のオプトアウトの要求をオンラインで提出するための対話型フォームを含めること。事業者がウェブサイトを運営していない場合、その通知には、消費者が販売/共有のオプトアウトの要求を提出するためのオフラインの方法について説明すること。 |
| (g) A business does not need to provide a Notice of Right to Opt-out of Sale/Sharing or the “Do Not Sell or Share My Personal Information” link if: | (g)以下の場合、企業は販売/共有のオプトアウトの権利に関する通知、または「私の個人情報を販売または共有しないでください」というリンクを提供する必要はない。 |
| (1) It does not sell or share personal information; and | (1)個人情報を販売または共有していない場合。 |
| (2) It states in its privacy policy that it does not sell or share personal information. | (2)個人情報を販売または共有しないことをプライバシーポリシーに記載している場合。 |
| (h) A business shall not sell or share the personal information it collected during the time the business did not have a Notice of Right to Opt-out of Sale/Sharing posted unless it obtains the consent of the consumer. | (h)事業者は、販売/共有のオプトアウト権に関する通知を掲示していなかった期間中に収集した個人情報を、消費者の同意を得ない限り、販売または共有してはならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.120, 1798.135 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参考:民法第 1798.120 条、1798.135 条、および 1798.185 条。 |
| § 7014. Notice of Right to Limit and the “Limit the Use of My Sensitive Personal Information” Link. | § 7014. 制限の権利に関する通知および「私の機密個人情報の使用を制限する」リンク。 |
| (a) The purpose of the Notice of Right to Limit is to inform consumers of their right to limit a business’s use and disclosure of their sensitive personal information and to provide them with the opportunity to exercise that right. The purpose of the “Limit the Use of My Sensitive Personal Information” link is to immediately effectuate the consumer’s right to limit, or in the alternative, direct the consumer to the Notice of Right to Limit. | (a)制限の権利に関する通知の目的は、消費者に、事業者が消費者の機密個人情報の使用および開示を制限する権利があることを通知し、その権利を行使する機会を提供することです。「私の機密個人情報の使用を制限する」リンクの目的は、消費者の制限の権利を直ちに実行すること、あるいは消費者に制限の権利に関する通知を表示することです。 |
| Accordingly, clicking the business’s “Limit the Use of My Sensitive Personal Information” link will either have the immediate effect of limiting the use and disclosure of the consumer’s sensitive personal information or lead the consumer to a webpage where the consumer can learn about and make that choice. | したがって、事業者の「私の機微な個人情報の利用を制限する」リンクをクリックすると、消費者の機微な個人情報の利用および開示が直ちに制限されるか、または消費者がその選択について確認し、選択を行うことができるウェブページに誘導される。 |
| (b) The Notice of Right to Limit shall comply with section 7003, subsections (a) and (b). | (b)「利用制限に関する通知」は、第7003条(a)および(b)に準拠するものとする。 |
| (c) The “Limit the Use of My Sensitive Personal Information” link shall be a conspicuous link that complies with section 7003, subsections (c) and (d), and is located at either the header or footer of the business’s internet homepage(s). | (c)「私の機微な個人情報の利用を制限する」リンクは、第7003条第(c)項および(d)項に準拠した目立つリンクであり、事業者のインターネットホームページのヘッダーまたはフッターに配置しなければならない。 |
| (d) In lieu of posting the “Limit the Use of My Sensitive Personal Information” link, a business may provide the Alternative Opt-out Link in accordance with section 7015. The business shall still post a Notice of Right to Limit in accordance with these regulations. | (d)「私の機密個人情報の使用を制限する」リンクを掲載する代わりに、事業者は、第 7015 項に従って代替オプトアウトリンクを提供することができる。事業者は、本規則に従って、制限の権利に関する通知を依然として掲載しなければならない。 |
| (e) A business that uses or discloses a consumer’s sensitive personal information for purposes other than those specified in section 7027, subsection (m), shall provide the Notice of Right to Limit to consumers as follows: | (e)第 7027 条 (m)項で規定されている目的以外で消費者の機密個人情報を使用または開示する企業は、消費者に以下の制限の権利に関する通知を提供しなければならない。 |
| (1) A business shall post the Notice of Right to Limit on the internet webpage to which the consumer is directed after clicking on the “Limit the Use of My Sensitive Personal Information” link. The notice shall include the information specified in subsection (f) or be a link that takes the consumer directly to the specific section of the business’s privacy policy that contains the same information. If clicking on the “Limit the Use of My Sensitive Personal Information” link immediately effectuates the consumer’s right to limit, the business shall provide the notice within its privacy policy. | (1)企業は、「私の機密個人情報の使用を制限する」リンクをクリックすると表示されるインターネットのウェブページに、制限の権利に関する通知を掲載しなければならない。この通知には、サブセクション (f)で指定される情報、または同じ情報が記載された事業者のプライバシーポリシーの特定のセクションに消費者を直接誘導するリンクを記載しなければならない。 「私の機密個人情報の使用を制限する」リンクをクリックすることで消費者の制限の権利が直ちに発効する場合、事業者は、そのプライバシーポリシー内に通知を記載しなければならない。 |
| (2) A business that does not operate a website shall establish, document, and comply with another method by which it informs consumers of their right to limit. That method shall comply with the requirements set forth in section 7003. | (2)ウェブサイトを運営していない事業者は、消費者に制限の権利を通知するための別の方法を確立し、文書化し、遵守しなければならない。その方法は、第7003条に定める要件を満たすものとする。 |
| (3) A business shall also provide the Notice of Right to Limit in the same manner in which it collects the sensitive personal information that it uses or discloses for purposes other than those specified in Section 7027, subsection (m). Illustrative examples and requirements follow. | (3)企業は、第 7027 条 (m)項で規定された目的以外で使用または開示する機密性の高い個人情報について、その収集方法と同じ方法で、制限の権利に関する通知を提供しなければならない。その例および要件を以下に示す。 |
| (A) A business that uses or discloses sensitive personal information that it collects in the course of interacting with consumers offline, such as in a brick-andmortar store, for purposes other than those specified in section 7027, subsection (m), shall provide notice through an offline method (e.g., on the paper forms that collect the sensitive personal information or by posting signage in the area where the sensitive personal information is collected directing consumers to where the notice can be found online). | (A)実店舗など、オフラインで消費者とやり取りする過程で収集した機密性の高い個人情報を、第 7027 条 (m)項で規定された目的以外で使用または開示する事業者は、オフラインの方法( (C)接続されたデバイス(スマートテレビやスマートウォッチなど)を通じて収集した機密性の高い個人情報について、セクション 7027、サブセクション (m)で規定された目的以外の目的で使用または開示する事業者は、その使用または開示について、セクション 7027、サブセクション (m)で規定された目的以外の目的で使用または開示する旨を、セクション 7027、サブセクション (m)で規定された方法により通知するものとする。 |
| (B) A business that uses or discloses sensitive personal information that it collects over the phone for purposes other than those specified in section 7027, subsection (m), shall provide notice orally during the call when the information is collected. | (D)事業者は、セクション 7027、サブセクション (m)で規定された目的以外の目的で、接続されたデバイス(スマートテレビやスマートウォッチなど)を通じて収集した機密性の高い個人情報について、セクション 7027、サブセクション (m)で規定された目的以外の目的で使用または開示する場合、その使用または開示について、セクション 7 |
| (C) A business that uses or discloses sensitive personal information that it collects through a connected device (e.g., a smart television or a smart watch) for purposes other than those specified in section 7027, subsection (m), shall provide notice in a manner that ensures that the consumer will encounter the notice before or at the time the device begins collecting the personal information that it uses or discloses for those purposes. | (C)接続されたデバイス(スマートテレビやスマートウォッチなど)を通じて収集した機密性の高い個人情報について、第 7027 条 (m)項で規定された目的以外で使用または開示する事業者は、その目的のために使用するまたは開示する個人情報の収集を開始する前に、またはその開始時に、消費者がその通知を確実に閲覧できる方法で通知を行うこと。 |
| (D) A business that uses or discloses sensitive personal information that it collects in augmented or virtual reality, such as through gaming devices or mobile applications, for purposes other than those specified in section 7027, | (D)ゲーム機器やモバイルアプリケーションなどを通じて、拡張現実または仮想現実で収集した機密性の高い個人情報を使用または開示する事業者は、第 7027 条(m)項で規定された目的以外のために、 |
| subsection (m), shall provide notice in a manner that ensures that the consumer will encounter the notice either: (1) before the consumer enters the augmented or virtual reality environment; or (2) before or at the time the business collects the personal information within the augmented or virtual reality environment. | (m)項で規定されている目的以外の目的で、拡張現実または仮想現実で収集した機密性の高い個人情報を使用または開示する事業者は、消費者が以下のいずれかの方法で通知を確実に閲覧できる方法で通知を行うこと。(1)消費者が拡張現実または仮想現実環境に入る前、または(2)事業者が拡張現実または仮想現実環境内で個人情報を収集する前、または収集する時点。 |
| (f) A business shall include the following in its Notice of Right to Limit: | (f)事業者は、制限の権利に関する通知に以下の事項を含めること。 |
| (1) A description of the consumer’s right to limit; and | (1)消費者の制限の権利に関する説明、および |
| (2) Instructions on how the consumer can submit a request to limit. If notice is provided online, the notice shall include the interactive form by which the consumer can submit their request to limit online, as required by section 7027, subsection (b)(1). If the business does not operate a website, the notice shall explain the offline method by which the consumer can submit their request to limit. | (2)消費者が制限の要求を提出する方法の説明。通知がオンラインで提供される場合、その通知には、セクション 7027、サブセクション (b)(1)の要件に従い、消費者がオンラインで制限の要求を提出できる対話型フォームを含めること。企業がウェブサイトを運営していない場合、その通知には、消費者が制限の要求を提出できるオフラインの方法について説明すること。 |
| (g) A business does not need to provide a Notice of Right to Limit or the “Limit the Use of My Sensitive Personal Information” link if: | (g)以下の場合、企業は制限の権利に関する通知または「私の機密個人情報の使用を制限する」リンクを提供する必要はない。 |
| (1) It only uses and discloses sensitive personal information that it collected about the consumer for the purposes specified in section 7027, subsection (m), and states so in its privacy policy; or | (1)7027 条 (m)項で規定された目的のためにのみ、消費者について収集した機密個人情報を使用および開示し、その旨をプライバシーポリシーに記載している場合。 |
| (2) It only collects or processes sensitive personal information without the purpose of inferring characteristics about a consumer, and states so in its privacy policy. | (2)消費者の特性を推測する目的以外で機密性の高い個人情報を収集または処理する場合で、その旨をプライバシーポリシーに記載している場合。 |
| (h) A business shall not use or disclose sensitive personal information it collected during the time the business did not have a Notice of Right to Limit posted for purposes other than those specified in section 7027, subsection (m), unless it obtains the consent of the consumer. | (h)企業は、制限の権利に関する通知を掲示していなかった期間に収集した機密性の高い個人情報を、消費者の同意を得ることなく、第 7027 条 (m)項で規定された目的以外で使用または開示してはならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.121, 1798.135 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参考:民法第 1798.121 条、1798.135 条、および 1798.185 条。 |
| § 7015. Alternative Opt-out Link. | § 7015. 代替オプトアウトリンク。 |
| (a) The purpose of the Alternative Opt-out Link is to provide businesses the option of providing consumers with a single, clearly-labeled link that allows consumers to easily exercise both their right to opt-out of sale/sharing and right to limit, instead of posting the two separate “Do Not Sell or Share My Personal Information” and “Limit the Use of My Sensitive Personal Information” links. The Alternative Opt-out Link shall direct the consumer to a webpage that informs them of both their right to opt-out of sale/sharing and right to limit and provides them with the opportunity to exercise both rights. | (a)代替オプトアウトリンクの目的は、2 つの別々の「私の個人情報を販売または共有しない」および「私の機密個人情報の使用を制限する」リンクを掲載する代わりに、消費者が販売/共有のオプトアウト権と制限権の両方を簡単に行使できる、明確にラベル付けされた単一のリンクを消費者に提供するための選択肢を企業に提供することです。代替オプトアウトリンクは、販売/共有をオプトアウトする権利と制限する権利の両方について消費者に通知し、両方の権利を行使する機会を提供するウェブページに消費者を誘導するものとする。 |
| (b) A business that chooses to use an Alternative Opt-out Link shall title the link, “Your Privacy Choices,” or, “Your California Privacy Choices,” and shall include the following optout icon adjacent to the title. | (b)代替オプトアウトリンクの使用を選択した企業は、リンクのタイトルを「お客様のプライバシーに関する選択」または「カリフォルニア州におけるお客様のプライバシーに関する選択」とし、タイトルの隣に以下のオプトアウトアイコンを含めるものとする。 |
| (1) The link shall be a conspicuous link that complies with section 7003, subsections (c) and (d), and is located at either the header or footer of the business’s internet homepage(s). | (1)リンクは、セクション7003の(c)および(d)に準拠した目立つリンクであり、事業者のインターネットホームページのヘッダーまたはフッターに配置しなければならない。 |
| (2) The icon shall be approximately the same size as other icons used by the business in the header or footer of its webpage. | (2)アイコンは、事業者がウェブページのヘッダーまたはフッターで使用する他のアイコンとほぼ同じサイズでなければならない。 |
| (3) Businesses may adjust the color of the icon to ensure that the icon is conspicuous. For example, if the webpage background is the same color of blue as the icon, the business may invert or change the colors of the icon to ensure visibility. | (3)事業者は、アイコンが目立つように色を調整することができる。例えば、ウェブページの背景色がアイコンと同じ青色である場合、事業者はアイコンの色を反転または変更して視認性を確保することができる。 |
| (c) The Alternative Opt-out Link shall direct the consumer to a webpage that includes the following information: | (c)代替オプトアウトリンクは、消費者を以下の情報を含むウェブページに誘導するものとする: |
| (1) A description of the consumer’s right to opt-out of sale/sharing and right to limit, which shall comply with section 7003, subsections (a) and (b); and | (1)消費者の販売/共有のオプトアウト権および制限権に関する説明(第7003条(a)および(b)に準拠するもの);および |
| (2) The interactive form or mechanism by which the consumer can submit their request to opt-out of sale/sharing and their right to limit online. The method shall be easy for consumers to execute, shall require minimal steps, and shall comply with section 7004. | (2)消費者が販売/共有のオプトアウトの要求およびオンラインでの制限の権利を行使するための対話型フォームまたはメカニズム。この方法は、消費者が実行しやすいもので、必要な手順が最小限であり、第 7004 条に準拠しているものとする。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.120, 1798.121, 1798.135 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法1798.120条、1798.121条、1798.135条および1798.185条。 |
| ARTICLE 3. BUSINESS PRACTICES FOR HANDLING CONSUMER REQUESTS | 第3条 消費者の請求の取り扱いに関する事業者の実務 |
| § 7020. Methods for Submitting Requests to Delete, Requests to Correct, and Requests to Know. | § 7020. 削除請求、訂正請求、および開示請求の提出方法。 |
| (a) A business that operates exclusively online and has a direct relationship with a consumer from whom it collects personal information shall only be required to provide an email address for submitting requests to delete, requests to correct, and requests to know. | (a)オンラインのみで事業を行い、個人情報を収集する消費者と直接の関係がある事業者は、削除の要求、修正の要求、および開示の要求を提出するための電子メールアドレスのみを提供すれば良い。 |
| (b) A business that does not fit the description in subsection (a) shall provide two or more designated methods for submitting requests to delete, requests to correct, and requests to know. One of those methods must be a toll-free telephone number. If the business maintains an internet website, one of the methods for submitting these requests shall be through its website, such as through a webform. Other methods for submitting requests to delete, requests to correct, and requests to know may include, but are not limited to, a designated email address, a form submitted in person, and a form submitted through the mail. | (b)(a)の説明に該当しない事業者は、削除の要求、修正の要求、および開示の要求を提出するための 2 つ以上の指定の方法を用意しなければならない。これらの方法のうち1つは、フリーダイヤル番号でなければならない。事業者がインターネットウェブサイトを運営している場合、これらの請求を提出するための方法の1つは、ウェブフォームなどを通じてウェブサイト経由でなければならない。削除請求、訂正請求、および開示請求を提出するためのその他の方法には、指定されたメールアドレス、直接提出するフォーム、郵便で提出するフォームなどが含まれるが、これらに限定されない。 |
| (c) A business shall consider the methods by which it primarily interacts with consumers when determining which methods to provide for submitting requests to delete, requests to correct, and requests to know. If the business interacts with consumers in person, the business shall consider providing an in-person method such as a printed form the consumer can directly submit or send by mail, a tablet or computer portal that allows the consumer to complete and submit an online form, or a telephone with which the consumer can call the business’s toll-free number. | (c)企業は、削除要求、修正要求、および開示要求の提出方法を提供する方法を決定する際に、消費者との主なやり取りの方法を考慮しなければならない。事業者が消費者と直接対話する場合、事業者は、消費者が直接提出または郵送できる印刷されたフォーム、消費者がオンラインフォームに記入して送信できるタブレットまたはコンピュータのポータル、消費者が事業者のフリーダイヤルに電話できる電話など、直接対話による方法の提供を検討するものとする。 |
| (d) A business may use a two-step process for online requests to delete where the consumer must first, submit the request to delete and then second, separately confirm that they want their personal information deleted provided that the business otherwise complies with section 7004. | (d)企業は、消費者がまず削除の要求を提出し、次に個人情報の削除を希望することを別途確認するという 2 段階のプロセスを、オンラインでの削除要求に適用することができる。ただし、その場合は、企業がセクション 7004 を遵守している必要がある。 |
| (e) If a business maintains personal information for longer than 12 months, its method for consumers to submit requests to know shall include a means by which the consumer can request that the business provide personal information collected prior to the 12-month period preceding the business’s receipt of the consumer’s request. For example, the business may ask the consumer to select or input the date range for which the consumer is making the request to know or present the consumer with an option to request all personal information the business has collected about the consumer. Use of this method is not required for personal information collected prior to January 1, 2022. | (e)企業が個人情報を 12 ヶ月以上保持する場合、消費者が情報開示の要求を行う方法には、消費者が、企業の要求を受け取った日から 12 ヶ月前に収集された個人情報の提供を企業に要求できる手段を含めること。例えば、事業者は、消費者に請求の対象となる日付範囲を選択または入力するよう求めるか、または事業者が収集した消費者のすべての個人情報を請求するオプションを提示することができる。この方法は、2022年1月1日以前に収集された個人情報については適用されない。 |
| (f) If a consumer submits a request in a manner that is not one of the designated methods of submission, or is deficient in some manner unrelated to the verification process, the business shall either: | (f)消費者が、指定の提出方法以外の方法で要求を提出した場合、または検証プロセスとは関係のない何らかの不備がある場合、事業者は、以下のいずれかを講じるものとします。 |
| (1) Treat the request as if it had been submitted in accordance with the business’s designated manner, or | (1)要求が事業者の指定の方法に従って提出されたものとみなして、その要求を処理する。 |
| (2) Provide the consumer with information on how to submit the request or remedy any deficiencies with the request, if applicable. | (2)要求の提出方法、または要求の不備を修正する方法に関する情報を、消費者に提供する。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.100, 1798.105, 1798.106, 1798.110, 1798.115, 1798.130, 1798.140 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法 第1798.100条、第1798.105条、第1798.106条、第1798.110条、第1798.115条、第1798.130条、第1798.140条および第1798.185条。 |
| § 7021. Timelines for Responding to Requests to Delete, Requests to Correct, Requests to Know, Requests to Access ADMT, and Requests to Appeal ADMT. | § 7021. 削除要求、修正要求、情報開示要求、ADMT へのアクセス要求、および ADMT に対する異議申し立て要求への対応期限。 |
| (a) No later than 10 business days after receiving a request to delete, request to correct, request to know, request to access ADMT, or request to appeal ADMT, a business shall confirm receipt of the request and provide information about how the business will process the request. The information provided shall describe in general the business’s verification process and when the consumer should expect a response, except in instances where the business has already granted or denied the request. The confirmation may be given in the same manner in which the request was received. For example, if the request is made over the phone, the confirmation may be given orally during the phone call. | (a)削除要求、修正要求、情報開示要求、ADMT へのアクセス要求、または ADMT に対する異議申し立て要求を受け取った場合、企業は 10 営業日以内にその要求の受領を確認し、その要求の処理方法に関する情報を提供しなければならない。提供される情報には、事業者がすでに要求を承認または拒否した場合を除き、事業者の検証プロセスおよび消費者が回答を待つべき時期について、概要を記載するものとする。確認は、要求を受けたのと同じ方法で通知することができる。例えば、要求が電話で行われた場合、確認は電話口頭で通知することができる。 |
| (b) Businesses shall respond to a request to delete, request to correct, request to know, request to access ADMT, and request to appeal ADMT no later than 45 calendar days after receipt of the request. The 45-day period will begin on the day that the business receives the request, regardless of time required to verify the request. If the business cannot verify the consumer within the 45-day time period, the business may deny the request. If necessary, businesses may take up to an additional 45 calendar days to respond to the consumer’s request, for a maximum total of 90 calendar days from the day the request is received, provided that the business provides the consumer with notice and an explanation of the reason that the business will take more than 45 days to respond to the request. | (b)企業は、削除の要求、修正の要求、ADMT に関する情報の開示要求、および ADMT に対する異議申し立ての要求に対して、その要求を受けた日から 45 暦日以内に、対応しなければならない。45 日間の期間は、要求の検証に必要な時間を問わず、企業が要求を受けた日から開始する。企業が 45 日間の期間内に消費者を確認できない場合、企業は要求を拒否することができる。必要に応じて、企業は、消費者の要求に対応するために、要求を受けた日から最大 90 暦日までの追加の 45 暦日をかけることができる。ただし、その場合は、45 日を超えて対応することの理由を消費者に通知し、説明しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.100, 1798.105, 1798.106, 1798.110, 1798.115, 1798.130, 1798.140 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法 第1798.100条、第1798.105条、第1798.106条、第1798.110条、第1798.115条、第1798.130条、第1798.140条および第1798.185条。 |
| § 7022. Requests to Delete. | § 7022. 削除請求。 |
| (a) For requests to delete, if a business cannot verify the identity of the requestor pursuant to the regulations set forth in Article 5, the business may deny the request to delete. The business shall inform the requestor that their identity cannot be verified. | (a)削除請求の場合、事業者が第5条に定める規則に従って請求者の身分を確認できない場合、事業者は削除請求を拒否することができる。事業者は、請求者にその身分が確認できない旨を通知しなければならない。 |
| (b) A business shall comply with a consumer’s request to delete their personal information by doing all of the following: | (b)事業者は、消費者の個人情報の削除請求に応じるため、以下のすべてを行うものとする: |
| (1) Permanently and completely erasing the personal information from its existing systems except archived or backup systems, deidentifying the personal information, or aggregating the consumer information. | (1)アーカイブまたはバックアップシステムを除く既存のシステムから個人情報を永久かつ完全に削除する、個人情報を匿名化する、または消費者の情報を集約する。 |
| (2) Notifying the business’s service providers or contractors of the need to delete from their records the consumer’s personal information that they collected pursuant to their written contract with the business, or if enabled to do so by the service provider or contractor, the business shall delete the personal information that the service provider or contractor collected pursuant to their written contract with the business. | (2)事業者は、そのサービスプロバイダまたは委託先に対して、事業者との書面による契約に基づき収集した消費者の個人情報を、その記録から削除する必要があることを通知する。または、サービスプロバイダまたは委託先が削除できる場合は、事業者との書面による契約に基づき、サービスプロバイダまたは委託先が収集した個人情報を削除する。 |
| (3) Notifying all third parties to whom the business has sold or shared the personal information of the need to delete the consumer’s personal information unless this proves impossible or involves disproportionate effort. If a business claims that notifying some or all third parties would be impossible or would involve disproportionate effort, the business shall provide the consumer a detailed explanation that includes enough facts to give a consumer a meaningful understanding as to why the business cannot notify all third parties. The business shall not simply state that notifying all third parties is impossible or would require disproportionate effort. | (3)事業者が個人情報を販売または提供したすべてのサードパーティに対して、消費者の個人情報を削除する必要があることを通知すること。ただし、それが不可能または過度の負担となる場合はこの限りではない。事業者が、一部のまたはすべてのサードパーティへの通知が不可能または過度の負担となることを主張する場合は、消費者に、すべてのサードパーティに通知できない理由を消費者が理解できる十分な事実を含む詳細な説明を提供しなければならない。事業者は、単に「サードパーティへの通知は不可能である、または不均衡な努力を要する」と述べるだけではいけない。 |
| (c) A service provider or contractor shall, with respect to personal information that they collected pursuant to their written contract with the business and upon notification by the business, cooperate with the business in responding to a request to delete by doing all of the following: | (c)サービスプロバイダまたは委託業者は、事業者との書面による契約に基づき収集した個人情報について、事業者からの通知があった場合、以下のすべてを行うことにより、削除の要求に対応するために事業者と協力しなければならない。 |
| (1) Permanently and completely erasing the personal information from its existing systems except archived or backup systems, deidentifying the personal information, aggregating the consumer information, or enabling the business to do so. | (1)アーカイブシステムまたはバックアップシステムを除く既存のシステムから個人情報を永久的かつ完全に消去し、個人情報を匿名化、または消費者情報を集約し、あるいは事業者がこれを行うことを可能にする。 |
| (2) To the extent that an exception applies to the deletion of personal information, deleting or enabling the business to delete the consumer’s personal information that is not subject to the exception and refraining from using the consumer’s personal information retained for any purpose other than the purpose provided for by that exception. | (2)個人情報の削除に例外が適用される場合、その例外の対象とならない消費者の個人情報を削除するか、事業者が削除できるようにし、その例外で規定された目的以外の目的で、保持している消費者の個人情報を使用しないこと。 |
| (3) Notifying any of its own service providers or contractors of the need to delete from their records in the same manner the consumer’s personal information that they collected pursuant to their written contract with the service provider or contractor. | (3)サービスプロバイダまたは委託先に対して、書面による契約に基づき収集した消費者の個人情報を、同様の方法で記録から削除する必要があることを通知する。 |
| (4) Notifying any other service providers, contractors, or third parties that may have accessed personal information from or through the service provider or contractor, unless the information was accessed at the direction of the business, of the need to delete the consumer’s personal information unless this proves impossible or involves disproportionate effort. | (4)事業者から指示して個人情報を取得した場合を除き、事業者から個人情報を取得した、または事業者を通じて個人情報にアクセスしたその他のサービスプロバイダ、委託先、サードパーティに対して、消費者の個人情報を削除する必要があることを通知すること。 |
| (d) If a business, service provider, or contractor stores any personal information on archived or backup systems, it may delay compliance with the consumer’s request to delete, with respect to data stored on the archived or backup system, until the archived or backup system relating to that data is restored to an active system or is next accessed or used for a sale, disclosure, or commercial purpose. | (d)企業、サービスプロバイダ、または委託業者が、アーカイブシステムまたはバックアップシステムに個人情報を保存している場合、当該データに関連するアーカイブシステムまたはバックアップシステムがアクティブシステムに復元されるか、または販売、開示、または商業目的のために次にアクセスまたは使用されるまで、アーカイブシステムまたはバックアップシステムに保存されているデータに関する消費者の削除要求への対応を遅らせることができる。 |
| (e) In responding to a request to delete, a business shall inform the consumer whether it has complied with the consumer’s request. The business shall also inform the consumer that it will maintain a record of the request as required by section 7101, subsection (a). A business, service provider, contractor, or third party may retain a record of the request for the purpose of ensuring that the consumer’s personal information remains deleted from its records. | (e)削除の要求に対応する場合、事業者は、消費者の要求に応じたかどうかを消費者に通知しなければならない。また、事業者は、第 7101 条 (a)項に基づき、その要求に関する記録を保持することを消費者に通知しなければならない。事業者、サービスプロバイダ、請負業者、またはサードパーティは、消費者の個人情報がその記録から確実に削除されるように、その要求に関する記録を保持することができる。 |
| (f) | (f) |
| (g) In cases where a business denies a consumer’s request to delete in whole or in part, the business shall do all of the following: | (g)企業が消費者の削除要求の全部または一部を拒否する場合、企業は、以下のすべてを行うものとします。 |
| (1) Provide to the consumer a detailed explanation of the basis for the denial, including any conflict with federal or state law, exception to the CCPA, or factual basis for contending that compliance would be impossible or involve disproportionate effort, unless prohibited from doing so by law. | (1)法律により禁止されている場合を除き、連邦法または州法との矛盾、CCPA の例外、または遵守が不可能または不釣り合いな努力を要すると主張する事実的根拠など、拒否の根拠について消費者に詳細に説明する。 |
| (2) Delete the consumer’s personal information that is not subject to the exception. | (2)例外の対象とならない消費者の個人情報を削除する。 |
| (3) Not use the consumer’s personal information retained for any other purpose than provided for by that exception; and | (3)当該例外で規定されている目的以外で、保持している消費者の個人情報を使用しない。 |
| (4) Instruct its service providers and contractors to delete the consumer’s personal information that is not subject to the exception and to not use the consumer’s personal information retained for any purpose other than the purpose provided for by that exception. | (4)サービスプロバイダおよび契約業者に、例外の対象とならない消費者の個人情報を削除し、当該例外で規定されている目的以外で、保持している消費者の個人情報を使用しないよう指示する。 |
| (5) | (5) |
| (g) If a business that denies a consumer’s request to delete sells or shares personal information and the consumer has not already made a request to opt-out of sale/sharing, the business shall ask the consumer if they would like to opt-out of the sale or sharing of their personal information and shall include either the contents of, or a link to, the Notice of Right to Opt-out of Sale/Sharing in accordance with section 7013. | (g)消費者の削除請求を拒否する事業者が個人情報を販売または共有しており、消費者が既に販売/共有のオプトアウト請求を行っていない場合、事業者は消費者に販売または共有のオプトアウトを希望するかどうかを尋ね、第7013条に従い、オプトアウト通知の内容またはそのリンクを記載しなければならない。 |
| (h) In responding to a request to delete, a business may present the consumer with the choice to delete select portions of their personal information as long as a single option to delete all personal information is also offered. A business that provides consumers the ability to delete select categories of personal information in other contexts (e.g., purchase history, browsing history, voice recordings), however, must inform consumers of their ability to do so and direct them to how they can do so. For example, a business may provide the consumer with a link to a support page or other resource that explains consumers’ data deletion options. | (h)削除の要求に対応する場合、事業者は、すべての個人情報を削除する単一の選択肢も提供している場合に限り、消費者に個人情報の選択的な削除を選択させることを認めることができる。ただし、他の状況(購入履歴、閲覧履歴、音声録音など)において、消費者に個人情報の選択的な削除機能を提供している事業者は、消費者にその機能について通知し、その利用方法を案内しなければならない。例えば、事業者は、消費者に、消費者のデータ削除の選択肢を説明するサポートページやその他のリソースへのリンクを提供することができる。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.105, 1798.130 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.105 条、1798.130 条、および 1798.185 条。 |
| § 7023. Requests to Correct. | § 7023. 訂正の要求。 |
| (a) For requests to correct, if a business cannot verify the identity of the requestor pursuant to the regulations set forth in Article 5, the business may deny the request to correct. The business shall inform the requestor that their identity cannot be verified. | (a)訂正請求の場合、事業者が第5条に定める規則に従って請求者の身分を確認できない場合、事業者は訂正請求を拒否することができる。事業者は、請求者に身分が確認できない旨を通知しなければならない。 |
| (b) In determining the accuracy of the personal information that is the subject of a consumer’s request to correct, the business shall consider the totality of the circumstances relating to the contested personal information. A business may deny a consumer’s request to correct if it determines that the contested personal information is more likely than not accurate based on the totality of the circumstances. | (b)消費者の訂正請求の対象となる個人情報の正確性を判断する際、事業者は、争点となっている個人情報に関する状況の全体を考慮しなければならない。事業者は、争われている個人情報が、状況の全体を考慮して、正確である可能性が高いと判断した場合、消費者の訂正請求を拒否することができる。 |
| (1) Considering the totality of the circumstances includes, but is not limited to, considering: | (1)状況の全体を考慮するとは、次に掲げる事項を含むが、これらに限定されない。 |
| (A) The nature of the personal information (e.g., whether it is objective, subjective, unstructured, sensitive, etc.). | (A)個人情報の性質(例:客観的か主観的か、構造化されているか、機密性が高いかなど)。 |
| (B) How the business obtained the contested information. | (B)事業者が争点となっている情報をどのように入手したか。 |
| (C) Documentation relating to the accuracy of the information whether provided by the consumer, the business, or another source. Requirements regarding documentation are set forth in subsection (d). | (C)消費者、事業者、またはその他の情報源から提供された、情報の正確性に関する文書。文書に関する要件は、サブセクション (d)に規定されている。 |
| (2) If the business is not the source of the personal information and has no documentation in support of the accuracy of the information, the consumer’s assertion of inaccuracy may be sufficient to establish that the personal information is inaccurate. | (2)事業者が個人情報の情報源ではなく、情報の正確性を裏付ける文書を保有していない場合、消費者の不正確であるとの主張は、その個人情報が不正確であることを立証するのに十分である場合がある。 |
| (c) A business that complies with a consumer’s request to correct shall correct the personal information at issue on its existing systems and ensure that the information remains corrected. The business shall also instruct all service providers and contractors that maintain the personal information at issue pursuant to their written contract with the business to make the necessary corrections in their respective systems. Service providers and contractors shall comply with the business’s instructions to correct the personal information or enable the business to make the corrections and shall also ensure that the information remains corrected. If a business, service provider, or contractor stores any personal information that is the subject of the request to correct on archived or backup systems, it may delay compliance with the consumer’s request to correct, with respect to data stored on the archived or backup system, until the archived or backup system relating to that data is restored to an active system or is next accessed or used. Illustrative examples follow: | (c)事業者は、消費者の訂正の請求に応じた場合、当該個人情報を既存のシステム上で訂正し、その訂正が維持されるよう確保しなければならない。また、当該事業者は、当該個人情報について、書面による契約に基づきその管理を行うすべてのサービスプロバイダおよび委託業者に対して、それぞれのシステムにおいて必要な訂正を行うよう指示するものとする。サービスプロバイダおよび委託業者は、当該事業者の指示に従って個人情報を訂正し、または当該事業者が訂正を行うことを可能とし、かつ、訂正後の情報が確実に維持されるようにするものとする。企業、サービスプロバイダ、または委託業者が、訂正の要求の対象となる個人情報をアーカイブシステムまたはバックアップシステムに保存している場合、当該データに関連するアーカイブシステムまたはバックアップシステムがアクティブシステムに復元されるか、次にアクセスまたは使用されるまで、アーカイブシステムまたはバックアップシステムに保存されているデータに関する消費者の訂正要求への対応を遅らせることができる。以下に例を示す。 |
| (1) Business L maintains personal information about consumers that it receives from data brokers on a regular basis. Business L refreshes the personal information it maintains about consumers whenever it receives an update from a data broker. Business L receives a request to correct from a consumer and determines that the information is inaccurate. To comply with the consumer’s request, Business L corrects the inaccurate information in its system and ensures that the corrected personal information is not overridden by inaccurate personal information subsequently received from a data broker. | (1)企業 L は、データブローカーから定期的に受け取る消費者に関する個人情報を保持している。企業 L は、データブローカーから更新情報を受け取るたびに、保持する消費者に関する個人情報を更新している。企業 L は、消費者から訂正の要求を受け、その情報が不正確であると判断した。消費者の要求に応じるため、企業 L は、自社のシステム内の不正確な情報を修正し、修正した個人情報が、その後データブローカーから受け取った不正確な個人情報によって上書きされないようにする。 |
