プライバシーに関する法律はありますか?

<h1>1974年のプライバシー法</h1>
<blockquote>現在、提案されたフレームワークは、欧州データ保護委員会からの意見を得て、欧州委員会によって審査中です. ヨーロッパのプライバシー擁護団体からの批判はおそらくありますが、フレームワークが生き残った場合、それはビジネスがEUとU間でデータを転送するために使用する方法である可能性があります.s.</blockquote>
<h2>データ保護法とプライバシー法</h2>
で説明されているように セクションIII. プライバシーとセキュリティ, データ保護には、法的、管理上、技術的な保護手段の組み合わせを組み込んだシステム設計に対する全体的なアプローチが必要です. 開始するために、IDシステムは、個々のデータ、プライバシー、ユーザーの権利を保護する法的枠組みによって支えられる必要があります. 多くの国は、IDシステムだけでなく、個人データの処理を含む他の政府または民間部門の活動に適用する一般的なデータ保護法とプライバシー法を採用しています. プライバシーとデータ保護に関する国際基準（ボックス8を参照）に従って、これらの法律には、通常、個人情報の収集、ストレージ、および使用に固有の幅広い規定と原則があります。
<ul>
<li>目的の制限. 個人データの収集と使用は、以下に限定される必要があります。（1）法律で述べられているため、データ収集時に個人に（少なくとも理論的には）知られることがあります。または（2）個人が同意を与えた.</li>
<li>比例と最小化. 収集されたデータはそうでなければなりません 目的に比例します 不必要なデータ収集と「関数クリープ」を回避するためのIDシステムの両方がプライバシーリスクを作成できます. これは、トランザクションメタデータを含む「最小必要な」データのみが意図された目的を満たすために収集することを要求することとしてしばしば明確にされています.</li>
<li>合法性. 個人データの収集と使用は、合法的に行う必要があります。.g., 同意、契約上の必要性、法的義務の遵守、重要な利益の保護、公益、および/または正当な利益を含む.</li>
<li>公平性と透明性. 個人データの収集と使用は、公正かつ透過的に行う必要があります.</li>
<li>正確さ. 個人データは正確かつ最新のものである必要があり、不正確さは適切に修正する必要があります.</li>
<li>ストレージの制限. トランザクションメタデータを含む個人データは、収集および処理される目的で必要以上に長く保つことはできません. トランザクションメタデータに関しては、そのようなデータが保持される期間のオプションを人々に与えることができます.</li>
<li>プライバシー強化テクノロジー（ペット）. プライバシーを保護するテクノロジーを使用するための要件（e.g., 個人データの収集を排除または削減し、個人データの不必要または望ましくない処理を防ぎ、データ保護ルールのコンプライアンスを促進することにより.</li>
<li>説明責任. 上記の原則に従って個人データの処理は、適切な独立した監視機関、およびデータ主体自体によって監視される必要があります.</li>
</ul>
一般に、特定の目的のために個人情報は合法的に（通常は自由に与えられた同意を通じて）取得されるべきであり、政府または第三者による不正な監視やプロファイリングには使用されないか、同意なしに（法律に基づいて特に要求されない限り）使用されていないことを使用する必要があります。. 最後に、ユーザーは、それらに関する誤ったデータを取得および修正する能力、およびこれらの権利を確保するための救済を求めるメカニズムを持つことなど、ユーザーに関するデータに対する特定の権利を持つ必要があります.
以下のセクションでは、機関の監視、データセキュリティ、データ共有、国境を越えたデータ転送、ユーザーの同意に関連するいくつかの特定のデータ保護セーフガードについて説明します.
ボックス8. EU一般データ保護規則（GPDR）
既存のフレームワークに関しては、 欧州連合（EU） 2016年 一般的なデータ保護規則（GDPR） データ保護とプライバシーの包括的な規制の最新の例であり、国際的なグッドプラクティスの新しいしきい値を設定します. 既存の原則に基づいて構築（e.g., OECDプライバシーの原則）、それはこの分野でのグローバルな仕事の重要な参照ポイントになっています. GDPRの第5条は、上記のコア原則をensshringし、個人のデータ収集、ストレージ、および使用を要求しています。
<ul>
<li>データ主体に関連して、合法的に、公正に、そして透明な方法で処理されました。</li>
<li>指定された、明示的で正当な目的で収集されます。</li>
<li>適切かつ関連性があり、それらが処理される目的に関連して必要なものに限定されます。</li>
<li>正確で、必要に応じて、最新の状態に保ちます。</li>
<li>個人データが処理される目的のために必要以上にデータ主体の識別を許可するフォームに保持されます。と</li>
<li>個人データの適切なセキュリティを保証する方法で処理.</li>
</ul>
さらに、EU加盟国は、規制の適用を監視するための監督当局を提供する必要があります（第51条（1））. しかし、多くの加盟国は以前、EUデータ保護指令（指令95/46/EU）に基づいて独自の監督当局を設立していました。現職のEUデータ保護体制.
2018年にGDPRが施行されたときに導入された新しい権利と義務の一部は、政策界での議論の対象となっています。. ただし、フレームワークの重要な原則は、主にヨーロッパの初期の法律に起源があり、ヨーロッパやGDPRに新しくても具体的ではありません。. それらは、主に彼らのメリットの一般的な認識による、ヨーロッパ以外の多くの国家データ保護およびプライバシー法に何らかの形に反映されています.
<h5>制度的監視</h5>
一般的なデータ保護とプライバシー、およびIDシステムに関して、多くの場合、独立した監督または規制当局の監視の対象となります 個人の権利の保護を含む、プライバシーとデータ保護法の遵守を確保するため. 監督当局は、政府の職員、オンブズマン、または複数のメンバーがいる機関である可能性があります. そのような権威の本物の独立が重要な要因です, 独立性は、権限の構成、メンバーの任命方法、監視機能を行使するための権限と時間枠、十分なリソースの割り当て、および外部干渉なしに意味のある決定を下す能力などの構造的要因によって測定されます（E.g., のリサイタル117を参照してください GDPR））.
監督当局は、データが収集されたすべての個人が外部の拘束力のある法的手続きに頼り、最終的には法律の問題について頼りになる可能性がある場合でも、公的な苦情を処理する場合があります。. 救済策の観点から、当局は、IDシステムを不正確または違法に収集したデータを修正、削除、または破壊することを義務付ける権限を持っているかもしれません.
具体的には、ヨーロッパ評議会（COE） 個人データの自動処理に関する個人の保護のための条約 （コンベンション108, COE 2018） – 最近、コンベンション108+として更新された – そのような当局の権限と義務には：
<ul>
<li>個々のプライバシーおよびデータ保護権の監視、調査、および実施する義務。</li>
<li>開発と個々のプライバシーおよびデータ保護権への影響を監視する義務。</li>
<li>苦情を受け取り、個々のプライバシーとデータ保護権の潜在的な違反の調査を実施する権限。</li>
<li>そのような権利の違反と秩序の是正措置または意味のある制裁に関する決定を発行する権限。</li>
<li>個人の権利と個人データを保有および処理するエンティティの責任に対する一般の認識を促進する義務。と</li>
<li>子どもや他の脆弱な個人のデータ保護権に具体的な注意を払う義務.</li>
</ul>
COEはさらに、監督当局が次のような他の権限や義務も持っている可能性があることを示唆しています。
<ul>
<li>データ処理操作の実施前に意見を発行する。</li>
<li>立法または行政措置について助言する。</li>
<li>行動規範または照会の推奨事例または他の州の機関への照会。</li>
<li>定期的な報告書を発行し、意見を発表し、その他の公開コミュニケーションを発行して、一般の権利と義務、および一般的なデータ保護の問題について一般の人々に通知し続けます.</li>
</ul>
ボックス9. データプライバシーと保護監視機関の例
 エストニアのデータ保護検査官, 1999年に設立されました, データ保護法、広報法、電子通信法によって権限を与えられた監督当局です. 検査官の任務は、エストニア憲法の下でenられた次の権利を保護することです。
<ul>
<li>公的機関の活動に関する情報を取得する権利。</li>
<li>個人データの使用における私的および家族生活の不可侵性の権利。と</li>
<li>あなた自身に関して収集されたデータにアクセスする権利</li>
</ul>
の 南アフリカ, 2013年の個人情報保護法4は、憲法と法律にのみ独立した身体の対象である情報規制当局を確立しました. この機関は、国会に代表されるすべての政党のメンバーで構成される委員会による指名後、国会の勧告について大統領によって任命されます. それは最終的に国会に説明責任があります. 公教育を実施し、法律の監視と執行を行い、利害関係者に相談し、対立する当事者間の調停、個々の苦情を処理し、関連する研究の実施、行動コードとガイドライン、およびガイドライン、およびガイドライン、およびガイドライン、およびガイドライン、および幅広い監督機能を備えています。国境を越えた協力を促進します. その監視機能の中には、個人データの処理とデータ主体の一意の識別子の使用を監視する公的機関および私的機関の定期的な評価と監視があります. 2018年8月の時点で、この法律はまだ完全に有効になっていないことに注意してください.
