調査によると、CCPA/CPRA(カリフォルニア州プライバシー権法)を遵守していない企業のうち、昨年、自動または手動のCCPA/CPRA遵守方法を導入した企業は15%未満であった。
企業がCCPA/CPRA(カリフォルニア州プライバシー権法)規制の遵守に消極的であることが、データ・プライバシー・コンプライアンス企業CYTRIOの調査で明らかになった。調査対象となった600社の中堅企業と大企業のうち、1年前に未遵守だった企業でその後遵守となったのはわずか14.67%だった。
さらに、未遵守企業の13.33%が手作業によるコンプライアンス・ルーチンを採用していたのに対し、自動化システムの導入を行った企業は1.33%だった。
カリフォルニア州プライバシー権法(CPRA)は、カリフォルニア州消費者プライバシー法(CCPA)を拡大したもので、2023年初めに施行された。しかし、同法の規定により、施行は2023年7月1日まで延期された。
「CCPAとCPRAは米国のデータプライバシー法の中で最も進んでいるが、CCPA/CPRAでさえ積極的に施行されていないため、コンプライアンスは非常に低い水準にある」と、CYTRIOの創設者兼CEOのVijay Basani氏は語った。
B2B/B2Cの遵守状況の内訳 CCPAとCPRAは、B2BとB2Cの両方のマーケティング担当者に遵守を求めている。
以下は、この2つのコホートにおける遵守状況の内訳である:
・B2C企業の5.33%が手作業による遵守から自動化されたソリューションに移行。
・B2C企業の12.67%が未遵守から手作業による遵守に移行。
・B2B企業の8%が手作業による遵守から自動化されたソリューションに移行。
・B2B企業の14%が、未遵守から手作業による遵守に移行。
消費者向け対話型ツール カリフォルニア州のRob Bonta司法長官は、消費者が未遵守企業へ簡単に通知を送ることができる「消費者プライバシー・インタラクティブ・ツール」を導入した。
現在のところ、このツールは特定のケース、つまりマーケティング担当者が自社のウェブサイトに「Do Not Sell My Information(私の情報を売らないで)」のリンクを容易に見つけられる形で掲載していない場合に焦点を当てている。このツールは、CCPAとCPRAに基づく他の権利にも拡大する予定であり、マーケティング担当者に遵守のインセンティブを与えるものとなる。
Basani氏は、「簡単に検索できる『Do Not Sell My Information』は、ほんの手始めに過ぎない」と述べた。「あらゆる規模や業種の企業で、積極的かつ頻繁なエンフォースメント(取締まり)が行われるような環境にならない限り、米国では、企業がデータ・プライバシー法を遵守するインセンティブはほとんどない」。
「また、規制当局は、『Do No Sell My Information』に焦点を当てるだけでなく、企業がプライバシー通知や法的に準拠したCookie同意バナーのようなプライバシーUXツールを導入し、消費者がプレファレンスを編集または変更できる機能や、消費者がデータプライバシーの権利を行使できる機能を提供しているかを確認することにも焦点を当てなければならない」と同氏は続けた。
気にかける理由 Basani氏の推定によると、企業全体の39%が手作業による遵守ソリューションを導入し、9%が自動化されたソリューションを導入している。バージニア州やコロラド州などの法規制が強化される中、半数以上の企業がまだ遅れをとっていることになる。