| (2) Business M stores personal information about consumers on archived or backup systems. Business M receives a request to correct from a consumer, determines that the information is inaccurate, and makes the necessary corrections within its active system. Business M may delay compliance with the consumer’s request to correct with respect to data stored on the archived or backup system until the archived or backup system relating to the personal information at issue is restored to an active system or next accessed or used for a sale, disclosure, or commercial purpose. | (2)企業 M は、消費者の個人情報をアーカイブシステムまたはバックアップシステムに保存している。企業 M は、消費者から訂正の要求を受け、その情報が不正確であると判断し、自社のアクティブシステム内で必要な訂正を行う。企業 M は、アーカイブまたはバックアップシステムに保存されているデータに関する消費者の訂正要求については、当該個人データに関連するアーカイブまたはバックアップシステムがアクティブシステムに復元されるか、または次回アクセスされるか、販売、開示、または商業目的で使用されるまで、その対応を遅らせることができる。 |
| (d) Documentation. | (d)文書化。 |
| (1) A business shall accept, review, and consider any documentation that the consumer provides in connection with their right to correct whether provided voluntarily or as required by the business. Consumers should make a good-faith effort to provide businesses with all necessary information available at the time of the request. | (1)企業は、消費者がその訂正の権利に関連して提供した文書(自発的に提供したもの、または企業の要求に応じて提供したもの)をすべて受け付け、検討し、検討するものとする。消費者は、要求時に利用可能な必要な情報をすべて、誠実に企業に提供するよう努めるものとする。 |
| (2) A business may require the consumer to provide documentation if necessary to rebut its own documentation that the personal information is accurate. In determining the necessity of the documentation requested, the business shall consider the following: | (2)企業は、個人情報が正確であることを示す自社の文書に反論するために必要な場合、消費者に文書の提出を求めることができる。文書化の必要性を判断する際、事業者は以下の点を考慮しなければならない: |
| (A) The nature of the personal information at issue (e.g., whether it is objective, subjective, unstructured, sensitive, etc.). | (A)問題となっている個人情報の性質(例:客観的か主観的か、構造化されているか、機密性が高いかなど)。 |
| (B) The nature of the documentation upon which the business considers the personal information to be accurate (e.g., whether the documentation is from a trusted source, whether the documentation is verifiable, etc.) | (B)事業者が個人情報が正確であると判断する根拠となる文書の性質(例:文書が信頼できるソースからのものか、検証可能かなど)。 |
| (C) The purpose for which the business collects, maintains, or uses the personal information. For example, if the personal information is essential to the functioning of the business, the business may require more documentation. | (C)企業が個人情報を収集、維持、または使用する目的。例えば、個人情報が事業の運営に不可欠である場合は、より多くの文書を要求することができる。 |
| (D) The impact on the consumer. For example, if the personal information has a negative impact on the consumer, the business may require less documentation. | (D)消費者への影響。例えば、個人情報が消費者に悪影響を与える場合は、より少ない文書で済ますことができる。 |
| (3) Any documentation provided by the consumer in connection with their request to correct shall only be used and/or maintained by the business for the purpose of correcting the consumer’s personal information and to comply with the recordkeeping obligations under section 7101. | (3)消費者が訂正の要求に関連して提供した文書は、消費者の個人情報を訂正し、第 7101 条に基づく記録保持義務を遵守する目的でのみ、事業者が使用および/または保持するものとする。 |
| (4) The business shall implement and maintain reasonable security procedures and practices in maintaining any documentation relating to the consumer’s request to correct. | (4)事業者は、消費者の訂正要求に関連する文書を保持する上で、合理的なセキュリティ手順および慣行を実施および維持するものとする。 |
| (e) A business may delete the contested personal information as an alternative to correcting the information if the deletion of the personal information does not negatively impact the consumer, or the consumer consents to the deletion. For example, if deleting instead of correcting inaccurate personal information would make it harder for the consumer to obtain a job, housing, credit, education, or other type of opportunity, the business shall process the request to correct or obtain the consumer’s consent to delete the information. | (e)事業者は、個人情報の削除が消費者に対して悪影響を及ぼさない場合、または消費者が削除に同意した場合、情報の訂正に代えて、争われている個人情報を削除することができる。例えば、不正確な個人情報を訂正する代わりに削除することが、消費者が就職、住宅、信用、教育、その他の機会を得ることを困難にする場合、事業者は訂正の請求を処理するか、消費者の削除への同意を取得しなければならない。 |
| (f) In responding to a request to correct, a business shall inform the consumer whether it has complied with the consumer’s request. If the business denies a consumer’s request to correct in whole or in part, the business shall do the following: | (f)事業者は、訂正の要求に対応する場合、その要求に応じたかどうかを消費者に通知しなければならない。事業者が消費者の訂正要求の全部または一部を拒否する場合、事業者は以下の措置を講じなければならない。 |
| (1) Explain the basis for the denial, including any conflict with federal or state law, exception to the CCPA, inadequacy in the required documentation, or contention that compliance proves impossible or involves disproportionate effort. | (1)連邦法または州法との矛盾、CCPA の適用除外、必要な書類の不備、または遵守が不可能である、あるいは過度の努力を要すると主張する理由など、拒否の根拠を説明する。 |
| (2) If a business claims that complying with the consumer’s request to correct would be impossible or would involve disproportionate effort, the business shall provide the consumer a detailed explanation that includes enough facts to give a consumer a meaningful understanding as to why the business cannot comply with the request. The business shall not simply state that it is impossible or would require disproportionate effort. | (2)企業の事業者が、消費者の訂正要求に応じることが不可能である、または不釣り合いな努力を要すると主張する場合、その事業者は、消費者に、その要求に応じることができない理由を消費者が理解できるだけの十分な事実を含む詳細な説明を提供しなければならない。その事業者は、単に「不可能である」または「不釣り合いな努力を要する」と述べるだけではならない。 |
| (3) | (3) |
| (4) If a business denies a consumer’s request to correct personal information collected and analyzed concerning a consumer’s health, the business shall also inform the consumer that they may provide a written statement to the business to be made part of the consumer’s record pursuant to Civil Code section 1798.185, subdivision (a)(7)(D). The business shall explain to the consumer that the written statement is limited to 250 words per alleged inaccurate piece of personal information and shall include that the consumer must request that the statement be made part of the consumer’s record. Upon receipt of such a statement, the business shall include it with the consumer’s record. Upon the consumer’s request, the business shall make the statement available to any person with whom it discloses, shares, or sells the personal information that is the subject of the request to correct. | (4)企業が、消費者の健康に関する収集および分析した個人情報の訂正要求を拒否する場合、企業は、民法第 1798.185 条 (a)(7)(D)に基づき、消費者が、消費者の記録の一部とする書面による声明を企業に提出することができることを消費者に通知しなければならない。事業者は、書面による声明は、不正確と主張される個人情報の各項目につき250字以内に限られ、消費者が当該声明を消費者の記録に含めるよう請求しなければならない旨を消費者に説明しなければならない。当該声明を受領した場合、事業者は、それを消費者の記録に含めなければならない。消費者の要求があった場合、事業者は、訂正の要求の対象となった個人情報を開示、共有、または販売する者に対して、その声明を提供しなければならない。 |
| (5) If the personal information at issue can be deleted pursuant to a request to delete, inform the consumer that they can make a request to delete the personal information and provide instructions on how the consumer can make a request to delete. | (5)削除の要求に応じて問題となっている個人情報を削除できる場合、消費者に、個人情報の削除を要求できることを通知し、削除の要求を行う方法に関する説明を提供しなければならない。 |
| (6) | (6) |
| (g) A business may deny a consumer’s request to correct if the business has denied the consumer’s request to correct the same alleged inaccuracy within the past six months of receiving the request. However, the business must treat the request to correct as new if the consumer provides new or additional documentation to prove that the information at issue is inaccurate. | (g)企業は、消費者の要求を受けた日から 6 か月以内に、同じ不正確な情報について消費者の訂正要求を拒否した場合、その消費者の訂正要求を拒否することができる。ただし、消費者が、問題となっている情報が不正確であることを証明する新たな証拠書類または追加の証拠書類を提出した場合、企業は、その訂正要求を新たな要求として扱わなければならない。 |
| (h) A business may deny a request to correct if it has a good-faith, reasonable, and documented belief that a request to correct is fraudulent or abusive. The business shall inform the requestor that it will not comply with the request and shall provide an explanation why it believes the request is fraudulent or abusive. | (h)企業は、訂正の要求が不正または乱用であると誠実かつ合理的に判断し、その判断を文書で証明できる場合、訂正の要求を拒否することができる。企業は、要求者にその要求に応じないことを通知し、その要求が不正または乱用であると判断した理由を説明しなければならない。 |
| (i) Where the business is not the source of the information that the consumer contends is inaccurate, in addition to processing the consumer’s request, the business must provide the consumer with the name of the source from which the business received the alleged inaccurate information, or in the alternative, inform the source that the information provided is incorrect and must be corrected. | (i)消費者が不正確であると主張する情報の出所が事業者ではない場合、事業者は、消費者の要求に対応するとともに、その不正確な情報を受け取った情報源の名称を消費者に提供するか、あるいは、提供された情報が不正確であり、訂正が必要であることを情報源に通知しなければならない。 |
| (j) Upon request, a business shall disclose specific pieces of personal information that the business maintains and has collected about the consumer to allow the consumer to confirm that the business has corrected the inaccurate information that was the subject of the consumer’s request to correct. This disclosure shall not be considered a response to a request to know that is counted towards the limitation of two requests within a 12month period as set forth in Civil Code section 1798.130, subdivision (b). With regard to a correction to a consumer’s Social Security number, driver’s license number or other government-issued identification number, financial account number, any health insurance or medical identification number, an account password, security questions and answers, or unique biometric data generated from measurements or technical analysis of human characteristics, a business shall not disclose this information, but must provide a way to confirm that the personal information it maintains is the same as what the verified consumer has provided. For example, the business can have the consumer use its toll-free phone number and provide the information that they seek to confirm. After verifying the consumer, the business can confirm whether the information provided by the consumer matches what they have in their system. | (j)要請があった場合、事業者は、消費者から提供された個人情報の訂正請求の対象となった不正確な情報を訂正したかどうかを確認するため、当該消費者に関する個人情報の特定項目を開示しなければならない。この開示は、民法1798.130条(b)項に定める12ヶ月間の2件までの請求の制限に算入される「開示請求」への回答とはみなされない。消費者の社会保障番号、運転免許証番号、その他の政府発行の識別番号、金融口座番号、健康保険または医療識別番号、口座のパスワード、セキュリティに関する質問と回答、または人間の特性の測定または技術的分析から生成された固有の生体データに関する訂正については、企業は、この情報を開示してはならないが、企業が保持する個人情報が、確認された消費者が提供した情報と同じであることを確認する方法を用意しなければならない。例えば、事業者は、消費者にフリーダイヤル番号を利用してもらい、確認したい情報を提供してもらうことができる。消費者を確認した後、事業者は、消費者から提供された情報が自社のシステムに登録されている情報と一致するかどうかを確認することができる。 |
| (k) Whether a business, service provider, or contractor has implemented measures to ensure that personal information that is the subject of a request to correct remains corrected factors into whether that business, service provider, or contractor has complied with a consumer’s request to correct in accordance with the CCPA and these regulations. For example, if a business, service provider, or contractor supplements personal information it maintains about consumers with information obtained from a data broker, failing to consider and address the possibility that corrected information may be overridden by inaccurate information subsequently received from a data broker factors into whether that business, service provider, or contractor has adequately complied with a consumer’s request to correct. | (k)企業、サービスプロバイダ、または請負業者が、訂正の要求の対象となった個人情報が確実に訂正されるようにするための措置を講じているかどうかは、その企業、サービスプロバイダ、または請負業者が CCPA および本規則に従って消費者の訂正要求に対応したかどうかを判断するための要素となる。例えば、企業、サービスプロバイダ、または請負業者が、データブローカーから取得した情報で、消費者について保持する個人情報を補足する場合、データブローカーからその後受け取った不正確な情報によって、訂正された情報が上書きされる可能性を考慮し、対処しなかった場合は、その企業、サービスプロバイダ、または請負業者が、消費者の訂正要求に適切に対応したかどうかを判断するための要素となる。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.81.5, 1798.106, 1798.130 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.81.5 条、1798.106 条、1798.130 条、および 1798.185 条。 |
| § 7024. Requests to Know. | § 7024. 知ることの要求。 |
| (a) For requests that seek the disclosure of specific pieces of information about the consumer, if a business cannot verify the identity of the person making the request pursuant to the regulations set forth in Article 5, the business shall not disclose any specific pieces of personal information to the requestor and shall inform the requestor that it cannot verify their identity. If the request is denied in whole or in part, the business shall also evaluate the consumer’s request as if it is seeking the disclosure of categories of personal information about the consumer pursuant to subsection (b). | (a)消費者の特定の個人情報の開示を求める請求の場合、事業者が第5条に定める規則に従って請求者の身分を確認できない場合、事業者は請求者に対し、特定の個人情報を開示せず、身分を確認できない旨を通知しなければならない。要求が全部または一部拒否された場合、事業者は、その要求を、サブセクション (b)に基づき、消費者に関する個人情報のカテゴリーの開示を求める要求として評価しなければならない。 |
| (b) For requests that seek the disclosure of categories of personal information about the consumer, if a business cannot verify the identity of the person making the request pursuant to the regulations set forth in Article 5, the business may deny the request to disclose the categories and other information requested and shall inform the requestor that it cannot verify their identity. If the request is denied in whole or in part, the business shall provide or direct the consumer to its information practices set forth in its privacy policy. | (b)消費者に関する個人情報のカテゴリー開示を求める要求について、事業者が第 5 条に定める規定に基づき要求者の本人確認ができない場合、事業者は、要求されたカテゴリーおよびその他の情報の開示を拒否することができ、要求者に本人確認ができないことを通知するものとする。要求が全部または一部拒否された場合、事業者は、そのプライバシーポリシーに定める情報取り扱い方針を消費者に提供するか、またはその提供を指示するものとする。 |
| (c) In responding to a request to know, a business is not required to search for personal information if all of the following conditions are met: | (c)事業者は、以下の条件をすべて満たす場合、開示請求に対応するために個人情報を検索する必要はない。 |
| (1) The business does not maintain the personal information in a searchable or reasonably accessible format. | (1)事業者が、検索可能な形式または合理的にアクセス可能な形式で個人情報を保持していない場合。 |
| (2) The business maintains the personal information solely for legal or compliance purposes. | (2)事業者が、法律またはコンプライアンスの目的のみのために個人情報を保持している場合。 |
| (3) The business does not sell the personal information and does not use it for any commercial purpose. | (3)企業が個人情報を販売しておらず、商業目的で使用していない場合。 |
| (4) The business describes to the consumer the categories of records that may contain personal information that it did not search because it meets the conditions stated above. | (4)企業が、上記の条件を満たすため検索しなかった個人情報を含む可能性のある記録のカテゴリーを消費者に説明している場合。 |
| (d) A business shall not disclose in response to a request to know a consumer’s Social Security number, driver’s license number or other government-issued identification number, financial account number, any health insurance or medical identification number, an account password, security questions and answers, or unique biometric data generated from measurements or technical analysis of human characteristics. However, the business shall: | (d)企業は、消費者の社会保障番号、運転免許証番号、その他の政府発行の識別番号、金融口座番号、健康保険または医療識別番号、口座のパスワード、セキュリティに関する質問と回答、または人間の特性の測定または技術的分析から生成された固有の生体データについて、開示の要求に応じて開示してはならない。ただし、企業は以下を行うこととする。 |
| (1) Inform the consumer with sufficient particularity that it has collected the type of information. For example, a business shall respond that it collects “unique biometric data including a fingerprint scan” without disclosing the actual fingerprint scan data; and | (1)当該情報の種類を収集したことを、消費者に十分に具体的に通知すること。例えば、事業者は、実際の指紋スキャンデータを開示することなく、「指紋スキャンを含む固有の生体データ」を収集していることを回答しなければならない。 |
| (2) Provide a way for the consumer to confirm that the personal information the business maintains is the same as what the verified consumer provides . For example, the business can have the consumer use its toll-free phone number and provide the information that they seek to confirm. After verifying the consumer, the business can confirm whether the information provided by the consumer matches what they have in their system. | (2)消費者が、事業者が保持する個人情報が、確認された消費者が提供した個人情報と同一であることを確認できる手段を提供すること。例えば、事業者は、消費者にフリーダイヤル番号を利用してもらい、確認したい情報を提供してもらうことができる。消費者の確認後、事業者は、消費者が提供した情報が自社のシステムに登録されている情報と一致するかどうかを確認することができる。 |
| (e) If a business denies a consumer’s verified request to know specific pieces of personal information, in whole or in part, the business shall do all of the following: | (e)事業者が、消費者の特定の個人情報について、その全部または一部の開示を求める確認済みの要求を拒否する場合、事業者は、以下のすべてを行うこと。 |
| (1) Provide to the consumer a detailed explanation of the basis for the denial, including any conflict with federal or state law or exception to the CCPA, unless prohibited from doing so by law; and | (1)法律で禁止されている場合を除き、連邦法または州法との矛盾、CCPA の例外事項など、拒否の理由について消費者に詳細に説明する。 |
| (2) Disclose the consumer’s personal information that is not subject to the exception. | (2)例外事項に該当しない消費者の個人情報を開示する。 |
| (3) | (3) |
| (f) A business shall use reasonable security measures when transmitting personal information to the consumer. | (f)企業は、消費者に個人情報を送信する際に、合理的なセキュリティ対策を採用しなければならない。 |
| (g) If a business maintains a password-protected account with the consumer, it may comply with a request to know by using a secure self-service portal for consumers to access, view, and receive a portable copy of their personal information if the portal fully discloses the personal information that the consumer is entitled to under the CCPA and these regulations, uses reasonable data security controls, and complies with the verification requirements set forth in Article 5. | (g)企業が消費者に対してパスワードで保護されたアカウントを管理している場合、その企業は、消費者が自分の個人情報にアクセス、閲覧、およびポータブルコピーを受け取ることができる、安全なセルフサービスポータルを使用して、情報開示の要求に応じることができる。ただし、そのポータルは、CCPA および本規則に基づき消費者が権利を有する個人情報を完全に開示し、合理的なデータセキュリティ管理措置を講じ、第 5 条に定める検証要件を遵守しているものに限る。 |
| (h) In response to a request to know, a business shall provide all the personal information it has collected and maintains about the consumer during the 12-month period preceding the business’s receipt of the consumer’s request. A consumer may request that the business provide personal information that the business collected beyond the 12-month period, as long as it was collected on or after January 1, 2022, and the business shall be required to provide that information unless doing so proves impossible or would involve disproportionate effort. That information shall include any personal information that the business’s service providers or contractors collected pursuant to their written contract with the business. If a business claims that providing personal information beyond the 12month period preceding the business’s receipt of the consumer’s request would be impossible or would involve disproportionate effort, the business shall not be required to provide it as long as the business provides the consumer a detailed explanation that includes enough facts to give a consumer a meaningful understanding as to why the business cannot provide personal information beyond the 12-month period. The business shall not simply state that it is impossible or would require disproportionate effort. | (h)知ることの要求に応じて、事業者は、消費者の要求を受けた日から 12 ヶ月間に収集し、保持している消費者に関するすべての個人情報を提供しなければならない。消費者は、2022 年 1 月 1 日以降に収集された情報について、12 ヶ月を超えて事業者が収集した個人情報の提供を事業者に要求することができ、事業者は、その提供が不可能である、または不釣り合いな努力を要する場合を除き、その情報を提供しなければならない。当該情報には、事業者のサービスプロバイダまたは請負業者が、事業者との書面による契約に基づき収集した個人情報も含まれる。事業者が、消費者の要求を受けた日から 12 ヶ月を超えて個人情報を提供することは不可能である、または不均衡な努力を要すると主張する場合、事業者は、12 ヶ月を超えて個人情報を提供できない理由を消費者が理解できる十分な事実を含む詳細な説明を提供すれば、その情報を提供する必要はない。事業者は、単に不可能である、または過度の努力を要すると述べるだけではいけない。 |
| (i) A service provider or contractor shall provide assistance to the business in responding to a verifiable consumer request to know, including by providing the business the consumer’s personal information it has in its possession that it collected pursuant to their written | (i)サービスプロバイダまたは委託業者は、検証可能な消費者の情報開示要求に対応するために、事業者に支援を提供しなければならない。これには、事業者と締結した書面による契約に基づき収集した、その事業者が保有する消費者の個人情報を事業者に提供すること、または事業者がその個人情報にアクセスできるようにすることが含まれる。 |
| contract with the business, or by enabling the business to access that personal information. | (j)消費者が、個人情報の種類、情報源の種類、および/または第三者の種類に関する確認済みの要求を行った場合、事業者は、CCPA の要件に従って、消費者に個別に対応しなければならない。 |
| (j) In responding to a consumer’s verified request to know categories of personal information, categories of sources, and/or categories of third parties, a business shall provide an individualized response to the consumer as required by the CCPA. It shall not refer the consumer to the businesses’ information practices outlined in its privacy policy unless its response would be the same for all consumers and the privacy policy discloses all the information that is otherwise required to be in a response to a request to know such categories. | (j)個人情報のカテゴリー、情報源のカテゴリー、および/またはサードパーティのカテゴリーに関する消費者の確認済みの要求に対応する場合、企業は CCPA の要求に従って、消費者に対して個別に対応しなければならない。その対応がすべての消費者に対して同じであり、かつ、プライバシーポリシーに、そのようなカテゴリーに関する開示要求への対応として必要とされるすべての情報が開示されている場合を除き、消費者に、その事業者のプライバシーポリシーに記載されている情報慣行を参照するよう指示してはならない。 |
| (k) In responding to a verified request to know categories of personal information, the business shall provide all of the following: | (k)個人情報のカテゴリーに関する確認済みの開示要求に対応する場合、事業者は、以下のすべてを提供しなければならない。 |
| (1) The categories of personal information the business has collected about the consumer. | (1)企業が消費者について収集した個人情報のカテゴリー。 |
| (2) The categories of sources from which the personal information was collected. | (2)個人情報が収集された情報源のカテゴリー。 |
| (3) The business or commercial purpose for which it collected, sold, or shared the personal information. | (3)個人情報を収集、販売、または共有した事業または商業目的。 |
| (4) The categories of third parties with whom the business discloses personal information. | (4)企業が個人情報を開示するサードパーティのカテゴリー。 |
| (5) The categories of personal information that the business sold or shared about the consumer, and for each category identified, the categories of third parties to whom it sold or shared that particular category of personal information. | (5)事業者が消費者に関して販売または共有した個人情報のカテゴリー、および特定された各カテゴリーについて、その特定の個人情報のカテゴリーを販売または共有したサードパーティのカテゴリー。 |
| (6) The categories of personal information that the business disclosed for a business purpose, and for each category identified, the categories of service providers or contractors to whom it disclosed that particular category of personal information. | (6)事業者が事業目的で開示した個人情報のカテゴリー、および特定された各カテゴリーについて、その特定の個人情報のカテゴリーを開示したサービスプロバイダまたは請負業者のカテゴリー。 |
| (l) A business shall identify the categories of personal information, categories of sources of personal information, categories of third parties to whom a business sold or shared personal information, and categories of service providers or contractors to whom a business disclosed personal information, in a manner that provides consumers a meaningful understanding of the categories listed. | (l)企業は、消費者が記載されたカテゴリーを十分に理解できる形で、個人情報のカテゴリー、個人情報の入手先カテゴリー、企業が個人情報を販売または共有したサードパーティのカテゴリー、および企業が個人情報を開示したサービスプロバイダまたは請負業者のカテゴリーを識別しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.81.5, 1798.110, 1798.115, 1798.130, 1798.140 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.81.5 条、1798.110 条、1798.115 条、1798.130 条、1798.140 条、および 1798.185 条。 |
| § 7025. Opt-out Preference Signals. | § 7025. オプトアウト選択シグナル。 |
| (a) The purpose of an opt-out preference signal is to provide consumers with a simple and easy-to-use method by which consumers interacting with businesses online can automatically exercise their right to opt-out of sale/sharing. Through an opt-out preference signal, a consumer can opt-out of sale and sharing of their personal information with all businesses they interact with online without having to make individualized requests with each business. | (a)オプトアウトの希望信号の目的は、オンラインで企業とやり取りを行う消費者に、販売/共有をオプトアウトする権利を自動的に行使できる、シンプルで使いやすい方法を提供することです。オプトアウトの希望信号により、消費者は、各企業に個別に要求を行うことなく、オンラインでやり取りを行うすべての企業に対する個人情報の販売および共有をオプトアウトすることができます。 |
| (b) A business that sells or shares personal information shall process any opt-out preference signal that meets the following requirements as a valid request to opt-out of sale/sharing: | (b)個人情報を販売または共有する企業は、以下の要件を満たすオプトアウトの希望信号を、販売/共有のオプトアウトの有効な要求として処理しなければならない。 |
| (1) The signal shall be in a format commonly used and recognized by businesses. An example would be an HTTP header field or JavaScript object. | (1)信号は、企業によって一般的に使用され、認識されている形式であること。例としては、HTTP ヘッダーフィールドや JavaScript オブジェクトなどが挙げられる。 |
| (2) The platform, technology, or mechanism that sends the opt-out preference signal shall make clear to the consumer, whether in its configuration or in disclosures to the public, that the use of the signal is meant to have the effect of opting the consumer out of the sale and sharing of their personal information. The configuration or disclosure does not need to be tailored only to California or to refer to California. | (2)オプトアウトの希望信号を送信するプラットフォーム、技術、またはメカニズムは、その設定または一般への開示において、その信号の使用が、消費者の個人情報の販売および共有をオプトアウトする効果を持つことを消費者に明確にする必要がある。設定または開示は、カリフォルニア州のみに合わせて作成したり、カリフォルニア州に言及したりする必要はない。 |
| (c) When a business that collects personal information from consumers online receives or detects an opt-out preference signal that complies with subsection (b): | (c)オンラインで消費者から個人情報を収集する事業者が、サブセクション (b)に準拠したオプトアウトの希望信号を受信または検知した場合 |
| (1) The business shall treat the opt-out preference signal as a valid request to opt-out of sale/sharing submitted pursuant to Civil Code section 1798.120 for that browser or device and any consumer profile associated with that browser or device, including pseudonymous profiles. If known, the business shall also treat the opt-out preference signal as a valid request to opt-out of sale/sharing for the consumer. This is not required for a business that does not sell or share personal information. | (1)事業者は、そのオプトアウトの希望信号を、民法第 1798.120 条に基づき、そのブラウザまたはデバイス、およびそのブラウザまたはデバイスに関連付けられた消費者プロファイル(仮名プロファイルを含む)に対する販売/共有のオプトアウトの有効な要求として扱うこと。また、そのオプトアウトの希望信号を、その消費者に対する販売/共有のオプトアウトの有効な要求として扱うものとします。個人情報を販売または共有しない事業者には、この義務は適用されません。 |
| (2) The business shall not require a consumer to provide additional information beyond what is necessary to send the signal. However, a business may provide the consumer with an option to provide additional information if it will help facilitate the consumer’s request to opt-out of sale/sharing. Any information provided by the consumer shall not be used, disclosed, or retained for any purpose other than processing the request to opt-out of sale/sharing. For example, a business may give the consumer the option to provide information that identifies the consumer so that the request to opt-out of sale/sharing can apply to offline sale or sharing of personal information. However, if the consumer does not respond, the business shall still process the opt-out preference signal as a valid request to opt-out of sale/sharing for that browser or device and any consumer profile the business associates with that browser or device, including pseudonymous profiles. | (2)企業は、シグナルの送信に必要な情報以外の追加情報の提供を消費者に要求してはならない。ただし、消費者の販売/共有のオプトアウトの要求を円滑にするために役立つ場合、企業は消費者に追加情報の提供を選択させることはできる。消費者が提供した情報は、販売/共有のオプトアウトの要求の処理以外の目的で使用、開示、または保持してはならない。例えば、企業は、販売/共有のオプトアウトの要求がオフラインでの個人情報の販売または共有にも適用されるように、消費者を識別する情報を提供することを消費者に選択させることはできる。ただし、消費者が応答しなかった場合でも、企業は、そのブラウザまたはデバイス、およびそのブラウザまたはデバイスに関連付けられている消費者のプロファイル(仮名によるプロファイルを含む)について、販売/共有のオプトアウトの希望信号を、販売/共有のオプトアウトの有効な要求として処理しなければならない。 |
| (3) If the opt-out preference signal conflicts with a consumer’s business-specific privacy setting that allows the business to sell or share their personal information, the business shall process the opt-out preference signal as a valid request to opt-out of sale/sharing, but may notify the consumer of the conflict and provide the consumer with an opportunity to consent to the sale or sharing of their personal information. The business shall comply with section 7004 in obtaining the consumer’s consent to the sale or sharing of their personal information. If the consumer consents to the sale or sharing of their personal information, the business may ignore the opt-out preference signal for as long as the consumer is known to the business, but the business must display the status of the consumer’s choice in accordance with section 7025, subsection (c)(6), and section 7026, subsection (g). | (3)オプトアウトの希望信号が、事業者が個人情報を販売または共有することを許可する消費者の事業固有のプライバシー設定と矛盾する場合、事業者は、オプトアウトの希望信号を販売/共有のオプトアウトの有効な要求として処理するものとするが、消費者にその矛盾を通知し、消費者に個人情報の販売または共有に同意する機会を提供することができる。事業者は、消費者の個人情報の販売または共有に関する同意を取得する際、第7004条に準拠しなければならない。消費者が個人情報の販売または共有に同意した場合、事業者は、当該消費者が事業者によって認識されている限り、オプトアウトの意思表示を無視することができる。ただし、事業者は、第7025条第(c)(6)項および第7026条第(g)項に従い、消費者の選択のステータスを表示しなければならない。 |
| (4) If the opt-out preference signal conflicts with the consumer’s participation in a business’s financial incentive program that requires the consumer to consent to the sale or sharing of personal information, the business may notify the consumer that processing the opt-out preference signal as a valid request to opt-out of sale/sharing would withdraw the consumer from the financial incentive program and ask the consumer to affirm that they intend to withdraw from the financial incentive program. If the consumer affirms that they intend to withdraw from the financial incentive program, the business shall process the consumer’s request to opt-out of sale/sharing. If the business asks and the consumer does not affirm their intent to withdraw, the business may ignore the opt-out preference signal with respect to that consumer’s participation in the financial incentive program for as long as the consumer is known to the business. If the business does not ask the consumer to affirm their intent with regard to the financial incentive program, the business shall still process the opt-out preference signal as a valid request to opt-out of sale/sharing for that browser or device and any consumer profile the business associates with that browser or device. In either situation, the business must display the status of the consumer’s choice in accordance with section 7025, subsection (c)(6), and section 7026, subsection (g). | (4)オプトアウトの意思表示が、消費者に個人情報の販売または共有への同意を義務付ける事業者の金銭的インセンティブプログラムへの参加と矛盾する場合、事業者は、オプトアウトの意思表示を販売/共有のオプトアウトの有効な要求として処理すると、消費者は金銭的インセンティブプログラムから脱退することとなることを消費者に通知し、金銭的インセンティブプログラムからの脱退の意思を確認するよう消費者に求めることができる。消費者が金融インセンティブプログラムからの退会を意図することを確認した場合、事業者は消費者の販売/共有のオプトアウト請求を処理しなければならない。事業者が確認を求め、消費者が退会を意図することを確認しなかった場合、事業者は、当該消費者が事業者に知られている限り、当該消費者の金融インセンティブプログラムへの参加に関してオプトアウトの意思表示を無視することができる。事業者が、消費者に対して金銭的インセンティブプログラムに関する意思を確認しなかった場合でも、事業者は、そのブラウザまたはデバイス、および事業者がそのブラウザまたはデバイスに関連付けた消費者プロファイルに関する販売/共有のオプトアウトの希望を、有効なオプトアウトの要求として処理しなければならない。いずれの場合も、事業者は、消費者の選択のステータスを、第7025条第(c)(6)項および第7026条第(g)項に従って表示しなければならない。 |
| (5) Where the consumer is known to the business, the business shall not interpret the absence of an opt-out preference signal after the consumer previously sent an optout preference signal as consent to opt-in to the sale or sharing of personal information. | (5)事業者が消費者を認識している場合、事業者は、消費者が以前にオプトアウトの意思表示を送信した後、オプトアウトの意思表示が送信されていないことを、個人情報の販売または共有へのオプトインの同意と解釈してはならない。 |
| (6) A business must display whether it has processed the consumer’s opt-out preference signal as a valid request to opt-out of sale/sharing on its website. For example, the business may display on its website “Opt-Out Request Honored” when a browser, device, or consumer using an opt-out preference signal visits the website, and display through a toggle or radio button that the consumer has opted out of the sale/sharing of their personal information in accordance with section 7026, subsection (g). | (6)企業は、消費者のオプトアウトの希望信号を、販売/共有のオプトアウトの有効な要求として処理したかどうかを、自社のウェブサイトに表示しなければならない。例えば、事業者は、オプトアウトの意思表示信号を使用するブラウザ、デバイス、または消費者がウェブサイトを訪問した際に、ウェブサイトに「オプトアウトの請求を尊重しました」と表示し、第7026条第(g)項に従い、消費者が個人情報の販売または共有をオプトアウトしたことをトグルまたはラジオボタンを通じて表示することができる。 |
| (7) Illustrative examples follow. | (7)例示例を以下に示す。 |
| (A) Caleb visits Business N’s website using a browser with an opt-out preference signal enabled, but he is not otherwise logged into his account and the business cannot otherwise associate Caleb’s browser with a consumer profile the business maintains. Business N collects and shares Caleb’s personal information tied to his browser identifier for cross-context behavioral advertising. Upon receiving the opt-out preference signal, Business N shall stop selling and sharing Caleb’s information linked to Caleb’s browser identifier for cross-context behavioral advertising, but it would not be able to apply the request to opt-out of the sale/sharing to Caleb’s account information because the connection between Caleb’s browser and Caleb’s account is not known to the business. | (A)ケイレブは、オプトアウト設定が有効になっているブラウザを使用して企業 N のウェブサイトを訪問したが、それ以外には自分のアカウントにログインしておらず、企業はケイレブのブラウザを、企業が保持する消費者プロファイルと関連付けることができない。企業 N は、コンテキスト間行動広告のために、ケイレブのブラウザ識別子に関連付けられたケイレブの個人情報を収集し、共有する。オプトアウトの希望信号を受信すると、企業 N は、クロスコンテキスト行動広告のために、ケイレブのブラウザ識別子に関連付けられたケイレブの販売および共有を停止するが、ケイレブのブラウザとケイレブのアカウントとの関連は企業には不明であるため、ケイレブのアカウント情報に対する販売/共有のオプトアウトの要求を適用することはできない。 |