フィリピンでは、2012年のデータプライバシー法が独立国家プライバシー委員会を設立しました. 情報通信技術局に添付されている委員会は、2人の副プライバシーコミッショナー（データ処理システムを担当し、1人はポリシーと計画を担当する責任者）の支援を受けているプライバシーコミッショナーが率いています。. 3人のプライバシーコミッショナー全員が情報技術とデータプライバシーの分野の専門家でなければならず、すべてが3年間の任期で大統領によって任命され、2番目の任期の再任の資格があります. 委員会には独自の事務局があります. 委員会の多くの義務には、データプライバシー法のコンプライアンスの監視が含まれます。苦情の受け取りと調査。データ保護に関するすべての法律のガイドを定期的に公開します。個人情報管理者によって自発的に採用されたプライバシーコードのレビューと承認。提案された国または地方の法律、規制、または手順のデータプライバシーへの影響に関する意見を提供する。他の国のデータプライバシー規制当局との調整（2012年のフィリピンデータプライバシー法、第2章を参照.））
の中に イギリス, 1984年のデータ保護法は、情報コミッショナー（以前はデータ保護レジストラ）の役割を導入しましたが、情報コミッショナーに付与された権限は、1998年および最近では2018年のデータ保護法に基づいて範囲が増加しました。. 情報委員は、クラウンによって任命された独立した役人であり、英国の情報委員会（ICO）を運営しています. ICOは、デジタル、文化、メディア、スポーツ（DCMS）の部門が後援しており、最終的に議会に報告しています. これは、英国のすべての該当するデータ保護とプライバシー法を監視、調査、実施しようとする独立した規制機関です（スコットランドを含む、限られた範囲）.
<h5>データセキュリティ</h5>
個人情報は、安全に保管および処理され、不正または違法な処理、損失、盗難、破壊、または損害から保護する必要があります. この原則は、サイバー攻撃の脅威を考えると、デジタルIDシステムにとってますます重要になります. 法的枠組みの下で義務付けられる可能性のあるデータセキュリティを確保するための典型的な対策 – その一部はより詳細に議論されています セクションIII. プライバシーとセキュリティ-含む：
<ul>
<li>個人データの暗号化</li>
<li>個人データの匿名化</li>
<li>個人データの仮名化</li>
<li>個人データを使用または生成するデータとシステムの機密性</li>
<li>個人データを使用または生成するデータとシステムの整合性</li>
<li>物理的または技術的なインシデントの後に個人データを使用または生成するデータとシステムを復元する能力</li>
<li>個人データを使用または生成するシステムのセキュリティの継続的なテスト、評価、評価</li>
</ul>
多くの国際基準も データ主体に重要なものを通知するためにデータコントローラーに義務を課す 個人データに影響を与えるデータ侵害. さらに、各国には、サイバー脅威を特定して軽減するために設計された法律、および不正アクセス、使用、またはデータの変更を罰する法律（以下のサイバーセキュリティに関するセクションを参照）を参照）. 最後に、法的フレームワークを含める必要があります 個人データへの不正アクセス、使用、または変更に対する十分な罰則 次の犯罪化を含むデータ管理者と第三者による
<ul>
<li>個人データを保持しているIDシステムまたはその他のデータベースへの不正アクセス</li>
<li>個人データまたは個人データの不正使用を保持しているIDシステムまたはその他のデータベースの不正監視/監視</li>
<li>個人データを保持しているIDシステムまたはその他のデータベースの一部として収集または保存されたデータの不正な変更</li>
<li>個人データを保持しているIDシステムまたはその他のデータベースとの不正な干渉</li>
</ul>
ボックス10. セキュリティ違反通知法の例
 EU GDPRは、「過度の遅延なしで、実現可能な場合」、個人データ違反の通知を監督当局に必要とします。事件が「自然人の権利と自由のリスクをもたらす可能性が低い場合を除き、それを認識してから72時間以内に.」という通知は、関係するカテゴリとおおよそのデータ主体の数や、違反の結果の可能性を含む違反に関する特定の情報を詳述する必要があります（第33条）. 同様に、いくつかの例外を条件として、影響を受ける個々のデータ主体への通知は、違反が「自然人の権利と自由に対する高いリスクをもたらす可能性が高い」場合、「過度の遅延なしに」行われなければなりません。監督当局に通知する必要があるのと同じ情報（第34条）.
のほぼすべての状態 アメリカ 違反通知法があり、通常、個人または政府機関が個人を特定できるデータを含むセキュリティ侵害を個人に通知し、セキュリティ侵害、通知要件（タイミングや方法など）、免除（暗号化された情報など）を構成するものを設定することを要求します。.
の 南アフリカ, 2013年の個人情報保護法4（そのほとんどは2018年8月現在まだ有効ではありません）では、情報規制当局である国家監督当局に、データ主体に違反の主題に、可能な限り合理的に可能な限りすぐに通知することが要求されています。妥協 – 法執行機関の正当なニーズまたは妥協の範囲を決定し、責任者の情報システムの整合性を回復するために合理的に必要な措置を考慮して. 通知は、データがデータ侵害の潜在的な結果に対して保護対策を講じることができるように十分な情報を提供する必要があります。. 情報規制当局は、これが影響を受ける可能性のある個人を保護する場合、セキュリティ侵害に関する情報を公表するよう責任者に指示することができます（2013年の個人情報保護法4、セクション22）.
<h5>データ共有</h5>
データベース間の情報のリンケージはプライバシーとデータ保護の懸念を強化するため、法的枠組みは 規定によりリスクを軽減します 全て IDシステム内の個人データが共有されている目的、政府と非政府の両方のエンティティが共有する目的. さらに、公的機関は、その機能によって正当化された特定の情報を取得することに限定される場合があります（i.e., 「知る必要がある」原則）.
情報共有の潜在的な利点は次のとおりです。
<ul>
<li>政府と市民の両方にとって利便性。</li>
<li>より良い政府のサービス提供。</li>
<li>データ主体がアドレスを変更したときのシームレスサービス転送。</li>
<li>リスク管理の改善。</li>
<li>努力の重複としてのコスト削減は排除されます。と</li>
<li>より効果的なデータを使用することで効率を向上させました（参照、e.g., Perrin et al. 2015年））</li>
</ul>
ただし、政府機関間の情報共有は、十分に規制されていないとしても、個々のプライバシーとデータ保護セーフガードの回避を可能にする「バックドア」に変わる可能性があります。. IDシステムの一部として確立されたものと同様に、包括的な人口データベースは、特にバイオメトリックを含む場合、法執行当局にとって魅力的なリソースです。. の収集に関連して特定の懸念が生じます DNA 他の生体認証データと同様に、個人を特定する目的でだけでなく、彼または彼女が犯罪を犯したかどうかを調査するプロセスの証拠としても使用できる情報.
このタイプの情報共有は、相互運用性の技術的互換性がなくても行われます. たとえば、警察はIDの役人に連絡し、特定の個人の記録を引き出し、指紋、顔のイメージ、住所、家族の名前などの情報を共有するように頼むことができます。.
政策立案者と裁判所は、登録者のプライバシーを保護することと犯罪捜査の支援との間の適切なバランスをとることに苦労しています. そのような問題に対する1つのアプローチは、令状を取得するという要件など、問題の国の他の形式の検索と発作に適用される同じルールを適用することです。. これは、個人的なプライバシーと公共の利益のバランスがこの点ですでに打たれている場合に有益かもしれません. 学術作業とメディアにおけるこの問題に関するさらなる議論と引用については、 IDEEAツール））.
