CCPAおよびCPRAコンプライアンス：大麻企業が今やるべきこと| カンナビズメディア

の実施 カリフォルニア州消費者プライバシー法 （CCPA）は1年2020月XNUMX日に開始されました。CCPAにより、カリフォルニアに住む消費者は、企業が個人情報をどのように使用するかを大幅に制御できます。 その結果、すべての企業は、データ、システム、およびプロセスをレビューして、新しい法律に完全に準拠していることを確認する必要がありました。

州の司法長官が次のような規則を発表したのは14年2020月XNUMX日金曜日まででした。 実装する CCPAは承認され、すぐに発効しました。 ただし、CCPAに準拠することは、場合によっては、 施行規則 CCPA法が要求するものを超えました。

しかし、話はまだ終わっていませんでした。 実際、コンプライアンスの問題はまだ始まったばかりでした。

2020年XNUMX月、カリフォルニア州知事GavinNewsomが署名しました XNUMXつの修正 CCPAに法律を制定します。 AB 1281は、従業員データと企業間（B2B）データの部分的な免除を拡張しました。これは、以前は1年2021月713日に期限切れになるように設定されていました。ABXNUMXは、医療情報と健康プライバシーに関連するCCPAの免除を修正しました。

しかし、それだけではありませんでした。 2020年XNUMX月に早送りすると、事態はさらに混乱します。

3年2020月24日、カリフォルニア州の有権者は投票用紙提案XNUMXを承認しました。 2020年のカリフォルニア州プライバシー権法 （CPRA）、または一部の人々がCCPA2.0と呼ぶもの。 CPRAは、1年2023月XNUMX日まで有効になりませんが、 その他の変更 企業が準拠する必要があること

• 対象事業の新しい定義
• データの共有に関する追加の言語
• 追加の消費者の権利
• 「機密性の高い個人情報」のカテゴリに関する新しいルール
• 「同意」の新しい定義
• 「サービスプロバイダー」の定義の変更
• データ漏えいに対する私的行動権の拡大
• 新しい開示要件
• 30日間の硬化期間の削除
• 従業員およびB2Bデータの延長免除
• カリフォルニアプライバシー保護機関の設立
• もっと見る

大麻事業を含むすべての企業は、CCPAに基づく現在の要件と、CPRAで何が行われるかを理解する必要があります。 今こそ、ポリシーと手順の見直しと刷新を開始するときです。

一部の企業にとって、これらの法律の遵守は非常に大きな課題ですが、訴訟や罰金の観点から、遵守しないリスクは無視できないほど大きいものです。 以下は、大麻企業がCCPAに準拠するために実行できる10の初期アクションです。

1. CCPAコンプライアンス予算を定義する

大麻ビジネスのCCPAコンプライアンス予算は、いくつかの要因に依存します。 重要なのは、今日および継続的にコンプライアンスを管理するために、新入社員の採用を検討する必要があることです。 さらに、CCPAの要件を満たすために、新しいワークフローに従うように従業員をトレーニングする必要があります。

予算の大部分は短期的に会社を新しい規制に準拠させるために使用されますが、継続的なコンプライアンス監視にも投資する必要があります。 CCPAは発展する可能性が高く、他の州では、より厳格なプライバシー法を可決するための取り組みがすでに強化されています。

2.主要な従業員を雇う

あなたのビジネスのスタッフにコンプライアンスの専門家がいない場合は、今すぐ採用してください。 さらに、会社のWebサイトやシステムなどに必要な変更を実装するには、経験豊富なセキュリティスタッフが必要です。

重要なのは、CCPAコンプライアンスを含む、企業におけるコンプライアンスの取り組みを主導する責任を負うXNUMX人の人物を確保することです。 通常、この人物は経営幹部レベルであり、マネージャーやスタッフをサポートする（またはコンサルタントとして利用できる）その他の専門家がいる場合があります。 ビジネスの規模によっては、コンプライアンスにはチーム全体が必要になる場合があります。

3.データのマッピングと保持のプロセスを開発する

データガバナンスは、大麻ビジネスのCCPAコンプライアンスの重要な部分です。 個人情報がどのように収集されるか、どのように分類されるか、どのように保存されるか、どこに保存されるか、どのように保護されるか、およびビジネスがそのデータの違法な共有、販売、または配布を防ぐ方法を特定するためのプロセスを用意する必要があります。

CCPAには、法律で許可されている期間内に収集されたすべてのデータを、個人情報を要求する消費者に提供できなければならないという規定が含まれています。 個人情報を特定してそのソースにマッピングするプロセスがビジネスにない場合、これらの要求への応答は、不可能ではないにしても、非常に時間がかかる可能性があります。 実際、プロセスが不十分な場合、大麻事業は訴訟や罰則に直面する可能性があります。

4.コンシューマーリクエストレスポンスシステムの開発

CCPAは、企業が収集した個人情報に対する消費者の要求に対応するための期間を企業に提供します。 あなたの会社に対応システムがなく、法律で許可されているように要求された情報を作成できない場合、その時間枠内に適切に対応できない可能性があります。 繰り返しになりますが、結果としてあなたのビジネスは費用のかかる訴訟や罰則に直面する可能性があります。