| (B) Noelle has an account with Business O, an online retailer who manages consumer’s privacy choices through a settings menu. Noelle’s privacy settings default to allowing Business O to sell and share her personal information with the business’s marketing partners. Noelle enables an opt-out preference signal on her browser and then visits Business O’s website. Business O recognizes that Noelle is visiting its website because she is logged into her account. Upon receiving Noelle’s opt-out preference signal, Business O shall treat the signal as a valid request to opt-out of sale/sharing and shall apply it to her device and/or browser and also to her account and any offline sale or sharing of personal information. Business O may inform Noelle that her opt-out preference signal differs from her current privacy settings and provide her with an opportunity to consent to the sale or sharing of her personal information, but it must process the request to opt-out of sale/sharing unless Noelle instructs otherwise. Business O must also wait at least 12 months before asking Noelle to opt-in to the sale or sharing of her personal information in accordance with section 7026, subsection (k). In addition, Business O’s notification would not allow it to fall within the exception set forth in Civil Code section 1798.135, subdivision (b)(1), because it would not be complying with the requirements set forth in subsection (f). | (B)ノエルは、設定メニューを通じて消費者のプライバシーに関する選択を管理するオンライン小売業者である企業 O にアカウントを持っている。ノエルのプライバシー設定は、企業 O が彼女の個人情報を販売し、同社のマーケティングパートナーと共有することをデフォルトで許可している。ノエルは、ブラウザでオプトアウトの希望信号を有効にしてから、企業 O のウェブサイトを訪問する。企業 O は、ノエルが自分のアカウントにログインしているため、彼女が自社のウェブサイトを訪問していることを認識する。ノエルのオプトアウトの希望信号を受信すると、企業 O は、その信号を販売/共有のオプトアウトの有効な要求として扱い、彼女のデバイスおよび/またはブラウザ、ならびに彼女のアカウント、およびオフラインでの個人情報の販売または共有に適用する。ビジネス O は、ノエルのオプトアウトの希望が現在のプライバシー設定と異なることをノエルに通知し、個人情報の販売または共有に同意する機会を提供することができるが、ノエルが別段の指示をしない限り、販売/共有のオプトアウトの要求を処理しなければならない。ビジネスOは、セクション7026のサブセクション(k)に従い、ノエルに個人情報の販売または共有へのオプトインを依頼する前に、少なくとも12ヶ月間待つ必要がある。さらに、ビジネスOの通知は、サブセクション(f)に定められた要件を満たしていないため、民法セクション1798.135のサブセクション(b)(1)に定める例外に該当しない。 |
| (C) Angela also has an account with Business O and has enabled an opt-out preference signal on her browser while logged into her account. Business O applies the opt-out preference signal as a valid request to opt-out of sale/sharing not only to Angela’s current browser, but also to Angela’s account because she is known to the business while making the request. Angela later logs into her account with Business O using a different device that does not have the opt-out preference signal enabled. Business O shall not interpret the absence of the opt-out preference signal as consent to opt-in to the sale of personal information. | (C)アンジェラもビジネス O にアカウントを持っており、アカウントにログインしている間に、ブラウザでオプトアウトの優先信号を有効にしている。ビジネス O は、オプトアウトの優先信号を、アンジェラの現在のブラウザだけでなく、アンジェラのアカウントにも、販売/共有のオプトアウトの有効な要求として適用する。アンジェラは後日、オプトアウト設定が有効になっていない別のデバイスでビジネスOのアカウントにログインした。ビジネスOは、オプトアウト設定の欠如を個人情報の販売への同意と解釈してはならない。 |
| (D) Ramona participates in Business P’s financial incentive program where she receives coupons in exchange for allowing the business to pseudonymously track and share her online browsing habits with marketing partners. Ramona enables an opt-out preference signal on her browser and then visits Business P’s website. Business P knows that it is Ramona through a cookie that has been placed on her browser, but also detects the opt-out preference signal. Business P may ignore the opt-out preference signal and notify Ramona that her opt-out preference signal conflicts with her participation in the financial incentive program and ask whether she intends to withdraw from the financial incentive program. If Ramona does not affirm her intent to withdraw, Business P may ignore the opt-out preference signal and place Ramona on a whitelist so that Business P does not have to notify Ramona of the conflict again. | (D)ラモーナは、ビジネス P の金銭的インセンティブプログラムに参加しており、このプログラムでは、ビジネスが彼女のオンライン閲覧習慣を仮名で追跡し、マーケティングパートナーと共有することを許可すると、クーポンがもらえる。ラモーナは、ブラウザでオプトアウトのプリファレンスシグナルを有効にしてから、ビジネス P のウェブサイトを訪問する。ビジネス P は、彼女のブラウザに保存されているクッキーによって、それがラモーナであることを認識しているが、オプトアウトのプリファレンスシグナルも検知している。ビジネスPはオプトアウトの意思表示を無視し、ラモナに「オプトアウトの意思表示が金融インセンティブプログラムへの参加と矛盾している」と通知し、プログラムからの退出の意思を確認することができる。ラモナが退出の意思を明確に示さない場合、ビジネスPはオプトアウトの意思表示を無視し、ラモナをホワイトリストに登録することで、今後同じ矛盾が発生した場合に再度通知する必要がなくなる。 |
| (E) Ramona clears her cookies and revisits Business P’s website with the opt-out preference signal enabled. Business P no longer knows that it is Ramona visiting its website. Business P shall honor Ramona’s opt-out preference signal as it pertains to her browser or device and any consumer profile the business associates with that browser or device. | (E)ラモナはクッキーを削除し、オプトアウトの意思表示を有効にした状態でビジネスPのウェブサイトを再訪問する。ビジネスPは、ウェブサイトを訪問したのがラモナであることを認識できなくなる。ビジネスPは、ラモナのブラウザまたはデバイス、およびビジネスが当該ブラウザまたはデバイスと関連付ける消費者プロファイルに関するオプトアウトの意思表示を尊重しなければならない。 |
| (d) The business and the platform, technology, or mechanism that sends the opt-out preference signal shall not use, disclose, or retain any personal information collected from the consumer in connection with the sending or processing the request to opt-out of sale/sharing for any purpose other than sending or processing the opt-out preference signal. | (d)オプトアウトの好みを示すシグナルを送信する事業、プラットフォーム、技術、またはメカニズムは、オプトアウトの好みを示すシグナルの送信または処理に関連して消費者から収集した個人情報を、オプトアウトの好みを示すシグナルの送信または処理以外の目的で使用、開示、または保持してはならない。 |
| (e) Civil Code section 1798.135, subdivisions (b)(1) and (3), provide a business the choice between (1) processing opt-out preference signals and providing the “Do Not Sell or Share My Personal Information” and “Limit the Use of My Sensitive Personal Information” links or the Alternative Opt-out Link; or (2) processing opt-out preference signals in a frictionless manner in accordance with these regulations and not having to provide the “Do Not Sell or Share My Personal Information” and “Limit the Use of My Sensitive Personal Information” links or the Alternative Opt-out Link. They do not give the business the choice between posting the above-referenced links or honoring opt-out preference signals. Even if the business posts the above-referenced links, the business must still process opt-out preference signals, though it may do so in a non-frictionless manner. If a business processes opt-out preference signals in a frictionless manner in accordance with subsections (f) and (g), then it may, but is not required to, provide the above-referenced links. | (e)民法第 1798.135 条 (b)(1)および (3)は、事業者に (1)オプトアウトの希望信号を処理し、「私の個人情報を販売または共有しないでください」および「私の機密個人情報の使用を制限してください」 リンクまたは代替オプトアウトリンクを提供するか、 (2)本規則に従って、オプトアウトの希望信号を摩擦のない方法で処理し、「私の個人情報を販売または共有しない」および「私の機密個人情報の使用を制限する」リンクまたは代替オプトアウトリンクを提供しないかのいずれかを選択することができます。これらは、事業者に、上記のリンクを掲載するか、オプトアウトの希望信号を尊重するかの選択権を与えるものではありません。事業者は、上記のリンクを掲載した場合でも、オプトアウトの希望信号を処理しなければならないが、摩擦のない方法で行う必要はない。事業者が、サブセクション (f)および (g)に従って摩擦のない方法でオプトアウトの希望信号を処理する場合、上記のリンクを提供することはできるが、その義務はない。 |
| (f) Except as allowed by these regulations, processing an opt-out preference signal in a frictionless manner as required by Civil Code section 1798.135, subdivision (b)(1), means that the business shall not: | (f)これらの規則で認められる場合を除き、民法1798.135条(b)(1)項で要求される摩擦のない方法でオプトアウトの意思表示を処理するとは、事業者が以下のことを行わないことを意味する: |
| (1) Charge a fee or require any valuable consideration if the consumer uses an opt-out preference signal. | (1)消費者がオプトアウトの意思表示を使用した場合、料金を請求したり、価値ある対価を要求したりしないこと。 |
| (2) Change the consumer’s experience with the product or service offered by the business. For example, the consumer who uses an opt-out preference signal shall have the same experience with regard to how the business’s product or service functions compared to a consumer who does not use an opt-out preference signal. | (2)事業者が提供する製品またはサービスに関する消費者の体験を変更すること。例えば、オプトアウトの希望信号を使用した消費者は、オプトアウトの希望信号を使用しなかった消費者と同様に、事業者の製品またはサービスの機能に関して同じ体験をするものとする。 |
| (3) Display a notification, pop-up, text, graphic, animation, sound, video, or any interstitial content in response to the opt-out preference signal. However, a business’s display of whether the consumer visiting their website has opted out of the sale or sharing their personal information shall not be considered a violation of this regulation. The business may also provide a link to a privacy settings page, menu, or similar interface that enables the consumer to consent to the business ignoring the opt-out preference signal with respect to the business’s sale or sharing of the consumer’s personal information provided that it complies with subsections (f)(1) – (3). | (3)オプトアウトの意思表示信号に対して、通知、ポップアップ、テキスト、グラフィック、アニメーション、音声、動画、またはその他のインタースティシャルコンテンツを表示してはならない。ただし、事業者が自社のウェブサイトを訪問した消費者が個人情報の販売または共有をオプトアウトしたかどうかを表示することは、この規制の違反とはみなされない。また、企業は、サブセクション (f)(1)から (3)を遵守することを条件として、消費者が、企業の個人情報の販売または共有に関するオプトアウトの希望を無視することに同意できるプライバシー設定ページ、メニュー、または同様のインターフェースへのリンクを提供することもできる。 |
| (g) A business meeting the requirements of Civil Code section 1798.135, subdivision (b)(1) is not required to post the “Do Not Sell or Share My Personal Information” link or the Alternative Opt-out Link if it meets all of the following additional requirements: | (g)民法1798.135条(b)(1)の要件を満たす事業者は、以下のすべての追加要件を満たす場合、「個人情報の販売または共有を拒否する」リンクまたは代替オプトアウトリンクを掲載する必要はない。 |
| (1) Processes the opt-out preference signal in a frictionless manner in accordance with the CCPA and these regulations. | (1)CCPAおよび本規則に従い、オプトアウトの意思表示を摩擦のない方法で処理すること。 |
| (2) Includes in its privacy policy the following information: | (2)プライバシーポリシーに以下の情報を含めること。 |
| (A) A description of the consumer’s right to opt-out of the sale or sharing of their personal information by the business; | (A)事業者が消費者の個人情報を販売または共有することをオプトアウトする消費者の権利の説明。 |
| (B) A statement that the business processes opt-out preference signals in a frictionless manner; | (B)事業者がオプトアウトの希望を摩擦なく処理することに関する声明。 |
| (C) Information on how consumers can implement opt-out preference signals for the business to process in frictionless manner; and | (C)消費者が事業者に摩擦なく処理するためのオプトアウトの希望を実装する方法に関する情報。 |
| (D) Instructions for any other method by which the consumer may submit a request to opt-out of sale/sharing. | (D)消費者が販売/共有のオプトアウトを請求するためのその他の方法に関する指示。 |
| (3) Allows the opt-out preference signal to fully effectuate the consumer’s request to opt-out of sale/sharing. For example, if the business sells or shares personal information offline and needs to request from the consumer additional information that is not provided by the opt-out preference signal in order to apply the request to opt-out of sale/sharing to offline sales and sharing of personal information, then the business has not fully effectuated the consumer’s request to opt-out of sale/sharing. Illustrative examples follow. | (3)オプトアウトの意思表示が、消費者の販売/共有のオプトアウト請求を完全に履行するようにする。例えば、事業者がオフラインで個人情報を販売または共有し、販売/共有のオプトアウトの要求をオフラインでの個人情報の販売および共有に適用するために、オプトアウトの希望信号では提供されない追加情報を消費者に要求する必要がある場合、その事業者は、販売/共有のオプトアウトの要求を完全に実施したとはみなされない。以下に例を示す。 |
| (A) Business Q collects consumers’ online browsing history and shares it with third parties for cross-context behavioral advertising purposes. Business Q also sells consumers’ personal information offline to marketing partners. Business Q cannot fall within the exception set forth in Civil Code section 1798.135, subdivision (b)(1), because a consumer’s opt-out preference signal would only apply to Business Q’s online sharing of personal information about the consumer’s browser or device; the consumer’s opt-out preference signal would not apply to Business Q’s offline selling of the consumer’s information because Business Q could not apply it to the offline selling without additional information provided by the consumer, i.e., the logging into an account. | (A)企業 Q は、消費者のオンライン閲覧履歴を収集し、コンテキストをまたぐ行動広告の目的でサードパーティと共有している。また、企業 Q は、消費者の個人情報をオフラインでマーケティングパートナーに販売している。企業 Q は、民法第 1798 条に規定される例外に該当しない。 135、サブディビジョン (b)(1)に該当しない。消費者のオプトアウトの意思表示は、事業 Q による消費者のブラウザまたはデバイスに関する個人情報のオンラインでの共有にのみ適用される。事業 Q は、消費者から追加情報(アカウントへのログインなど)を提供されない限り、オフラインでの消費者の情報の販売にはオプトアウトの意思表示を適用できないため、消費者のオプトアウトの意思表示は事業 Q によるオフラインでの消費者の情報の販売には適用されない。 |
| (B) Business R only sells and shares personal information online for cross-context behavioral advertising purposes. Business R may use the exception set forth in Civil Code section 1798.135, subdivision (b)(1), and not post the “Do Not Sell or Share My Personal Information” link because a consumer using an opt-out preference signal would fully effectuate their right to opt-out of the sale or sharing of their personal information. | (B)ビジネスRは、クロスコンテキスト行動広告の目的でオンラインでの個人情報の販売および共有のみを行う。ビジネスRは、民法1798.135条(b)(1)項に定める例外を適用し、「個人情報の販売または共有を拒否する」リンクを掲載する必要はない。なぜなら、オプトアウトの意思表示信号を使用する消費者は、個人情報の販売または共有を拒否する権利を完全に行使できるからである。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.120, 1798.135, 1798.140 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参考:民法第 1798.120 条、1798.135 条、1798.140 条、および 1798.185 条。 |
| § 7026. Requests to Opt-out of Sale/Sharing. | § 7026. 販売/共有のオプトアウトの要求。 |
| (a) A business that sells or shares personal information shall provide two or more designated methods for submitting requests to opt-out of sale/sharing. A business shall consider the methods by which it interacts with consumers, the manner in which the business collects the personal information that it makes available to third parties, available technology, and ease of use by the consumer when determining which methods consumers may use to submit requests to opt-out of sale/sharing. At least one method offered shall reflect the manner in which the business primarily interacts with the consumer. Illustrative examples follow. | (a)個人情報を販売または共有する企業は、販売/共有のオプトアウトの要求を提出するための 2 つ以上の指定方法を用意しなければならない。企業は、消費者が販売/共有のオプトアウトの要求を提出するために使用できる方法を決定する際に、消費者とのやり取りの方法、サードパーティに提供する個人情報の収集方法、利用可能な技術、および消費者の使いやすさを考慮しなければならない。提供する方法のうち、少なくとも 1 つは、企業が消費者と主にやり取りする方法に反映されている必要がある。以下に例を示す。 |
| (1) A business that collects personal information from consumers online shall, at a minimum, allow consumers to submit requests to opt-out of sale/sharing through an opt-out preference signal and at least one of the following methods: an interactive form accessible via the “Do Not Sell or Share My Personal Information” link, the Alternative Opt-out Link, or the business’s privacy policy if the business processes an opt-out preference signal in a frictionless manner. | (1)オンラインで消費者から個人情報を収集する事業者は、少なくとも、オプトアウトの希望信号、および以下の方法のうち少なくとも 1 つを通じて、販売/共有のオプトアウトの要求を提出することを消費者に許可しなければならない。「私の個人情報を販売または共有しないでください」リンク、代替オプトアウトリンク、または事業者がオプトアウトの希望信号を摩擦なく処理する場合、事業者のプライバシーポリシーからアクセスできる対話型フォーム。 |
| (2) A business that interacts with consumers in person and online may provide an inperson method for submitting requests to opt-out of sale/sharing in addition to the opt-out preference signal. | (2)消費者と対面およびオンラインでやり取りを行う事業者は、オプトアウトの意思表示に加え、販売・共有のオプトアウトの要求を提出するための対面による方法も提供することができる。 |
| (3) Other methods for submitting requests to opt-out of the sale/sharing include, but are not limited to, a toll-free phone number, a designated email address, a form submitted in person, and a form submitted through the mail. | (3)販売・共有のオプトアウトの要求を提出するその他の方法としては、フリーダイヤル、指定のメールアドレス、直接提出する書面、郵送による書面などが挙げられるが、これらに限定されない。 |
| (4) A notification or tool regarding cookies, such as a cookie banner or cookie controls, is not by itself an acceptable method for submitting requests to opt-out of sale/sharing because cookies concern the collection of personal information and not the sale or sharing of personal information. An acceptable method for submitting requests to opt-out of sale/sharing must address the sale and sharing of personal information. | (4)クッキーに関する通知またはツール(クッキーバナーやクッキーコントロールなど)は、クッキーが個人情報の収集に関するものであり、個人情報の販売または共有に関するものではないため、販売/共有のオプトアウトを請求するための方法として単独で受け入れられるものではない。販売/共有のオプトアウトを請求するための受け入れ可能な方法は、個人情報の販売および共有に対処しなければならない。 |
| (b) A business’s methods for submitting requests to opt-out of sale/sharing shall be easy for consumers to execute, shall require minimal steps, and shall comply with section 7004. | (b)販売/共有のオプトアウトの要求を提出するための事業者の方法は、消費者が実行しやすいもので、必要な手順が最小限であり、第 7004 条に準拠しているものとする。 |
| (c) A business shall not require a consumer submitting a request to opt-out of sale/sharing to create an account or provide additional information beyond what is necessary to direct the business not to sell or share the consumer’s personal information. | (c)事業者は、販売/共有のオプトアウトの要求を提出する消費者に、消費者の個人情報を販売または共有しないよう指示するために必要な情報以外のアカウントの作成や追加情報の提供を要求してはならない。 |
| (d) A business shall not require a verifiable consumer request for a request to opt-out of sale/sharing. A business may ask the consumer for information necessary to complete the request, such as information necessary to identify the consumer whose information shall cease to be sold or shared by the business. However, to the extent that the business can comply with a request to opt-out of sale/sharing without additional information, it shall do so. | (d)企業は、販売/共有のオプトアウトの要求について、消費者に確認可能な要求を課してはならない。企業は、要求を完了するために必要な情報(企業が販売または共有を停止する消費者の識別に必要な情報など)を消費者に要求することができる。ただし、追加情報なしで、販売/共有のオプトアウトの要求に応じることができる場合は、その要求に応じなければならない。 |
| (e) If a business has a good-faith, reasonable, and documented belief that a request to optout of sale/sharing is fraudulent, the business may deny the request. The business shall inform the requestor that it will not comply with the request and shall provide to the requestor an explanation why it believes the request is fraudulent. | (e)企業が、販売/共有のオプトアウトの要求が不正であると誠実かつ合理的に判断し、その判断を文書で証明できる場合、企業は要求を拒否することができる。企業は、要求に応じないことを要求者に通知し、その要求が不正であると判断した理由を要求者に説明しなければならない。 |
| (f) A business shall comply with a request to opt-out of sale/sharing by: | (f)企業は、販売/共有のオプトアウトの要求に応じて、以下の措置を講じなければならない。 |
| (1) Ceasing to sell to and/or share with third parties the consumer’s personal information as soon as feasibly possible, but no later than 15 business days from the date the business receives the request. Service providers or contractors collecting personal information pursuant to the written contract with the business required by the CCPA and these regulations does not constitute a sale or sharing of personal information. | (1)実行可能な限り速やかに、ただし、事業者が要求を受けた日から 15 営業日以内に、消費者の個人情報のサードパーティへの販売および/または共有を停止すること。CCPA および本規則で義務付けられている、事業者との書面による契約に基づいて個人情報を収集するサービスプロバイダまたは請負業者は、個人情報の販売または共有には該当しない。 |
| (2) Notifying all third parties to whom the business has sold or shared the consumer’s personal information, after the consumer submits the request to opt-out of sale/sharing and before the business complies with that request, that the consumer has made a request to opt-out of sale/sharing and directing them to comply with the consumer’s request and forward the request to any other person to whom the third party has made the personal information available during that time period. | (2)消費者が販売/共有のオプトアウトの要求を提出した後、事業者がその要求に従う前に、事業者が消費者の個人情報を販売または共有したすべてのサードパーティに対して、消費者が販売/共有のオプトアウトの要求を行ったことを通知し、消費者の要求に従うよう指示し、その要求を、その期間にサードパーティが個人情報を提供した他のすべての人にも転送するよう指示すること。 |
| (3) Illustrative examples follow. | (3)例を挙げて説明する。 |
| (A) Business U uses programmatic advertising technology on its website that instantaneously sells and shares personal information of consumers viewing its website through real-time bidding. Business U can restrict the transfer of personal information instantaneously, and thus, stop the sale and sharing personal information immediately. Accordingly, when Maya visits Business U’s website and submits a request to opt-out of sale/sharing through the “Do Not Sell or Share My Personal Information” link, Business U shall immediately comply with Maya’s request by ceasing to sell or share Maya’s personal information with any third parties. Business U shall not take 15 business days to comply with Maya’s request because it is feasibly possible to comply with the request sooner. | (A)企業 U は、自社のウェブサイトに、リアルタイム入札により、そのウェブサイトを閲覧する消費者の個人情報を即座に販売および共有するプログラム広告技術を使用している。企業 U は、個人情報の転送を即座に制限することができ、したがって、個人情報の販売および共有を直ちに停止することができる。したがって、マヤがビジネス U のウェブサイトを訪問し、「私の個人情報を販売・共有しないでください」リンクから販売・共有のオプトアウトの要求を送信した場合、ビジネス U は、マヤの個人情報の販売・共有をサードパーティに対して直ちに停止し、マヤの要求に従う必要がある。ビジネス U は、マヤの要求に従うために 15 営業日かかることはなく、より早く要求に従うことが現実的に可能であるため、15 営業日以内にマヤの要求に従う必要がある。 |
| (B) Business V is a marketing company that discloses consumers’ personal information to its clients via a batched upload every Friday. Business V’s disclosure of personal information is a sale because it receives valuable consideration in exchange for the information. Siobhan submits a request to opt-out of sale/sharing to Business V through the mail, which Business V receives on Thursday. Business V finishes processing Siobhan’s request on Tuesday because it requires a few days to update all internal systems and databases with Siobhan’s request. Accordingly, Siobhan’s personal information was not removed from the disclosure that occurred on the first Friday after receiving her request, though it was removed from the disclosure that occurred on the second Friday. Business V must notify all its clients that received Siobhan’s information on the first Friday after Siobhan made her request to opt-out of sale/sharing and direct them to comply with her request and forward the request to any other person to whom they made Siobhan’s personal information available. | (B)ビジネスVは、毎週金曜日にバッチアップロードを通じて消費者の個人情報をクライアントに開示するマーケティング会社だ。ビジネスVの個人情報の開示は、情報と引き換えに価値ある対価を受けるため、販売に該当する。シオバンはメールを通じてビジネスVに販売/共有のオプトアウトを請求し、ビジネスVは木曜日にその請求を受領した。ビジネスVは、シボーンの要求を処理するために、すべての内部システムとデータベースを更新するのに数日かかるため、火曜日に処理を完了した。したがって、シボーンの個人情報は、要求を受領した後の最初の金曜日に発生した開示からは削除されなかったが、2回目の金曜日に発生した開示からは削除された。ビジネスVは、シオブハンが販売/共有のオプトアウトを請求した後の最初の金曜日にシオブハンの情報を受け取ったすべての顧客に通知し、彼女の請求に従うよう指示し、シオブハンの個人情報を提供した他の個人にも請求を転送するよう指示しなければならない。 |
| (g) A business must provide a means by which the consumer can confirm that their request to opt-out of sale/sharing has been processed by the business. For example, the business may display on its website “Opt-Out Request Honored” in accordance with section 7025, subsection (b)(6), and display in the consumer’s privacy settings through a toggle or radio button that the consumer has opted out of the sale/sharing of their personal information. | (g)企業は、販売/共有のオプトアウトの要求が企業によって処理されたことを消費者が確認できる手段を提供しなければならない。例えば、企業は、セクション 7025、サブセクション (b)(6)に従って、自社のウェブサイトに「オプトアウトの要求を受け付けました」と表示し、消費者のプライバシー設定に、消費者が個人情報の販売/共有をオプトアウトしたことを示すトグルボタンまたはラジオボタンを表示することができる。 |
| (h) In responding to a request to opt-out of sale/sharing, a business may present the consumer with the choice to opt-out of the sale or sharing of personal information for certain uses as long as a single option to opt-out of the sale or sharing of all personal information is also offered. However, doing so in response to an opt-out preference signal will prevent the business from using the exception set forth in Civil Code section 1798.135, subdivision (b)(1). | (h)販売/共有のオプトアウトの要求に対応する場合、企業は、すべての個人情報の販売または共有をオプトアウトする単一の選択肢も提供している場合に限り、特定の用途における個人情報の販売または共有をオプトアウトする選択肢を消費者に提示することができる。ただし、オプトアウトの意思表示に応答してこれを行う場合、事業者は民法1798.135条(b)(1)に定める例外規定を適用できない。 |
| (i) A business that responds to a request to opt-out of sale/sharing by informing the consumer of a charge for the use of any product or service shall comply with Article 7 and shall provide the consumer with a Notice of Financial Incentive that complies with section 7016 in its response. However, doing so in response to an opt-out preference signal will prevent the business from using the exception set forth in Civil Code section 1798.135, subdivision (b)(1). | (i)販売/共有のオプトアウトの要求に対して、製品またはサービスの使用料について消費者に通知することで対応する事業者は、第 7 条を遵守し、その対応において、第 7016 条に準拠した金銭的インセンティブに関する通知を消費者に提供しなければならない。ただし、オプトアウトの希望信号に応じてそうした場合、事業者は民法第 1798.135 条 (b)(1)に定める例外規定を利用することはできない。 |
| (j) A consumer may use an authorized agent to submit a request to opt-out of sale/sharing on the consumer’s behalf if the consumer provides the authorized agent written permission signed by the consumer. A business may deny a request from an authorized agent if the agent does not provide to the business the consumer’s signed permission demonstrating that they have been authorized by the consumer to act on the consumer’s behalf. The requirement to obtain and provide written permission from the consumer does not apply to requests made by an opt-out preference signal. | (j)消費者は、消費者に代わって販売/共有のオプトアウトの要求を提出するために、消費者が署名した書面による許可を代理人に提供した場合、その代理人を利用することができる。事業者は、代理人が、消費者から消費者に代わって行動する権限を付与されたことを示す、消費者の署名入り許可書を事業者に提出しない場合、代理人からの要求を拒否することができる。消費者から書面による許可を取得し、それを提供するという要件は、オプトアウトの希望信号による要求には適用されない。 |
| (k) Except as allowed by these regulations, a business shall wait at least 12 months from the date of the consumer’s request before asking a consumer who has opted out of the sale or sharing of their personal information to consent to the sale or sharing of their personal information. | (k)本規則で認められている場合を除き、企業は、個人情報の販売または共有をオプトアウトした消費者に対して、個人情報の販売または共有について同意を求める場合、その要求の日から 12 ヶ月以上経過してから行うものとします。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.120, 1798.135, 1798.140 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.120 条、1798.135 条、1798.140 条、および 1798.185 条。 |
| § 7027. Requests to Limit Use and Disclosure of Sensitive Personal Information. | § 7027. 機密性の高い個人情報の使用および開示の制限の要求。 |
| (a) The unauthorized use or disclosure of sensitive personal information creates a heightened risk of harm for the consumer. The purpose of the request to limit is to give consumers meaningful control over how their sensitive personal information is collected, used, and disclosed. It gives the consumer the ability to limit the business’s use of sensitive personal information to that which is necessary to perform the services or provide the goods reasonably expected by an average consumer who requests those goods or services, with some narrowly tailored exceptions, which are set forth in subsection (m). Sensitive personal information that is collected or processed without the purpose of inferring characteristics about a consumer is not subject to requests to limit. | (a)機密性の高い個人情報を不正に使用または開示すると、消費者への危害のリスクが高まる。制限の要求の目的は、消費者が自分の機密性の高い個人情報の収集、使用、および開示について、意味のある管理を行うことを可能にするためだ。これにより、消費者は、サブセクション (m)に規定される、厳格に規定された例外を除き、その商品またはサービスを要求する平均的な消費者が合理的に期待するサービスまたは商品の提供に必要な範囲に、事業者が機密性の高い個人情報を使用することを制限することができる。消費者の特性を推測する目的以外で収集または処理される機密性の高い個人情報は、制限の要求の対象とはならない。 |
| (b) A business that uses or discloses sensitive personal information for purposes other than those set forth in subsection (m) shall provide two or more designated methods for submitting requests to limit. A business shall consider the methods by which it interacts with consumers, the manner in which the business collects the sensitive personal information that it uses for purposes other than those set forth in subsection (m), available technology, and ease of use by the consumer when determining which methods consumers may use to submit requests to limit. At least one method offered shall reflect the manner in which the business primarily interacts with the consumer. Illustrative examples follow. | (b)(m)項に規定された目的以外で機密性の高い個人情報を使用または開示する事業者は、制限の要求を提出するための 2 つ以上の指定方法を用意しなければならない。事業者は、消費者が制限の要求を提出するために使用できる方法を決定する際に、消費者とのやり取りの方法、サブセクション (m)に規定された目的以外で使用する機密性の高い個人情報を収集する方法、利用可能な技術、および消費者の使用の容易さを考慮しなければならない。提供する方法のうち、少なくとも 1 つは、事業者が消費者と主にやり取りする方法に反映されたものでなければならない。その例を以下に示す。 |
| (1) A business that collects sensitive personal information from consumers online shall, at a minimum, allow consumers to submit requests to limit through an interactive form accessible via the “Limit the Use of My Sensitive Personal Information” link or the Alternative Opt-out Link. | (1)オンラインで消費者から機密性の高い個人情報を収集する事業者は、少なくとも、「私の機密性の高い個人情報の使用を制限する」リンクまたは代替オプトアウトリンクからアクセスできる対話型フォームを通じて、消費者が制限の要求を提出できるようにしなければならない。 |
| (2) A business that interacts with consumers in person and online may provide an inperson method for submitting requests to limit in addition to the online form. | (2)消費者と対面およびオンラインでやり取りを行う事業者は、オンラインフォームに加えて、制限の要求を提出するための対面による方法を提供することができる。 |
| (3) Other methods for submitting requests to limit include, but are not limited to, a tollfree phone number, a designated email address, a form submitted in person, and a form submitted through the mail. | (3)制限の請求を提出するその他の方法には、フリーダイヤル番号、指定のメールアドレス、対面で提出するフォーム、郵送で提出するフォームなどが含まれるが、これらに限定されない。 |
| (4) A notification or tool regarding cookies, such as a cookie banner or cookie controls, is not by itself an acceptable method for submitting requests to limit because cookies concern the collection of personal information and not necessarily the use and disclosure of sensitive personal information. An acceptable method for submitting requests to limit must address the specific right to limit. | (4)クッキーに関する通知またはツール(クッキーバナーやクッキーコントロールなど)は、クッキーが個人情報の収集に関するものであり、必ずしも機密個人情報の利用または開示に関するものではないため、制限請求の提出方法として単独で受け入れられるものではない。制限請求の提出方法として受け入れられる方法は、特定の制限権に対応しなければならない。 |
| (c) A business’s methods for submitting requests to limit shall be easy for consumers to execute, shall require minimal steps, and shall comply with section 7004. | (c)制限の要求を提出するための事業者の方法は、消費者が実行しやすいもので、必要な手順が最小限であり、第 7004 条に準拠しているものとする。 |
| (d) A business shall not require a consumer submitting a request to limit to create an account or provide additional information beyond what is necessary to direct the business to limit the use or disclosure of the consumer’s sensitive personal information. | (d)事業者は、制限の要求を提出する消費者に、消費者の機密性の高い個人情報の使用または開示を制限するよう指示するために必要な情報以外のアカウントの作成や追加情報の提供を要求してはならない。 |
| (e) A business shall not require a verifiable consumer request for a request to limit. A business may ask the consumer for information necessary to complete the request, such as information necessary to identify the consumer to whom the request applies. However, to the extent that the business can comply with a request to limit without additional information, it shall do so. | (e)企業は、制限の要求について、消費者に確認可能な要求を課してはならない。企業は、要求を完了するために必要な情報(要求の対象となる消費者を識別するために必要な情報など)を消費者に要求することができる。ただし、追加情報なしで制限の要求に応じることができる場合は、そのようにしなければならない。 |
| (f) If a business has a good-faith, reasonable, and documented belief that a request to limit is fraudulent, the business may deny the request. The business shall inform the requestor that it will not comply with the request and shall provide to the requestor an explanation why it believes the request is fraudulent. | (f)事業者は、制限の要求が不正であると誠実かつ合理的に判断し、その判断を文書で証明できる場合、その要求を拒否することができる。事業者は、要求者にその要求に応じないことを通知し、その要求が不正であると判断した理由を要求者に説明しなければならない。 |
| (g) A business shall comply with a request to limit by: | (g)事業者は、制限の要求に応じて、以下の措置を講じなければならない。 |
| (1) Ceasing to use and disclose the consumer’s sensitive personal information for purposes other than those set forth in subsection (m) as soon as feasibly possible, but no later than 15 business days from the date the business receives the request. | (1)事業者が請求を受けた日から15営業日以内に、可能な限り速やかに、消費者に関する機微な個人情報を、第(m)項に定める目的以外の目的で利用または開示することを中止すること。 |
| (2) Notifying all the business’s service providers or contractors that use or disclose the consumer’s sensitive personal information for purposes other than those set forth in subsection (m) that the consumer has made a request to limit and instructing them to comply with the consumer’s request to limit within the same time frame. | (2)(m)項に定める目的以外で消費者の機密個人情報を利用または開示する事業者のすべてのサービスプロバイダまたは委託業者に、消費者が制限の要求を行ったことを通知し、同じ期間内に消費者の制限の要求に従うよう指示すること。 |
| (3) Notifying all third parties to whom the business has disclosed or made available the consumer’s sensitive personal information for purposes other than those set forth in subsection (m), after the consumer submitted their request and before the business complies with that request, that the consumer has made a request to limit and direct them 1) to comply with the consumer’s request and 2) to forward the request to any other person with whom the third party has disclosed or made available the sensitive personal information during that time period. | (3)消費者が要求を提出した後、事業者がその要求に従う前に、サブセクション (m)に規定された目的以外で消費者の機密個人情報を開示または提供したすべてのサードパーティに対し、消費者が制限の要求を行ったことを通知し、以下の事項を指示する。1)(i)消費者の要求に従うこと、および(ii)その期間に、その機密性の高い個人情報を開示または提供した他の者にその要求を転送すること。 |
| (h) A business must provide a means by which the consumer can confirm that their request to limit has been processed by the business. For example, the business may display through a toggle or radio button that the consumer has limited the business’s use and disclosure of their sensitive personal information. | (h)企業は、消費者が、その制限の要求が企業によって処理されたことを確認できる手段を提供しなければならない。例えば、事業者は、消費者が事業者の機密個人情報の使用および開示を制限したことを、トグルボタンまたはラジオボタンで表示することができる。 |