ボックス11. データ共有の取り決めの例
第4条（2） EU 2016年 警察および刑事司法データ保護指令2016/680 他の目的のために収集された個人データは、IDシステムまたは民事登録のためである可能性があるため、犯罪関連の目的で同じまたは別のコントローラーによって処理されることが必要です それだけ ：（a）これには法的承認があります と （b）そのような処理は、個人データが収集された目的に必要であり、比例しています. （eを参照してください.g., EU評議会、法執行機関のデータ保護）
の インド, Aadhaar Act 2016 「コアバイオメトリック情報」を除く情報の開示を規定しています。これは、インドの独自の識別機関（UIDAI）が開示について意見を述べる機会を与えられた後にのみ行うことができます。. また、コアバイオメトリック情報を含む情報の開示も規定しています。「国家安全保障の利益において」特定のランクを超える政府役員の方向性に関するもので、これは中央政府の命令によって承認され、監視によってレビューされています。内閣秘書と法務省の政府の秘書で構成される委員会と電子情報技術省.
の オーストラリア, 連邦 1988年プライバシー法 （修正）には、その「プライバシー原則」の1つとして、特定の目的のために収集された個人に関する個人情報は、個人の同意なしに別の目的のために使用または開示してはならないというルールが含まれています. ただし、防止、検出、調査、起訴、または罰のための警察による使用または開示を含む、または執行機関の使用または開示を含む、執行機関の使用または開示を含む、使用または開示が「合理的に必要」である状況には例外があります。刑事犯罪の – および法律または裁判所命令によって承認された使用および開示の例外. 執行関連の活動に使用することは、説明責任を促進するメカニズムとして書面で注意する必要があります. （プライバシー法改革も参照 – 執行機能への影響）
<h5>国境を越えたデータ転送</h5>
国境を越えて転送された個人データのセキュリティは、個人データの保護のための基本原則に関する国際的なコンセンサスの要因の1つです. たとえば、OECDプライバシーフレームワークで明確にされた原則（OECD 2013）個人データの国境を越えたフローに関しては、データコントローラーは「データの場所に関係なく、その制御下にある個人データに対する責任を負い続ける」ことです（1980年に採用され、2013年に改訂された、第17条）.
ただし、外国におけるデータ保護基準に関する不確実性のため、多くの国は個人データの領土外移動を制限しています. そのような転送は、特定の状況で、または第三国のデータ保護基準が適切とみなされる場合に許可される場合があります. これは、国家IDシステム、民事登録、有権者登録システムの個人データの場合に特に敏感です. 国境を越えてデータを転送することに加えて、法的枠組みには、地域または国際的な相互運用性またはIDシステムの相互認識のための取り決めも含まれる場合があります.
ボックス12. データ転送のGPDR制限
 EU GDPRは、特定の状況を除き、欧州経済圏以外の個人データの転送を制限します. 欧州委員会が、受入国が「適切なレベルの保護を保証する」と判断した決定を発行する場合、このような移転は許可されます（第45条）. このような決定には、個人データや監視および救済メカニズムに適用される保護など、国のデータ保護フレームワークの包括的な評価が必要です。. 妥当性の決定は、カナダ（商業組織）、イスラエル、スイス、米国（プライバシーシールドフレームワークに限定）を含む12か国に関して採用されています。.
2018年7月、EUと日本は互いのデータ保護システムを同等のものとして認めることに同意し、欧州委員会は妥当性の決定を正式に発行するプロセスを開始しました. 同様に、英国は欧州委員会から欧州連合からの出口（Brexit）から申請するために欧州委員会から妥当性の決定を得ようとしています。. EU以外の国への転送は、譲渡人が公的機関間の法的拘束力のある合意、特定の契約条項（e）を含むいくつかの手段を通じて確立される可能性がある場合など、他の状況でも許可されています（e.g. EU委員会のモデル条項）または承認された強制力のある行動規範の存在など（GDPR第46条）.
<h5>ユーザーの同意と管理</h5>
広く受け入れられているプライバシーの原則の1つは、そのanです 個人の個人データは、その個人の同意を得て収集して使用する必要があります そのような収集と使用のために法律に別の根拠がある場合を除きます（の付録IIを参照してください IDEEAガイダンスノート））. 同意が収集の基礎である場合、収集された個人データの性質の個人への透明な開示、およびそのようなデータの意図された使用は、同意が意味するために不可欠です.
多くの国際および地域の基準と国内法は、IDシステム用に収集されたデータなど、政府が法的権限に従ってデータを収集する個人情報の収集と使用の同意要件を例外としています（たとえば、EU委員会の国際契約を参照データ転送）. 同意が不要または取得されていない場合、透明性は少なくとも、公的信頼を保証し、誤解を防ぐために明確でアクセスしやすい説明を提供できます. どの情報が公開され、どの情報が機密のままであるかを個人に通知することができます.
一部の国では、個人情報がどのように収集および使用されるかを平易な言葉で説明する理解しやすい文書の形で「プライバシーポリシー」を使用しています. ただし、個人データの収集と使用に関する情報を広めるためには、一般の啓発キャンペーンも重要です. これらは誤解や懸念に対処し、質問や苦情のチャネルを特定できます.
ボックス13. ユーザー同意法の例
処理されている個人データが特別なカテゴリデータ（たとえば、生体認証データ）である場合、 EU GDPRは、追加の条件が満たされなければならないことを指定します。. 標準的な同意と明示的な同意に違いがあるかどうかは明らかではありません（標準的な同意は具体的で、インフォーマティブ訴訟でなければならないため）. ただし、GDPRが最近実装されていることを考えると、これを明確にするためにさらなるガイダンスが発行される可能性があります.
 カリフォルニア 2018年の消費者プライバシー法 カリフォルニアの住民の個人情報を収集し、2020年に施行される特定の企業に適用されます. この法律は、GDPRとは異なり、ほとんどの場合、個人情報の収集の前に厳密に同意を必要としません. ただし、情報収集の時点で、消費者は「収集する個人情報のカテゴリと、個人情報のカテゴリが使用される目的に関して」通知を受け取る必要があります（CAL」. cov. コード§178.100（b）. 追加情報は、オンラインプライバシーポリシーまたはWebサイトで開示され、12か月ごとに更新する必要があります（CAL. cov. コード§178.130（a）.
の オーストラリア, 連邦 1988年プライバシー法 （修正）には、その「プライバシー原則」の1つとして、特定の目的のために収集された個人に関する個人情報は、個人の同意なしに別の目的のために使用または開示してはならないというルールが含まれています. ただし、防止、検出、調査、起訴、または罰のための警察による使用または開示を含む、または執行機関の使用または開示を含む、執行機関の使用または開示を含む、使用または開示が「合理的に必要」である状況には例外があります。刑事責任の – 同様に、または法律または裁判所命令によって承認された使用および開示の例外. 執行関連の活動に使用することは、説明責任を促進するメカニズムとして書面で注意する必要があります. （プライバシー法のセクション6、オーストラリアのプライバシー原則のスケジュール1条項6、およびプライバシー法改革 – 執行機能への影響を参照）
ユーザーの同意に加えて、OECDプライバシーフレームワークを含む多くの法的および規制の枠組み、第3章（OECD 2013）および市民的および政治的権利に関する国際的な契約, 第17条（1988年国連）の一般的なコメント16、ヨーロッパ評議会 コンベンション108+ （COE 2018））, そしてその APECプライバシーフレームワーク、第23C条（APEC 2004）-含む 個人の個人データにアクセス、レビュー、修正、消去する権利. 必須のIDスキームでさえ、「消去の権利」または「忘れられる権利」は、生体認証データ（特に遺伝物質）、以前の既婚の姓、またはその名前などの個人データの特定の側面に関して発生する可能性があります。養子の出生親（たとえば、参照, Kelly＆Satola 2017、Kindt 2013、Chadwick 2014））. 個人データにアクセス、レビュー、修正、消去する権利を確保する法的措置は、明確な管理手順と個人的な監視と苦情救済のための技術的措置を通じて実践する必要があります.