ビジネスでコンシューマーリクエストレスポンスシステムを開発することが不可欠であり、そのシステムのできるだけ多くを自動化する必要があります。 10か月以内に100件またはXNUMX件のリクエストを受け取ったとします。 システムが自動化されていない場合、ビジネスはそれらの要求のすべてに時間内に応答できず、法的および財政的に多くのトラブルに巻き込まれる可能性があります。

5.消費者オプトアウトシステムを作成する

CCPAの下では、カリフォルニアの消費者はサードパーティのトラッカーと広告技術をオプトアウトする権利を持っています。 そのため、Webサイト、モバイルアプリケーションなどで使用されているすべてのテクノロジーを完全に理解する必要があります。

また、消費者がいつでも追跡をオプトアウトできるように、消費者オプトアウトシステムを作成する必要があります。 消費者要求応答システム（上記の＃4を参照）のように、消費者オプトアウトシステムは可能な限り自動化する必要があります。 これには、今日の開発と実装のコストが高くなりますが、システムを今自動化すれば、後でさらに時間と費用を節約できます。

6.プライバシーポリシーを更新する

CCPAに準拠するには、大麻ビジネスのプライバシーポリシーを更新する必要があります。 プライバシーポリシーの更新とは、内部および外部のプライバシーポリシーと通知の両方を更新することを覚えておいてください。

つまり、この法的要件は、ウェブサイトで公開されているプラ​​イバシーポリシーに適用されるだけではありません。 また、ビジネス全体で使用されるプライバシー関連のポリシー、開示、および通知も指します。

7.法務および規制当局の対応ワークフローを開発する

規制当局がCCPAコンプライアンスプロセスに関する情報を要求した場合、貴社はどのように対応しますか？ 消費者がCCPAに基づいて個人情報に関連する大麻ビジネスに対して民事訴訟を起こした場合はどうなりますか？ どちらもいずれかの時点で発生する可能性があるため、可能な限りシステムを自動化することを含め、応答プロセスを合理化するための適切なワークフローが必要です。

大麻ビジネスのコンプライアンスリーダー（上記の＃2を参照）は対応プロセスを監督する必要がありますが、要求されたデータを収集および提供する役割を持つすべての従業員は、期待される内容を理解する必要があります。 これらのワークフローには、特定の責任とタイムラインを含める必要があります。

8.ポリシーの定義と従業員のトレーニング

すべての大麻ビジネス従業員は、CCPAについてトレーニングを受け、その重要性を理解する必要があります。 彼らは自分の責任を完全に理解し、消費者、規制当局、裁判所のアクションからの情報要求に応じて実行することが期待されるワークフローについてトレーニングを受ける必要があります。

CCPAとプライバシーコンプライアンスのトレーニングはXNUMX回限りのものではありません。 法律が進化し、より多くの州が新しいプライバシー規制を制定するにつれて、大麻ビジネスが常に完全に準拠し続けることを保証するために、更新されたトレーニングが継続的に必要になります。

9.サードパーティのデータとサービスプロバイダーのコンプライアンスを確認する

あなたの会社があなたのビジネスと一緒に、またはあなたのビジネスのためにデータを提供、保存、管理、または収集、共有、販売、または配布するためにサービスプロバイダーまたはサードパーティに依存している場合、あなたは彼らのCCPAコンプライアンスをレビューする必要があります。 さらに、CCPA規制に基づいて必要な変更に対処するために、契約を更新する必要があります。

大麻ビジネスがサービスプロバイダーとサードパーティを継続的に監査し、CCPAとその他すべての連邦および州のプライバシー法を遵守し続けることを確認することが不可欠です。 これは、長期的に企業のリスクを軽減する重要なステップです。

10.カリフォルニア州およびその他の州のプライバシー法を監視する

CCPAは進化し続けるだけでなく、他の 州はプライバシー法を変更しています 企業が個人情報をどのように使用するかを消費者が管理できるようにするため。 繰り返しますが、これらの法律を継続的に監視するために適切なコンプライアンスリーダーとチームを配置する必要があるため、大麻ビジネスは必要に応じて行動を起こすことができます。

CCPAコンプライアンスに関する重要なポイント

大麻企業は、将来の非準拠に関連するリスクを軽減するために、CCPAおよびCPRAに完全に準拠していることを確認するために今すぐ行動を起こす必要があります。 これらの10のステップは、始めるのに役立つはずです。 重要なのは、CCPAの施行がすでに始まっているためにまだ行っていない場合は、今すぐ会社のコンプライアンス戦略と実装に取り​​組み始めることです。

CPRAの施行は1年2023月1日まで開始されませんが、CPRAは2022年XNUMX月XNUMX日以降に収集された個人情報に影響を与えることを理解することが重要です。 CPRAに準拠するための適切なシステムを導入するのに、実際にはXNUMX年しかありません。

に依存する企業の場合 Cannabizメディアライセンスデータベース リードを生み出して成長するために、彼らはすでにCCPAに完全に準拠しているので安心できます。 リンクをクリックすると、詳細を確認できます メールマーケティングとCRMがCCPAに準拠していることを確認する方法.

‍デモを予約する Cannabiz Media License Databaseで、ビジネスの成長にどのように役立つかを確認してください。

‍もともとは3/24/20に発行されました。 12/4/20更新。