| (i) In responding to a request to limit, a business may present the consumer with the choice to allow specific uses for the sensitive personal information as long as a single option to limit the use of the personal information is also offered. | (i)制限の要求に対応する場合、事業者は、個人情報の使用を制限する単一の選択肢も提供することを条件として、機密個人情報に関する特定の使用を許可する選択肢を消費者に提示することができる。 |
| (j) A consumer may use an authorized agent to submit a request to limit on the consumer’s behalf if the consumer provides the authorized agent written permission signed by the consumer. A business may deny a request from an authorized agent if the agent does not provide to the business the consumer’s signed permission demonstrating that they have been authorized by the consumer to act on the consumer’s behalf. | (j)消費者は、消費者に代わって制限の要求を提出するために、消費者が署名した書面による許可を、その代理人に提供した場合、その代理人を利用することができる。事業者は、消費者に代わって行動する権限を消費者に付与されていることを示す、消費者の署名入り許可書を代理人から提供されない場合、その代理人からの要求を拒否することができる。 |
| (k) A business that responds to a request to limit by informing the consumer of a charge for the use of any product or service shall comply with Article 7 and shall provide the consumer with a Notice of Financial Incentive that complies with section 7016 in its response. | (k)製品またはサービスの使用に関する料金を消費者に通知して制限の要求に対応する場合、事業者は第 7 条を遵守し、その対応において、第 7016 条に準拠した金銭的インセンティブに関する通知を消費者に提供しなければならない。 |
| (l) Except as allowed by these regulations, a business shall wait at least 12 months from the date the consumer’s request to limit is received before asking a consumer who has exercised their right to limit to consent to the use or disclosure of their sensitive personal information for purposes other than those set forth in subsection (m). | (l)これらの規則で認められる場合を除き、事業者は、消費者が制限の請求を行った日から12ヶ月以上経過するまで、消費者が制限の権利を行使した後に、当該消費者の敏感な個人情報を第(m)項に定める目的以外の目的で利用または開示することに同意するよう求めることはできない。 |
| (m) The purposes identified in Civil Code section 1798.121, subdivision (a), for which a business may use or disclose sensitive personal information without being required to offer consumers a right to limit are as follows. A business that only uses or discloses sensitive personal information for these purposes, provided that the use or disclosure is reasonably necessary and proportionate for those purposes, is not required to post a Notice of Right to Limit or provide a method for submitting a request to limit. | (m)民法第 1798.121 条 (a)項で規定されている、事業者が消費者に制限の権利を提供する必要なく、機密性の高い個人情報を使用または開示できる目的は、以下のとおりです。これらの目的のためにのみ機密性の高い個人情報を使用または開示する事業者は、その使用または開示が当該目的に合理的に必要かつ比例的である場合に、制限の権利に関する通知を掲載したり、制限の要求を提出する方法を用意したりする必要はない。 |
| (1) To perform the services or provide the goods reasonably expected by an average consumer who requests those goods or services. For example, a consumer’s precise geolocation may be used by a mobile application that is providing the consumer with directions on how to get to a specific location. A consumer’s precise geolocation may not, however, be used by a gaming application where the average consumer would not expect the application to need this piece of sensitive personal information. | (1)それらの商品またはサービスを要求する平均的な消費者が合理的に期待するサービスまたは商品を提供するため。例えば、特定の場所への道順を消費者に提供するモバイルアプリケーションは、消費者の正確な位置情報を使用することができる。ただし、平均的な消費者が、そのアプリケーションがこの機密性の高い個人情報が必要になるとは予想しないゲームアプリケーションは、消費者の正確な位置情報を使用することはできない。 |
| (2) To prevent, detect, and investigate security incidents that compromise the availability, authenticity, integrity, or confidentiality of stored or transmitted personal information. Illustrative examples follow. | (2)保存または送信された個人情報の可用性、信頼性、完全性、または機密性を損なうセキュリティインシデントを防止、検知、および調査するため。例を以下に示します。 |
| (A) A business may disclose a consumer’s log-in information to a data security company that it has hired to investigate and remediate a data breach that involved that consumer’s account. | (A)企業は、消費者のアカウントに関するデータ漏えいを調査および修復するために委託したデータセキュリティ会社に、消費者のログイン情報を開示することができます。 |
| (B) A business may scan employees’ outgoing emails to prevent employees from leaking sensitive personal information outside of the business. However, scanning the emails for other purposes would not fall within this exception to the consumer’s right to limit. | (B)事業者は、従業員が機密個人情報を事業外に漏洩するのを防止するため、従業員の送信メールをスキャンすることができる。ただし、他の目的でメールをスキャンすることは、消費者の制限権の例外には該当しない。 |
| (3) To resist malicious, deceptive, fraudulent, or illegal actions directed at the business or at consumers, or to prosecute those responsible for those actions. Illustrative examples follow. | (3)事業者または消費者に対して行われる悪意のある、欺瞞的な、詐欺的な、または違法な行為に対抗するため、またはそのような行為の責任者を起訴するため。具体的な例を以下に示す。 |
| (A) A business may use information about a consumer’s ethnicity and/or the contents of email and text messages to investigate claims of racial discrimination or hate speech. | (A)企業は、人種差別やヘイトスピーチに関する申し立てを調査するために、消費者の民族に関する情報や電子メールやテキストメッセージの内容を利用することができる。 |
| (B) A business may collect and use the biometric information of its employees to authenticate them for access into secured areas of their business and to prevent access by unauthorized persons. However, the business would not be able to retain the biometric information indefinitely or use it for unrelated purposes, such as the development of commercial products, under this exception to the consumer’s right to limit. | (B)企業は、従業員のセキュリティ保護されたエリアへのアクセスを認証し、権限のない者のアクセスを防止するために、従業員の生体情報を収集し、利用することができる。ただし、この例外規定に基づき、事業者は消費者の権利制限の例外として、生体認証情報を無期限に保持したり、商業製品の開発など関連のない目的で利用することはできない。 |
| (4) To ensure the physical safety of natural persons. For example, a business may disclose a consumer’s geolocation information to law enforcement to investigate an alleged kidnapping. | (4)自然人の身体的安全を確保するため。例えば、事業者は、誘拐の疑いに関する調査のため、消費者の位置情報を法執行機関に開示することができる。 |
| (5) For short-term, transient use, including, but not limited to, nonpersonalized advertising shown as part of a consumer’s current interaction with the business, provided that the personal information is not disclosed to another third party and is not used to build a profile about the consumer or otherwise alter the consumer’s experience outside the current interaction with the business. For example, a business that sells religious books can use information about its customers’ interest in its religious content to serve contextual advertising for other kinds of religious merchandise within its store or on its website, so long as the business does not use sensitive personal information to create a profile about an individual consumer or disclose personal information that reveals consumers’ religious beliefs to third parties. | (5)消費者と事業者の現在のやり取りの一部として表示される、非個人化された広告など、短期的かつ一時的な使用。ただし、個人情報は他のサードパーティに開示されず、消費者に関するプロファイルの作成や、事業者との現在のやり取り以外の消費者の体験の変更に使用されないことを条件とする。例えば、宗教書を販売する企業は、顧客が宗教的なコンテンツに関心を持っているという情報を使用して、その店舗内またはウェブサイト上で、他の種類の宗教関連商品に関するコンテキスト広告を配信することができる。ただし、その企業は、個人に関するプロファイルを作成するために機密性の高い個人情報を使用したり、消費者の宗教的信条を明らかにする個人情報をサードパーティに開示したりしてはならない。 |
| (6) To perform services on behalf of the business. For example, a business may use information for maintaining or servicing accounts, providing customer service, processing or fulfilling orders and transactions, verifying customer information, processing payments, providing financing, providing analytic services, providing storage, or providing similar services on behalf of the business. | (6)事業者に代わってサービスを行うため。例えば、事業者は、アカウントの維持またはサービス、顧客サービスの提供、注文および取引の処理または履行、顧客情報の確認、支払いの処理、融資の提供、分析サービスの提供、保管の提供、または事業者に代わって同様のサービスを行うために情報を使用することができる。 |
| (7) To verify or maintain the quality or safety of a product, service, or device that is owned, manufactured, manufactured for, or controlled by the business, and to improve, upgrade, or enhance the service or device that is owned, manufactured by, manufactured for, or controlled by the business. For example, a car rental business may use a consumer’s driver’s license for the purpose of testing that its internal text recognition software accurately captures license information used in car rental transactions. | (7)事業者が所有、製造、製造委託、または管理する製品、サービス、またはデバイスの品質または安全性を検証または維持するため、および事業者が所有、製造、製造委託、または管理するサービスまたはデバイスを改善、アップグレード、または強化するため。例えば、レンタカー事業者は、レンタカー取引で利用される免許証情報を正確に認識する内部テキスト認識ソフトウェアのテスト目的で、消費者の運転免許証を利用する場合がある。 |
| (8) To collect or process sensitive personal information where the collection or processing is not for the purpose of inferring characteristics about a consumer. For example, a business that includes a search box on their website by which consumers can search for articles related to their health condition may use the information provided by the consumer for the purpose of providing the search feature without inferring characteristics about the consumer. | (8)消費者の特性を推測する目的ではない、機密性の高い個人情報を収集または処理する場合。例えば、消費者が自分の健康状態に関連する記事を検索できる検索ボックスをウェブサイトに掲載している事業者は、消費者から提供された情報を、消費者の特性を推測することなく、検索機能を提供するために使用することができる。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.121, 1798.135, 1798.140 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法 第1798.121条、第1798.135条、第1798.140条および第1798.185条。 |
| § 7028. Requests to Opt-in After Opting-out of the Sale or Sharing of Personal Information or Limiting the Use and Disclosure of Sensitive Personal Information. | § 7028. 個人情報の販売または共有からのオプトアウトまたは機微な個人情報の利用および開示の制限後のオプトインの請求。 |
| (a) Requests to opt-in to sale or sharing of personal information and requests to opt-in to the use and disclosure of sensitive personal information shall use a two-step opt-in process whereby the consumer shall first, clearly request to opt-in and then second, separately confirm their choice to opt-in. | (a)個人情報の販売または共有へのオプトインの請求および機微な個人情報の利用および開示へのオプトインの請求は、2段階のオプトインプロセスを使用するものとし、消費者はまず、オプトインを明確に請求し、次に、その選択を別途確認するものとする。 |
| (b) If a consumer who has opted-out of the sale or sharing of their personal information initiates a transaction or attempts to use a product or service that requires the sale or sharing of their personal information, the business may inform the consumer that the transaction, product, or service requires the sale or sharing of their personal information and provide instructions on how the consumer can provide consent to opt-in to the sale or sharing of their personal information. The business shall comply with section 7004 when obtaining the consumer’s consent. | (b)個人情報の販売または共有をオプトアウトした消費者が、個人情報の販売または共有を必要とする取引を開始したり、製品またはサービスの利用を試みた場合、企業は、その取引、製品、またはサービスには個人情報の販売または共有が必要であることを消費者に通知し、個人情報の販売または共有にオプトインするための同意の方法について説明しなければならない。事業者は、消費者の同意を取得する際には、第7004条に準拠しなければならない。 |
| (c) If a consumer who has exercised their right to limit initiates a transaction or attempts to use a product or service that requires the use or disclosure of sensitive personal information for purposes other than those set forth in section 7027, subsection (m), the business may inform the consumer that the transaction, product, or service requires the use or disclosure of sensitive personal information for additional purposes and provide instructions on how the consumer can provide consent for the business to use or disclose sensitive personal information for those additional purposes. The business shall comply with section 7004 when obtaining the consumer’s consent. | (c)制限の権利を行使した消費者が、第7027条(m)項に定める目的以外の目的で機微な個人情報の利用または開示を必要とする取引を開始したり、製品またはサービスを利用しようとした場合、事業者は、当該取引、 商品またはサービスの利用には、追加の目的のために機密性の高い個人情報の使用または開示が必要であることを消費者に通知し、その追加の目的のために事業者が機密性の高い個人情報を使用または開示することについて、消費者が同意を与える方法に関する説明を提供しなければならない。事業者は、消費者の同意を得る際には、第 7004 条を遵守しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.120, 1798.135 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参考:民法第 1798.120 条、1798.135 条、および 1798.185 条。 |
| ARTICLE 4. SERVICE PROVIDERS, CONTRACTORS, AND THIRD PARTIES | 第 4 条 サービスプロバイダ、請負業者、およびサードパーティ |
| § 7050. Service Providers and Contractors. | § 7050. サービスプロバイダおよび請負業者。 |
| (a) A service provider or contractor shall not retain, use, or disclose personal information collected pursuant to its written contract with the business except for the following purposes, provided that the retention, use, or disclosure is reasonably necessary and proportionate for those purposes. | (a)サービスプロバイダまたは請負業者は、事業者と締結した書面による契約に基づき収集した個人情報を、以下の目的のために、その保持、使用、または開示が当該目的に合理的に必要かつ比例的である場合に限り、保持、使用、または開示してはならない。 |
| (1) For the specific business purpose(s) set forth in the written contract between the business and the service provider or contractor that is required by the CCPA and these regulations. | (1)CCPA および本規則で義務付けられている、事業者とサービスプロバイダまたは請負業者との間の書面による契約に規定されている特定の事業目的のため。 |
| (2) To retain and employ another service provider or contractor as a subcontractor, where the subcontractor meets the requirements for a service provider or contractor under the CCPA and these regulations. | (2)CCPA および本規則に基づくサービスプロバイダまたは請負業者の要件を満たす下請け業者を、下請け業者として保持および採用する場合。 |
| (3) For internal use by the service provider or contractor to build or improve the quality of the services it is providing to the business, even if this business purpose is not specified in the written contract required by the CCPA and these regulations, provided that the service provider or contractor does not use the personal information to perform services on behalf of another person. Illustrative examples follow. | (3)CCPA および本規則で要求される書面による契約に明記されていない場合でも、サービスプロバイダまたは請負業者が、事業者に提供するサービスの品質の向上または改善のために、その業務のために利用する場合。ただし、サービスプロバイダまたは請負業者が、他の者に代わってサービスを行うために個人情報を利用しないことを条件とする。以下に例を挙げる。 |
| (A) An email marketing service provider can send emails on a business’s behalf using the business’s customer email list. The service provider could analyze those customers’ interactions with the marketing emails to improve its services and offer those improved services to everyone. But the service provider cannot use the original email list to send marketing emails on behalf of another business. | (A)E メールマーケティングサービスプロバイダは、企業の顧客 E メールアドレスリストを使用して、企業に代わって E メールを送信することができる。サービスプロバイダは、マーケティング E メールに対する顧客の反応を分析して、サービスを改善し、その改善したサービスをすべての人に提供することができる。ただし、サービスプロバイダは、元の E メールアドレスリストを使用して、他の企業に代わってマーケティング E メールを送信することはできない。 |
| (B) A shipping service provider that delivers businesses’ products to their customers may use the addresses received from their business clients and their experience delivering to those addresses to identify faulty or incomplete addresses, and thus, improve their delivery services. However, the shipping service provider cannot compile the addresses received from one business to send advertisements on behalf of another business, or compile addresses received from businesses to sell to data brokers. | (B)企業の顧客に企業の製品を配送する配送サービスプロバイダは、企業顧客から受け取った住所と、その住所への配送経験を利用して、誤った住所や不完全な住所を識別し、配送サービスを改善することができる。ただし、配送サービスプロバイダは、ある企業から受け取った住所を、別の企業に代わって広告を送信するために編集したり、企業から受け取った住所をデータブローカーに販売するために編集したりすることはできない。 |
| (4) To prevent, detect, or investigate data security incidents or protect against malicious, deceptive, fraudulent or illegal activity, even if this business purpose is not specified in the written contract required by the CCPA and these regulations. For example, a service provider or contractor may use IP addresses that have been associated with malicious activity (e.g., distributed denial of service attacks) to detect and prevent such malicious activity. | (4)データセキュリティのインシデントを防止、検知、調査するため、または悪意のある、欺瞞的、不正、違法な行為から保護するため。この事業目的が、CCPA および本規則で要求される書面による契約に明記されていない場合でも同様です。例えば、サービスプロバイダまたは請負業者は、悪意のある行為(分散型サービス妨害攻撃など)に関連付けられている IP アドレスを使用して、そのような悪意のある行為を検知および防止することができます。 |
| (5) For the purposes enumerated in Civil Code section 1798.145, subdivisions (a)(1) . | (5)民法第 1798.145 条、サブディビジョン (a)(1)に列挙されている目的のため。 |
| (b) A service provider or contractor cannot contract with a business to provide cross-context behavioral advertising. Pursuant to Civil Code section 1798.140, subdivision (e)(6), a service provider or contractor may contract with a business to provide advertising and marketing services, but the service provider or contractor shall not combine the personal information of consumers who have opted-out of the sale/sharing that the service provider or contractor receives from, or on behalf of, the business with personal information that the service provider or contractor receives from, or on behalf of, another person or collects from its own interaction with consumers. A person who contracts with a business to provide cross-context behavioral advertising is a third party and not a service provider or contractor with respect to cross-context behavioral advertising services. Illustrative examples follow. | (b)サービスプロバイダまたは請負業者は、コンテキスト間行動広告の提供について事業者と契約することはできない。民法第 1798. 140、サブディビジョン (e)(6)に基づき、サービスプロバイダまたは請負業者は、企業と広告およびマーケティングサービスの提供に関する契約を締結することができるが、サービスプロバイダまたは請負業者は、企業から、または企業に代わって受け取った、販売/共有をオプトアウトした消費者の個人情報を、サービスプロバイダまたは請負業者が、他の者から、または他の者に代わって受け取った個人情報、あるいは消費者とのやり取りから収集した個人情報と組み合わせることはできない。事業者と、コンテキスト横断行動広告の提供について契約する者は、コンテキスト横断行動広告サービスに関しては、サービスプロバイダまたは請負業者ではなく、サードパーティとなる。以下に例を示す。 |
| (1) Business S, a clothing company, hires a social media company as a service provider for the purpose of providing Business S’s advertisements on the social media company’s platform. The social media company can serve Business S by providing non-personalized advertising services on its platform based on aggregated or demographic information (e.g., advertisements to women, 18-30 years old, that live in Los Angeles). However, it cannot use a list of customer email addresses provided by Business S to identify users on the social media company’s platform to serve advertisements to them. | (1)衣料品会社である事業 S は、ソーシャルメディア会社のプラットフォーム上で事業 S の広告を掲載するサービスプロバイダとして、ソーシャルメディア会社を雇用している。ソーシャルメディア企業は、集計情報または人口統計情報(例えば、ロサンゼルス在住の 18 歳から 30 歳の女性向けの広告)に基づいて、そのプラットフォーム上で非個別化された広告サービスを提供することにより、企業 S にサービスを提供することができる。ただし、ソーシャルメディア企業は、企業 S から提供された顧客のメールアドレスのリストを使用して、ソーシャルメディア企業のプラットフォーム上のユーザーを識別し、そのユーザーに広告を配信することはできない。 |
| (2) Business T, a company that sells cookware, hires an advertising company as a service provider for the purpose of advertising its services. The advertising agency can serve Business T by providing contextual advertising services, such as placing advertisements for Business T’s products on websites that post recipes and other cooking tips. | (2)調理器具を販売する企業 T は、自社のサービスを宣伝する目的で、広告会社をサービスプロバイダとして採用している。広告代理店は、レシピやその他の料理のヒントを掲載するウェブサイトに、企業 T の製品の広告を掲載するなどのコンテンツ連動型広告サービスを提供することで、企業 T にサービスを提供することができる。 |
| (c) If a service provider or contractor receives a request made pursuant to the CCPA directly from the consumer, the service provider or contractor shall either act on behalf of the business in accordance with the business’s instructions for responding to the request or inform the consumer that the request cannot be acted upon because the request has been sent to a service provider or contractor. | (c)サービスプロバイダまたは請負業者が、CCPA に基づく要求を消費者から直接受けた場合、サービスプロバイダまたは請負業者は、その要求に対応するための事業者の指示に従って事業者に代わって対応するか、またはその要求はサービスプロバイダまたは請負業者に送信されたため対応できないことを消費者に通知しなければならない。 |
| (d) A service provider or contractor that is a business shall comply with the CCPA and these regulations with regard to any personal information that it collects, maintains, or sells outside of its role as a service provider or contractor. | (d)サービスプロバイダまたは請負業者が事業である場合は、サービスプロバイダまたは請負業者としての役割以外で収集、維持、または販売する個人情報についても、CCPA および本規則を遵守しなければならない。 |
| (e) A person who does not have a contract that complies with section 7051, subsection (a), is not a service provider or a contractor under the CCPA. For example, a business’s disclosure of personal information to a person who does not have a contract that complies with section 7051, subsection (a), may be considered a sale or sharing of personal information for which the business must provide the consumer with the right to opt-out of sale/sharing. | (e)セクション 7051、サブセクション (a)に準拠した契約を締結していない者は、CCPA におけるサービスプロバイダまたは請負業者には該当しない。例えば、セクション 7051、サブセクション (a)に準拠した契約を締結していない個人に対して、企業が個人情報を開示した場合は、その企業は、消費者に販売/共有をオプトアウトする権利を提供しなければならない個人情報の販売または共有とみなされる可能性がある。 |
| (f) A service provider or a contractor shall comply with the terms of the contract required by the CCPA and these regulations. | (f)サービスプロバイダまたは請負業者は、CCPA および本規則で義務付けられている契約条項を遵守しなければならない。 |
| (g) Whether an entity that provides services to a nonbusiness must comply with a consumer’s CCPA request depends upon whether the entity is a “business,” as defined by Civil Code section 1798.140, subdivision (d). | (g)非事業者にサービスを提供する事業体が、消費者の CCPA 要求に従う必要があるかどうかは、その事業体が民法第 1798.140 条 (d)項で定義される「事業体」であるかどうかによって決まる。 |
| (h) A service provider or contractor shall, with respect to personal information that they collected pursuant to their written contract with the business, cooperate with the business: | (h)サービスプロバイダまたは請負業者は、事業者と締結した書面による契約に基づき収集した個人情報について、事業者と協力しなければならない。 |
| (1) In the business’s completion of its cybersecurity audit pursuant to Article 9, including making available to the business’s auditor all relevant information that the auditor requests to complete the business’s cybersecurity audit and that is in the service provider’s or contractor’s possession, custody, or control, and not misrepresenting any fact that the auditor deems relevant to the business’s cybersecurity audit; and | (1)事業者が、第 9 条に基づくサイバーセキュリティ監査を完了すること。これには、監査人が事業者のサイバーセキュリティ監査を完了するために要求する、サービスプロバイダまたは委託業者が所有、保管、または管理しているすべての関連情報を監査人に提供すること、および監査人が事業者のサイバーセキュリティ監査に関連すると判断した事実を偽って報告しないことが含まれる。 |
| (2) In conducting the business’s risk assessment pursuant to Article 10, including making available to the business all facts necessary to conduct the risk assessment that are in the service provider’s or contractor’s possession, custody, or control, and not misrepresenting any fact necessary to conduct the risk assessment. | (2)第 10 条に基づく事業者のリスクアセスメントの実施において、リスクアセスメントの実施に必要な、サービスプロバイダまたは請負業者が所有、保管、または管理するすべての事実を事業者に提供し、リスクアセスメントの実施に必要な事実を偽って報告しないこと。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.100, 1798.105, 1798.106, 1798.110, 1798.115, 1798.120, 1798.121, 1798.130, 1798.135, 1798.140 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第1798.100条、第1798.105条、第1798.106条、第1798.110条、第1798.115条、第1798.120条、第1798.121条、第1798.130条、第1798.135条、第1798. 140 および 1798.185、民法。 |
| § 7051. Contract Requirements for Service Providers and Contractors. | § 7051. サービスプロバイダおよび請負業者に対する契約要件。 |
| (a) The contract required by the CCPA for service providers and contractors shall: | (a)CCPA がサービスプロバイダおよび請負業者に義務付ける契約は、以下の条件を満たさなければならない。 |
| (1) Prohibit the service provider or contractor from selling or sharing personal information it collects pursuant to the written contract with the business. | (1)サービスプロバイダまたは請負業者が、事業者と締結した書面による契約に基づき収集した個人情報を販売または共有することを禁止すること。 |
| (2) Identify the specific business purpose(s) for which the service provider or contractor is processing personal information pursuant to the written contract with the business, and specify that the business is disclosing the personal information to the service provider or contractor only for the limited and specified business purpose(s) set forth within the contract. The business purpose(s) shall not be described in generic terms, such as referencing the entire contract generally. The description shall be specific. | (2)サービスプロバイダまたは請負業者が、事業者と締結した書面による契約に基づき個人情報を処理する具体的な事業目的を識別し、事業者が、契約に規定された限定的かつ具体的な事業目的のためにのみ、サービスプロバイダまたは請負業者に個人情報を開示することを明記する。事業目的は、契約全体を参照するなど、一般的な表現で記述してはならない。その記述は具体的であること。 |
| (3) Prohibit the service provider or contractor from retaining, using, or disclosing the personal information that it collected pursuant to the written contract with the business for any purpose other than the business purpose(s) specified in the contract or as otherwise permitted by the CCPA and these regulations. | (3)サービスプロバイダまたは委託先が、事業者と締結した書面による契約に基づき収集した個人情報を、契約で定められた事業目的、または CCPA および本規則で認められた目的以外の目的で保持、使用、または開示することを禁止する。 |
| (4) | (4) |
| (5) Prohibit the service provider or contractor from retaining, using, or disclosing the personal information that it collected pursuant to the written contract with the business outside the direct business relationship between the service provider or contractor and the business, unless expressly permitted by the CCPA or these regulations. For example, a service provider or contractor shall be prohibited from combining or updating personal information that it collected pursuant to the written contract with the business with personal information that it received from another source or collected from its own interaction with the consumer, unless expressly permitted by the CCPA or these regulations. | (5)CCPA または本規則で明示的に認められている場合を除き、サービスプロバイダまたは請負業者が、事業者と締結した書面による契約に基づき収集した個人情報を、サービスプロバイダまたは請負業者と事業者との直接の取引関係の範囲外で保持、使用、または開示することを禁止する。例えば、サービスプロバイダまたは委託業者は、CCPA または本規則で明示的に認められている場合を除き、事業者と締結した書面による契約に基づき収集した個人情報を、他の情報源から受け取った個人情報、または消費者とのやり取りから収集した個人情報と組み合わせたり、更新したりすることは禁止される。 |
| (5) Require the service provider or contractor to comply with all applicable sections of the CCPA and these regulations, including—with respect to the personal information that it collected pursuant to the written contract with the business— providing the same level of privacy protection as required of businesses by the CCPA and these regulations. For example, the contract may require the service provider or contractor to cooperate with the business in responding to and complying with consumers’ requests made pursuant to the CCPA, to assist the business in completing the business’s cybersecurity audit pursuant to Article 9, to assist the business in conducting the business’s risk assessment pursuant to Article 10, to assist the business in complying with the business’s ADMTrequirements pursuant to Article 11, and to implement reasonable security procedures and practices appropriate to the nature of the personal information to protect the personal information from unauthorized or illegal access, destruction, use, modification, or disclosure in accordance with Civil Code section 1798.81.5. | (5)サービスプロバイダまたは請負業者に、CCPA および本規則の適用されるすべての条項を遵守することを義務付ける。これには、事業者と締結した書面による契約に基づき収集した個人情報に関しては、CCPA および本規則が事業者に義務付けるのと同じレベルのプライバシー保護を提供することが含まれる。例えば、契約では、サービスプロバイダまたは請負業者に、CCPA に基づく消費者の要求への対応および遵守において事業者に協力すること、第 9 条に基づく事業者のサイバーセキュリティ監査の完了を支援すること、第 10 条に基づく事業者のリスクアセスメントの実施を支援すること、第 11 条に基づく事業者の ADM 要件の遵守を支援すること、および、不正または違法なアクセス、破壊、使用、変更、または開示から個人情報を保護するために、個人情報の性質に適した合理的なセキュリティ手順および慣行を実施することを義務付けることができる。 (6)事業者に、サービスプロバイダまたは請負業者が、事業者との書面による契約に基づき収集した個人情報を、事業者が CCPA および本規則により義務付けられているプライバシー保護と同等のプライバシー保護を行うことを保証する。 |
| (6) Grant the business the right to take reasonable and appropriate steps to ensure that the service provider or contractor uses the personal information that it collected pursuant to the written contract with the business in a manner consistent with the business’s obligations under the CCPA and these regulations. Reasonable and appropriate steps may include ongoing manual reviews and automated scans of the service provider’s system and regular internal or third-party assessments, audits, or other technical and operational testing at least once every 12 months. | (6)事業者に、サービスプロバイダまたは請負業者が、事業者との書面による契約に基づき収集した個人情報を、CCPA および本規則に基づく事業者の義務に準拠した方法で利用することを確保するための、合理的かつ適切な措置を講じる権利を付与する。合理的かつ適切な措置には、サービスプロバイダのシステムに対する継続的な手動レビューおよび自動スキャン、ならびに少なくとも 12 ヶ月に 1 回、定期的な内部またはサードパーティによるアセスメント、監査、その他の技術的および運用上のテストが含まれる。 |
| (7) Require the service provider or contractor to notify the business after it makes a determination that it can no longer meet its obligations under the CCPA and these regulations. | (7)サービスプロバイダまたは請負業者は、CCPA および本規則に基づく義務を履行できなくなったと判断した場合、事業者にその旨を通知すること。 |
| (8) Grant the business the right, upon notice, to take reasonable and appropriate steps to stop and remediate the service provider or contractor’s unauthorized use of personal information. For example, the business may require the service provider or contractor to provide documentation that verifies that they no longer retain or use the personal information of consumers that have made a valid request to delete with the business. | (8)通知があった場合、サービスプロバイダまたは請負業者の個人情報の不正使用を停止および是正するための合理的かつ適切な措置を講じる権利を事業者に付与する。例えば、事業者は、サービスプロバイダまたは請負業者に、事業者に対して削除の正当な要求を行った消費者の個人情報を保持または使用していないことを確認する書類の提出を求めることができる。 |
| (9) Require the service provider or contractor to enable the business to comply with consumer requests made pursuant to the CCPA or require the business to inform the service provider or contractor of any consumer request made pursuant to the CCPA that they must comply with and provide the information necessary for the service provider or contractor to comply with the request. | (9)サービスプロバイダまたは請負業者に、CCPA に基づく消費者の要求に事業者が対応できるようにすることを義務付けるか、または、CCPA に基づく消費者の要求について、事業者が対応しなければならないものをサービスプロバイダまたは請負業者に通知し、サービスプロバイダまたは請負業者がその要求に対応するために必要な情報を提供することを事業者に義務付ける。 |
| (b) A service provider or contractor that subcontracts with another person in providing services to the business for whom it is a service provider or contractor shall have a contract with the subcontractor that complies with the CCPA and these regulations, including subsection (a). | (b)サービスプロバイダまたは請負業者が、そのサービスプロバイダまたは請負業者である事業者にサービスを提供するために、他の者に業務を委託する場合、その委託先は、CCPA および本規則(サブセクション (a)を含む)を遵守する契約を締結しなければならない。 |
| (c) Whether a business conducts due diligence of its service providers and contractors factors into whether the business has reason to believe that a service provider or contractor is using personal information in violation of the CCPA and these regulations. For example, a business that never enforces the terms of the contract nor exercises its rights to audit or test the service provider’s or contractor’s systems might not be able to rely on the defense that it did not have reason to believe that the service provider or contractor intends to use the personal information in violation of the CCPA and these regulations at the time the business disclosed the personal information to the service provider or contractor. | (c)事業者が、そのサービスプロバイダおよび請負業者についてデューデリジェンスを実施しているかどうかは、その事業者が、サービスプロバイダまたは請負業者が CCPA および本規則に違反して個人情報を使用していると信じる理由があるかどうかに影響する。例えば、契約条項を一切実施せず、サービスプロバイダまたは請負業者のシステムを監査またはテストする権利を行使しない事業者は、サービスプロバイダまたは請負業者に個人情報を開示した時点で、サービスプロバイダまたは請負業者が CCPA および本規則に違反して個人情報を使用しようとしていると信じる理由がなかったことを理由に、その責任を免れることはできない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.100, 1798.105, | 注:引用元:民法第 1798.185 条。参照:第 1798.100 条、第 1798.105 条、 |
| 1798.106, 1798.110, 1798.115, 1798.120, 1798.121, 1798.130, 1798.135, 1798.140 and 1798.185, Civil Code. | 1798.106、1798.110、1798.115、1798.120、1798.121、1798.130、1798.135、1798.140および1798.185、民法。 |
| § 7053. Contract Requirements for Third Parties. | § 7053. サードパーティに対する契約要件。 |
| (a) A business that sells or shares a consumer’s personal information with a third party shall enter into an agreement with the third party that: | (a)消費者の個人情報をサードパーティに販売または共有する事業者は、サードパーティと以下の事項について契約を締結しなければならない。 |
| (1) Identifies the limited and specified purpose(s) for which the personal information is made available to the third party. The purpose(s) shall not be described in generic terms, such as referencing the entire contract generally. The description shall be specific. | (1)個人情報をサードパーティに提供する限定的かつ具体的な目的を識別すること。その目的は、契約全体を参照するなど、一般的な用語で記述してはならない。その記述は、具体的であること。 |
| (2) Specifies that the business is making the personal information available to the third party only for the limited and specified purpose(s) set forth within the contract and requires the third party to use it only for that limited and specified purpose(s). | (2)企業が、契約に規定された限定的かつ特定の目的のためにのみ、サードパーティに個人情報を利用可能にする旨を明記し、サードパーティに対して、その限定的かつ特定の目的のためにのみ個人情報を利用することを義務付けること。 |
| (3) Requires the third party to comply with all applicable sections of the CCPA and these regulations, including—with respect to the personal information that the business makes available to the third party—providing the same level of privacy protection as required of businesses by the CCPA and these regulations. For example, the contract may require the third party to comply with a consumer’s request to opt-out of sale/sharing forwarded to it by a first-party business and to implement reasonable security procedures and practices appropriate to the nature of the personal information to protect the personal information from unauthorized or illegal access, destruction, use, modification, or disclosure in accordance with Civil Code section 1798.81.5. | (3)サードパーティに対して、CCPA および本規則の適用されるすべての条項を遵守することを要求すること。これには、事業者がサードパーティに提供する個人情報に関して、CCPA および本規則が事業者に要求するプライバシー保護と同等の保護を提供することが含まれる。例えば、契約では、サードパーティに対して、ファーストパーティ企業から転送された販売/共有のオプトアウト要求に従うこと、および民法第 1798.81.5 条に従って、個人情報の不正または違法なアクセス、破壊、使用、変更、または開示から個人情報を保護するために、個人情報の性質に適した合理的なセキュリティ手順および慣行を実施することを要求することができます。 |