ついに, 一部の法的および規制の枠組みは、個人の権利としてのデータの移植性を保証します. データの移植性とは、個人に関する個人データをある技術環境から別の技術環境に簡単に移動、コピー、または転送する機能を指します. この移植性により、個人は収集されたデータを他のコンテキストで利用することができます. 商業企業に関して、このような携帯性は、消費者がそのようなデータに備えてアクセスできない競合他社よりも有利な単一のサービスプロバイダーにロックされるリスクを軽減します. IDシステムの観点から、そのような権利により、個人が他の技術アプリケーションのためにシステムによって収集された個人データを使用できる可能性があり、消費者がサービスに「ロックイン」を妨げます.
<h2>1974年のプライバシー法</h2>
修正された1974年のプライバシー法、5 u.s.c. §552aは、連邦政府機関によって記録システムで維持されている個人に関する情報の収集、保守、使用、および普及を支配する公正な情報慣行のコードを確立します. 記録システムは、個人の名前または個人に割り当てられた識別子によって情報が取得される機関の管理下にあるレコードのグループです.
プライバシー法は、機関が連邦登録簿に掲載することにより、記録システムの公開通知を与えることを要求しています. ここをクリックして、DOJ Systems of Recordsとその連邦登録簿の引用のリストを表示してください. プライバシー法は、開示が12の法定例外のいずれかに従っている場合を除き、個人の書面による同意がない場合、記録システムからの個人に関する記録の開示を禁止しています. この法律はまた、個人に記録へのアクセスと修正を求める手段を提供し、さまざまな機関の記録維持要件を定めています.
<h2>プライバシー法の概要</h2>
「1974年のプライバシー法の概要、2020年版」は、既存のプライバシー法の判例法の包括的な論文です. 概要に関する質問は、プライバシーと市民の自由のスタッフのオフィスに送られる場合があります.
<h2>u.s. プライバシー法：完全ガイド</h2>
<img src=”https://info.varonis.com/hubfs/Varonis_June2021/Images/david-harrington-1-300×300.jpg” />
米国には、データのプライバシーを管理するパッチワークと絶えず変化する法律のウェブがあります. 包括的な連邦プライバシー令はありませんが、いくつかの法律は特定のデータ型またはプライバシーに関する状況に焦点を当てています.
ただし、全体的な法律がなければ、企業がどのような種類の個人情報に保護されているかは不明です。. 包括的なプライバシーフレームワークがないにもかかわらず、データを処理または保存する組織は、コンプライアンスを確保するために最新の規制を最新の状態に保つ責任があります.
このガイドは、メジャーUの詳細を提供します.s. プライバシー法と共有最近の更新と変更. uの簡単な背景のためにこの詳細なファクトシートをダウンロードすることもできます.s. データ保護法.
<h3>データ保護のコンプライアンスと規制への無料の必須ガイドを取得する</h3>
<ul>
<li>オンラインプライバシーとセキュリティ：どのように処理されますか?</li>
<li>u.s. 垂直に焦点を当てたプライバシー法</li>
<li>新しいu.s. 州のデータプライバシー法</li>
<li>どのプライバシー要件が私に適用されますか?</li>
<li>データプライバシーFAQ</li>
</ul>
<h2>オンラインプライバシーとセキュリティ：どのように処理されますか?</h2>
物理メール、オンラインプライバシー、セキュリティなど、他の形態のコミュニケーションとは異なり、統治するのはより困難です. これにより、個人はプライバシーの侵害に対して脆弱なままになる可能性があります.
<h3>インターネットセキュリティと欺ceptive広告：それらはどのように関係していますか?</h3>
インターネットは私たちの生活と仕事に革命をもたらし、情報とコミュニケーションへの前例のないアクセスを提供しました. しかし、この増加した接続に加えて、プライバシーに対する新たなリスクがあります. みんなの生活がオンラインになり、不cru慎な企業や個人が悪用できる個人データのデジタルトレイルを残しています.
ありがたいことに、データプライバシー法は個人データの収集、使用、開示を管理し、ビジネスが機密データを処理する必要がある方法の基準を設定します. 連邦取引委員会（FTC）は、Uのこれらの法律の主要な執行者です.s. 近年、FTCは、データのセキュリティとプライバシー慣行について消費者を誤解している企業に対していくつかの執行措置を講じています。.
たとえば、2012年に、FTCは、会社がそのサービスのユーザーにプライバシーポリシーを誤って伝えたと非難した後、Googleとの和解に達しました。. 支払い条件に基づき、Googleは22ドルを支払うことに同意しました.500万の罰金とそのプライバシー慣行を変更します. 最近では、2018年にFTCは、個人情報の可視性を制御する能力についてユーザーを欺くためにFacebookに対して行動を起こしました. 繰り返しますが、FTCとの和解の下で、Facebookは50億ドルの罰金を支払って、プライバシー措置に大きな変更を加えることに同意しました。.
これらのケースは、FTCが消費者のプライバシー法に違反している企業を取り締まることをいとわないことを示しています. これらの例はまた、将来のインターネットプライバシー訴訟の重要な先例を設定しました。人々の生活がオンラインで移動し続けるにつれて、搾取からデータを保護するために強力な法律が整っていなければなりません.
<h3>GDPR対. CCPA：どうしますか.s. およびEUプライバシー法の比較?</h3>
<h2>GDPR対. CCPA：それらはどのように違いますか?</h2>
<ul>
<li>広いリーチ： EU市民のデータを処理または監視する世界中のすべての組織に適用される</li>
<li>一貫した執行： 違反している企業に対する重い罰金を徴収します</li>
<li>専用の監視： コンプライアンスを監督するためにデータ保護担当者の任命が必要です</li>
</ul>
<ul>
<li>狭いリーチ： カリフォルニアでビジネスを行う組織にのみ適用されます</li>
<li>一貫性のない執行： 違反企業に対する訴訟を通じて居住者の執行力を与えます</li>
<li>監視の欠如： 執行を監督するために役員の任命を要求しない</li>
</ul>
米国とヨーロッパには、最も包括的なデータセキュリティおよびプライバシー法があります。 EUの一般的なデータ保護規則（GDPR）は2018年に施行され、カリフォルニア消費者プライバシー法（CCPA）が2020年に施行されました。.
GDPRおよびCCPAは、データ収集が透明性があり、安全であり、関係者の同意を得て取得するなど、サービスプロバイダーが個人データを処理する方法について厳格な基準を設定します. また、標準は個人に、個人データがそれらについて収集されていることを知り、それにアクセスしてその削除を要求できるようにする権利を個人に提供します.
CCPAとGDPRの主な違いは、GDPRが場所に関係なく、EU市民の機密データを処理または処理することを意図している組織に適用されることです。. GDPRコンプライアンスは、顧客であるかどうかに関係なく、EU市民の個人データを処理する組織にとって必須です. GDPRのエンティティ収益または処理閾値要件もありません.
CCPAは、カリフォルニアでビジネスを行うエンティティのみを対象としています. この規制は、年間収益2500万ドルを超える年間収益、50,000人以上の個人の個人データを処理する組織、およびデータの販売から収益の50％を獲得するエンティティなど、満足のいくしきい値に適用されます。.
これらの要件は、GDPRがCCPAよりもはるかに広いリーチと保護を持っていることを意味します. たとえば、執行の観点から、GDPRはその規定に違反しているサービスプロバイダーに重い罰金を提供します. 対照的に、CCPAは、消費者の権利に違反している場合、カリフォルニアの住民に損害賠償を訴える権利を提供します.
最後に、GDPRは企業にデータ保護担当者を任命することを要求しますが、CCPAにはそのような要件がありません. GDPRとCCPAは、個人に堅牢な権利と保護を提供する強力なデータ保護法ですが、GDPRの適用性はuを超えて拡張されます.s. 境界線、それは今日最も広範囲に及ぶデータ保護構造の1つとなっています.
組織が法律顧問と相談し、どの法律が適用されるかを慎重に検討し、適用される各要件への順守を確保することが重要です.
<h2>u.s. 垂直に焦点を当てたプライバシー法</h2>
一般的に言えば、プライバシー法は垂直と水平の2つのカテゴリに分類されます. 垂直プライバシー法は、個人の健康や財務状況などの詳細を含む医療記録または財務データを保護します.
水平プライバシー法は、そのコンテキストに関係なく、組織が情報をどのように使用するかに焦点を当てています. これらの法律でカバーされるデータの種類には、指紋、網膜スキャン、生体認証データ、および名前や住所などのその他の個人的に識別可能な情報が含まれます.
<h2>データプライバシー法：2023年に知っておくべきこと</h2>
<img src=”https://www.osano.com/hubfs/assets/blogs/featured/JailHouse.png” alt=”データプライバシー法：2023年に知っておくべきこと” />
ほぼすべての国が、情報の収集方法、データ主体の通知方法、およびデータ主体が情報を転送した後にどのような制御するかを規制するために、何らかのデータプライバシー法を制定しました。. 該当するデータプライバシー法に従わないと、罰金、訴訟、さらには特定の管轄区域でのサイトの使用が禁止されている可能性があります. これらの法律や規制をナビゲートするのは気が遠くなる可能性がありますが、すべてのウェブサイトオペレーターはユーザーに影響を与えるデータプライバシー法に精通している必要があります.
2023年に注意すべき法律と規制は次のとおりです. 新しい法律が渡されると、このリストを更新します.
<h2> u.s. データプライバシー法 </h2>
長年にわたって多数の提案にもかかわらず、Uのデータプライバシーを支配する包括的な連邦法は誰もいません.s. まだ. American Data Privacy Protection Act（ADPPA）は、前任者のいずれよりも立法プロセスに沿ってさらに進んでいますが、それでも重要なハードルに直面しています. この執筆時点で、行為がそれらのハードルを克服するのか屈するかはまだ不明です.
しかし、それまでの間、個々の州は連邦政府を待つのではなく行動しました. 電気通信、健康情報、信用情報、金融機関、マーケティングに対処する法律や規制など、セクター固有および中規模固有の法律の複雑なパッチワークがあります.
<h3>FTC</h3>
Uの重要な執行機関.s. 連邦取引委員会（FTC）ですか. 消費者保護に代わって規制する権限は、不公平または「欺cept的な貿易慣行を防ぐ権限の下で、商業団体を幅広く管轄する連邦取引委員会法（FTC法）から来ています。.「
FTCはその権限を使用して規制を発行し、プライバシー法を執行し、消費者を保護するための執行措置を講じる. たとえば、FTCは、次の組織に対して課題を課す可能性があります。
<ul>
<li>合理的なデータセキュリティ対策を実装および維持できません</li>
<li>組織の業界の該当する自己規制原則に従うことができません</li>
<li>公開されているプライバシーポリシーに従わない</li>
<li>プライバシーポリシーに開示されていない方法で個人情報を転送する</li>
<li>不正確なプライバシーとセキュリティ表現を作成します（i.e., 嘘）消費者とプライバシーポリシーに</li>
<li>個人データに十分なセキュリティを提供できません</li>
<li>消費者情報を収集、処理、または共有することにより、消費者データのプライバシー権に違反します</li>
<li>誤解を招く広告慣行に従事する</li>
</ul>
オンラインで情報の収集を支配する他の連邦法は次のとおりです。
<ul>
<li>未成年者に関する情報の収集を支配する子供のオンラインプライバシー保護法（COPPA）</li>
<li>健康情報の収集を管理する健康保険の携帯性および会計法（HIPAA）</li>
<li>銀行や金融機関によって収集された個人情報を管理するグラムリーチブライリー法（GLBA）</li>
<li>クレジット情報の収集と使用を規制する公正信用報告法（FCRA）</li>
<li>学生教育記録のプライバシーを保護する家族教育権およびプライバシー法（FERPA）</li>
</ul>
<h2> 州のデータプライバシー法 </h2>
u.s. 州の間に何百ものセクターデータプライバシーとデータセキュリティ法があります. 州検事総長は、特にデータ侵害通知と社会保障番号のセキュリティに関して、住民から収集された個人データの収集、保管、保護、処分、および使用を管理するデータプライバシー法を監督します. 政府機関にのみ適用されるもの、他の事業体にのみ適用されるものもあれば、両方に適用されるものもあります.
部門のプライバシー法に加えて、u.s. 州レベルでプライバシー法を推進するための大きな意欲を経験しています. それは、連邦政府が広く立法化する方法に関するコンセンサスを見つけることができなかったからです. 待機するのではなく、州議会議員は、消費者、消費者の擁護者、さらには企業から独自のルールを設定することにさえあります. 
もちろん、企業は、弁護士やプライバシーの専門家を雇用するよりも、単一の連邦基準を遵守し、コンプライアンスツールに投資し、すべての該当する州法をカバーする堅牢なコンプライアンスプログラムを確立します。. しかし、州は、データのプライバシー保護の欠如が、過度に複雑なデータプライバシー保護よりも損害を与えると見なしています. 
カリフォルニアはドミノ効果を開始しました. これまでに5つの州（カリフォルニア、コロラド、コネチカット、ユタ、バージニア）がこれまで包括的な法律を可決することができたのは5つの州のみですが、多くの州が試みています. 彼らの初期の法案が以前の立法セッションで失敗したとしても、彼らは共和党員と民主党員が契約が最終目的地に到達する前に彼らの修正作業を開始するための基準点として機能します：知事の机は. 
これが物事が立っている場所の内訳です. 
<img src=”https://no-cache.hubspot.com/cta/default/4785246/924b8add-d395-43ab-9728-64f50c766627.png” alt=”ダウンロードチェックリスト：2023年の州データプライバシー法のアクションプラン” width=”” />
<h3>カリフォルニアプライバシー権法（CPRA）</h3>
これまでで最も包括的な州データプライバシー法は、カリフォルニアプライバシー権法（CPRA）です。. CPRAは2020年11月に投票イニシアチブによって可決され、カリフォルニアの以前の州のプライバシー法であるカリフォルニアプライバシー保護法（CPPA）を修正しました. 2023年1月1日に発効しました.
CPRAは、重要な定義と幅広い個々の消費者の権利を導入し、カリフォルニア州の居住者に関する個人情報を収集する事業体または個人に実質的な義務を課すクロスセクターの法律である。. これらの義務には、データの収集方法と方法のデータ主体への通知が含まれます。データ収集をオプトアウトできるようにします。そのような情報にアクセス、修正、削除できるようにします。企業が個人情報を他のエンティティに転送する方法を制限する.
上記の要件の多くはCCPAにも含まれていましたが、CPRAが可決されると、法律は以下を含めるように修正されました。
<ul>
<li>修正の権利：これは、不正確な個人情報を修正する消費者の権利を更新および追加する.</li>
<li>制限の権利：これにより、消費者は機密性の高い個人情報の使用と開示を制限する権利を与えます.</li>
<li>機密の個人情報：これにより、個人情報の定義が更新されます. 消費者の社会保障番号のような特定の種類の情報は、特別な保護で扱わなければなりません.</li>
</ul>
<ul>
<li>子どものデータの侵害に対する罰金の増加</li>
<li>暗号化されていないデータの侵害を超えて、消費者のアカウントへのアクセスにつながる可能性のある資格情報の開示（電子メールアドレスやパスワードなど）を超えて拡大した違反の責任</li>
<li>企業が消費者の情報を、そもそも収集された理由に必要なものと「比例」に保持する可能性がある期間が限られています</li>
<li>第三者、請負業者、および外部サービスプロバイダーと協力する企業は、それらの組織が最初の当事者と共有されるデータに対して同じレベルのプライバシー保護を行使することを契約上委任する必要があります</li>
</ul>
CPRAの最も重要な機能の1つは、その施行です. 州検事総長は通常、プライバシーのケースを処理しますが、FTCが関与していない限り、それでもパートナーシップであることが多く、CPRAは新しいプライバシー規制当局を確立します。.
カリフォルニアプライバシー保護庁（CPPA）は、違反者を微調整したり、プライバシー違反に関する聴聞会を開催したり、プライバシーガイドラインを明確にしたりできます。. これは5人のボードであり、2023年7月1日にCPRAが施行されてから6か月後に実施を開始します.
<img src=”https://no-cache.hubspot.com/cta/default/4785246/9619f2d1-2a05-4b89-b71f-7c501ab440e9.png” alt=”ガイドをダウンロード – CPRAコンプライアンスのために完了するために必要な主要なタスクを分解します。” width=”” />
<h3> バージニア州の消費者データ保護法（CDPA） </h3>
バージニア州の消費者データ保護法（CDPA）は2021年3月2日に可決されました. それはバージニア州の消費者にデータに対する特定の権利を付与し、法律の対象となる企業が収集するデータ、それがどのように扱われ、保護されているか、そしてそれが共有されていることに関する規則を遵守することを要求しています. 