| (4) Grants the business the right—with respect to the personal information that the business makes available to the third party—to take reasonable and appropriate steps to ensure that the third party uses it in a manner consistent with the business’s obligations under the CCPA and these regulations. For example, the business may require the third party to attest that it treats the personal information the business made available to it in the same manner that the business is obligated to treat it under the CCPA and these regulations. | (4)企業がサードパーティに提供する個人情報に関して、サードパーティが CCPA および本規則に基づく企業の義務に準拠した方法でその情報を使用することを確保するために、合理的かつ適切な措置を講じる権利を企業に付与する。例えば、企業は、サードパーティに対して、企業が提供した個人情報を、CCPA および本規則に基づき企業が扱う義務を負うのと同じ方法で扱うことを証明するよう要求することができる。 |
| (5) Grants the business the right, upon notice, to take reasonable and appropriate steps to stop and remediate unauthorized use of personal information made available to the third party. For example, the business may require the third party to provide documentation that verifies that it no longer retains or uses the personal information of consumers who have had their requests to opt-out of sale/sharing forwarded to it by the first party business. | (5)通知があった場合、第三者に提供した個人情報の不正使用を停止および是正するための合理的かつ適切な措置を講じる権利を事業者に付与する。例えば、事業者は、第三者に対して、第一者事業者から販売/共有のオプトアウトの要求が転送された消費者の個人情報を、もはや保持または使用していないことを確認する書類の提出を求めることができる。 |
| (6) Requires the third party to notify the business after it makes a determination that it can no longer meet its obligations under the CCPA and these regulations. | (6)サードパーティは、CCPA および本規則に基づく義務を履行できなくなったと判断した場合、事業者にその旨を通知する義務がある。 |
| (b) Whether a business conducts due diligence of the third party factors into whether the business has reason to believe that the third party is using personal information in violation of the CCPA and these regulations. For example, a business that never enforces the terms of the contract might not be able to rely on the defense that it did not have reason to believe that the third party intends to use the personal information in violation of the CCPA and these regulations at the time the business disclosed the personal information to the third party. | (b)事業者がサードパーティのデューデリジェンスを実施しているかどうかは、サードパーティが CCPA および本規則に違反して個人情報を使用していると事業者が信じる理由があるかどうかに影響する。例えば、契約条項をまったく実施していない事業者は、サードパーティに個人情報を開示した時点で、サードパーティが CCPA および本規則に違反して個人情報を使用しようとしていると信じる理由がなかったという抗弁を主張できない可能性がある。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.100, 1798.105, 1798.106, 1798.110, 1798.115, 1798.120, 1798.121, 1798.130, 1798.135, 1798.140 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.100 条、1798.105 条、1798.106 条、1798.110 条、1798.115 条、1798.120 条、1798.121 条、1798. 130、1798.135、1798.140 および 1798.185、民法。 |
| ARTICLE 5. VERIFICATION OF REQUESTS | 第 5 条 要求の検証 |
| § 7060. General Rules Regarding Verification. | § 7060. 検証に関する一般規則。 |
| (a) A business shall establish, document, and comply with a reasonable method for verifying that the person making a request to delete, request to correct, request to know, or request to access ADMT is the consumer about whom the business has collected information. | (a)事業者は、ADMTの削除、訂正、開示、またはアクセスを請求する者が、当該事業者が情報を収集した消費者であることを確認するための合理的な方法を確立し、文書化し、遵守しなければならない。 |
| (b) A business shall not require a consumer to verify their identity to make a request to optout of sale/sharing, to make a request to limit, or to make a request to opt-out of ADMT. A business may ask the consumer for information necessary to complete the | (b)事業者は、販売/共有のオプトアウト請求、制限請求、またはADMTのオプトアウト請求を行う際に、消費者に身分証明を要求してはならない。事業者は、請求を完了するために必要な情報を消費者に求めることができる。 |
| request; however, it shall not be burdensome on the consumer. For example, a business may ask the consumer for their name, but it shall not require the consumer to take a picture of themselves with their driver’s license. | ただし、消費者にとって負担となるものであってはならない。例えば、事業者は消費者に氏名を求めることはできるが、運転免許証と一緒に自撮り写真を提出させることはできない。 |
| (c) In determining the method by which the business will verify the consumer’s identity, the business shall: | (c)事業者は、消費者の本人確認方法を選択する際、次のいずれかを満たすものとする。 |
| (1) Match the identifying information provided by the consumer to the personal information of the consumer already maintained by the business before requesting additional information, or use a third-party identity verification service that complies with this section. | (1)追加情報を要求する前に、消費者から提供された識別情報を、事業者がすでに保持している消費者の個人情報と照合するか、または本項に準拠したサードパーティの本人確認サービスを利用すること。 |
| (2) Avoid collecting the types of personal information identified in Civil Code section 1798.81.5, subdivision (d), unless necessary for the purpose of verifying the consumer. | (2)消費者を検証する目的で必要な場合を除き、民法第 1798.81.5 条 (d)項で特定される種類の個人情報を収集しないこと。 |
| (3) Consider the following factors: | (3)以下の要素を考慮すること。 |
| (A) The type, sensitivity, and value of the personal information collected and maintained about the consumer. Sensitive personal information shall warrant a more stringent verification process. | (A)消費者について収集および保持する個人情報の種類、機密性、および価値。機密性の高い個人情報については、より厳格な検証プロセスが必要とされる。 |
| (B) The risk of harm to the consumer posed by any unauthorized deletion, correction, or access. A greater risk of harm to the consumer by unauthorized deletion, correction, or access shall warrant a more stringent verification process. | (B)不正な削除、修正、またはアクセスによって消費者に生じる損害のリスク。不正な削除、修正、またはアクセスによって消費者に生じる損害のリスクが高い場合は、より厳格な検証プロセスが必要とされる。 |
| (C) The likelihood that fraudulent or malicious actors would seek the personal information. The higher the likelihood, the more stringent the verification process shall be. | (C)不正または悪意のある行為者が個人情報を入手しようとする可能性。その可能性が高いほど、より厳格な検証プロセスが必要とされる。 |
| (D) Whether the personal information to be provided by the consumer to verify their identity is sufficiently robust to protect against fraudulent requests or being spoofed or fabricated. | (D)消費者が本人確認のために提供する個人情報が、不正な要求や偽装、偽造から保護するのに十分堅牢であるかどうか。 |
| (E) The manner in which the business interacts with the consumer. | (E)事業者が消費者とやり取りする方法。 |
| (F) Available technology for verification. | (F)検証に利用できる技術。 |
| (d) A business shall avoid requesting additional information from the consumer for purposes of verification. If, however, the business cannot verify the identity of the consumer from the information already maintained by the business, the business may request additional information from the consumer, which shall only be used for the purposes of verifying the identity of the consumer seeking to exercise their rights under the CCPA, security, or fraud-prevention. The business shall delete any new personal information collected for the purposes of verification as soon as practical after processing the consumer’s request, except as required to comply with section 7101. | (d)企業は、検証の目的で消費者に追加情報を要求することは避けるものとします。ただし、企業がすでに保持している情報から消費者の身元を確認できない場合、企業は消費者に追加情報を要求することができます。この追加情報は、CCPA に基づく権利の行使を求める消費者の身元の確認、セキュリティ、または不正防止の目的のみに使用されるものとします。事業者は、消費者の要求を処理した後、7101 条に準拠するために必要な場合を除き、検証のために収集した新しい個人情報を、可能な限り速やかに削除するものとする。 |
| (e) A business shall not require the consumer or the consumer’s authorized agent to pay a fee for the verification of their request to delete, request to correct, or request to know. For example, a business must not require a consumer to provide a notarized affidavit to verify their identity unless the business pays for or compensates the consumer for the cost of notarization. A business that compensates the consumer for the cost of the notarization shall provide the consumer with instructions on how they will be reimbursed prior to the consumer’s submission of the notarized affidavit. | (e)企業は、削除、修正、または開示の要求の検証について、消費者または消費者の正式な代理人に手数料を請求してはならない。例えば、企業は、公証人による宣誓供述書の提出を消費者に要求してその身元を確認してはならない。ただし、公証人による宣誓供述書の作成費用について、企業が消費者にその費用を負担または補償する場合はこの限りではない。公証費用を消費者に補償する企業は、消費者が公証された宣誓供述書を提出する前に、その費用について消費者に払い戻しの方法に関する説明を提供しなければならない。 |
| (f) A business shall implement reasonable security measures to detect fraudulent identityverification activity and prevent the unauthorized deletion, correction, or access to a consumer’s personal information, or access to information about a business’s use of ADMTwith respect to a consumer. | (f)企業は、不正な本人確認行為を検知し、消費者の個人情報の不正な削除、修正、アクセス、または企業による消費者に関する ADMT の使用に関する情報へのアクセスを防止するための合理的なセキュリティ対策を実施しなければならない。 |
| (g) If a business maintains consumer information that is deidentified, a business is not obligated to provide or delete this information in response to a consumer request or to re-identify individual data to verify a consumer request. | (g)企業が匿名化された消費者情報を保持している場合、企業は、消費者の要求に応じてこの情報を提供または削除する義務、あるいは消費者の要求を確認するために個々のデータを再識別する義務を負わない。 |
| (h) For requests to correct, the business must verify the consumer based on personal information that is not the subject of the request to correct. For example, if the consumer is contending that the business has the wrong address for the consumer, the business shall not use address as a means of verifying the consumer’s identity. | (h)訂正の請求の場合、事業者は、訂正の対象となる個人情報以外の個人情報に基づいて消費者の本人確認を行う必要がある。例えば、消費者が事業者が保有する住所が間違っていると主張する場合、事業者は住所を消費者の本人確認手段として使用してはならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.100, 1798.105, | 注:引用元:民法第 1798.185 条。参照:第 1798.100 条、第 1798.105 条、 |
| 1798.106, 1798.110, 1798.115, 1798.120, 1798.121, 1798.130, 1798.135, 1798.140 and 1798.185, Civil Code. | 1798.106、1798.110、1798.115、1798.120、1798.121、1798.130、1798.135、1798.140、および1798.185、民法。 |
| § 7062. Verification for Non-Accountholders. | § 7062. 口座保有者以外の検証。 |
| (a) If a consumer does not have or cannot access a password-protected account with a business, the business shall comply with this section, in addition to section 7060. | (a)消費者が、事業者にパスワードで保護された口座を保有していない、またはその口座にアクセスできない場合、事業者は、第 7060 条に加え、本条を遵守するものとする。 |
| (b) A business’s compliance with a request to know categories of personal information requires that the business verify the identity of the consumer making the request to a reasonable degree of certainty. A reasonable degree of certainty may include matching at least two data points provided by the consumer with data points maintained by the business that it has determined to be reliable for the purpose of verifying the consumer. | (b)個人情報のカテゴリーに関する要求に対応する場合、企業は、要求を行った消費者の身元を合理的な確実性をもって確認しなければならない。合理的な確実性とは、消費者が提供した 2 つ以上のデータポイントを、消費者の確認のために信頼性があると企業が判断した、企業が保持するデータポイントと照合することを含む。 |
| (c) A business’s compliance with a request to know specific pieces of personal information, or a request to access ADMT, requires that the business verify the identity of the consumer making the request to a reasonably high degree of certainty. A reasonably high degree of certainty may include matching at least three pieces of personal information provided by | (c)特定の個人情報、または ADMT へのアクセスに関する要求に応じる場合、企業は、要求を行った消費者の身元を、合理的な確実性をもって確認する必要があります。合理的な確実性とは、少なくとも 3 つの個人情報を照合することを含みます。 |
| the consumer with personal information maintained by the business that it has determined to be reliable for the purpose of verifying the consumer together with a signed declaration under penalty of perjury that the requestor is the consumer whose personal information is the subject of the request. If a business uses this method for verification, the business shall maintain all signed declarations as part of its recordkeeping obligations. | (d)事業者が削除または訂正の要求に応じるには、事業者は、消費者の身元を、個人情報の機密性およびリスクに応じて、合理的な確実性または合理的に高い確実性で確認する必要がある。事業者がこの確認方法を使用する場合、事業者は、記録保持義務の一環として、すべての署名入り申告書を保管しなければならない。 |
| (d) A business’s compliance with a request to delete or a request to correct may require that the business verify the identity of the consumer to a reasonable or reasonably high degree of certainty depending on the sensitivity of the personal information and the risk of harm to the consumer posed by unauthorized deletion or correction. For example, the deletion of family photographs or the correction of contact information may require a reasonably high degree of certainty, while the deletion of browsing history or correction of marital status may require only a reasonable degree of certainty. A business shall act in good faith when determining the appropriate standard to apply when verifying the consumer in accordance with these regulations. | (d)企業の削除要求または修正要求への対応には、個人情報の機密性および不正な削除または修正によって消費者に生じるリスクに応じて、企業が消費者の身元を合理的な、または合理的に高い確実性をもって確認することが必要となる場合がある。例えば、家族の写真の削除や連絡先情報の修正には、合理的に高い確実性が必要とされる場合があるが、閲覧履歴の削除や婚姻状況の修正には、合理的な確実性で十分である場合もある。事業者は、本規則に従って消費者を確認する際に適用する適切な基準を決定する際には、誠意をもって行動しなければならない。 |
| (e) Illustrative examples follow: | (e)例を以下に示す。 |
| (1) Example 1: If a business maintains personal information in a manner associated with a named actual person, the business may verify the consumer by requiring the consumer to provide evidence that matches the personal information maintained by the business. For example, if a retailer maintains a record of purchases made by a consumer, the business may require the consumer to identify items that they recently purchased from the store or the dollar amount of their most recent purchase to verify their identity to a reasonable degree of certainty. | (1)例 1:事業者が、実在する個人と関連付けられた形で個人情報を保有している場合、事業者は、消費者に、事業者が保有する個人情報と一致する証拠の提供を求めることで、消費者を確認することができる。例えば、小売業者が、消費者の購入履歴を記録している場合、事業者は、消費者に、最近その店舗で購入した商品や直近の購入金額などを特定するよう求め、合理的な確実性をもって消費者の本人確認を行うことができる。 |
| (2) Example 2: If a business maintains personal information in a manner that is not associated with a named actual person, the business may verify the consumer by requiring the consumer to demonstrate that they are the sole consumer associated with the personal information. For example, a business may have a mobile application that collects personal information about the consumer but does not require an account. The business may determine whether, based on the facts and considering the factors set forth in section 7060, subsection (c)(3), it may reasonably verify a consumer by asking them to provide information that only the person who used the mobile application may know or by requiring the consumer to respond to a notification sent to their device. | (2)例2:事業者が個人情報を特定の個人と関連付けられていない方法で保持している場合、事業者は、消費者が当該個人情報と関連付けられている唯一の消費者であることを示すよう要求することで、消費者の本人確認を行うことができる。例えば、事業者は、消費者に関する個人情報を収集するモバイルアプリケーションを提供しているが、アカウントの登録は要求していない場合がある。事業者は、事実に基づき、第 7060 条 (c)(3)に規定される要素を考慮して、モバイルアプリケーションを使用した本人だけが知っている情報を提供することを要求するか、消費者のデバイスに送信された通知への対応を求めることで、消費者を合理的に確認できるかどうかを判断することができる。 |
| (f) A business shall deny a request to know specific pieces of personal information, or a request to access ADMT, if it cannot verify the identity of the requestor pursuant to these regulations. | (f)事業者は、これらの規則に従って請求者の身分を確認できない場合、特定の個人情報の開示請求またはADMTへのアクセス請求を拒否しなければならない。 |
| (g) If there is no reasonable method by which a business can verify the identity of the consumer to the degree of certainty required by this section, the business shall state so in response to any request and explain why it has no reasonable method by which it can verify the identity of the requestor. If the business has no reasonable method by which it can verify any consumer, the business shall explain why it has no reasonable verification method in its privacy policy. The business shall evaluate and document whether a reasonable method can be established at least once every 12 months, in connection with the requirement to update the privacy policy set forth in Civil Code section 1798.130, subdivision (a)(5). | (g)企業が、本項で要求される確実性をもって消費者の身元を確認できる合理的な方法がない場合、企業は、要求に対してその旨を回答し、要求者の身元を確認できる合理的な方法がない理由を説明しなければならない。企業が、消費者を確認できる合理的な方法がない場合、企業は、プライバシーポリシーにおいて、合理的な確認方法がない理由を説明しなければならない。事業者は、民法第 1798.130 条 (a)(5)に規定されるプライバシーポリシーの更新要件に関連して、少なくとも 12 ヶ月に 1 回、合理的な方法を確立できるかどうかを評価し、文書化しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.100, 1798.105, 1798.106, 1798.110, 1798.115, 1798.130 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.100 条、1798.105 条、1798.106 条、1798.110 条、1798.115 条、1798.130 条、および 1798.185 条。 |
| § 7063. Authorized Agents. | § 7063. 認定代理人。 |
| (a) When a consumer uses an authorized agent to submit a request to delete, request to correct, or a request to know, a business may require the authorized agent to provide proof that the consumer gave the agent signed permission to submit the request. The business may also require the consumer to do either of the following: | (a)消費者が認定代理人を使用して削除要求、修正要求、または情報開示要求を提出する場合、企業は、認定代理人に、消費者が要求の提出を代理人に署名して許可したことを証明する書類の提出を求めることができる。また、企業は、消費者に次のいずれかを要求することもできる。 |
| (1) Verify their own identity directly with the business. | (1)企業に対して直接、自分の身元を確認すること。 |
| (2) Directly confirm with the business that they provided the authorized agent permission to submit the request. | (2)事業者に、その要求を提出する許可を代理人に与えたことを直接確認する。 |
| However, businesses shall not require the consumer to resubmit their request in their individual capacity. | ただし、事業者は、消費者に個人として要求を再提出することを要求してはならない。 |
| (b) Subsection (a) does not apply when a consumer has provided the authorized agent with power of attorney pursuant to Probate Code sections 4121 to 4130. A business shall not require power of attorney in order for a consumer to use an authorized agent to act on their behalf. | (b)消費者が、遺言検認法 4121 条から 4130 条に基づき、代理人に委任状を与えている場合、サブセクション (a)は適用されない。事業者は、消費者が代理人に自分の代理として行動させるために、委任状を要求してはならない。 |
| (c) An authorized agent shall implement and maintain reasonable security procedures and practices to protect the consumer’s information. | (c)代理人は、消費者の情報を保護するために、合理的なセキュリティ手順および慣行を実施および維持しなければならない。 |
| (d) An authorized agent shall not use a consumer’s personal information, or any information collected from or about the consumer, for any purposes other than to fulfill the consumer’s requests, verification, or fraud prevention. | (d)代理人は、消費者の要求、検証、または不正防止以外の目的で、消費者の個人情報、または消費者から、または消費者について収集した情報を使用してはならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.100, 1798.105, 1798.106, 1798.110, 1798.115, 1798.130 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.100 条、1798.105 条、1798.106 条、1798.110 条、1798.115 条、1798.130 条、および 1798.185 条。 |
| ARTICLE 6. SPECIAL RULES REGARDING CONSUMERS LESS THAN 16 YEARS OF AGE | 第6条 16歳未満の消費者に関する特別規則 |
| § 7070. Consumers Less Than 13 Years of Age. | 第7070条 13歳未満の消費者。 |
| (a) Process for Opting-In to Sale or Sharing of Personal Information | (a)個人情報の販売または共有への同意手続き |
| (1) A business that has actual knowledge that it sells or shares the personal information of a consumer less than the age of 13 shall establish, document, and comply with a reasonable method for determining that the person consenting to the sale or sharing of the personal information about the child is the parent or guardian of that child. This consent to the sale or sharing of personal information is in addition to any verifiable parental consent required under COPPA. | (1)13歳未満の消費者の個人情報を販売または共有していることを実際に知っている事業者は、当該個人情報の販売または共有に同意する者が当該子供の親権者または後見人であることを確認するための合理的な方法を確立し、文書化し、遵守しなければならない。この個人情報の販売または共有への同意は、COPPAで要求される検証可能な親権者の同意に追加されるものとする。 |
| (2) Methods that are reasonably calculated to ensure that the person providing consent is the child’s parent or guardian include, but are not limited to: | (2)同意者が子供の親または保護者であることを確認するために合理的に計算された方法には、以下が含まれますが、これらに限定されません。 |
| (A) Providing a consent form to be signed by the parent or guardian under penalty of perjury and returned to the business by postal mail, facsimile, or electronic scan; | (A)偽証罪の罰則を記載した同意書に親または保護者が署名し、郵送、ファックス、または電子スキャンにより事業者に返送すること。 |
| (B) Requiring a parent or guardian, in connection with a monetary transaction, to use a credit card, debit card, or other online payment system that provides notification of each discrete transaction to the primary account holder; | (B)金銭取引に関連して、親または保護者に、各取引について主口座名義人に通知するクレジットカード、デビットカード、またはその他のオンライン決済システムを使用するよう要求すること。 |
| (C) Having a parent or guardian call a toll-free telephone number staffed by trained personnel; | (C)親または保護者に、訓練を受けた担当者が対応するフリーダイヤルに電話をかけるよう依頼すること。 |
| (D) Having a parent or guardian connect to trained personnel via videoconference; | (D)親または保護者に、ビデオ会議を通じて訓練を受けた担当者に接続するよう依頼すること。 |
| (E) Having a parent or guardian communicate in person with trained personnel; and | (E)親または保護者に、訓練を受けた担当者に直接連絡してもらう。 |
| (F) Verifying a parent or guardian’s identity by checking a form of governmentissued identification against databases of such information, as long as the parent or guardian’s identification is deleted by the business from its records promptly after such verification is complete. | (F)親または保護者の身元を、政府発行の身分証明書と、そのような情報を記録したデータベースと照合して確認する。ただし、その確認が完了した後、事業者は、親または保護者の身元情報をその記録から速やかに削除しなければならない。 |
| (b) When a business receives consent to the sale or sharing of personal information pursuant to subsection (a), the business shall inform the parent or guardian of the right to opt-out of sale/sharing and of the process for doing so on behalf of their child pursuant to section 7026, subsections (a) – (f). | (b)事業者が第(a)項に基づき個人情報の販売または共有に関する同意を受けた場合、事業者は、親または後見人に対し、第7026条第(a)項から(f)項に定める手続きに従い、その子の代理として販売/共有の拒否権を行使する権利およびその手続きについて通知しなければならない。 |
| (c) A business shall establish, document, and comply with a reasonable method, in accordance with the methods set forth in subsection (a)(2), for determining that a person submitting a request to delete, request to correct, or request to know the personal information of a child under the age of 13 is the parent or guardian of that child. | (c)事業者は、13歳未満の子供の個人情報の削除、訂正、または開示を請求する者がその子供の親または保護者であることを確認するための合理的な方法を、第(a)(2)項に定める方法に従い、確立し、文書化し、遵守しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.120, 1798.135 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.120 条、1798.135 条、および 1798.185 条。 |
| ARTICLE 7. NON-DISCRIMINATION | 第 7 条 差別禁止 |
| § 7080. Discriminatory Practices. | § 7080. 識別的慣行。 |
| (a) A price or service difference is discriminatory, and therefore prohibited by Civil Code section 1798.125, if the business treats a consumer differently because the consumer exercised a right conferred by the CCPA or these regulations. | (a)事業者が、消費者がCCPAまたはこれらの規則により付与された権利を行使したため、その消費者を差別的に扱う場合、価格またはサービスの違いは差別的であり、民法典第1798.125条により禁止される。 |
| (b) A business may offer a price or service difference that is non-discriminatory. A price or service difference is non-discriminatory if it is reasonably related to the value of the consumer’s data. If a business is unable to calculate a good-faith estimate of the value of the consumer’s data or cannot show that the price or service difference is reasonably related to the value of the consumer’s data, that business shall not offer the price or service difference. | (b)事業者は、差別的でない価格またはサービスの違いを提供することができる。価格またはサービスの違いが、消費者のデータの価値と合理的に関連している場合、その違いは差別的でない。事業者が、消費者のデータの価値に関する善意の推定額を算定できない場合、または価格またはサービスの違いが消費者のデータの価値と合理的に関連していることを示すことができない場合、当該事業者は価格またはサービスの違いを提供してはならない。 |
| (c) A business’s denial of a consumer’s request to delete, request to correct, request to know, request to access ADMT, request to opt-out of sale/sharing, or request to opt-out of ADMT for reasons permitted by the CCPA or these regulations shall not be considered discriminatory. | (c)事業者が、CCPAまたはこれらの規則で認められた理由に基づき、消費者の削除請求、訂正請求、開示請求、ADMTへのアクセス請求、販売/共有のオプトアウト請求、またはADMTのオプトアウト請求を拒否することは、差別的とはみなされない。 |
| (d) Illustrative examples follow: | (d)例示は以下の通り: |
| (1) Example 1: A music streaming business offers a free service as well as a premium service that costs $5 per month. If only the consumers who pay for the music streaming service are allowed to opt-out of the sale or sharing of their personal information, then the practice is discriminatory, unless the $5-per-month payment is reasonably related to the value of the consumer’s data to the business. | (1)例 1:音楽ストリーミング事業者は、無料サービスと月額 5 ドルのプレミアムサービスを提供している。音楽ストリーミングサービスの料金を支払っている消費者だけが、個人情報の販売または共有をオプトアウトできる場合、月額 5 ドルの支払いが、事業者にとって消費者のデータの価値と合理的に関連している場合を除き、この慣行は差別的である。 |
| (2) Example 2: A clothing business offers a loyalty program whereby customers receive a $5-off coupon by email after spending $100 with the business. A consumer submits a request to delete all personal information the business has collected about them but also informs the business that they want to continue to participate in the loyalty program. The business may deny their request to delete with regard to their email address and the amount the consumer has spent with the business because that information is necessary for the business to provide the loyalty program requested by the consumer and is reasonably anticipated within the context of the business’s ongoing relationship with them pursuant to Civil Code section 1798.105, subdivision (d)(1). | (2)例2:衣料品事業者は、顧客が事業者に$100を支払うと、メールで$5割引クーポンが送付されるロイヤルティプログラムを提供している。消費者が、事業者が収集したすべての個人情報の削除を請求したが、同時にロイヤルティプログラムへの参加を継続したい旨を事業者に通知した場合。企業は、消費者の電子メールアドレスおよび消費者が企業に対して支払った金額に関する削除の要求を拒否することができる。なぜなら、その情報は、消費者が要求するロイヤルティプログラムを提供するために必要であり、民法第 1798.105 条 (d)(1)項に基づき、消費者との継続的な関係において合理的に予想される情報だからだ。 |
| (3) Example 3: A grocery store offers a loyalty program whereby consumers receive coupons and special discounts when they provide their phone numbers. A consumer submits a request to opt-out of the sale/sharing of their personal information. The retailer complies with their request but no longer allows the consumer to participate in the loyalty program. This practice is discriminatory unless the grocery store can demonstrate that the value of the coupons and special discounts are reasonably related to the value of the consumer’s data to the business. | (3)例 3:食料品店が、消費者が電話番号を提供するとクーポンや特別割引を受けられるロイヤルティプログラムを提供している。消費者が、自分の個人情報の販売/共有をオプトアウトする要求を提出した。小売業者はその要求に応じたが、その消費者はロイヤルティプログラムに参加できなくなった。この慣行は、クーポンや特別割引の価値が、その消費者のデータが事業にもたらす価値と合理的に関連していることを食料品店が証明できない限り、差別的である。 |
| (4) Example 4: An online bookseller collects information about consumers, including their email addresses. It offers coupons to consumers through browser pop-up windows while the consumer uses the bookseller’s website. A consumer submits a request to delete all personal information that the bookseller has collected about them, including their email address and their browsing and purchasing history. The bookseller complies with the request but stops providing the periodic coupons to the consumer. The bookseller’s failure to provide coupons is discriminatory unless the value of the coupons is reasonably related to the value provided to the business by the consumer’s data. The bookseller may not deny the consumer’s request to delete with regard to the email address because the email address is not necessary to provide the coupons or reasonably aligned with the expectations of the consumer based on the consumer’s relationship with the business. | (4)例 4:オンライン書店は、消費者のメールアドレスを含む情報を収集している。消費者が同書店のウェブサイトを利用している間に、ブラウザのポップアップウィンドウで消費者にクーポンを提供している。消費者は、同書店が収集した自分のメールアドレス、閲覧履歴、購入履歴を含むすべての個人情報を削除するよう要請した。同書店は、この要請に応じたが、消費者への定期的なクーポンの提供を停止した。クーポンを提供しないことは、その価値が消費者のデータによって事業者に提供される価値と合理的に関連していない限り、差別的だ。メールアドレスは、クーポンの提供に必要ではなく、また、消費者と事業者との関係に基づいて消費者が合理的に期待するものと整合していないため、事業者は、メールアドレスの削除に関する消費者の要求を拒否することはできない。 |
| (e) A business shall notify consumers of any financial incentive or price or service difference subject to Civil Code section 1798.125 that it offers in accordance with section 7016. | (e)事業者は、民法1798.125条に該当する金銭的インセンティブまたは価格・サービス差について、第7016条に従って提供するものを、消費者に対して通知しなければならない。 |
| (f) A business’s charging of a reasonable fee pursuant to Civil Code section 1798.145, subdivision (h)(3), shall not be considered a financial incentive subject to these regulations. | (f)民法1798.145条(h)(3)に基づき事業者が合理的な手数料を徴収することは、これらの規則に該当する金銭的インセンティブとはみなされない。 |
| (g) A price or service difference that is the direct result of compliance with a state or federal law shall not be considered discriminatory. | (g)州法または連邦法の遵守の直接の結果である価格またはサービスの違いは、差別的とはみなされない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.125, 1798.130 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.125 条、1798.130 条、および 1798.185 条。 |
| ARTICLE 8. TRAINING AND RECORD-KEEPING | 第 8 条 研修および記録の保管 |
| § 7102. Requirements for Businesses Collecting Large Amounts of Personal Information. | § 7102. 大量の個人情報を収集する事業者に課される要件。 |
| (a) A business that knows or reasonably should know that it, alone or in combination, buys, receives for the business’s commercial purposes, sells, shares, or otherwise makes available for commercial purposes the personal information of 10,000,000 or more consumers in a calendar year shall: | (a)単独または他の事業者と共同して、1暦年に1,000万人以上の消費者の個人情報を商業目的で購入、受領、販売、共有、またはその他の方法で商業的に利用することを知っている、または合理的に知るべき事業者は、以下のことを行わなければならない。 |
| (1) Compile the following metrics for the previous calendar year: | (1)前暦年について、以下の指標をまとめること。 |
| (A) The number of requests to delete that the business received, complied with in whole or in part, and denied; | (A)事業者が受けた、削除の要求、その全部または一部に応じた要求、および拒否した要求の数 |
| (B) The number of requests to correct that the business received, complied with in whole or in part, and denied; | (B)事業者が受けた、訂正の要求、その全部または一部に応じた要求、および拒否した要求の数 |
| (C) The number of requests to know that the business received, complied with in whole or in part, and denied; | (C)事業者が受けた、開示の要求、その全部または一部に応じた要求、および拒否した要求の数 |
| (D) The number of requests to access ADMT that the business received, complied with in whole or in part, and denied; | (D)事業者が受けたADMTへのアクセス請求のうち、全部または一部に応じたもの、および拒否したものの件数; |
| (E) The number of requests to opt-out of sale/sharing that the business received, complied with in whole or in part, and denied; | (E)事業者が受けた販売/共有のオプトアウト請求のうち、全部または一部に応じたもの、および拒否したものの件数; |
| (F) The number of requests to limit that the business received, complied with in whole or in part, and denied; | (F)事業者が受けた制限請求のうち、全部または一部に応じたもの、および拒否したものの件数; |
| (G) The number of requests to opt-out of ADMT that the business received, complied with in whole or in part, and denied; and | (G)企業が受けた ADMT のオプトアウトの要求、その要求に全部または一部応じた件数、および拒否した件数 |
| (H) The median or mean number of days within which the business substantively responded to requests to delete, requests to correct, requests to know, requests to opt-out of sale/sharing, and requests to limit. | (H)企業が、削除の要求、修正の要求、開示の要求、販売/共有のオプトアウトの要求、および制限の要求に対して実質的に対応した日数の平均または中央値。 |
| (2) Disclose, by July 1 of every calendar year, the information compiled in subsection (a)(1) within their privacy policy or posted on their website and accessible from a link included in their privacy policy. In its disclosure, a business may choose to disclose the number of requests that it denied in whole or in part because the request was not verifiable, was not made by a consumer, called for information exempt from disclosure, or was denied on other grounds. | (2)毎年 7 月 1 日までに、サブセクション (a)(1)でまとめた情報を、プライバシーポリシーに記載するか、プライバシーポリシーに掲載し、プライバシーポリシーのリンクからアクセスできるようにする。開示において、事業者は、要求が検証不可能であった、消費者による要求ではなかった、開示の対象外の情報に関する要求であった、またはその他の理由により、要求を全部または一部拒否した件数を公開することを選択することができる。 |
| (b) A business may choose to compile and disclose the information required by subsection (a)(1) for requests received from all individuals, rather than requests received from consumers. The business shall state whether it has done so in its disclosure and shall, upon request, compile and provide to the Attorney General the information required by subsection (a)(1) for requests received from consumers. | (b)企業は、消費者から受けた要求ではなく、すべての個人から受けた要求について、(a)(1)で要求される情報を収集し、開示することを選択することができる。企業は、その開示においてその旨を明記し、要求があった場合は、消費者から受けた要求について (a)(1)で要求される情報を収集し、司法長官に提供しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.105, 1798.106, 1798.110, 1798.115, 1798.120, 1798.121, 1798.130, 1798.135 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法 第1798.105条、第1798.106条、第1798.110条、第1798.115条、第1798.120条、第1798.121条、第1798.130条、第1798.135条および第1798.185条。 |
| Adopt all of the text in the following Article: | 以下の条項の全文を採用してください。 |
| ARTICLE 9. CYBERSECURITY AUDITS | 第 9 条 サイバーセキュリティ監査 |
| § 7120. Requirement to Complete a Cybersecurity Audit. | § 7120. サイバーセキュリティ監査の実施要件 |
| (a) Every business whose processing of consumers’ personal information presents significant risk to consumers’ security as set forth in subsection (b) must complete a cybersecurity audit. | (a)(b)項に規定される、消費者のセキュリティに重大なリスクをもたらす消費者の個人情報を処理するすべての企業は、サイバーセキュリティ監査を実施しなければならない。 |
| (b) A business’s processing of consumers’ personal information presents significant risk to consumers’ security if any of the following is true: | (b)以下のいずれかに該当する場合、事業者が消費者の個人情報を処理することは、消費者のセキュリティに重大なリスクをもたらす。 |
| (1) The business meets the threshold set forth in Civil Code section 1798.140, subdivision (d)(1)(C), in the preceding calendar year; or | (1)事業者が、前暦年に民法第 1798.140 条(d)(1)(C)項に定める基準を満たしている場合。 |
| (2) The business meets the threshold set forth in Civil Code section 1798.140, subdivision (d)(1)(A); and | (2)事業者が、民法第 1798.140 条 (d)(1)(A)に定める基準を満たしている場合。 |
| (A) Processed the personal information of 250,000 or more consumers or households in the preceding calendar year; or | (A)前暦年に 250,000 人以上の消費者または世帯の個人情報を処理した場合。 |
| (B) Processed the sensitive personal information of 50,000 or more consumers in the preceding calendar year. | (B)前暦年に 50,000 人以上の消費者の機密個人情報を処理した場合。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| § 7121. Timing Requirements for Cybersecurity Audits and Audit Reports. | § 7121. サイバーセキュリティ監査および監査報告書の提出時期に関する要件。 |
| (a) Before April 1, 2030, a business must complete its first cybersecurity audit report no later than: | (a)2030 年 4 月 1 日までに、事業者は、最初のサイバーセキュリティ監査報告書を以下の期日までに完成させなければならない。 |
| (1) April 1, 2028, if the business’s annual gross revenue for 2026 was more than one hundred million dollars ($100,000,000) as of January 1, 2027. The business’s audit would cover the period from January 1, 2027, through January 1, 2028. | (1)2026年の年間総収入が2027年1月1日時点で1億ドル($100,000,000)を超える場合、2028年4月1日。当該事業者の監査は、2027年1月1日から2028年1月1日までの期間を対象とする。 |
| (2) April 1, 2029, if the business’s annual gross revenue for 2027 was between fifty million dollars ($50,000,000) and one hundred million dollars ($100,000,000) as of January 1, 2028. The business’s audit would cover the period from January 1, 2028, through January 1, 2029. | (2)2027年の年間総収入が2028年1月1日時点で5,000万ドル($50,000,000)以上1億ドル($100,000,000)未満の場合、2029年4月1日。当該事業者の監査は、2028年1月1日から2029年1月1日までの期間を対象とする。 |
| (3) April 1, 2030, if the business’s annual gross revenue for 2028 was less than fifty million dollars ($50,000,000). The business’s audit would cover the period from January 1, 2029, through January 1, 2030. | (3)2030年4月1日、2028年の事業者の年間総収入が5,000万ドル($50,000,000)未満の場合。事業者の監査は、2029年1月1日から2030年1月1日までの期間を対象とする。 |
| (b) After April 1, 2030, if on January 1 of one year, a business meets the criteria of section 7120 for the preceding year, the business must complete a cybersecurity audit that covers the next 12 months, and the business must complete its cybersecurity audit report for that period by April 1 of the following year. For example, if Business A meets the criteria in section 7120 as of January 1, 2035, Business’s A’s audit would cover the period from January 1, 2035, through January 1, 2036, and Business A would have to complete its cybersecurity audit report by April 1, 2036. | (b)2030年4月1日以降、ある年の1月1日に、事業が前年のセクション7120の規準を満たしている場合、その事業は、次の12か月間を対象とするサイバーセキュリティ監査を完了し、その期間に関するサイバーセキュリティ監査報告書を翌年の4月1日までに提出しなければならない。例えば、企業 A が 2035 年 1 月 1 日時点でセクション 7120 の規準を満たしている場合、企業 A の監査は 2035 年 1 月 1 日から 2036 年 1 月 1 日までの期間を対象とし、企業 A は 2036 年 4 月 1 日までにサイバーセキュリティ監査報告書を完成させなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| § 7122. Thoroughness and Independence of Cybersecurity Audits. | § 7122. サイバーセキュリティ監査の徹底と独立性。 |
| (a) Every business required to complete a cybersecurity audit pursuant to this Article must do so using a qualified, objective, independent professional (“auditor”) using procedures and standards accepted in the profession of auditing, such as procedures and standards provided or adopted by the American Institute of Certified Public Accountants, the Public Company Accountability Oversight Board, the Information Systems Audit and Control Association, or the International Organization for Standardization. | (a)本条に基づきサイバーセキュリティ監査を完了することが義務付けられているすべての企業は、米国公認会計士協会、公開企業説明責任監督委員会、情報システム監査・管理協会、または国際標準化機構が提供または採用している手順および基準など、監査の職業において認められている手順および基準を用いて、資格のある、客観的で独立した専門家(「監査人」)により監査を実施しなければならない。 |
| (1) To be qualified, an auditor must have knowledge of cybersecurity and how to audit a business’s cybersecurity program. | (1)監査人は、資格を有するために、サイバーセキュリティに関する知識、および企業のサイバーセキュリティプログラム監査の方法に関する知識を有していなければならない。 |
| (2) The auditor may be internal or external to the business but must exercise objective and impartial judgment on all issues within the scope of the cybersecurity audit, must be free to make decisions and assessments without influence by the business being audited, including the business’s owners, managers, or employees; and must not participate in activities that may compromise the auditor’s independence. For example, the auditor must not participate in business activities that the auditor may assess in the current or subsequent cybersecurity audits, including developing procedures, preparing the business’s documents, making recommendations regarding the business’s cybersecurity program (separate from articulating audit findings), or implementing or maintaining the business’s cybersecurity program. | (2)監査人は、事業者の内部または外部の人員であることができるが、サイバーセキュリティ監査の範囲内のすべての問題について客観的かつ公平な判断を下す必要があり、監査対象事業者の所有者、経営者、従業員など、監査対象事業者の影響を受けずに意思決定および評価を行う自由が保障され、監査人の独立性を損なうおそれのある活動に関与してはならない。例えば、監査人は、手順の策定、企業の文書の作成、企業のサイバーセキュリティプログラムに関する推奨事項(監査結果の表明は除く)の作成、企業のサイバーセキュリティプログラムの実施または維持など、現在または今後のサイバーセキュリティ監査で評価する可能性のある事業活動に参加してはならない。 |
| (3) If a business uses an internal auditor, to maintain the auditor’s independence, the highest-ranking auditor must report directly to | (3)企業が内部監査人を利用する場合、監査人の独立性を維持するため、最高位の監査人は、以下の者に直接報告しなければならない。 |
| a member of the business’s executive management team who does not have direct responsibility for the business’s cybersecurity program. A member of the business’s executive management team who does not have direct responsibility for the business’s cybersecurity program must conduct the highest-ranking auditor’s performance evaluation, if any, and determine the auditor’s compensation. | (b)企業は、監査人が要求する、サイバーセキュリティ監査に関連する企業所有、保管、または管理下のすべての情報(企業のサイバーセキュリティプログラムに関する情報、サイバーセキュリティ監査の計画、実施、結果、および監査人の意見を含むがこれらに限定されない)を監査人に提供しなければならない。 |
| (b) T he business must make available to the auditor all information in the business’s possession, custody, or control that the auditor requests as relevant to the cybersecurity audit (e.g., information about the business’s cybersecurity program and information system and the business’s use of service providers or contractors). For example, the auditor may request information to determine the scope of the cybersecurity audit and the criteria the cybersecurity audit will use. | (b)企業は、監査人がサイバーセキュリティ監査に関連すると要求する、企業が所有、保管、または管理するすべての情報(企業のサイバーセキュリティプログラムおよび情報システムに関する情報、企業のサービスプロバイダまたは請負業者の利用に関する情報など)を監査人に提供しなければならない。例えば、監査人は、サイバーセキュリティ監査の範囲およびサイバーセキュリティ監査で使用する規準を決定するための情報を要求することができる。 |
| (c) The business must make good-faith efforts to disclose to the auditor all facts relevant to the cybersecurity audit and must not misrepresent any fact relevant to the cybersecurity audit. | (c)企業は、サイバーセキュリティ監査に関連するすべての事実を監査人に誠実に開示し、サイバーセキュリティ監査に関連する事実を虚偽表示してはならない。 |
| (d) No finding of any cybersecurity audit may rely primarily on assertions or attestations by the business’s management. Cybersecurity audit findings must rely primarily upon the specific evidence (including documents reviewed, sampling and testing performed, and interviews conducted) that the auditor deems appropriate . | (d)サイバーセキュリティ監査の結果は、企業の経営陣の主張や証明のみに主に依存してはならない。サイバーセキュリティ監査の結果は、監査人が適切と判断した具体的な証拠(審査した文書、実施したサンプリングおよびテスト、実施したインタビューなど)に主に依存しなければならない。 |
| (e) The cybersecurity audit report must include the information set forth in section 7123, subsection (e). | (e)サイバーセキュリティ監査報告書には、第 7123 条 (e)項に規定される情報を含めること。 |
| (1) | (1) |
| (2) | (2) |
| (3) | (3) |
| (4) | (4) |
| (f) | (f) |
| (g) | (g) |
| (f) The cybersecurity audit report must be provided to a member of the business’s executive management team who has direct responsibility for the business’s cybersecurity program. | (f)サイバーセキュリティ監査報告書は、事業のサイバーセキュリティプログラムに直接責任を負う事業経営陣のメンバーに提供すること。 |
| (g) The business and the auditor must retain all documents relevant to each cybersecurity audit for a minimum of five (5) years after completion of the cybersecurity audit. | (g)企業および監査人は、各サイバーセキュリティ監査に関連するすべての文書を、サイバーセキュリティ監査の完了後、最低 5 年間保管しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| § 7123. Scope of Cybersecurity Audit and Audit Report. | § 7123. サイバーセキュリティ監査および監査報告書の範囲。 |
| (a) The cybersecurity audit must assess how the business’s cybersecurity program: protects personal information from unauthorized access, destruction, use, modification, or disclosure; and protects against unauthorized activity resulting in the loss of availability of personal information. | (a)サイバーセキュリティ監査は、事業のサイバーセキュリティプログラムが、個人情報を不正アクセス、破壊、使用、変更、または開示から保護しているかどうか、および個人情報の利用不能につながる不正行為から保護しているかどうかを評価しなければならない。 |
| (b) The cybersecurity audit must assess: | (b)サイバーセキュリティ監査は、以下を評価しなければならない。 |
| (1) The business’s establishment, implementation, and maintenance of its cybersecurity program, including the related written documentation thereof (e.g., policies and procedures), that is appropriate to the business’s size and complexity and the nature and scope of its processing activities, taking into account the state of the art and cost of implementing the components of a cybersecurity program ; and | (1)事業規模および複雑性、ならびに処理活動の性質および範囲に適合した、サイバーセキュリティプログラム(関連文書(ポリシーおよび手順など)を含む)の確立、実施、および保守。サイバーセキュリティプログラムの構成要素の実施に関する最新技術およびコストも考慮に入れること。 |
| (2) Each of the components of a cybersecurity program listed in subsection (c) that the auditor deems applicable to the business’s information system. | (2)監査人が事業の情報システムに適用可能と判断した、サブセクション (c)に記載されたサイバーセキュリティプログラムの構成要素のそれぞれ。 |
| (3) How the business implements and enforces compliance with its cybersecurity program, as described in subsection (b)(1), the applicable components in subsection (c), and any additional components as set forth in subsection (d). | (3)サブセクション (b)(1)に記載されたサイバーセキュリティプログラム、サブセクション (c)に記載された適用可能な構成要素、およびサブセクション (d)に記載された追加の構成要素の遵守を、事業がどのように実施および実施しているか。 |
| (c) The cybersecurity audit must assess the following components, if applicable: | (c)サイバーセキュリティ監査は、該当する場合、以下の要素を評価しなければならない。 |
| (1) Authentication, including: | (1)認証、以下を含む。 |
| (A) Multi-factor authentication (including multi-factor authentication that is resistant to phishing attacks for employees, independent contractors, and any other personnel, service providers, and contractors); and | (A)多要素認証(従業員、独立請負業者、その他の職員、サービスプロバイダ、および請負業者に対するフィッシング攻撃に耐性のある多要素認証を含む)。 |
| (B) If the business uses passwords or passphrases, strong unique passwords or passphrases (e.g., passwords that are at least eight characters in length, not on the business’s disallowed list of commonly used passwords, and not reused). | (B)パスワードまたはパスフレーズを使用する場合、強固で固有のパスワードまたはパスフレーズ(例えば、8 文字以上の長さで、事業者が使用を禁止しているパスワードリストに記載されていない、再利用されないパスワードなど)。 |
| (2) Encryption of personal information, at rest and in transit. | (2)保存中および転送中の個人情報の暗号化。 |
| (3) Account management and access controls, including: | (3)アカウント管理およびアクセス管理。 |
| (A) Restricting each person’s, account’s, or application’s privileges and access to personal information to what is necessary for that person, account, or application to perform their duties. For example: | (A)各個人、アカウント、またはアプリケーションの個人情報のアクセス権限を、その個人、アカウント、またはアプリケーションが業務を遂行するために必要な範囲に制限すること。例えば: |
| (i) If the person is an employee, independent contractor, or any other personnel, restricting their privileges and access to personal information to what is necessary to perform the respective job functions of each individual, and revoking their privileges and access when their job functions no longer require them, including when their employment or contract is terminated; | (i)当該者が従業員、独立請負業者、またはその他の職員である場合は、各個人の職務遂行に必要な範囲に、個人情報へのアクセス権限を制限し、その職務遂行が不要になった場合(雇用または契約が終了した場合を含む)には、そのアクセス権限を取り消すこと。 |
| (ii) If the person is a service provider or contractor, restricting their privileges and access to personal information to what is necessary for the specific business purpose(s) set forth in, and in compliance with, the written contract between the business and the service provider or contractor required by the CCPA and section 7051; and | (ii)当該者がサービスプロバイダまたは請負業者である場合は、CCPA およびセクション 7051 で義務付けられている、事業者とサービスプロバイダまたは請負業者との間で締結された書面による契約に規定され、かつ、その契約に従う、特定の事業目的のために必要な範囲に、個人情報へのアクセス権およびアクセスを制限すること。 |
| (iii) Restricting the privileges and access of third parties to whom the business sells or shares personal information to the personal information that is necessary for the limited and specified purpose(s) set forth within the contract between the business and the third party required by the CCPA and section 7053. | (iii)企業が個人情報を販売または共有するサードパーティの特権およびアクセスを、CCPA およびセクション 7053 で要求される、企業とサードパーティ間の契約に規定された限定的かつ特定の目的に必要な個人情報に制限すること。 |
| (B) Restricting the number of privileged accounts, restricting those privileged accounts’ access functions to only those necessary to perform the accountholder’s job, restricting the use of privileged accounts to when they are necessary to perform functions, and using a privileged-access management solution (e.g., to ensure just-in-time temporary assignment of privileged access). | (B)特権アカウントの数を制限し、その特権アカウントのアクセス機能をアカウント所有者の業務遂行に必要なもののみに制限し、特権アカウントの使用をその機能遂行に必要な場合に限定し、特権アクセス管理ソリューション(特権アクセスをジャストインタイムで一時的に割り当てることを保証するものなど)を使用すること。 |
| (C) Restricting and monitoring the creation of new accounts for employees, independent contractors, or other personnel; service providers or contractors; and privileged accounts, and ensuring that the accounts’ access and privileges are limited as set forth in subsections (c)(3)(A) and (B). | (C)従業員、独立請負業者、その他の要員、サービスプロバイダ、請負業者、および特権アカウントの新規アカウントの作成を制限および監視し、サブセクション (c)(3)(A)および (B)に規定されているとおり、アカウントのアクセスおよび特権が制限されていることを確認する。 |
| (D) Restricting and monitoring physical access to personal information (e.g., through the use of badges, secure physical file locations, and enforcement of clean-desk policies). | (D)個人情報への物理的アクセスを制限し監視すること(例:バッジの使用、安全な物理的ファイル保管場所、クリーンデスクポリシーの遵守)。 |
| (4) Inventory and management of personal information and the business’s information system, including: | (4)個人情報および事業者の情報システムの在庫管理および管理、具体的には: |
| (A) Personal information inventories (e.g., maps and flows identifying where personal information is stored, and how it can be accessed) and the classification and tagging of personal information (e.g., how personal information is tagged and how those tags are used to control the use and disclosure of personal information); | (A)個人情報の在庫(例えば、個人情報が保存されている場所、および個人情報へのアクセス方法を特定するマップやフロー)および個人情報の分類とタグ付け(例えば、個人情報のタグ付け方法、およびそれらのタグを使用して個人情報の使用および開示を管理する方法)。 |
| (B) Hardware and software inventories, and the use of allowlisting (i.e., discrete lists of authorized hardware and software to control what is permitted to connect to and execute on the business’s information system); and | (B)ハードウェアおよびソフトウェアのインベントリ、および許可リストの使用(つまり、企業の情報システムへの接続および実行を許可する、認可されたハードウェアおよびソフトウェアの個別のリスト)。 |
| (C) Hardware and software approval processes, and preventing the connection of unauthorized hardware and devices to the business’s information system. | (C)ハードウェアおよびソフトウェアの承認プロセス、および企業の情報システムへの不正なハードウェアおよびデバイスの接続の防止。 |
| (5) Secure configuration of hardware and software, including: | (5)ハードウェアおよびソフトウェアの安全な設定。 |
| (A) Software updates and upgrades; | (A)ソフトウェアの更新およびアップグレード |
| (B) Securing on-premises and cloud-based environments; | (B)オンプレミスおよびクラウドベースの環境のセキュリティ確保 |
| (C) Masking (i.e., systematically removing or replacing with symbols such as asterisks or bullets) the sensitive personal information set forth in Civil Code section 1798.145, subdivisions (ae)(1)(A) and (B) and other personal information as appropriate by default in applications; | (C)民法1798.145条(ae)(1)(A)および(B)に定める機密個人情報を、アプリケーションのデフォルト設定でマスク処理(例:アスタリスクやドットなどの記号で置き換える)すること; |
| (D) Security patch management (e.g., receiving systematic notifications of security-related software updates and upgrades; and identifying, deploying, and verifying their implementation); and | (D)セキュリティパッチの管理(セキュリティ関連のソフトウェアの更新およびアップグレードに関する体系的な通知の受信、その実施の識別、展開、および検証など)。 |
| (E) Change management (i.e., processes and procedures to ensure that changes to information system(s) do not undermine existing safeguards). | (E)変更管理(情報システムへの変更によって既存の保護措置が損なわれないことを保証するためのプロセスおよび手順)。 |
| (5) Internal and external vulnerability scans, penetration testing, and vulnerability disclosure and reporting (e.g., bug bounty and ethical hacking programs). | (5)内部および外部の脆弱性スキャン、侵入テスト、脆弱性の開示および報告(バグ報奨金プログラムや倫理的ハッキングプログラムなど)。 |
| (7) Audit-log management, including the centralized storage, retention, and monitoring of logs. | (7)ログの一元的な保存、保持、監視を含む監査ログの管理。 |
| (8) Network monitoring and defenses, including the deployment of: | (8)以下の展開を含むネットワークの監視および防御。 |
| (A) Technologies, such as bot-detection, intrusion-detection, and intrusion-prevention , which a business may use to detect unsuccessful login attempts, monitor the activity of authorized users, and detect and prevent unauthorized access, destruction, use, modification, or disclosure of personal information; or unauthorized activity resulting in the loss of availability of personal information; and | (A)ボット検知、侵入検知、侵入防止などの技術。企業は、これらの技術を使用して、ログインの失敗を検知し、認可されたユーザーの活動を監視し、個人情報の不正アクセス、破壊、使用、変更、開示、または個人情報の利用不能につながる不正な活動を検知および防止することができる。 |
| (B) Data-loss-prevention systems (e.g., software to detect and prevent unauthorized access, use, or disclosure of personal information). | (B)データ損失防止システム(個人情報の不正アクセス、使用、開示を検知および防止するソフトウェアなど)。 |
| (9) Antivirus and antimalware protections. | (9)ウイルス対策およびマルウェア対策。 |
| (10) Segmentation of an information system (e.g., via properly configured firewalls, routers, switches). | (10)情報システムのセグメント化(適切に構成されたファイアウォール、ルーター、スイッチなどを使用)。 |
| (11) Limitation and control of ports, services, and protocols. | (11)ポート、サービス、およびプロトコルの制限および管理。 |
| (12) Cybersecurity awareness, including how the business maintains current knowledge of changing cybersecurity threats and countermeasures. | (12)サイバーセキュリティに対する意識、これには、サイバーセキュリティの脅威や対策の変化に関する最新の知識を事業者がどのように維持しているかも含まれる。 |
| (13) Cybersecurity education and training, includingtraining for each employee, independent contractor, and any other personnel to whom the business provides access to its information system (e.g., when their employment or contract begins, annually thereafter, and after a personal information security breach, as described in Civil Code section 1798.150). | (13)各従業員、独立請負業者、および事業が情報システムへのアクセスを許可するその他の職員に対する、サイバーセキュリティに関する教育および研修(例えば、雇用または契約の開始時、その後毎年、および民法第 1798.150 条に規定される個人情報セキュリティ違反発生後)。 |
| (14) Secure development and coding best practices, including code-reviews and testing. | (14)コードレビューおよびテストを含む、安全な開発およびコーディングのベストプラクティス。 |
| (15) Oversight of service providers, contractors, and third parties to ensure compliance with sections 7051 and 7053. | (15)サービスプロバイダ、契約者、およびサードパーティの監督により、第 7051 条および第 7053 条への準拠を確保すること。 |
| (16) Retention schedules and proper disposal of personal information no longer required to be retained, by (1) shredding, (2) erasing, or (3) otherwise modifying the personal information in those records to make it unreadable or undecipherable through any means. | (16)保持する必要がなくなった個人情報の保持スケジュールおよび適切な廃棄方法。 (1)シュレッダーによる破棄、(2)消去、または (3)その他の手段による、その記録内の個人情報を、いかなる手段によっても読み取ったり解読したりできないように変更すること。 |
| (17) How the business manages its responses to security incidents (i.e., its incident response management). | (17)セキュリティインシデント(すなわち、インシデント対応管理)に対する企業の対応方法。 |
| (A) For the purposes of subsection (17), “security incident” means an occurrence that actually or imminently jeopardizes the confidentiality, integrity, or availability of the business’s information system or the personal information the system processes, stores, or transmits, or that constitutes a violation or imminent threat of violation of the business’s cybersecurity program; unauthorized access, destruction, use, modification, or disclosure of personal information; or unauthorized activity resulting in the loss of availability of personal information is a security incident. | (A)第 (17)項において、「セキュリティインシデント」とは、事業者の情報システム、またはそのシステムが処理、保存、または伝送する個人情報の機密性、完全性、または可用性を実際に、または差し迫って危険にさらす事象、あるいは事業者のサイバーセキュリティプログラムに対する違反またはその差し迫った脅威を構成する事象、個人情報の不正アクセス、破壊、使用、変更、または開示、 または個人情報の可用性を失わせる不正な活動も、セキュリティインシデントに該当する。 |
| (B) The business’s incident response management includes: | (B)企業のインシデント対応管理には、以下が含まれる。 |
| (i) The business’s documentation of predetermined instructions or procedures to detect, respond to, limit the consequences of, and recover from malicious attacks against its information system (i.e., the business’s incident response plan); and | (i)企業の情報システムに対する悪意のある攻撃を検知、対応、その影響を制限し、復旧するための、あらかじめ定められた指示または手順に関する企業の文書(すなわち、企業のインシデント対応計画)。 |
| (ii) How the business tests its incident-response capabilities; and | (ii)企業がインシデント対応能力をテストする方法。 |
| (18) Business-continuity and disaster-recovery plans, including data-recovery capabilities and backups. | (18)データ復旧機能およびバックアップを含む、事業継続および災害復旧計画。 |
| (d) Nothing in this section prohibits an audit from assessing components of a cybersecurity program that are not set forth in subsections (b) or (c). | (d)本項は、サブセクション (b)または (c)に規定されていないサイバーセキュリティプログラムの構成要素を監査の対象とすることについて、何ら禁止するものではない。 |
| (e) The cybersecurity audit report must: | (e)サイバーセキュリティ監査報告書には、以下の事項を含めること。 |
| (1) Describe the business’s information system; and identify (A) the policies, procedures, and practices that the cybersecurity audit assessed; (B) the criteria used for the cybersecurity audit; and (C) the specific evidence examined to make decisions and assessments, such as documents reviewed, sampling and testing performed, and interviews conducted. The cybersecurity audit report must also explain why assessing those policies, procedures, and practices; using those criteria; and examining that specific evidence justify the auditor’s findings. | (1)事業の情報システムについて記述し、以下を識別すること。(A)サイバーセキュリティ監査で評価した方針、手順、および慣行(B)サイバーセキュリティ監査に使用した規準(C)決定および評価を行うために検討した具体的な証拠(レビューした文書、実施したサンプリングおよびテスト、実施したインタビューなど)。また、サイバーセキュリティ監査報告書には、これらのポリシー、手順、および慣行を評価し、これらの規準を使用し、特定の証拠を検証することが、監査人の調査結果を正当化する理由も記載しなければならない。 |
| (2) Identify the applicable components in subsection (c), and any additional component assessed in accordance with subsection (d); describe how the business implements and enforces compliance with the policies and procedures in subsections (b)(1), the applicable components in subsection (c), and any additional component assessed in accordance with subsection (d); and explain their effectiveness in preventing unauthorized access, destruction, use, modification, or disclosure of personal information; and preventing unauthorized activity resulting in the loss of availability of personal information. | (2)(c)項に該当する構成要素、および(d)項に従って評価した追加の構成要素を識別し、(b)(1)項、(c)項に該当する構成要素、および(d)項に従って評価した追加の構成要素に関するポリシーおよび手順の実施および遵守状況を説明し、個人情報の不正アクセス、破壊、使用、変更、または開示の防止、および個人情報の利用不能化につながる不正行為の防止に有効であることを説明しなければならない。およびサブセクション (d)に基づいて評価された追加の構成要素を記載し、個人情報への不正アクセス、破壊、使用、変更、または開示を防止する効果、および個人情報の利用不能につながる不正行為を防止する効果を説明する。 |
| (3) Identify and describe in detail the status of any gaps or weaknesses of the policies and procedures in subsection (b)(1) , the applicable components in subsection (c), and any additional component assessed in accordance with subsection (d), that the auditor deemed to increase the risk of unauthorized access, destruction, use, modification, or disclosure of consumers’ personal information; or increase the risk of unauthorized activity resulting in the loss of availability of personal information. | (3)(b)(1)項、(c)項に該当する構成要素、および(d)項に従って評価された追加の構成要素のうち、消費者の個人情報への不正アクセス、破壊、使用、変更、または開示のリスクを高める、あるいは個人情報の利用不能につながる不正行為のリスクを高める、と監査人が判断したポリシーおよび手順のギャップまたは弱点を特定し、その状況を詳細に記述する。 |
| (4) Document the business’s plan to address the gaps and weaknesses identified and described pursuant to subsection (e)(3), including the timeframe in which it will resolve them. | (4)(e)(3)項に従って識別および記載したギャップおよび弱点を解決するための事業者の計画を、その解決期限を含めて文書化する。 |
| (5) Identify any corrections or amendments to any prior cybersecurity audit reports. | (5)以前のサイバーセキュリティ監査報告書に対する修正または変更をすべて特定する。 |
| (6) Include the title of up to three qualified individuals responsible for the business’s cybersecurity program. | (6)事業者のサイバーセキュリティプログラムを担当する 3 名までの有資格者の役職名を記載する。 |
| (7) Include the auditor’s name, affiliation, and relevant qualifications. | (7)監査人の氏名、所属、および関連する資格を記載する。 |
| (8) Include a statement that is signed and dated by the highest-ranking auditor that certifies that they completed an independent review of the business’s cybersecurity program and information system, exercised objective and impartial judgment on all issues within the scope of the cybersecurity audit, and did not rely primarily on assertions or attestations by the business’s management. | (8)最高位の監査人が、企業のサイバーセキュリティプログラムおよび情報システムの独立したレビューを完了し、サイバーセキュリティ監査の範囲内のすべての問題について客観的かつ公平な判断を行い、企業の経営陣の主張や証明に主に依存していないことを証明する、署名および日付入りの声明を記載すること。 |
| (9) If the business provided notification to affected consumer(s) pursuant to Civil Code section 1798.82, subdivision (a), include a sample copy of the notification(s), excluding any personal information; or a description of the notification(s). | (9)企業が民法第 1798.82 条 (a)項に基づき、影響を受ける消費者に対して通知を行った場合は、個人情報を含まない通知のサンプル、または通知の内容の説明を添付すること。 |
| (10) If the business was required to notify any agency with jurisdiction over privacy laws in California of unauthorized access, destruction, use, modification, or disclosure of personal information; or unauthorized activity resulting in the loss of availability of personal information, include a sample copy of the notification(s), excluding any personal information; or a description of the required notification(s), the date(s) and details of the activity that gave rise to the required notification(s), and any related remediation measures taken by the business. | (10)企業が、カリフォルニア州のプライバシー法に関する管轄機関に対して、個人情報の不正アクセス、破壊、使用、変更、または開示、あるいは個人情報の利用不能につながる不正行為について通知する義務があった場合は、個人情報を含まない通知のサンプル、または必要な通知の内容、必要な通知を行った日付、および必要な通知の原因となった行為の詳細、ならびに および事業者が講じた関連是正措置の説明を記載すること。 |
| (f) A business may utilize a cybersecurity audit, assessment, or evaluation that it has prepared for another purpose, provided that it meets all of the requirements of this Article, either on its own or through supplementation. For example, a business may have engaged in an audit that uses the National institute of Standards and Technology Cybersecurity Framework 2.0 and meets all of the requirements of this Article. | (f)事業者は、本条すべての要件を単独で、または補足により満たす場合、他の目的のために作成したサイバーセキュリティ監査、アセスメント、または評価を利用することができる。例えば、事業者は、国立標準技術研究所のサイバーセキュリティ枠組み 2.0 を使用し、本条すべての要件を満たす監査を実施している場合がある。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| § 7124. Certification of Completion. | § 7124. 完了の証明。 |
| (a) Each calendar year that a business is required to complete a cybersecurity audit pursuant to this Article, it must submit to the Agency a written certification that the business completed the cybersecurity audit as required by this Article. | (a)企業が本条に基づきサイバーセキュリティ監査を完了しなければならない各暦年において、企業は、本条で要求されるサイバーセキュリティ監査を完了したことを証明する書面を当局に提出しなければならない。 |
| (b) The business must submit the certification no later than April 1 following any year that the business is required to complete a cybersecurity audit. | (b)企業は、サイバーセキュリティ監査の完了が義務付けられている年の翌年 4 月 1 日までに、証明書を提出しなければならない。 |
| (c) The written certification must be completed by a member of the business’s executive management team who: | (c)書面による証明書は、以下の条件を満たす、企業の経営陣のメンバーが作成しなければならない。 |
| (1) Is directly responsible for the business’s cybersecurity-audit compliance; | (1)企業のサイバーセキュリティ監査の遵守に直接責任を負っている。 |
| (2) Has sufficient knowledge of the business’s cybersecurity audit to provide accurate information; and | (2)正確な情報を提供するために、事業のサイバーセキュリティ監査について十分な知識を有していること。 |
| (3) Has the authority to submit the business’s certification to the Agency. | (3)事業者の認証を機関に提出する権限を有していること。 |
| (d) The written certification must be completed and submitted to the Agency via its website at https://cppa.ca.gov/ . The certification must include: | (d)書面による認証は、https://cppa.ca.gov/ のウェブサイトから記入し、機関に提出しなければならない。認証には、以下の事項を含めること。 |
| (1) The business’s name and point of contact for the business, including the contact’s name, phone number, and email address. | (1)企業の名称および企業の窓口(窓口の担当者名、電話番号、E メールアドレスを含む)。 |
| (2) A statement that the business has completed the cybersecurity audit. | (2)企業がサイバーセキュリティ監査を完了したことを示す声明。 |
| (3) The time period covered by the audit, by month and year. | (3)監査の対象期間(月および年)。 |
| (4) An electronically signed attestation to the following statement: “I attest that I meet the requirements of California Code of Regulations, Title 11, section 7124, subsection (c), to submit this certification. Under penalty of perjury under the laws of the state of California, I hereby declare that the information contained within and submitted with this certification is true and correct and that the business has not made any attempt to influence the auditor’s decisions or assessments regarding the cybersecurity audit.” | (4)以下の声明に対する電子署名による証明 「私は、この認証を提出するために、カリフォルニア州規則集第 11 編第 7124 条 (c)の要件を満たしていることを証明する。カリフォルニア州法に基づく偽証罪の罰則に基づき、私は、この認証書に記載され、提出された情報は真実かつ正確であり、事業者はサイバーセキュリティ監査に関する監査人の決定または評価に影響を与えるような行為を行っていないことをここに宣言する。 |
| (5) The name and business title of the person submitting the certification, and the date of the certification. | (5)認証を提出する者の氏名および役職、および認証の日付。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| Adopt all of the text in the following Article: | 以下の条項の全文を採用する。 |
| ARTICLE 10. RISK ASSESSMENTS | 第 10 条 リスクアセスメント |
| § 7150. When a Business Must Conduct a Risk Assessment. | § 7150. 企業がリスクアセスメントを実施しなければならない場合。 |
| (a) Every business whose processing of consumers’ personal information presents significant risk to consumers’ privacy as set forth in subsection (b) must conduct a risk assessment before initiating that processing. | (a)(b)項に規定される、消費者の個人情報の処理が消費者のプライバシーに重大なリスクをもたらすすべての企業は、その処理を開始する前にリスクアセスメントを実施しなければならない。 |
| (b) Each of the following processing activities presents significant risk to consumers’ privacy: | (b)以下の各処理活動は、消費者のプライバシーに重大なリスクをもたらす。 |
| (1) Selling or sharing personal information. | (1)個人情報の販売または共有。 |
| (2) Processing sensitive personal information. | (2)機密性の高い個人情報の処理。 |
| (A) A business that processes the sensitive personal information of its employees or independent contractors solely and specifically for purposes of administering compensation payments, determining and storing employment authorization, administering employment benefits, providing reasonable accommodation as required by law, or wage reporting as required by law, is not required to conduct a risk assessment for the processing of sensitive personal information for these purposes. Any other processing of consumers’ sensitive personal information is subject to the risk-assessment requirements set forth in this Article. | (A)従業員または独立請負業者の機密性の高い個人情報を、報酬の支払い、雇用認可の決定および保存、雇用給付の管理、法律で義務付けられている合理的な便宜の提供、または法律で義務付けられている賃金報告の目的のみに、かつ、その目的のためにのみ処理する事業者は、これらの目的のための機密性の高い個人情報の処理についてリスクアセスメントを実施する必要はない。消費者の機密性の高い個人情報のその他の処理は、本条に定めるリスクアセスメントの要件に従うものとする。 |
| (3) Using ADMTfor a significant decision concerning a consumer. | (3)消費者に関する重要な決定に ADMT を使用する場合。 |
| (A) | (A) |
| 1 | |
| 2 | |
| 3 | |
| 4 | |
| (i) | |
| (ii) | |
| (iii) | |
| (4) Using automated processing to infer or extrapolate a consumer’s intelligence, ability, aptitude, performance at work, economic situation, health (including mental health), personal preferences, interests, reliability, predispositions, behavior, location, or movements, based upon systematic observation of that consumer when they are acting in their capacity as an educational program applicant, job applicant, student, employee, or independent contractor for the business. | (4)消費者が教育プログラムの応募者、求職者、学生、従業員、または事業者の独立契約者として行動する際に、その消費者の行動を体系的に観察して、その消費者の知能、能力、適性、業務遂行能力、経済状況、健康(精神健康を含む)、個人的な好み、興味、信頼性、傾向、行動、位置、または移動を推論または外挿するために、自動処理を使用すること。 |
| (5) Using automated processing to infer or extrapolate a consumer’s intelligence, ability, aptitude, performance at work, economic situation, health (including mental health), personal preferences, interests, reliability, predispositions, behavior, or movements, based upon that consumer’s presence in a sensitive location. “Infer or extrapolate” does not include a business using a consumer’s personal information solely to deliver goods to, or provide transportation for, that consumer at a sensitive location. | (5)消費者が敏感な場所に存在することを理由に、その消費者の知能、能力、適性、業務上のパフォーマンス、経済状況、健康状態(メンタルヘルスを含む)、個人的な好み、興味、信頼性、傾向、行動、または移動を推論または外挿するために、自動処理を使用すること。「推測または推定」には、消費者の個人情報を、その消費者に敏感な場所で商品をお届けしたり、その消費者に輸送手段を提供したりするためにのみ使用する場合を含む。 |
| (6) Processing the personal information of consumers, which the business intends to use to train an ADMTfor a significant decision concerning a consumer; or train a facial-recognition, emotion-recognition, or other technology that verifies a consumer’s identity, or conducts physical or biological identification or profiling of a consumer. For purposes of this paragraph, “intends to use” means the business is using, plans to use, permits others to use, | (6)消費者の重要な決定に関する ADMT の訓練、または消費者の身元を確認したり、消費者の身体的または生物学的識別やプロファイリングを行う顔認識、感情認識、その他の技術の訓練に使用する目的で、消費者の個人情報を処理すること。この項において、「使用することを意図する」とは、事業者が、他者に使用を許可し、他者に使用させることを計画し、他者に使用を許可し、他者に使用を許可する計画がある、またはその使用を広告またはマーケティングしていることを意味する。 |
| plans to permit others to use, is advertising or marketing the use of, or plans to advertise or market the use of. | 他者に使用を許可する予定がある、使用を宣伝または販売促進している、または宣伝または販売促進する予定がある。 |
| (A) | |
| (B) | |
| (C) | |
| (D) | |
| (E) | |