法律には、EU一般データ保護規則（GDPR）の規定とCPRAとの類似点が含まれています。. バージニア州でビジネスを行ったり、バージニア州の住民を対象とした製品やサービスを販売したり、次のいずれかを満たしているエンティティに適用されます。
<ul>
<li>100,000以上の個人データを制御または処理する</li>
<li>少なくとも25,000人の消費者の個人データを制御または処理し、個人情報を販売することで収益の50％を獲得する </li>
</ul>
CDPAは、機密データを処理する前に消費者がオプトイン同意を取得することにより、消費者がデータ権を行使することを支援することを法律でカバーする企業を要求しています（消費者に通知されている限り、非敏感なデータは収集される可能性があります）。販売され、データ収集のオプトアウトを許可します. また、企業は、消費者がターゲット広告をオプトアウトできるようにする明確なプライバシー通知をユーザーに提供する必要があります. さらに、消費者のデータ処理をオプトアウトするための消費者の要求を尊重するためにデータブローカーが必要です。.
CDPAは2023年1月1日に施行されました. 
<h3>コロラドプライバシー法（CPA）</h3>
2020年6月、コロラドは3番目のuになりました.s. プライバシー法に合格するように述べます. コロラドプライバシー法は、コロラド州の居住者がデータに対する権利を認め、データコントローラーとプロセッサに義務を課します. カリフォルニアのCPRA、バージニアのCDPA、およびEUのGDPRとの類似点が含まれています. 
何らかの形のオプトアウトの権利、機密データの特別な保護、いくつかのプライバシーによる設計による原則の採用など、類似点がありますが、詳細には大きな違いがあります。. CPAは、100,000人のコロラド州の居住者から個人データを収集したり、25,000人のコロラド居住者からデータを収集したり、そのデータの販売から収益を得たりする企業に適用されます。. 
法律は、2023年7月1日に法律が発効すると、コロラドの住民に付与された5つの権利をリストしています. 彼らです：
<ul>
<li>ターゲット広告をオプトアウトする権利、個人データの販売、または紹介</li>
<li>会社がそれらについて収集したデータにアクセスする権利</li>
<li>それらについて収集されたデータを修正する権利</li>
<li>それらについて収集されたデータを要求する権利は削除されます</li>
<li>データ移植性の権利（つまり、データを取得して別の会社に移動する権利） </li>
</ul>
法律には17の毛布の免除があります. データの免除は次のとおりです。
<ul>
<li>コロラド州の健康保険法のためにデータが収集された場合</li>
<li>データを収集するエンティティまたは収集されたデータが、COPPAまたは家族教育権およびプライバシー法（FERPA）を含む特定のセクターの法律ですでにカバーされている場合</li>
<li>データが廃止または仮名化されている場合</li>
<li>消費者報告機関によってデータが維持され、使用されている場合</li>
<li>データが雇用記録の目的で使用されている場合 </li>
</ul>
法律は2023年の途中で施行されるため、企業は年の上半期にルール作成を通じて法律の更新を期待する必要があります.
<h3>ユタ消費者プライバシー法</h3>
2022年3月、ユタ州は包括的な消費者プライバシー法を制定する4番目の州になりました。. ユタ消費者プライバシー法（UCPA）は、CDPA、CPA、およびCPRAから引き出します. 
法律は、年間収益で2,500万ドル以上を生み出すデータコントローラーとプロセッサの両方に適用されます。
<ul>
<li>毎年100,000人以上の消費者の個人データを制御または処理するか、</li>
<li>個人データとコントロールまたはプロセスの販売から、エンティティの総収益の50％以上を25,000人以上の消費者の個人データから導き出します.</li>
</ul>
コロラド州とバージニア州の法令と同様に、特定の種類の個人データの免除があります。ただし、エンティティレベルとデータレベルの両方で広いです.
法律は、政府機関、部族、高等教育機関、非営利企業、ビジネスアソシエイト、HIPAAおよび関連規制の保護された健康情報の定義を満たす情報などに代わって行動する政府機関または第三者には適用されません。.
GLBA（Gramm-Leach-Bliley Act）に管理されている金融機関とFCRAの情報（公正信用報告法）もUCPAの対象ではありません. 雇用の過程で処理または維持されたデータも免除されます.
消費者は次の権利を持っています：
<ul>
<li>コントローラーが個人データを処理しているかどうかを確認し、提供された個人データへのアクセスまたは削除</li>
<li>ポータブルでアクセス可能な形式で個人データのコピーを取得する</li>
<li>ターゲットを絞った広告または販売のための個人データの処理のオプトアウト </li>
</ul>
CDPAおよびCPAとは対照的に、UCPAには、プロファイリングをオプトアウトしたり、データの不正確さを修正する権利を成文化する権利は含まれていません。. 
<h3>コネチカット州のデータプライバシー法</h3>
包括的な消費者プライバシー法を採用するコネチカット州の5番目および最新の州. 上院法案6、または「個人データのプライバシーとオンライン監視に関する行為」（CTDPA）は、2023年7月1日に施行されます. 
法律はまた、バージニア州とコロラド州の法律から引き出され、いくつかの出発があります. 前の暦年中に、それは企業に適用されます。
<ul>
<li>100,000人以上のコネチカット州の居住者の管理または処理された個人データは、個人データが支払い取引のみを完了するためだけに制御または処理されている居住者を除きます。また</li>
<li>25,000人以上の消費者の個人データを管理または処理し、個人データの販売から総収益の25％以上を導き出しました.</li>
</ul>
法律は、支払い取引データが法律の対象ではないことを指定した最初の人です。これは、レストランなどの取引を完了するための情報を処理する中小企業向けです。. 消費者は、ターゲットを絞った広告、サードパーティへの販売、プロファイリングの目的でデータ処理をオプトアウトできます.
州は、2024年12月31日までに60日間の期間が違反を改善することを許可しています. 
<h3>ニューヨークシールド法</h3>
2019年7月、ニューヨークはストップハッキングを可決し、電子データセキュリティ（SHIELD）法を改善しました. この法律は、ニューヨークの既存のデータ侵害通知法を改正し、ニューヨークの住民に関する情報を収集する企業のデータセキュリティ要件をさらに作成します. 2020年3月の時点で、法律は完全に執行可能です.
この法律は消費者のプライバシーの範囲を広げ、個人情報のデータ侵害からニューヨークの住民をより良い保護を提供します. ニューヨークの住民の個人情報を所持している雇用主は、「個人情報のセキュリティ、機密性、および整合性を保護するための合理的な保護手段を開発、実装、および維持する必要があります。.」 
昨年、2022年、州司法長官は、セキュリティの違反と個人情報の漏れにつながった最低基準を満たしていないため、組織と60万ドルの和解しました。. この法律の最近の更新はありませんが、この和解に示されているように、それはまだ非常に活発で実施されています.
<h3>その他の州レベルのデータプライバシー法</h3>
カリフォルニア州、ユタ州、バージニア州、コネチカット州、コロラド州は、国家的影響を及ぼした幅広い法律を制定した最初の州ですが、他の多くのu.s. 州はまた、データプライバシー法を検討しています.
 現在、ミシガン州、オハイオ州、ペンシルベニア州、ニュージャージー州に積極的な法律があります. 非アクティブな法律を備えた20を超える州があり、将来再び取り上げられたり、新しい法律に折りたたまれたりする可能性があります.
<h2> ヨーロッパ </h2>
EUの一般的なデータ保護規則は依然として土地の法律であり続けていますが、最近EUで新しいデータプライバシー関連の法律が可決されました。. 2023年にも知っておくべき提案がいくつかあります. GDPRの復習と、2023年のデータプライバシーに関する組織を最新の状態に保つために追跡すべきその他の提案のリストを次に示します。.
<h3> 一般的なデータ保護規制（GDPR） </h3>
これまでに制定された最も重要なデータ保護法は、一般的なデータ保護規則（GDPR）です . 欧州連合の28の加盟国のいずれかの住民から収集されたデータの収集、使用、伝送、およびセキュリティを管理します. 法律は、個人データを収集する事業体の場所に関係なく、すべてのEU居住者に適用されます. GDPRに準拠していない組織には、最大2,000万ユーロまたはグローバルな売上高の4％の罰金が課される場合があります. GDPRのいくつかの重要な要件は次のとおりです。
<h4>同意</h4>
データ主体は、個人データの収集の前に明示的な明確な同意を与えることを許可する必要があります. 個人データには、Cookieの使用を通じて収集された情報が含まれています. ユーザーのコンピューターIPアドレスなど、米国では通常「個人情報」とは見なされない一部の情報は、GDPRによると「個人データ」と見なされます。.