| (c) Illustrative examples of when a business must conduct a risk assessment follow: | (c)事業者がリスクアセスメントを実施しなければならない場合の例は以下のとおりです。 |
| (1) | (1) |
| (2) Business A is hiring a new employee. Business A plans to videotape job interviews, then use emotion-recognition technology without human involvement to decide who to hire. Business A must conduct a risk assessment because it plans to use ADMT for a significant decision concerning a consumer. | (2)企業 A は、新しい従業員を採用している。企業 A は、就職の面接をビデオ撮影し、人間の関与なしに感情認識技術を使用して採用者を決定する予定だ。企業 A は、消費者に関する重要な決定に ADMT を使用する予定であるため、リスクアセスメントを実施しなければならない。 |
| (2) Business B provides a mobile dating application. Business B plans to disclose consumers’ precise geolocation and the ethnicity and medical information the consumers provided in their dating profiles to Business B’s analytics service provider. Business B must conduct a risk assessment because it plans to process sensitive personal information of consumers. | (2)企業 B は、モバイルデートアプリケーションを提供している。企業 B は、消費者の正確な位置情報、および消費者がデートプロフィールで提供した民族や医療情報を、企業 B の分析サービスプロバイダに開示する予定だ。企業 B は、消費者の機密性の高い個人情報を処理する予定であるため、リスクアセスメントを実施しなければならない。 |
| (3) Business C provides a personal-budgeting application into which consumers enter their financial information, including income. Business C plans to display advertisements to these consumers on different websites for payday loans that are based on evaluations of these consumers’ personal preferences, interests, and reliability from their financial information. Business C must conduct a risk assessment because it plans to share personal information. | (3)企業 C は、消費者が収入などの財務情報を入力する家計管理アプリケーションを提供している。企業 C は、消費者の財務情報から、消費者の個人的な嗜好、興味、信頼性などを評価し、その評価に基づいて、さまざまなウェブサイトに、消費者向けの給料日ローンに関する広告を表示する予定だ。企業 C は、個人情報を共有する予定であるため、リスクアセスメントを実施しなければならない。 |
| (4) Business D is a technology provider. Business D plans to extract faceprints from consumers’ photographs to train Business D’s facial-recognition technology. Business D must conduct a risk assessment because it plans to process consumers’ personal information to train a facial-recognition technology . | (4)企業 D は、技術プロバイダである。企業 D は、自社の顔認識技術を訓練するために、消費者の写真から顔紋を抽出する予定である。企業 D は、顔認識技術を訓練するために消費者の個人情報を処理する予定であるため、リスクアセスメントを実施しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| § 7151. Stakeholder Involvement for Risk Assessments. | § 7151. リスクアセスメントへの利害関係者の関与。 |
| (a) A business’s employees whose job duties include participating in the processing of personal information that would be subject to a risk assessment must be included in business’s risk assessment process for that processing activity. For example, an individual who determines the method by which the business plans to collect consumers’ personal information for one of the processing activities in section 7150, subsection (b), must provide that information to the individuals conducting the risk assessment . | (a)リスクアセスメントの対象となる個人情報の処理に関与する業務を担当する事業者の従業員は、その処理活動に関する事業者のリスクアセスメントプロセスに参加しなければならない。例えば、第 7150 条(b)項に定める処理活動のうち、事業者が消費者の個人情報を収集する方法を決定する者は、その情報をリスクアセスメントを実施する者に提供しなければならない。 |
| (b) In conducting the risk assessment, a business may include external parties in the process. For example, a business may utilize or gather information from service providers, contractors, experts in detecting and mitigating bias in ADMT , a subset of the consumers whose personal information the business plans to process, or stakeholders that represent consumers’ or others’ interests, including consumer advocacy organizations. | (b)リスクアセスメントの実施において、企業は、そのプロセスに外部関係者を参加させることができる。例えば、企業は、サービスプロバイダ、請負業者、ADMT におけるバイアスの検知および緩和の専門家、企業が処理を予定している個人情報の消費者の一部、または消費者団体を含む消費者やその他の利害関係者を代表する関係者から、情報を活用または収集することができる。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| § 7152. Risk Assessment Requirements. | § 7152. リスクアセスメントの要件。 |
| (a) A business must conduct a risk assessment to determine whether the risks to consumers’ privacy from the processing of personal information outweigh the benefits to the consumer, the business, other stakeholders, and the public from that same processing. The risk assessment must : | (a)企業は、個人情報の処理によって消費者のプライバシーに与えるリスクが、その処理によって消費者、企業、その他の利害関係者、および公衆にもたらされる利益を上回るかどうかを判断するために、リスクアセスメントを実施しなければならない。リスクアセスメントは、以下の要件を満たさなければならない。 |
| (1) Identify and document in a risk assessment report the business’s purpose for processing consumers’ personal information. The purpose must not be identified or described in generic terms, such as “to improve our services” or for “security purposes.” By contrast, if a business is “improving the service” by decreasing consumers’ wait times when processing their privacy rights requests, the business may identify this decrease of wait times to process privacy rights requests as the relevant purpose. | (1)消費者の個人情報を処理する事業者の目的を特定し、リスクアセスメント報告書に記載すること。その目的は、「当社のサービスを改善するため」や「セキュリティ目的」などの一般的な表現で特定または記述してはならない。一方、事業者が、消費者のプライバシー権に関する要求の処理にかかる待ち時間を短縮することで「サービスの改善」を行っている場合、事業者は、プライバシー権に関する要求の処理にかかる待ち時間の短縮を、関連する目的として特定することができる。 |
| (2) Identify and document in a risk assessment report the categories of personal information to be processed,including any categories of sensitive personal information. This must includethe minimum personal information that is necessary to achieve the purpose of processing consumers’ personal information. | (2)処理される個人情報のカテゴリー(機密性の高い個人情報のカテゴリーを含む)を特定し、リスクアセスメント報告書に記載すること。これには、消費者の個人情報を処理する目的に必要な最小限の個人情報を含める必要がある。 |
| (i) | |
| (ii) | |
| (3) Identify and document in a risk assessment report the following operational elements of the processing: | (3)処理の以下の運用要素を特定し、リスクアセスメント報告書に記載すること。 |
| (A) The business’s planned method for collecting, using, disclosing, retaining, or otherwise processing personal information, and the sources of the personal information. | (A)事業者が個人情報を収集、利用、開示、保存、またはその他の方法で処理する予定の方法、および個人情報の入手先。 |
| (B) How long the business plans to retain each category of personal information, or if unknown, the criteria the business plans to use to determine that retention period. | (B)事業者が各カテゴリーの個人情報を保存する予定期間、またはそれが不明の場合は、その保存期間を決定するために事業者が使用する予定の規準。 |
| (C) The business’s method of interacting with the consumers whose personal information the business plans to process (e.g., via websites, applications, or offline) and the purpose of the interaction (e.g., to provide a good or service). | (C)事業者が処理する個人情報の消費者とのやり取りの方法(ウェブサイト、アプリケーション、オフラインなど)およびその目的(商品やサービスの提供など)。 |
| (D) The approximate number of consumers whose personal information the business plans to process. | (D)事業者が処理する個人情報の消費者の概算人数。 |
| (E) What disclosures the business has made or plans to make to the consumer about the processing of their personal information and how these disclosures were or will be made (e.g., via a just-in-time notice) . | (E)事業者が消費者に個人情報の処理について行ったまたは行う予定の開示内容、およびこれらの開示の方法(例:即時通知を通じて)。 |
| (F) The names or categories of the service providers, contractors, or third parties to whom the business discloses or makes available the consumers’ personal information for the processing; and the purpose for which the business discloses or makes the consumers’ personal information available to them . | (F)事業者が、処理のために消費者の個人情報を開示または提供するサービスプロバイダ、請負業者、またはサードパーティの名称またはカテゴリー、および事業者が消費者の個人情報を開示または提供する目的。 |
| (G) For the uses of ADMT set forth in section 7150, subsections (b)(3), the business must identify: | (G)第 7150 条(b)(3)項に規定される ADMT の使用については、事業者は以下を識別しなければならない。 |
| (i) The logic of the ADMT, including any assumptions or limitations of the logic; and | (i)ADMTの論理(論理の仮定または制限を含む);および |
| (ii) The output of the ADMT, and how the business will use the output to make a significant decision. | (ii)ADMTの出力、および事業者が当該出力を重要な意思決定にどのように使用するかを明示しなければならない。 |
| (4) Identify the benefits to the business, the consumer, other stakeholders, and the public from the processing of the personal information, as applicable. The benefits must not be identified in generic terms, such as “improving our service.” By contrast, if a benefit of a processing activity is to reduce the response time to a consumer’s right to know request, a business may identify the relevant benefit as enabling consumers to receive the personal information they requested on a quicker timeline. | (4)個人情報の処理により、事業、消費者、その他の利害関係者、および公衆に与える利益(該当する場合)を特定する。利益は、「当社のサービスの向上」などの一般的な表現で特定してはならない。対照的に、処理活動の利益が、消費者の知情権に対する対応時間の短縮である場合は、事業者は、消費者が要求した個人情報をより迅速に受け取ることができるという関連利益を特定することができる。 |
| (5) Identify the negative impacts to consumers’ privacy associated with the processing. The business must identify the sources and causes of these negative impacts . | (5)処理に伴う消費者のプライバシーに対する悪影響を特定する。企業は、これらの悪影響の原因および要因を特定しなければならない。 |
| For example, negative impacts to consumers’ privacy that a business may consider include the following: | 例えば、企業が考慮すべき消費者のプライバシーに対する悪影響としては、以下のものが挙げられる。 |
| (A) Unauthorized access, destruction, use, modification, or disclosure of personal information; and unauthorized activity resulting in the loss of availability of personal information. | (A)個人情報の不正アクセス、破壊、使用、改変、または開示、および個人情報の利用不能をもたらす不正行為。 |
| (B) Discrimination upon the basis of protected characteristics that would violate federal or state law. | (B)連邦法または州法に違反する、保護された特性に基づく差別。 |
| (C) Impairing consumers’ control over their personal information, such as by providing insufficient information for consumers to make an informed decision regarding the processing of their personal information, or by interfering with consumers’ ability to make choices consistent with their reasonable expectations. | (C)消費者が自分の個人情報の処理について情報に基づいた決定を行うために必要な情報を十分に提供しない、消費者が合理的な期待に沿った選択を行う能力を妨害する、など、消費者の個人情報に対する管理を損なうこと。 |
| (D) Coercing or compelling consumers into allowing the processing of their personal information, such as by conditioning consumers’ acquisition or use of an online service upon their disclosure of personal information that is unnecessary to the expected functionality of the service, or requiring consumers to consent to processing when such consent cannot be freely given (e.g., because it was obtained through the use of a dark pattern). | (D)消費者に、サービスの予想される機能に不要な個人情報の開示を、オンラインサービスの取得または利用の条件とする、または消費者が自由に同意できない場合(ダークパターンの使用によって同意が得られた場合など)に、個人情報の処理に同意することを要求するなど、消費者に個人情報の処理を強制または強要すること。 |
| (E) | (E) |
| (E) Economic harms, including limiting or depriving consumers of economic opportunities, charging consumers higher prices, or compensating consumers at lower rates based upon profiling; or imposing additional costs upon consumers, including costs associated with the unauthorized access to consumers’ personal information. | (E)経済的損害。これには、消費者の経済的機会の制限または剥奪、消費者への価格の上昇、またはプロファイリングに基づく消費者への補償額の引き下げ、あるいは消費者に追加的な費用(消費者の個人情報への不正アクセスに関連する費用を含む)を課すことが含まれる。 |
| (F) Physical harms to consumers or to property, including processing that creates the opportunity for physical or sexual violence. | (F)消費者または財産に対する身体的損害、具体的には、身体的または性的暴力の機会を創出する処理。 |
| (G) Reputational harms, including stigmatization, that could negatively impact an average consumer, such as stigmatization of a consumer as a result of a mobile dating application’s disclosure of the consumer’s sexual or other preferences in a partner outside of the dating application . | (G)平均的な消費者に悪影響を及ぼす可能性のある名誉毀損、例えば、モバイルデートアプリが消費者の性的またはその他の好みをデートアプリ外のパートナーに開示したことによる消費者のスティグマ化。 |
| (H) Psychological harms, including emotional distress, stress, anxiety, embarrassment, fear, frustration, shame, and feelings of violation, that could negatively impact an average consumer. Examples of such harms include emotional distress resulting from disclosure of nonconsensual intimate imagery or disclosure of a consumer’s purchase of pregnancy tests or emergency contraception for non-medical purposes. | (H)心理的損害(感情的苦痛、ストレス、不安、恥辱、恐怖、不満、羞恥心、侵害感を含む)で、平均的な消費者に悪影響を及ぼすもの。このような損害の例には、同意なしに親密な画像が開示されたことによる感情的苦痛、または消費者が医療目的以外で妊娠検査薬や緊急避妊薬を購入した事実が開示されたことによる感情的苦痛が含まれる。 |
| (6) Identify and document in a risk assessment report any safeguards that the business plans to implement for the processing, such as safeguards to address the negative impacts identified in subsection (a)(5). | (6)(a)(5)で特定された悪影響に対処するための保護措置など、事業者が処理のために実施する予定の保護措置をリスクアセスメント報告書で識別し、文書化する。 |
| (A) For example, safeguards that a business may consider include the following: | (A)例えば、事業者が検討できる保護措置としては、以下のものが挙げられる。 |
| knowledge to identify, assess, and mitigate risks to consumers’ privacy; and | 知識を活用して、消費者のプライバシーに対するリスクを識別、評価、緩和すること。 |
| (iv) | (iv) |
| (B) | (B) |
| (7) Identify and document in a risk assessment report whether it will initiate the processing subject to the risk assessment. | (7)リスクアセスメントの対象となる処理を開始するか否かを特定し、リスクアセスメント報告書に記載すること。 |
| (8) Identify and document in a risk assessment report the individuals who provided the information for the risk assessment, except for legal counsel who provided legal advice. | (8)法律顧問が提供した法的助言を除き、リスクアセスメントのために情報を提供した個人を特定し、リスクアセスメント報告書に記載する。 |
| (9) Identify and document in a risk assessment report the date the assessment was reviewed and approved, and the names and positions of the individuals who reviewed or approved the assessment, except for legal counsel who provided legal advice. An individual who has the authority to participate in deciding whether the business will initiate the processing that is the subject of the risk assessment must review and approve the assessment. | (9)法律顧問が提供した法的助言を除き、アセスメントがレビューおよび承認された日付、およびアセスメントをレビューまたは承認した個人の氏名および役職を、リスクアセスメント報告書に記載する。リスクアセスメントの対象となる処理を開始するか否かの決定に参加する権限を有する者は、そのアセスメントをレビューし、承認しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| § 7153. Additional Requirements for Businesses that Process Personal Information to Train Automated Decisionmaking Technology . | § 7153. 自動意思決定技術を訓練するために個人情報を処理する事業者に対する追加要件。 |
| (a) A business that makes ADMT available to another business (“recipient-business”) to make a significant decision as set forth in section 7150, subsection (b)(3), must provide to the recipient-business all facts available to the business that are necessary for the recipient-business to conduct its own risk assessment. | (a)第 7150 条 (b)(3)に規定される重要な決定を行うために、ADMT を他の事業(以下「取得者事業」という)に提供する事業者は、取得者事業が独自のリスクアセスメントを行うために必要な、事業者が入手可能なすべての事実を取得者事業に提供しなければならない。 |
| (b) | (b) |
| (c) The requirements of this section apply only to ADMT trained using personal information. | (c)本項の要件は、個人情報を使用して訓練された ADMT にのみ適用される。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| § 7154. Goal of a Risk Assessment . | § 7154. リスクアセスメントの目的。 |
| (a) The goal of a risk assessment is restricting or prohibiting the processing of personal information if the risks to privacy of the consumer outweigh the benefits resulting from processing to the consumer, the business, other stakeholders, and the public. | (a)リスクアセスメントの目標は、消費者のプライバシーに対するリスクが、消費者、事業者、その他の利害関係者、および公衆に与える利益を上回る場合、個人情報の処理を制限または禁止することである。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| § 7155. Timing and Retention Requirements for Risk Assessments. | § 7155. リスクアセスメントの実施時期および保存要件。 |
| (a) A business must comply with the following timing requirements for conducting and updating its risk assessments: | (a)企業は、リスクアセスメントの実施および更新について、以下の実施時期の要件を遵守しなければならない。 |
| (1) A business must conduct and document a risk assessment in accordance with the requirements of this Article before initiating any processing activity identified in section 7150, subsection (b). | (1)企業は、第 7150 条 (b)項で特定される処理活動を開始する前に、本条 の要件に従ってリスクアセスメントを実施し、文書化しなければならない。 |
| (2) At least once every three years, a business must review, and update as necessary, its risk assessments to ensure that they remain accurate in accordance with the requirements of this Article. | (2)企業は、少なくとも 3 年に 1 回、リスクアセスメントを見直し、必要に応じて更新し、本条の要件に従ってその正確性を確保しなければならない。 |
| (3) Notwithstanding subsection (a)(2) of this section, a business must update a risk assessment whenever there is a material change relating to the processing activity, as soon as feasibly possible, but no later than 45 calendar days from the date of the material change. A change relating to the processing activity is material if it creates new negative impacts or increases the magnitude or likelihood of previously identified negative impacts as set forth in section 7152, subsection (a)(5), or diminishes the effectiveness of the safeguards as set forth in section 7152, subsection (a)(6). | (3)本項 (a)(2)にかかわらず、企業は、処理活動に関連する重要な変更があった場合は、実行可能な限り速やかに、ただし重要な変更があった日から 45 暦日以内に、リスクアセスメントを更新しなければならない。処理活動に関連する変更は、第 7152 条 (a)(5)に規定される、新たな悪影響の発生、または以前に識別された悪影響の程度または発生の可能性の増大、あるいは第 7152 条 (a)(6)に規定される保護措置の有効性の低下をもたらす場合、重要な変更とみなされる。 |
| Material changes may include, for example, changes to the purpose of the processing; the minimum personal information necessary to achieve the purpose of the processing; or the risks to consumers’ privacy raised by consumers (e.g., numerous consumers complain to a business about the risks that the business’s processing poses to their privacy). | 重要な変更には、例えば、処理の目的の変更、処理の目的を達成するために必要な個人情報の最小限の範囲の変更、または消費者によって指摘された消費者のプライバシーに対するリスク(例えば、多くの消費者が、企業の処理が自分のプライバシーに及ぼすリスクについて企業に苦情を申し立てている場合など)が含まれる。 |
| (b) | (b) |
| (c) For any processing activity identified in section 7150, subsection (b), that the business initiated prior to [OAL to fill in the effective date of these regulations] and that continues after [OAL to fill in the effective date of these regulations], the business must conduct, and document as set forth in section 7152, a risk assessment in accordance with the requirements of this Article no later than December 31, 2027. The business must comply with the submission requirements set forth in section 7157, subsection (a)(1). | (c)[OAL は、この規則の発効日を記入すること] より前に事業者が開始し、[OAL は、この規則の発効日を記入すること] 以降も継続する、第 7150 条(b)項で識別されるあらゆる処理活動について、事業者は、 7152 項に規定される、本条の要件に準拠したリスクアセスメントを実施し、文書化しなければならない。事業者は、7157 項 (a)(1)に規定される提出要件を遵守しなければならない。 |
| (c) A business must retain its risk assessments, including original and updated versions, for as long as the processing continues or for five years after the completion of the risk assessment, whichever is later. | (c)企業は、リスクアセスメントの実施が継続する期間、またはリスクアセスメントの完了後 5 年間のいずれか遅い方まで、リスクアセスメントの原本および更新版を保管しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| § 7156. Conducting Risk Assessments for a Comparable Set of Processing Activities or in Compliance with Other Laws or Regulations. | § 7156. 類似の処理活動について、または他の法律または規制に準拠してリスクアセスメントを実施すること。 |
| (a) A business may conduct a single risk assessment for a comparable set of processing activities. A “comparable set of processing activities” that can be addressed by a single risk assessment is a set of similar processing activities that present similar risks to consumers’ privacy. | (a)企業は、同等の処理活動について 1 つのリスクアセスメントを実施することができる。1 つのリスクアセスメントで対処できる「同等の処理活動」とは、消費者のプライバシーに対して同様のリスクをもたらす一連の類似の処理活動を指す。 |
| (1) For example, Business E sells toys to children and is considering using in-store paper forms to collect names, mailing addresses, and birthdays from children that visit their stores, and to use that information to mail a coupon and list of ageappropriate toys to each child during the child’s birth month and every November. Business E uses the same service providers and technology for each category of mailings across all stores. Business E must conduct a risk assessment, including documenting required information in its risk assessment report, because it is processing sensitive personal information. Business E may use a single risk assessment for processing the personal information for the birthday mailing and November mailing across all stores because in each case it is collecting the same personal information in the same way for the purpose of sending coupons and age-appropriate toy lists to children, and this processing presents similar risks to consumers’ privacy. | (1)例えば、企業 E は子供向けのおもちゃを販売しており、店舗を訪れた子供たちから氏名、住所、誕生日を紙で収集し、その情報を使用して、子供たちの誕生月に、また毎年 11 月に、各子供たちにクーポンと年齢に適したおもちゃのリストを郵送することを検討している。企業 E は、全店舗で、各カテゴリー別の郵送に同じサービスプロバイダおよび技術を使用している。企業 E は、機密性の高い個人情報を処理しているため、リスクアセスメントを実施し、必要な情報をリスクアセスメント報告書に文書化しなければならない。企業 E は、クーポンと年齢に適したおもちゃのリストを子供たちに送付する目的で、各店舗で同じ個人情報を同じ方法で収集しており、この処理は消費者のプライバシーに対して同様のリスクをもたらすため、全店舗における誕生日メール送信および 11 月のメール送信に関する個人情報の処理について、単一のリスクアセスメントを使用することができる。 |
| (b) A business may utilize a risk assessment that it has prepared for another purpose to meet the requirements in section 7152, provided that the risk assessment contains the information that must be included in, or is paired with the outstanding information necessary for, compliance with section 7152. | (b)企業は、別の目的のために作成したリスクアセスメントを、セクション 7152 の要件を満たすために利用することができる。ただし、そのリスクアセスメントには、セクション 7152 の遵守に必要な情報が記載されているか、またはその情報と組み合わせることで必要な情報が補完される必要がある。 |
| (1) For example, Business F plans to sell consumers’ personal information. Business F conducts a risk assessment for that processing activity using a data protection assessment that is compliant with another state law. That state law requires the information that must be in section 7152, but does not explicitly require some of the information in subsections (a)(2)-(3), (7), or require the name and position of the individual who has the authority to participate in deciding whether the business will initiate the processing that is subject to the risk assessment. Business F must also include this information in its risk assessment to meet the requirements in section 7152. | (1)例えば、企業 F は、消費者の個人情報を販売する予定だ。企業 F は、別の州法に準拠したデータ保護アセスメントを用いて、その処理活動に関するリスクアセスメントを実施している。その州法は、第 7152 条に含めるべき情報を義務付けているが、サブセクション (a)(2)-(3)、(7)の情報の一部、およびリスクアセスメントの対象となる処理を開始するか否かの決定に参加する権限を有する個人の氏名および役職の記載を明示的に義務付けていない。企業 F は、セクション 7152 の要件を満たすため、この情報もリスクアセスメントに記載しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| § 7157. Submission of Risk Assessments to the Agency. | § 7157. 機関へのリスクアセスメントの提出。 |
| (a) Timing of Risk Assessment Submissions. | (a)リスクアセスメントの提出時期。 |
| (1) For risk assessments conducted in 2026 and 2027, the business must submit to the | (1)2026 年および 2027 年に実施されるリスクアセスメントについては、事業者は、2028 年 4 月 1 日までに、 |
| Agency the information required by section (b) no later than April 1, 2028. | (b)項で要求される情報を機関に提出しなければならない。 |
| (2) For risk assessments conducted after 2027, the business must submit to the Agency the information required by section (b) no later than April 1 following any year during which the business conducted the risk assessments. For example, for risk assessments conducted in 2028, the business must submit to the Agency the information required by subsection (b) no later than April 1, 2029. | (2)2027 年以降に実施されるリスクアセスメントについては、事業者は、リスクアセスメントを実施した年の翌年の 4 月 1 日までに、(b)項で要求される情報を機関に提出しなければならない。例えば、2028 年に実施されるリスクアセスメントについては、事業者は 2029 年 4 月 1 日までに、サブセクション (b)で要求される情報を当局に提出しなければならない。 |
| (b) A business must submit to the Agency the following risk assessment information : | (b)事業者は、以下のリスクアセスメント情報を当局に提出しなければならない。 |
| (1) The business’s name and a point of contact for the business, including the contact’s name, phone number, and email address. | (1)事業者の名称および事業者の連絡先(連絡担当者の氏名、電話番号、E メールアドレスを含む)。 |
| (2) The time period covered by the submission, by month and year. | (2)提出の対象となる期間(月および年)。 |
| (3) The number of risk assessments conducted or updated by the business during the time period covered by the submission, in total and for each of the processing activities identified in section 7150, subsection (b). | (3)提出の対象となる期間に事業者が実施または更新したリスクアセスメントの総数、および第 7150 条 (b)項で特定される各処理活動について。 |
| (4) Whether the risk assessments conducted or updated by the business during the time period covered by the submission involved the processing of each of the categories of personal information and sensitive personal information identified in Civil Code section 1798.140, subdivisions (v)(1)(A)-(L), (ae)(1)(A)-(G), and (ae)(2)(A)-(C). | (4)提出対象期間に事業者が実施または更新したリスクアセスメントが、民法第 1798.140 条、サブディビジョン (v)(1)(A)から (L)、(ae)(1)(A)から (G)、および (ae)(2)(A)から (C)で特定される各カテゴリーの個人情報および機密個人情報の処理に関与していたかどうか。 |
| (5) Attestation to the following statement: “I attest that the business has conducted a risk assessment for the processing activities set forth in California Code of | (5)以下の声明に対する証明:「私は、事業者が、カリフォルニア州法典第 11 編第 7150 条サブセクション (b)に規定される処理活動について、本提出の対象期間にリスクアセスメントを実施し、第 7157 条サブセクション (c |
| Regulations, Title 11, section 7150, subsection (b), during the time period covered by this submission, and that I meet the requirements of section 7157, subsection (c). Under penalty of perjury under the laws of the state of California, I hereby declare that the risk assessment information submitted is true and correct.” | (b)に規定される処理活動について、リスクアセスメントを実施し、私は、第 7157 条 (c)の要件を満たしていることを証明する。カリフォルニア州法に基づく偽証罪の罰則に基づき、私は、提出したリスクアセスメント情報が真実かつ正確であることをここに宣言する。 |
| (6) The name and business title of the person submitting the risk assessment information, and the date of the certification. | (6)リスクアセスメント情報を提出する者の氏名および役職、および認証の日付。 |
| (A) | |
| (B) | |
| (i) | |
| (ii) | |
| (iii) | |
| (iv) | |
| (2) | (2) |
| (A) | |
| (B) | |
| (C) | |
| (D) | |
| (3) | (3) |
| (4) | (4) |
| (A) | |
| (B) | |
| (c) The individual submitting the information set forth in subsection (b) must be a member of the business’s executive management team who: | (c)(b)項に記載された情報を提出する個人は、以下の条件を満たす、企業の経営陣のメンバーでなければならない。 |
| (1) Is directly responsibility for the business’s risk-assessment compliance; | (1)企業のリスクアセスメントの遵守について直接の責任がある。 |
| (2) Has sufficient knowledge of the business’s risk assessment to provide accurate information; and | (2)正確な情報を提供するために、企業のリスクアセスメントについて十分な知識がある。 |
| (3) Has the authority to submit the risk assessment information to the Agency. | (3)機関にリスクアセスメント情報を提出する権限がある。 |
| (d) The risk assessment information must be submitted to the Agency via the Agency’s website at https://cppa.ca.gov/. | (d)リスクアセスメント情報は、当局のウェブサイト(https://cppa.ca.gov/)から当局に提出しなければならない。 |
| (e) The Agency or the Attorney General may require a business to submit its risk assessment reports to the Agency or to the Attorney General at any time. A business must submit its risk assessment reports within 30 calendar days of the Agency’s or the Attorney General’s request. | (e)当局または司法長官は、事業者に、そのリスクアセスメント報告書を当局または司法長官にいつでも提出するよう要求することができる。事業者は、当局または司法長官の要求から 30 暦日以内に、そのリスクアセスメント報告書を提出しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| Adopt all of the text in the following Article: | 以下の条文の全文を採用すること。 |
| ARTICLE 11. AUTOMATED DECISIONMAKING TECHNOLOGY | 第 11 条 自動意思決定技術 |
| § 7200. When a Business’s Use of Automated Decisionmaking Technology is Subject to the Requirements of This Article. | § 7200. 企業の自動意思決定技術の使用が本条の要件の対象となる場合。 |
| (a) A business that uses ADMT to make a significant decision concerning a consumer must comply with the requirements of this Article. | (a)消費者に関する重要な決定を行うために ADMT を使用する事業者は、本条の要件を遵守しなければならない。 |
| (1) | (1) |
| (A) | |
| (i) | |
| (B) | |
| (i) | |
| (ii) | |
| (iii) | |
| (iv) | |
| (2) | |
| (A) | |
| (B) | |
| (C) | |
| (3) | |
| (A) | |
| (B) | |
| (C) | |
| (D) | |
| (b) A business that uses ADMT for a significant decision prior to January 1, 2027, must be in compliance with the requirements of this Article no later than January 1, 2027. A business that uses ADMT on or after January 1, 2027, must be in compliance with the requirements of this Article any time it is using ADMT for a significant decision. | (b)2027年1月1日以前に重要な決定にADMTを使用する事業者は、2027年1月1日までに本条項の要件に準拠しなければならない。2027年1月1日以降にADMTを使用する事業者は、重要な決定にADMTを使用する際に、本条項の要件に準拠しなければならない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| (1) | |
| (2) | |
| § 7220. Pre-use Notice Requirements. | § 7220. 使用前の通知要件。 |
| (a) A business that uses ADMT as set forth in section 7200, subsection (a), must provide consumers with a Pre-use Notice. The Pre-use Notice must inform consumers about the business’s use of ADMT and consumers’ rights to opt-out of ADMT and to access ADMT, as set forth in this section. A business may provide a Pre-use Notice in its Notice at Collection, provided that the Notice at Collection complies with, and includes the information required by, subsections (b) and (c). | (a)第 7200 条 (a)項に規定される ADMT を使用する事業者は、消費者に使用前の通知を提供しなければならない。使用前通知には、本項に規定されているとおり、事業者が ADMT を使用すること、および消費者が ADMT をオプトアウトし、ADMT にアクセスする権利について、消費者に通知しなければならない。事業者は、収集時の通知に、収集時の通知が (b)および (c)に準拠し、それらで要求される情報を含む場合、使用前通知を提供することができる。 |
| (b) The Pre-use Notice must: | (b)使用前通知は、以下の条件を満たさなければならない。 |
| (1) Comply with section 7003, subsections (a)–(b). | (1)第7003条の(a)から(b)までの規定に準拠すること。 |
| (2) Be presented prominently and conspicuously to the consumer at or before the point when the business collects the consumer’s personal information that the business plans to process using ADMT If a business has already collected the consumer’s personal information for a different purpose and subsequently plans to process it using ADMT for the purpose set forth in section 7200, subsection (a), the business must provide a Pre-use Notice before processing the consumer’s personal information for that purpose. | (2)事業者が消費者の個人情報を収集する時点またはその前に、消費者に目立つように明確に提示すること。 事業者が ADMT を使用して処理することを計画している消費者の個人情報事業者が、別の目的で消費者の個人情報をすでに収集しており、その後、第 7200 条 (a)項に規定される目的のために ADMT を使用してその個人情報を処理することを計画している場合、事業者は、その目的のために消費者の個人情報を処理する前に、事前使用通知を提供しなければならない。 |
| (3) Be presented in the manner in which the business primarily interacts with the consumer. | (3)事業者が消費者と主にやり取りを行う方法で提示されること。 |
| (c) The Pre-use Notice must include the following: | (c)事前通知には、以下の内容を記載しなければならない。 |
| (1) A plain language explanation of the specific purpose for which the business plans to use the ADMT. The business must not describe the purpose in generic terms, such as “to make a significant decision” without further information, because this does not describe to the consumer the specific decision for which the business plans to use ADMT with respect to them. | (1)事業者がADMTを使用する具体的な目的を平易な言葉で説明すること。事業者は、「重要な決定を行うため」といった一般的な表現のみで目的を説明してはならない。これは、事業者が消費者に対してADMTを使用する具体的な決定内容を説明していないためである。 |
| (2) A description of the consumer’s right to opt-out of ADMT and how the consumer can submit a request to opt-out of ADMT. | (2)消費者がADMTへの参加を拒否する権利の説明、および消費者がADMTへの参加拒否を請求する方法の説明。 |
| (A) If the business is not required to provide the ability to opt-out because it is relying upon the human appeal exception set forth in section 7221, subsection (b)(1), the business must instead inform the consumer of their ability to appeal the decision and provide instructions to the consumer on how to submit their appeal. | (A)企業が、第 7221 条(b)(1)項に定める「人間的な魅力の例外」を理由としてオプトアウトの機能を提供する必要がない場合、企業は、その代わりに、消費者に決定に対して異議を申し立てる権利があることを通知し、異議申し立ての方法について消費者に説明しなければならない。 |
| (B) If the business is not required to provide the ability to opt-out because it is relying upon another exception set forth in section 7221, subsection (b), the business must identify the specific exception it is relying upon. | (B)7221 条 (b)項に定める別の例外規定を適用してオプトアウトの機能を提供する必要がない場合、事業者は、適用する具体的な例外規定を識別しなければならない。 |
| (3) A description of the consumer’s right to access ADMT with respect to the consumer and how the consumer can submit their request to access ADMT to the business. | (3)消費者に関する ADMT へのアクセス権、および消費者が ADMT へのアクセス要求を事業者に提出する方法の説明。 |
| (A) | (A) |
| (4) That the business is prohibited from retaliating against consumers for exercising their CCPA rights. | (4)企業が、CCPA の権利を行使した消費者に対して報復行為を行うことを禁じられていること。 |
| (5) Additional information about how the ADMT works to make a significant decision about consumers, and how the significant decision would be made if a consumer opts out. The business may provide this information via a simple and easy-to-use method (e.g., a layered notice or hyperlink). The additional information must include a plain language explanation of the following: | (5)ADMT が消費者に関する重要な決定を行う仕組み、および消費者がオプトアウトした場合に重要な決定がどのように行われるかに関する追加情報。企業は、この情報を、シンプルで使いやすい方法(階層化された通知やハイパーリンクなど)で提供することができる。追加情報には、以下の事項を平易な言葉で説明したものを含める必要がある。 |
| (A) How the ADMT processes personal information to make a significant decision about consumers, including the categories of personal information that affect the output generated by the ADMT. | (A)ADMT が消費者に関する重要な決定を行うために個人情報を処理する方法。これには、ADMT によって生成される出力に影響を与える個人情報のカテゴリーも含まれる。 |
| An “output” may include predictions, decisions, and recommendations (e.g., numerical scores of compatibility). | 「出力」には、予測、決定、および推奨事項(互換性の数値スコアなど)が含まれる場合がある。 |
| (B) The type of output generated by the ADMT, and how that output is used to make a significant decision. For example, this may include whether the output is the sole factor in the decisionmaking process or what the other factors are in that decisionmaking process; and to the extent that a human is part of the decisionmaking process in a manner that does not meet the requirements of “human involvement” in section 7001, subsection (e)(1), what that human’s role is in the decisionmaking process. | (B)ADMT によって生成される出力の種類、およびその出力が重要な決定を行うためにどのように使用されるか。例えば、出力結果が決定プロセスにおける唯一の要因であるか、またはその決定プロセスにおける他の要因は何であるか;および、決定プロセスに人間が関与する場合で、第7001条(e)(1)項の「人間の関与」の要件を満たさない場合、その人間の役割は何か。 |