<h4>データ侵害通知</h4>
データ侵害がほとんどの場合ユーザーの個人情報に影響を与える場合、組織は72時間以内に監督当局とデータ主体に通知する必要があります.
<h4>データ主体の権利</h4>
データ主体（データが収集および処理された人）は、個人情報に関して特定の権利を持っています. これらの権利は、組織のウェブサイトで明確でアクセスしやすいプライバシーポリシーでデータ主体に伝える必要があります.
<ol>
<li>通知される権利. データが取得された場合、データ主体は個人データの収集と使用について通知する必要があります.</li>
<li>データにアクセスする権利. データ主体は、データサブジェクトリクエストを介して個人データのコピーをリクエストできます. データコントローラーは、収集手段、処理されているもの、およびそれが共有されている人を説明する必要があります.</li>
<li>修正の権利. データ主体のデータが不正確または不完全な場合、それらはあなたにそれを修正するように頼む権利があります.</li>
<li>消去の権利. データ主体には、30日以内に特定の理由でそれらに関連する個人データの消去を要求する権利があります.</li>
<li>処理を制限する権利. データ主体は、個人データの制限または抑制を要求する権利を持っています（ただし、まだ保存できます）.</li>
<li>データ移植性の権利. データ主体は、その使いやすさを混乱させることなく、いつでも安全かつ安全にデータをある電子システムから別の電子システムに転送することができます.</li>
<li>反対する権利. データ主体は、自分の情報がマーケティング、販売、または非サービス関連の目的でどのように使用されるかに反対することができます. オブジェクトの権利は、法的または公式の権限が実行される場合、公益のためにタスクが実行される場合、または組織がサインアップしたサービスを提供するためにデータを処理する必要がある場合に適用されません。. </ol>
<img src=”https://no-cache.hubspot.com/cta/default/4785246/8870afc8-1c67-4323-b03f-53bd2e915b64.png” alt=”もし、あんたが” width=”” />
</ol>
<h3> デジタルサービス法（DSA） </h3>
新しい規制は、GoogleやFacebookなどの魅力的なプラットフォームで違法で有害なコンテンツに対処し、特定の基準を満たしていないコンテンツを削除する. EU評議会によると、主な原則は「オフラインの違法なものはオンラインで違法でなければならない」です. 2022年11月16日に施行されたデジタルサービス法（DSA）. 法律のさまざまな規定がさまざまな時期に有効になり、2024年2月17日に法律が完全に施行されます.
4つのカテゴリのビジネスに適用されます。
<ul>
<li>ISPなどのネットワークインフラストラクチャを提供する仲介サービス</li>
<li>クラウドやWebホスティングサービスなどのホスティングサービス</li>
<li>オンライン市場、ソーシャルプラットフォーム、アプリストアなど、売り手と消費者を結びつけるオンラインプラットフォーム</li>
<li>非常に大きなオンラインプラットフォームは、ヨーロッパの4億5,000万人の消費者の10％以上に届くオンラインプラットフォームとして定義されています</li>
</ul>
各カテゴリは異なる要件に直面しています.
上記のすべてのカテゴリは次のとおりです。
<ul>
<li>裁判所の命令と訴訟、コンテンツの節度の取り組みなどに関する透明性の報告に従事する</li>
<li>基本的な権利を考慮するために利用規約を更新します</li>
<li>国家当局と協力します</li>
<li>当局の連絡先を確立し、必要に応じて法定代理人</li>
</ul>
 ホスティングサービス、オンラインプラットフォーム、および非常に大きなオンラインプラットフォームは、次のことが必要です。
<ul>
<li>ユーザーがビジネスが削除する潜在的な違法なコンテンツに注意することを可能にする通知と行動のメカニズムを提供する</li>
<li>刑事犯罪を報告する</li>
</ul>
 オンラインプラットフォームと非常に大規模なプラットフォームは次のようにする必要があります。
<ul>
<li>苦情と救済メカニズムを実装します</li>
<li>専門知識がコンテンツ通知に特別な重みを追加する信頼できる旗手を特定する</li>
<li>虐待的な通知と反論に対して対策を講じる</li>
<li>市場の機能がある場合は、サードパーティのサプライヤの資格を審査する、コンプライアンスごとの原則を順守するなど、特別なアクションを実行します。</li>
<li>ユーザーの特別な特性に基づいて、子供へのターゲット広告やターゲット広告を</li>
<li>コンテンツ推奨システムへの透明性を提供します</li>
<li>オンライン広告プラクティスにユーザー向けの透明性を提供します </li>
</ul>
 非常に大きなプラットフォームは次のことをしなければなりません：
<ul>
<li>リスク管理慣行を採用し、危機対応プロトコルを確立します</li>
<li>外部の独立した監査に黙認し、内部コンプライアンス機能を確立し、公に説明責任を負う</li>
<li>プロファイリングに基づいてコンテンツの推奨事項を受けないようにユーザーに選択肢を提供します</li>
<li>当局や研究者とデータを共有します</li>
<li>自己ドラフトされた行動規範を遵守します</li>
<li>危機対応の状況中に当局と協力してください</li>
</ul>
EUデータ保護当局は、サービスプロバイダーから情報をアクセスし、取得し、検査することができ、注文と制裁を通知することができます. 事業が違反していることが判明した場合、それは前会計年度中に年間グローバル離職の最大6％の罰金を科される可能性があります. DSAに基づく情報義務に違反した場合、最大のペナルティは前年の収入または世界的な売上高の1％に制限されています. 
<h3> デジタル市場法 </h3>
Digital Markets Act（DMA）は、Facebook、Apple、Microsoft、Googleなどの企業を含む「GateKeepers」として知られる最大のデジタルプラットフォームを対象としています. DMAは、デジタル企業の競技場を平準化し、門番企業が競合他社に不公平な状況を課すのを防ぐことを目指しています. たとえば、Amazonのような会社は、Amazon自身の製品とサービスに利点を与える方法で、サイトで製品をランク付けすることは許可されていません。.
会社は、ゲートキーパーと見なされます。
<ul>
<li>経済的地位が強く、EU市場に大きな影響を与え、複数のEU加盟国で活動しています</li>
<li>大規模なユーザーベースを多数のビジネスに結び付ける仲介者として強力な地位を持っています</li>
<li>市場で定着した地位を持っているか、または過去3回の会計年度に会社が以前の2つの基準を満たしているかどうかによって決定されます。</li>
</ul>
DMAの下では、ゲートキーパーとして資格のある企業は次のことをしなければなりません。
<ul>
<li>ゲートキーパーがゲートキーパーのプラットフォーム上の同等のサードパーティの製品またはサービスを介して、ゲートキーパーが独自の製品とサービスを宣伝する自己提示に従事しないでください</li>
<li>同意なしに最初に収集されたコンテキストの外でユーザーのデータを再利用しない</li>
<li>同意なしにターゲットを絞った広告を目的として、ゲートキーパーのプラットフォーム外のユーザーを追跡しない</li>
<li>企業とエンドユーザー間のコミュニケーションとコンテンツアクセスを許可する</li>
<li>広告仲介サービスの価格と料金の透明性を確保します</li>
<li>プラットフォーム上のマーケティングまたは広告のパフォーマンスデータへのアクセスをユーザーに提供する</li>
<li>ユーザーがデフォルトの設定を簡単に変更してソフトウェアをアンインストールできるようにします</li>
<li>サードパーティのテクノロジーがゲートキーパー自身と相互運用できることを確認してください</li>
<li>エンドユーザーのデータが他のシステムに移植可能であることを確認してください</li>
<li>GateKeeperのプラットフォーム上のデータへのリアルタイムアクセスを企業に提供する</li>
<li>ユーザーが当局に苦情を申し立てることを妨げないでください</li>
<li>特定のサービスにアクセスする条件として、追加サービスにユーザー登録を必要としない</li>
<li>企業の非公開データを使用して競争しないでください</li>
<li>もっと</li>
</ul>
DMAに違反するゲートキーパーは、違反の繰り返しの場合、年間世界的な売上高の最大10％または最大20％の罰金の対象となる可能性があります. さらに、繰り返される違反は、強制的な売却などの非金融救済につながる可能性があります. 
<h2> EUは2023年に視聴することを提案します </h2>
<h3> EU-U.s. データプライバシーフレームワーク </h3>
それは法律ではありませんが、EU-U.s. データプライバシーフレームワークは、注意すべき重要な要素です.
以前は、EU市民のデータをUに転送する企業.s. データが十分に保護されていることを確認するために、プライバシーシールドと呼ばれるフレームワークに依存していましたが、そのフレームワークはSchrems IIの裁判で無効であるとみなされました. それ以来、企業は、データ転送の法的保護を提供するために欧州委員会によって承認された標準的な契約条項に依存してきました。.
ただし、これらの条項はやや不安定です。 u.s. 彼らが外国のintelligence報監視法（FISA）セクション702の対象である場合、企業は彼らに頼ることは想定されていません。.s. EU市民のデータを含む外国コミュニケーションの検索を実施するためのインテリジェンスサービス. セクション702の複雑さはこのブログの範囲外ですが、知っておくべき重要なことは、ビジネスがセクション702の対象となるかどうかは常に明らかではないということです. したがって、SCCは使用するのが危険ですが、EUとUの間の国際データ転送のための代替法的枠組みはありません.s.
最近まで、そうです.
2022年10月7日、バイデン大統領は、米国のシグナル監視活動のための保護手段の強化に関する大統領命令を発行しました. 注文は新しいEU-Uの概要を説明しました.s. 追加のセキュリティ対策を含むデータプライバシーフレームワーク、EUおよびUの救済メカニズム.s. 自分の権利が侵害されていると感じている市民は、Uに転送された外国人市民のデータに対するより大きな保護.s. さらに、このフレームワークでは、intelligence報機関が監視関連のポリシーと手順の更新を行う必要があり、その後、プライバシーと市民の自由監視委員会によるレビューが続きます。.
現在、提案されたフレームワークは、欧州データ保護委員会からの意見を得て、欧州委員会によって審査中です. ヨーロッパのプライバシー擁護団体からの批判はおそらくありますが、フレームワークが生き残った場合、それはビジネスがEUとU間でデータを転送するために使用する方法である可能性があります.s.
<h3>e-privacy規制</h3>
e-privacy Regulation（EPR）は長い間来ています. 2018年にEUの一般的なデータ保護規則と並んで施行されることを目指していましたが、何年も停滞しています. 2022年3月、EU評議会はドラフトに同意しましたが、少なくとも2023年まで規制は予想されません. さらに、2023年にEPRが発効した場合、24か月の移行期間があります. ですから、非常に早い時期に、2025年までに企業は準拠する必要があります.
EPRは、合格した場合、従来の電子通信サービスと、WhatsApp、Facebook Messenger、SkypeなどのEPRでカバーされていないエンティティのプライバシールールを作成します。. 
電子通信のプライバシーに関するより強力なルールを作成し、通信コンテンツと「メタデータ」、つまり他のデータを説明するデータに適用されます。. EPRでは、サービスプロバイダーと電子通信ネットワークが電子通信メタデータを処理する前に、ユーザーから事前の同意を得る必要があります. 
また、重要なことに、Cookieでより簡単なルールを作成することになります. ユーザーはブラウザレベルでCookieの追跡に同意または拒否することができます。また、Webサイトが「非プリヴァシー侵入Cookieと呼ばれるものに同意する必要がないことも明確にします。.」これらのクッキーは、ユーザーが注文したものを追跡するために「ショッピングカート」などのウェブサイトの機能を可能にします. また、組織がエンドユーザーが少なくとも1年に1回、以前に認可された同意を撤回できるようにすることも要求します. 
<h3> AI ACT </h3>
EUの人工知能法は、「高リスクの」AIシステムを開発または採用しているEUでビジネスを行っている企業に適用されます。. これらのシステムは、雇用、信用、ヘルスケア、およびその他の重要なドメインに影響を与えます.
この法律は2021年に導入され、現在欧州議会で検討されています. この執筆時点で、この行為は2023年の第1四半期に投票を受けています. ただし、AIの複雑さを考えると、この投票はさらなる修正を組み込むために遅れる可能性があります.
AI法は領域外的に適用されます。つまり、法律はEU内に顧客またはユーザーがいる場合、他の場所に基づいて企業をカバーし、効果的にグローバルな規制にしています。.
この法律では、該当するAIシステムを持つ企業は以下を行う必要があります。
<ul>
<li>インパクトの評価を実施し、記録を維持し、透明性の義務を果たす</li>
<li>精神的または肉体的危害を引き起こす可能性のある方法で人の行動を操作するために使用できるシステムを開発しない.</li>
<li>年齢、身体的または精神的障害、または行動のために特定のグループの脆弱性を活用するために使用できるシステムを開発していないシステムを開発していません。.</li>
<li>年齢、または身体的または精神的障害に基づいて脆弱なグループを活用できるシステムを開発しない.</li>
<li>法執行機関によって公開されているスペースでリアルタイムのリモート生体認証データを提供するシステムを開発しない.</li>
</ul>
<h2> その他の国際データプライバシー法 </h2>
世界中に130を超えるデータプライバシー法があるため、このブログ投稿にあるすべてのものをリストして説明することは不可能です. ただし、ここにあなたのビジネスに適用されるかもしれないいくつかの重要な規制があります.
<ul>
<li>個人データの保護に関するブラジルの一般法、またはレイジェラルデプロテサンデダドスペソエ（LGPD）：この法律は2020年に施行され、GDPRに多くの同様の規定が含まれています. 専用のブログ記事、ブラジルのプライバシー法に関する決定的なガイド、LGPDの法律の詳細をご覧ください.</li>
<li>カナダの個人情報保護および電子文書法（ピペダ）：Pipedaは2000年に同意し、2009年に完全に勢いを増し、当時進歩的な法律と見なされていました. データプライバシー法によって2015年に最後に更新されましたが、GDPRの規制基準にはまだ及ばない.</li>
<li>中国の個人情報保護法（PIPL）：Piplは2021年11月に法律に制定され、GDPRの規定に広くマップされました. ただし、その詳細のいくつかは異なります。特に、個人に少ない権利を与えること、同意のためにより厳しい基準を必要とし、より厳しい罰則を課すことによって異なります.</li>
</ul>
<h2> コンプライアンスプラットフォームでは、複雑さとリスクを軽減します </h2>
この投稿では、最近の更新があった主要な法律のいくつかを取り上げました. これは、最近更新されていない多くの小規模な法律と、ブログ投稿には雑草が深すぎる上記の規制の詳細を除外しています. それでも、この投稿は5,000語をはるかに超えています!
1つの法律を遵守する必要があり、他の管轄区域に拡大する意図がないことを知っている企業の場合、社内でコンプライアンスを処理することが可能かもしれません. 時間、リソース、努力が必要ですが、実行可能です. あなたのビジネスが複数の法律の対象となると、コンプライアンスへの完全に自国化されたアプローチは、異なる法律の要件の複雑さに迅速に圧倒されます. 複雑さに伴い、罰金や罰則を介して、収益生成に費やされる可能性のあるリソースを流用するか、消費者の信頼の損失を介して、リスクと収益の低下が生じます.
1つの法律であろうと複数の場合でも、収益をリスクから保護することに関心のある企業がコンプライアンスプラットフォームに投資します. このカテゴリのソリューションは、プライバシーの専門家の能力と機能を通じてプライバシーの専門家の知識を正式化し、プライバシーの初心者を可能にし、プライバシーの専門家をエンパワーする.
たとえば、Osanoプラットフォームは、CPRA、GDPR、またはその他のプライバシー法の下で必要な特定の同意であるかどうかにかかわらず、企業が消費者の同意を求め、記録し、行動する手段を提供します。. また、DSARSを受け入れ、管理し、行動するプロセスを合理化します. Osanoのベンダープライバシースコアの独自のデータベースは、最近の訴訟やプライバシーポリシーの変更など、リスクを軽減し、ベンダーのプライバシー姿勢の新たな問題にリスクを軽減し、警戒することを保証することも保証します。. その結果、ビジネス、ベンダーのビジネス、市場全体におけるデータプライバシーの状態に対する状況認識が高まります。.