| (i) | |
| (ii) | |
| (C) What the alternative process for making a significant decision is for consumers who opt out, unless an exception to providing the opt-out of ADMT set forth in section 7221, subsection (b), applies. | (C)オプトアウトを選択した消費者に対する重要な決定を行うための代替プロセス。ただし、セクション 7221、サブセクション (b)に規定される ADMT のオプトアウトの提供の例外が適用される場合を除く。 |
| (D) | (D) |
| (d) In providing the information required by subsection (c)(5), a business’s Pre-use Notice is not required to include: | (d)サブセクション (c)(5)で要求される情報を提供する場合、企業の事前通知には以下を含める必要はない。 |
| (1) Trade secrets, as defined in Civil Code section 3426.1, subdivision (d); or | (1)民法第 3426.1 条 (d)項で定義される営業秘密、または |
| (2) Information that would compromise the business’s ability to: | (2)以下の事業者の能力に悪影響を及ぼす情報 |
| (A) Prevent, detect, and investigate security incidents that compromise the availability, authenticity, integrity, or confidentiality of stored or transmitted personal information; | (A)保存または伝送された個人情報の可用性、信頼性、完全性、または機密性を損なうセキュリティインシデントの防止、検知、および調査 |
| (B) Resist malicious, deceptive, fraudulent, or illegal actions directed at the business or at consumers, or to prosecute those responsible for those actions; or | (B)企業または消費者に対する悪意のある、欺瞞的、詐欺的、または違法な行為に対抗すること、またはそれらの行為の責任者を起訴すること。 |
| (C) Ensure the physical safety of natural persons. | (C)自然人の身体の安全を確保すること。 |
| (e) A business may provide a consolidated Pre-use Notice as set forth below, provided that the consolidated Pre-use Notice includes the information required by this Article for each of the business’s proposed uses of ADMT: | (e)企業は、以下の通り、統合された事前使用通知を提供することができる。ただし、統合された事前使用通知には、企業が ADMT を提案する各用途について、本条で要求される情報が含まれている必要がある。 |
| (1) The business’s use of a single ADMT for multiple purposes. For example, an employer may provide a consolidated Pre-use Notice to an employee that addresses the employer’s proposed use of productivity monitoring software to determine the employee’s allocation/assignment of work and compensation, and to determine which employees will be demoted . | (1)複数の目的のために単一の ADMT を使用する場合。例えば、雇用主は、従業員の業務配分/割り当ておよび報酬を決定し、降格する従業員を決定するために生産性監視ソフトウェアを使用することを従業員に通知する、統合された事前使用通知を提供することができる。 |
| (2) The business’s use of multiple ADMTs for a single purpose. For example, a business may provide a consolidated Pre-use Notice to a job applicantthat addresses the business’s proposed use of: (1) software to screen applicants’ resumes to determine which applicants it will hire, and (2) software to evaluate applicants’ vocal intonation, facial expression, and gestures to determine which applicants to hire. | (2)単一の目的のために複数の ADMT を使用する場合。例えば、企業は、求職者に対して、以下の使用目的について記載した統合的な事前通知を提供することができる。(1)応募者の履歴書を審査し、採用する応募者を決定するためのソフトウェア (2)応募者の声のイントネーション、表情、ジェスチャーを評価し、採用する応募者を決定するためのソフトウェア |
| (3) The business’s use of multiple ADMTs for multiple purposes. For example, an educational provider may provide a consolidated Pre-use Notice to a new student that addresses the educational provider’s proposed use of: (1) software that automatically screens students’ work for plagiarism to determine whether they will be suspended, and (2) software that automatically assesses students’ exams to determine whether to grant them a diploma or certificate. | (3)企業が複数の ADMT を複数の目的で使用する場合。例えば、教育プロバイダは、新入生に対して、以下の使用目的について記載した統合的な事前通知を提供することができる。(1)学生の作品を自動的に盗用チェックし、停学処分とするかどうかを決定するためのソフトウェア、および (2)学生の試験を自動的に評価し、卒業証書または修了証書を授与するかどうかを決定するためのソフトウェア。 |
| (4) The systematic use of a single ADMT. For example, a business may provide a consolidated Pre-use Notice to an employee that addresses the business’s methodical and regular use of ADMT to allocate work to its employees , rather than providing a Pre-use Notice to the same employees each time it proposes to use the same ADMT for the same purpose. | (4)単一の ADMT の体系的な使用。例えば、企業は、同じ目的のために同じ ADMT を使用することを提案するたびに、同じ従業員に事前使用通知を提供するのではなく、従業員に、従業員に仕事を割り当てるために ADMT を系統的かつ定期的に使用することについて記載した統合された事前使用通知を提供することができる。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| § 7221. Requests to Opt-Out of ADMT. | § 7221. ADMT のオプトアウトの要求。 |
| (a) A business must provide consumers with the ability to opt-out of theuse of ADMT to make a significant decision concerning the consumer, except as set forth in subsection (b). | (a)企業は、サブセクション (b)に規定する場合を除き、消費者に関する重要な決定を行うために ADMT を使用することについて、消費者にオプトアウトする機会を提供しなければならない。 |
| (b) A business is not required to provide consumers with the ability to opt-out of a business’s use of ADMT to make a significant decision in the following circumstances: | (b)以下の状況では、企業は、重要な決定を行うために ADMT を使用することについて、消費者にオプトアウトの機会を提供する必要はない。 |
| (1) | (1) |
| (A) | |
| (B) | |
| (C) | |
| (2) The business provides the consumer with a method to appeal the decision to a human reviewer who has the authority to overturn the decision. To qualify for this exception, the business must do the following: | (2)企業が、決定を覆す権限を有する人間による審査者に決定について不服を申し立てる方法を消費者に提供している場合。この例外の適用を受けるには、企業は以下を行う必要がある。 |
| (A) Designate a human reviewer to review and analyze the output of the ADMT and any other information that is relevant to change the significant decision at issue . This human reviewer must consider the information provided by the consumer in support of their appeal and may consider any other sources of information about the significant decision. The human reviewer must know how to interpret and use the output of the ADMT that made the significant decision being appealed and must have the authority to change the decision based on their analysis. | (A)ADMT の出力および問題となっている重要な決定の変更に関連するその他の情報をレビューおよび分析する人間によるレビュー担当者を指定する。この人間によるレビュー担当者は、消費者が上訴の根拠として提供した情報を考慮し、重要な決定に関するその他の情報源も考慮することができる。人間によるレビュー担当者は、上訴の対象となっている重要な決定を行った ADMT の出力を解釈および使用する方法を熟知しており、その分析に基づいて決定を変更する権限を有していなければならない。 |
| (B) Clearly describe to the consumer how to submit an appeal and enable the consumer to provide information to the human reviewer in support of their appeal. The method of appeal must be easy for the consumers to execute, require minimal steps, and comply with section 7004. Disclosures and communications with consumers concerning the appeal must comply with section 7003, subsections (a)–(b). The timeline for requests to appeal ADMT must comply with section 7021. Businesses must comply with the verification requirements set forth in Article 5 when a consumer submits an appeal. | (B)消費者に上訴の提出方法を明確に説明し、消費者が上訴を裏付ける情報を人間によるレビュー担当者に提供できるようにする。上訴の方法は、消費者が実行しやすいもので、必要な手順が最小限であり、セクション 7004 に準拠している必要がある。異議申し立てに関する消費者への開示およびコミュニケーションは、第 7003 条 (a)から (b)に準拠しなければならない。ADMT に対する異議申し立ての要求の期限は、第 7021 条に準拠しなければならない。消費者が異議申し立てを行った場合、企業は、第 5 条に定める検証要件を遵守しなければならない。 |
| (2) For admission, acceptance, or hiring decisions as set forth in section 7001, subsections (ddd)(3)(A) and (ddd)(4)(A), if the following are true: | (2)第 7001 条、サブセクション (ddd)(3)(A)および (ddd)(4)(A)に規定される入学、受け入れ、または採用に関する決定について、以下の条件を満たす場合。 |
| (A) The business uses the ADMT solely for the business’s assessment of the consumer’s ability to perform at work or in an educational program to determine whether to admit, accept, or hire them; and | (A)企業が、ADMT を、消費者を入学、受け入れ、または採用するかどうかを決定するための、消費者による仕事または教育プログラムにおける能力の評価のみに使用している場合。 |
| (B) The ADMT works for the business’s purpose and does not unlawfully discriminate based upon protected characteristics . | (B)ADMT が事業者の目的に適合し、保護される特性に基づく違法な差別を行わない場合。 |
| (3) For allocation/assignment of work and compensation decisions as set forth in section 7001, subsection (ddd)(4)(B), if the following are true: | (3)第 7001 条 (ddd)(4)(B)に規定される業務の配分/割り当ておよび報酬の決定については、以下の条件を満たす場合。 |
| (A) The business uses the ADMT solely for the business’s allocation/assignment of work or compensation; and | (A)事業者が、ADMT を、事業者の業務の配分/割り当てまたは報酬の決定のみに使用している場合。 |
| (B) The ADMT works for the business’s purpose and does not unlawfully discriminate based upon protected characteristics. | (B)ADMT は、その事業の目的のために使用され、保護される特性に基づく違法な差別を行わない。 |
| (5) | |
| (A) | |
| (B) | |
| (6) | |
| (c) A business that uses ADMT as set forth in subsection (a) must provide two or more designated methods for submitting requests to opt-out of ADMT. A business must consider the methods by which it interacts with consumers, the manner in which the business uses the ADMT , and the ease of use by the consumer when determining which methods consumers may use to submit requests to opt-out of the business’s use of the ADMT . At least one method offered must reflect the manner in which the business primarily interacts with the consumer. Illustrative examples and requirements follow. | (c)(a)項に規定される ADMT を使用する事業者は、ADMT のオプトアウトの要求を提出するための 2 つ以上の指定方法を用意しなければならない。事業者は、消費者とのやり取りの方法、ADMT の使用方法、および消費者の利用の容易性を考慮して、消費者が事業者のADMT使用からオプトアウトするための請求を提出する方法を選択できるようにしなければならない。提供される方法のうち少なくとも1つは、事業者が消費者と主にやり取りする方法に準拠しなければならない。具体的な例と要件は以下に示す。 |
| (1) A business that interacts with consumers online must, at a minimum, allow consumers to submit requests to opt-out through an interactive form accessible via an opt-out link that is provided in the Pre-use Notice. The link title must state what the consumer is opting out of, such as “Opt-out of Automated Decisionmaking Technology.” | (1)オンラインで消費者とやり取りを行う事業者は、少なくとも、事前使用通知に記載されたオプトアウトリンクからアクセスできる対話型フォームを通じて、消費者がオプトアウトの要求を提出できるようにしなければならない。リンクのタイトルには、消費者がオプトアウトする対象(例:「自動意思決定技術のオプトアウト」)を明記しなければならない。 |
| (2) A business that interacts with consumers in person and online may provide an inperson method for submitting requests to opt-out in addition to the online form. | (2)消費者と対面およびオンラインでやり取りを行う事業者は、オンラインフォームに加えて、オプトアウトの要求を提出するための対面による方法を提供することができる。 |
| (3) Other methods for submitting requests to opt-out include, but are not limited to, a toll-free phone number, a designated email address, a form submitted in person, and a form submitted through the mail. | (3)オプトアウトの要求を提出するその他の方法としては、フリーダイヤル、指定のメールアドレス、直接提出するフォーム、郵送によるフォームなどが挙げられるが、これらに限定されない。 |
| (4) A notification or tool regarding cookies, such as a cookie banner or cookie controls, is not by itself an acceptable method for submitting requests to opt-out of the business’s use of ADMT because cookies concern the collection of personal information and not necessarily the use of ADMT . An acceptable method for submitting requests to opt-out must be specific to the right to opt-out of the business’s use of the ADMT. | (4)クッキーに関する通知またはツール(例:クッキーバナーまたはクッキー設定ツール)は、クッキーが個人情報の収集に関するものであり、必ずしもADMTの使用に関するものではないため、事業者のADMT使用からのオプトアウト請求を提出する適切な方法とはならない。オプトアウト請求を提出する適切な方法は、事業者のADMT使用からのオプトアウト権に特定されたものでなければならない。 |
| (d) A business’s methods for submitting requests to opt-out of ADMT must be easy for consumers to execute, must require minimal steps, and must comply with section 7004. | (d)ADMT のオプトアウト要求を提出するための事業者の方法は、消費者が実行しやすいもので、必要な手順が最小限であり、第 7004 条に準拠している必要がある。 |
| (e) A business must not require a consumer submitting a request to opt-out of ADMT to create an account or provide additional information beyond what is necessary to direct the business to opt-out the consumer. | (e)事業者は、ADMT のオプトアウト要求を提出する消費者に、オプトアウトを指示するために必要な情報以外のアカウントの作成や追加情報の提供を要求してはならない。 |
| (f) A business must not require a verifiable consumer request for a request to opt-out of ADMT set forth in subsection (a). A business may ask the consumer for information necessary to complete the request, such as information necessary to identify the consumer whose information is subject to the business’s use of ADMT . However, to the extent that the business can comply with a request to opt-out of ADMT without additional information, it must do so. | (f)企業は、サブセクション (a)に規定される ADMT のオプトアウト要求について、検証可能な消費者要求を要求してはならない。企業は、要求を完了するために必要な情報(企業の ADMT の使用の対象となる消費者を識別するために必要な情報など)を消費者に要求することができる。ただし、追加情報なしで ADMT のオプトアウト要求に応じることができる場合は、その要求に応じなければならない。 |
| (g) If a business has a good-faith, reasonable, and documented belief that a request to optout of ADMT is fraudulent, the business may deny the request. The business must inform the requestor that it will not comply with the request and must provide to the requestor an explanation why it believes the request is fraudulent. | (g)企業が、ADMT のオプトアウト要求が不正であると誠実かつ合理的に判断し、その判断を文書で証明できる場合、企業は要求を拒否することができる。企業は、要求に応じないことを要求者に通知し、その要求が不正であると判断した理由を要求者に説明しなければならない。 |
| (h) A business must provide a means by which the consumer can confirm that the business has processed their request to opt-out of ADMT. | (h)企業は、ADMT のオプトアウト要求を処理したことを消費者が確認できる手段を提供しなければならない。 |
| (i) In responding to a request to opt-out of ADMT, a business may present the consumer with the choice to allow specific uses of ADMT as long as the business also offers a single option to opt-out of all of the business’s uses of ADMT set forth in subsection (a). | (i)ADMT のオプトアウト要求に対応する場合、企業は、サブセクション (a)に規定される、企業による ADMT のすべての使用をオプトアウトする単一の選択肢も提供することを条件として、ADMT の特定の使用を許可する選択肢を消費者に提示することができる。 |
| (j) A consumer may use an authorized agent to submit a request to opt-out of ADMT as set forth in subsection (a) on the consumer’s behalf if the consumer provides the authorized agent written permission signed by the consumer. A business may deny a request from an authorized agent if the agent does not provide to the business the consumer’s signed permission demonstrating that they have been authorized by the consumer to act on the consumer’s behalf. | (j)消費者は、消費者が署名した書面による許可を代理人に提供した場合、その代理人に、消費者自身に代わって (a)項に定める ADMT のオプトアウトの要求を提出させることができる。事業者は、代理人が、消費者から消費者自身に代わって行動する権限を付与されたことを示す、消費者の署名入り許可書を事業者に提出しない場合、代理人からの要求を拒否することができる。 |
| (k) Except as allowed by these regulations, a business must wait at least 12 months from the date the business receives the consumer’s request to opt-out of ADMT before asking a consumer who has exercised their right to opt-out of ADMT, to consent to the business’s use of the ADMT for which the consumer previously opted out. | (k)本規則で認められる場合を除き、事業者は、消費者がADMTのオプトアウトを請求した日から12ヶ月以上経過するまで、ADMTのオプトアウト権を行使した消費者に対し、当該消費者が以前にオプトアウトしたADMTの利用に関する同意を求めることはできない。 |
| (l) A business must not retaliate against a consumer because the consumer exercised their opt-out right as set forth in Civil Code section 1798.125 and Article 7. | (l)事業者は、消費者 が民法1798.125条および第7条に定めるオプトアウト権を行使したことを理由に、消費者に対して報復措置を講じてはならない。 |
| (m) If the consumer submits a request to opt-out of ADMT before the business has initiated that processing, the business must not initiate processing of the consumer’s personal information using that ADMT. | (m)事業者が当該処理を開始する前に、消費者がADMTのオプトアウト請求を提出した場合、事業者は当該ADMTを使用して消費者の個人情報の処理を開始してはならない。 |
| (n) If the consumer did not opt-out in response to the Pre-use Notice, and submitted a request to opt-out of ADMT after the business initiated the processing, the business must comply with the consumer’s opt-out request by: | (n)消費者が事前通知に対してオプトアウトせず、事業者が処理を開始した後にADMTからのオプトアウト請求を提出した場合、事業者は消費者のオプトアウト請求に従い、以下の措置を講じなければならない: |
| (1) Ceasing to process the consumer’s personal information using that ADMT as soon as feasibly possible, but no later than 15 business days from the date the business receives the request ; and | (1)事業者が請求を受領した日から15営業日以内に、可能な限り速やかに、当該ADMTを使用して消費者の個人情報の処理を中止すること;および |
| (2) Notifying all the business’s service providers, contractors, or other persons to whom the business has disclosed or made personal information available to process the consumer’s personal information using that ADMT , that the consumer has made a request to opt-out of that ADMT and instructing them to comply with the consumer’s request to opt-out of that ADMT within the same time frame. | (2)当該 ADMT を使用して消費者の個人情報を処理するために、事業者が個人情報を開示または提供したすべての事業者のサービスプロバイダ、契約業者、またはその他の者に、消費者が当該 ADMT のオプトアウトを要求したことを通知し、同じ期間内に当該 ADMT のオプトアウト要求に従うよう指示すること。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.125 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参考:民法第 1798.125 条および 1798.185 条。 |
| § 7222. Requests to Access ADMT. | § 7222. ADMT へのアクセス要求。 |
| (a) A business that uses ADMT to make a significant decision must provide a consumer with information about this use when responding to a consumer’s request to access ADMT . | (a)ADMT を使用して重要な決定を行う事業者は、消費者の ADMT へのアクセス要求に対応する際に、この使用に関する情報を消費者に提供しなければならない。 |
| (b) When responding to a consumer’s request to access ADMT, a business must provide plain language explanations of the following information to the consumer: | (b)事業者は、ADMT へのアクセス要求に応じる場合、以下の情報を平易な言葉で消費者に説明しなければならない。 |
| (A) If the business also plans to use the output to make an additional significant decision concerning the consumer in the future, the business’s explanation must include how the business plans to use that output to make a significant decision about the consumer in the future. For example, this may include | (A)事業者が、将来、消費者に関する追加の重要な決定を行うために当該出力を使用することを計画している場合、事業者の説明には、当該出力を将来、消費者に関する重要な決定を行うためにどのように使用するかを記載しなければならない。例えば、これには以下の事項が含まれる可能性がある。 |
| whether the output will be the sole factor in the decisionmaking process or what the other factors will be in that decisionmaking process; and to the extent that a human will be part of the decisionmaking process in a manner that does not meet the requirements of “human involvement” in section 7001, subsection (e)(1), what that human’s role will be in the decisionmaking process. | 出力結果が意思決定プロセスの唯一の要因となるか、またはその意思決定プロセスにおける他の要因は何であるか;および、第7001条(e)(1)項に定める「人間の関与」の要件を満たさない方法で意思決定プロセスに人間が関与する場合、その人間の役割が意思決定プロセスにおいてどのようなものであるか。 |
| (4) That the business is prohibited from retaliating against consumers for exercising their CCPA rights, and instructions for how the consumer can exercise their other CCPA rights. These instructions must include any links to an online request form or portal for making such a request, if offered by the business. | (4)事業者が、消費者がCCPAの権利を行使したことに対する報復を行わないこと、および消費者が他のCCPAの権利を行使する方法に関する指示。これらの指示には、事業者が提供する場合、そのような請求を行うためのオンライン請求フォームまたはポータルへのリンクを含める必要がある。 |
| (A) The business may comply with the instructions requirement by providing a link that takes the consumer directly to the specific section of the business’s privacy policy that contains these instructions. Directing the consumer to the beginning of the privacy policy, or to another section of the privacy policy that does not contain these instructions, so that the consumer is required to scroll through other information in order to find the instructions, does not satisfy the instructions requirement. | (A)企業は、これらの指示が記載された企業のプライバシーポリシーの特定のセクションに消費者を直接誘導するリンクを提供することで、指示の要件を遵守することができる。消費者にプライバシーポリシーの冒頭、またはこれらの指示が記載されていないプライバシーポリシーの別のセクションに誘導し、消費者が指示を見つけるために他の情報をスクロールしなければならないようにすることは、指示の要件を満たさない。 |
| (c) In providing the information required by subsections (b)(2)–(3), a business’s response to a consumer’s request to access ADMT is not required to include: | (c)(b)(2)から (3)で要求される情報を提供する場合、事業者は、ADMT へのアクセスを求める消費者の要求に対して、以下の情報を含める必要はない。 |
| (1) Trade secrets, as defined in Civil Code section 3426.1, subdivision (d); or | (1)民法第 3426.1 条 (d)で定義される営業秘密、または |
| (2) Information that would compromise the business’s ability to: | (2)以下の事業者の能力に悪影響を及ぼす情報 |
| (A) Prevent, detect, and investigate security incidents that compromise the availability, authenticity, integrity, or confidentiality of stored or transmitted personal information; | (A)保存または送信された個人情報の可用性、信頼性、完全性、または機密性を損なうセキュリティインシデントの防止、検知、および調査 |
| (B) Resist malicious, deceptive, fraudulent, or illegal actions directed at the business or at consumers, or to prosecute those responsible for those actions; or | (B)企業または消費者に対する悪意のある、欺瞞的、詐欺的、または違法な行為の阻止、またはそれらの行為の責任者の起訴 |
| (C) Ensure the physical safety of natural persons. | (C)自然人の身体の安全の確保 |
| (d) A business’s methods for consumers to submit requests to access ADMT must be easy to use and must not use dark patterns. A business may use its existing methods to submit requests to know, delete, or correct as set forth in section 7020 for requests to access ADMT. | (d)事業者が消費者からADMTへのアクセス請求を受け付ける方法は、容易に使用でき、ダークパターンを使用してはならない。事業者は、第7020条に定める「知る権利」「削除権」「訂正権」の請求方法と同一の方法を使用して、ADMTへのアクセス請求を受け付けることができる。 |
| (e) A business must comply with the verification requirements set forth in Article 5 for requests to access ADMT. If a business cannot verify the identity of the person making the request to access ADMT, the business must inform the requestor that it cannot verify their identity. | (e)企業は、ADMT へのアクセス要求について、第 5 条に定める検証要件を遵守しなければならない。企業が ADMT へのアクセス要求を行った者の身元を確認できない場合、企業は、その身元を確認できないことを要求者に通知しなければならない。 |
| (f) If a business denies a consumer’s verified request to exercise their right to access ADMT, in whole or in part, because of a conflict with federal or state law, or an exception to the CCPA, the business must inform the requestor and explain the basis for the denial, unless prohibited from doing so by law. If the request is denied only in part, the business must disclose the other information sought by the consumer. | (f)事業者が、消費者のADMTへのアクセス権を行使する正当な請求を、連邦法または州法との抵触、またはCCPAの例外規定を理由に、全部または一部拒否する場合、事業者は請求者にその旨を通知し、拒否の根拠を説明しなければならない。ただし、法律によりその開示が禁止されている場合はこの限りではない。請求が一部のみ拒否された場合、事業者は消費者が求めたその他の情報を開示しなければならない。 |
| (g) A business must use reasonable security measures when transmitting the requested information to the consumer. | (g)事業者は、請求された情報を消費者に送信する際、合理的なセキュリティ措置を講じなければならない。 |
| (h) If a business maintains a password-protected account with the consumer, it may comply with a request to access ADMT by using a secure self-service portal for consumers to access, view, and receive a portable copy of their requested information if the portal fully discloses the requested information that the consumer is entitled to under the CCPA and these regulations, uses reasonable data security controls, and complies with the verification requirements set forth in Article 5. | (h)企業が消費者に対してパスワードで保護されたアカウントを管理している場合、消費者が要求した情報にアクセスし、閲覧し、ポータブルコピーを受け取ることができる、安全なセルフサービスポータルを使用することにより、ADMT へのアクセス要求に応じることができる。ただし、そのポータルは、CCPA および本規則に基づき消費者が権利を有する要求された情報を完全に開示し、合理的なデータセキュリティ管理措置を講じ、第 5 条に定める検証要件を遵守しているものに限る。 |
| (i) A service provider or contractor must provide assistance to the business in responding to a verifiable consumer request to access ADMT, including by providing the business with the consumer’s personal information it has in its possession that it collected pursuant to their written contract with the business, or by enabling the business to access that personal information. | (i)サービスプロバイダまたは請負業者は、ADMT へのアクセスに関する消費者の検証可能な要求に対応するために、事業者に支援を提供しなければならない。これには、事業者との書面による契約に基づいて収集した、その保有する消費者の個人情報を事業者に提供すること、または事業者がその個人情報にアクセスできるようにすることが含まれる。 |
| (j) A business that used an ADMT with respect to a consumer more than four times within a 12-month period may provide an aggregate-level response to the consumer’s request to access ADMT. Specifically, for the information required by subsection (b)(2) , the business may provide a summary of the outputs with respect to the consumer over the preceding 12 months; the parameters that, on average over the preceding 12 months, affected the outputs with respect to the consumer; and a summary of how those parameters applied to the consumer. | (j)12 ヶ月間に 4 回以上消費者に対して ADMT を使用した事業者は、ADMT へのアクセスに関する消費者の要求に対して、集計レベルの回答を提供することができる。具体的には、サブセクション (b)(2)で要求される情報について、事業者は、過去 12 ヶ月間に消費者に関して得られた出力の要約、過去 12 ヶ月間の平均で消費者に関する出力に影響を与えたパラメータ、およびそれらのパラメータが消費者にどのように適用されたかの要約を提供することができる。 |
| (k) A business must not retaliate against a consumer because the consumer exercised their right to access ADMT as set forth in Civil Code section 1798.125 and Article 7 . | (k)事業者は、消費者が民法1798.125条および第7条に定めるADMTへのアクセス権を行使したことを理由に、消費者に対して報復措置を講じてはならない。 |
| (l) Nothing in this section prohibits a business from providing additional information to enable a consumer to understand how the ADMT was used to make a significant decision with respect to them. For example, a business may provide the range of possible outputs or aggregate output statistics to help a consumer understand how they compare to other consumers, such as the five most common outputs of the ADMT and the percentage of consumers that received each of those outputs during the preceding calendar year. | (l)本項は、事業者が、消費者に対して、ADMT が消費者に関する重要な決定を行うためにどのように使用されたかを理解するための追加情報を提供することを禁止するものではない。例えば、事業者は、消費者が他の消費者と比較する上で参考となる、ADMT の 5 つの最も一般的な出力結果や、前暦年に各出力結果を受けた消費者の割合など、可能な出力結果の範囲や出力結果の集計統計情報を提供することができる。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Sections 1798.125 and 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.125 条および 1798.185 条。 |
| Adopt all of the text in the following Article: | 以下の条文の全文を採用する。 |
| ARTICLE 12. INSURANCE COMPANIES | 第 12 条 保険会社 |
| § 7270. Definition of Insurance Company. | § 7270. 保険会社の定義。 |
| (a) For the purposes of these regulations, insurance company shall mean any person that is subject to the California Insurance Code and its regulations. Insurance company shall include insurance institutions, agents, and insurance-support organizations, as those terms are defined in Insurance Code, section 791.02. | (a)本規則において、保険会社とは、カリフォルニア保険法およびその規則の対象となる者をいう。保険会社には、保険法 791.02 条で定義される保険機関、代理店、および保険支援組織が含まれる。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.185 条。 |
| § 7271. General Application of the CCPA to Insurance Companies. | § 7271. 保険会社に対する CCPA の一般的な適用。 |
| (a) Insurance companies that meet the definition of “business” under the CCPA shall comply with the CCPA with regard to any personal information not subject to the Insurance Code and its regulations. For example, those insurance companies shall comply with the CCPA for personal information that is collected for purposes not in connection with an insurance transaction, as that term is defined in Insurance Code, section 791.02. | (a)CCPAにおける「事業」の定義に該当する保険会社は、保険法およびその規則の適用を受けない個人情報の取り扱いに関して、CCPAを遵守しなければならない。例えば、保険会社は、保険法791.02条で定義される「保険取引と関連しない目的」で収集された個人情報について、CCPAを遵守しなければならない。 |
| (b) Illustrative examples follow. | (b)例示は以下の通り。 |
| (1) Insurance company A collects personal information from visitors of its website who have not applied for any insurance product or other financial product or service from Company A. This information is used to tailor personalized advertisements across different business websites. Insurance company A must comply with the CCPA, including by providing consumers the right to opt-out of the sale/sharing of their personal information and honoring opt-out preference signals, because the personal information collected from the website browsing is not related to an application for or provision of an insurance transaction or other financial product or service. | (1)保険会社Aは、同社ウェブサイトを訪問したユーザーから、同社から保険商品その他の金融商品・サービスに申し込んでいない個人情報を収集している。この情報は、異なる事業ウェブサイトにおけるパーソナライズド広告の配信に利用されている。保険会社 A は、ウェブサイト閲覧から収集した個人情報は、保険取引またはその他の金融商品やサービスの申し込みや提供とは関係がないため、消費者に個人情報の販売/共有をオプトアウトする権利を提供し、オプトアウトの希望を尊重することを含め、CCPA を遵守しなければならない。 |
| (2) Insurance company B collects personal information from its employees and job applicants for employment purposes. Insurance company B must comply with the CCPA with regard to employee information, including by providing a Notice at Collection to the employees and job applicants at or before the time their personal information is collected. This is because the personal information collected in this situation is not subject to the Insurance Code or its regulations. | (2)保険会社 B は、採用目的で従業員および就職希望者から個人情報を収集している。保険会社 B は、従業員および就職希望者に対して、個人情報の収集時または収集前に「収集時の通知」を提供するなど、従業員情報に関しては CCPA を遵守しなければならない。これは、この状況で収集される個人情報は、保険法およびその規制の対象ではないためである。 |
| (3) Sloane submits personal information to her insurance company as part of a claim for losses incurred by a fire at her home. This information is used to service the insurance policy, and thus subject to the Insurance Code and its regulations. This information is not subject to the CCPA. | (3)スローンは、自宅の火災による損害の保険金請求の一環として、保険会社に個人情報を提出する。この情報は保険契約の履行のために使用され、したがって保険法およびその規則の適用を受ける。この情報はCCPAの適用対象ではない。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.100, 1798.105, 1798.106, 1798.110, 1798.115, 1798.120, 1798.121, 1798.125, 1798.130, 1798.135, 1798.145, 1798.150, 1798.155, 1798.185, Civil Code. | 注:引用元:民法第 1798.185 条。参照:第 1798.100 条、1798.105 条、1798.106 条、1798.110 条、1798.115 条、1798.120 条、1798.121 条、1798. 125、1798.130、1798.135、1798.145、1798.150、1798.155、1798.185、民法。 |
| Amend the following Article to add the blue underlined text and delete the red strikethrough text: | 以下の条文に青色で下線部を追加し、赤色で打ち消し線を削除して改正する: |
| ARTICLE 13. INVESTIGATIONS AND ENFORCEMENT | 第 13 条 調査および執行 |
| § 7300. Sworn Complaints Filed with the Agency. | § 7300. 機関に提出される宣誓申立書。 |
| (a) Requirements for filing a sworn complaint. Sworn complaints must be filed with the Enforcement Division via the electronic complaint system available on the Agency’s website at https://cppa.ca.gov/ or submitted in person or by mail to the headquarters office of the Agency. | (a)宣誓申立書の提出要件。宣誓申立書は、機関のウェブサイト(https://cppa.ca.gov/)の電子申立システムを通じて執行ディビジョンに提出するか、機関の本部に直接持ち込むか、郵送で提出しなければならない。 |
| A complaint must: | 苦情には、以下の事項を含める必要がある。 |
| (1) Identify the business, service provider, contractor, or person who allegedly violated the CCPA; | (1)CCPA に違反したとされる企業、サービスプロバイダ、請負業者、または個人を識別する情報 |
| (2) State the facts that support each alleged violation and include any documents or other evidence supporting this conclusion; | (2)違反の疑いを裏付ける事実、およびこの結論を裏付ける文書やその他の証拠 |
| (3) Authorize the alleged violator and the Agency to communicate regarding the complaint, including disclosing the complaint and any information relating to the complaint; | (3)違反の疑いのある者と当局が、苦情に関するコミュニケーション(苦情および苦情に関連する情報の開示を含む)を行うことを承認する旨 |
| (4) Include the name and current contact information of the complainant; and | (4)苦情申立者の氏名および現在の連絡先情報を含めること。 |
| (5) Be signed and submitted under penalty of perjury. | (5)偽証罪の罰則に基づき、署名して提出すること。 |
| (b) The Enforcement Division will notify the complainant in writing of the action, if any, the Agency has taken or plans to take on the complaint, together with the reasons for that action or nonaction. Duplicate complaints submitted by the same complainant may be rejected without notice. | (b)執行ディビジョンは、当局が苦情に対して行った、または行う予定の措置(ある場合)と、その措置または措置を講じなかった理由を、苦情申立者に書面で通知する。同じ苦情申立者による重複した苦情は、予告なく却下される場合がある。 |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.199.45, Civil Code. | 注:引用元:民法第 1798.185 条。参考:民法第 1798.199.45 条。 |
| § 7302. Probable Cause Proceedings. | § 7302. 相当な理由の手続き。 |
| (a) Probable Cause. Under Civil Code section 1798.199.50, probable cause exists when the evidence supports a reasonable belief that the CCPA has been violated. | (a)相当な理由。民法第 1798.199.50 条に基づき、CCPA が違反されたと合理的に信じるに足る証拠がある場合、相当な理由があるとみなされます。 |
| (b) Probable Cause Notice. The Agency will provide the alleged violator with notice of the probable cause proceeding as required by Civil Code section 1798.199.50. | (b)相当な理由の通知。当局は、民法第 1798.199.50 条の規定に従い、違反の疑いのある者に相当な理由の手続きに関する通知を行う。 |
| (c) Probable Cause Proceeding. | (c)相当な理由の手続き。 |
| (1) The proceeding shall be closed to the public and conducted in whole or in part by telephone or videoconference unless the alleged violator files, at least 10 business days before the proceeding, a written request for an in-person or public proceeding. | (1)手続きは、公に非公開とし、その全部または一部を電話またはビデオ会議により実施するものとする。ただし、違反の疑いのある者が、手続きの少なくとも 10 営業日前に、対面または公開の手続きを求める書面による要請を提出した場合は、この限りではない。 |
| (2) The Agency shall conduct the proceeding informally. Only the alleged violator(s), their legal counsel, and the Enforcement Division shall have the right to participate at the proceeding. The Agency shall determine whether there is probable cause based on the probable cause notice and any information or arguments presented at the probable cause proceeding by the parties. | (2)機関は、非公式に手続きを行う。手続きに参加する権利は、違反の疑いのある者、その弁護士、および執行ディビジョンにのみ与えられる。機関は、相当な理由の通知、および相当な理由手続きにおいて当事者によって提出された情報または主張に基づき、相当な理由の有無を判断する。 |
| (3) If the alleged violator(s) fails to attend the probable cause proceeding, the alleged violator(s) waives the right to further probable cause proceedings under Civil Code section 1798.199.50, and the Agency shall determine whether there is probable cause based on the notice and any information or arguments provided by the Enforcement Division. | (3)違反の疑いのある者が相当な理由による手続きに出席しなかった場合、その者は、民法第 1798.199.50 条に基づくさらなる相当な理由による手続きを受ける権利を放棄したものとみなされ、当局は、通知および執行部門から提供された情報または主張に基づき、相当な理由の有無を判断するものとする。 |
| (d) Probable Cause Determination. The Agency shall issue a written decision with its probable cause determination and serve it on the alleged violator electronically or by mail. The Agency’s probable cause determination is final and not subject to appeal. | (d)相当な理由の決定。当局は、相当な理由の決定を記載した書面による決定書を発行し、違反者に対して電子的または郵送で送達するものとする。当局の相当な理由の決定は最終的なものであり、上訴の対象とはならない。 |
| (e) | (e) |
| Note: Authority cited: Section 1798.185, Civil Code. Reference: Section 1798.199.50, Civil Code. | 注:引用元:民法第 1798.185 条。参照:民法第 1798.199.50 条。 |
« 米国 FBI サポートが終了したルータを悪用したサイバー犯罪について警告 | Main | 英国 レジリエンスアカデミー 演習ベストプラクティス・ガイダンスと教訓管理ベストプラクティス・ガイダンス (2024.09.30) »
Comments