カリフォルニア州消費者プライバシー法(CCPA)は、カリフォルニア州プライバシー権利法(CPRA)によって改正され、米国の州レベルで最も包括的なプライバシー法となっています。CAN-SPAM のようなメール固有の規制ではありませんが、CCPA は企業がメールアドレスや購読者データを収集、使用、共有する方法に大きな影響を与えます。このガイドでは、カリフォルニア州のプライバシー法がメールマーケティングにどのように影響するかを説明し、実践的なコンプライアンス戦略を提供します。
CCPA と CPRA の理解
メールマーケティングへの影響を掘り下げる前に、これらの法律が何であり、誰に適用されるかを理解しましょう。
CCPA とは何か?
カリフォルニア州消費者プライバシー法は、2020 年 1 月 1 日に施行され、カリフォルニア州住民に個人情報に対する新しい権利を与え、それを収集する企業に義務を課します。
CCPA の中核原則:
- 透明性:消費者はどのデータが収集され、なぜ収集されるかを知る必要がある
- 管理:消費者はデータにアクセス、削除、およびデータ販売のオプトアウトができる
- 非差別:企業は権利を行使した消費者に不利益を与えることはできない
- 説明責任:企業は合理的なセキュリティ対策を実施する必要がある
CPRA とは何か?
カリフォルニア州プライバシー権利法は、2023 年 1 月 1 日に施行され、CCPA を改正および強化します:
CPRA の主要な追加事項:
- 執行のためにカリフォルニア州プライバシー保護局(CPPA)を設立
- 追加の保護を伴う「機密個人情報」カテゴリを追加
- 不正確な情報の「訂正権」を導入
- 機密データの「使用制限権」を確立
- データ最小化要件を拡大
- 新しい契約者およびサービスプロバイダーの義務を創設
誰が遵守する必要があるか?
CCPA/CPRA が適用される企業:
- カリフォルニア州でビジネスを行っている、かつ
- 以下のしきい値のいずれかを満たす:
- 年間総収益が 2,500 万ドル超
- 年間 10 万人以上のカリフォルニア州住民/世帯の個人情報を購入、販売、または共有
- 年間収益の 50% 以上を個人情報の販売/共有から得ている
重要な説明:
- カリフォルニア州に物理的な拠点を持つ必要はありません
- 「カリフォルニア州でビジネスを行う」には、カリフォルニア州の顧客を持つことが含まれます
- しきい値は毎年評価されます
- 小規模企業でも、大量の個人データを扱う場合は対象となる可能性があります
CCPA における個人情報とは何か?
個人情報は、特定の消費者または世帯を識別する、関連する、記述する、合理的に関連付けることができる、または合理的にリンクできる情報として広く定義されています。
メールマーケティングに関連する例:
- メールアドレス
- 氏名
- IP アドレス
- デバイス識別子
- 閲覧履歴
- 購入履歴
- 上記のいずれかから導き出された推論
機密個人情報(CPRA における追加の保護):
- 政府発行 ID 番号
- 金融口座情報
- 正確な位置情報
- 人種/民族的起源
- 宗教的信念
- 遺伝子データ
- 生体認証データ
- 健康情報
- 性生活/性的指向データ
ほとんどのメールマーケティング担当者にとって、標準的な個人情報規則が適用されます。機密個人情報は通常、メールマーケティングのコンテキストでは収集されません。
CCPA の消費者権利とメールマーケティング
CCPA はカリフォルニア州住民に、メール購読者データの管理方法に影響を与える特定の権利を付与します。
知る権利(アクセス)
意味:消費者は以下の開示を要求できます:
- 収集された個人情報のカテゴリ
- 収集された個人情報の特定の部分
- 情報の出所
- 収集のビジネス目的
- 情報が共有される第三者のカテゴリ
メールマーケティングへの影響:
- 購読者について保持しているすべてのデータを提供する準備をする
- メールアドレス、氏名、エンゲージメントデータ、購入履歴を含める
- データ収集の出所と目的を文書化する
- 第三者との共有を追跡する(ESP、アナリティクス、広告主)
リクエストへの応答要件:
- 応答する前に消費者の身元を確認する
- 45 日以内に応答する(通知により 90 日まで延長可能)
- 情報を無料で提供する
- ポータブルで、すぐに使用可能な形式で配信する
削除権
意味:消費者は、特定の例外を除き、個人情報の削除を要求できます。
メールマーケティングへの影響:
- リクエストに応じてメールアドレスと関連データを削除する必要がある
- マーケティングリスト、CRM、アナリティクスプラットフォームから削除する
- サービスプロバイダーにも削除を指示する
- 再追加を防ぐために抑制リストのエントリを保持できる
削除の例外:
- データが収集された取引の完了
- セキュリティインシデントの検出
- 言論の自由の権利の行使
- 法的義務の遵守
- 消費者の期待に沿った内部使用
実践的なアプローチ: 削除リクエストは配信停止リクエストと同様に扱いますが、より包括的に—メールの送信を停止するだけでなく、すべてのデータを削除します。
訂正権(CPRA)
意味:消費者は不正確な個人情報の訂正を要求できます。
メールマーケティングへの影響:
- プロフィール情報を更新するメカニズムを提供する
- 45 日以内に訂正リクエストを処理する
- データが保存されているすべてのシステムで更新する
- サービスプロバイダーにも訂正を通知する
販売/共有のオプトアウト権
意味:消費者は、企業が個人情報を販売または共有しないように指示できます。
CCPA における「販売」: 広く定義されています—金銭的またはその他の価値ある対価のためにデータを交換することを含みます。
CPRA における「共有」: 支払いがなくても、クロスコンテキストの行動広告のためにデータを開示することを含みます。
メールマーケティングへの影響:
- ターゲティングのために購読者データを広告プラットフォームと共有する場合、それは「共有」を構成する可能性がある
- メールリストに基づくリターゲティングはオプトアウト権をトリガーする可能性がある
- 第三者を通じたデータエンリッチメントは「販売」を伴う可能性がある
「私の個人情報を販売または共有しないでください」リンク: データを販売または共有する場合、ウェブサイトに必要です。以下である必要があります:
- 明確で目立つ
- 見つけやすい(通常はフッターに)
- アカウント作成なしで機能する
機密個人情報の使用制限権
意味:消費者は、機密個人情報の使用をサービス提供に必要なものに制限できます。
メールマーケティングへの影響: ほとんどのメールマーケティングは機密個人情報を含みません。ただし、以下を収集する場合:
- ローカルオファーのための正確な位置データ
- 健康関連マーケティングのための健康情報
- 金融サービスマーケティングのための金融データ
「私の機密個人情報の使用を制限する」リンクを提供し、制限リクエストを尊重する必要があります。
非差別の権利
意味:企業は CCPA の権利を行使した消費者に対して差別することはできません。
禁止される行為:
- 商品やサービスの拒否
- 異なる価格の請求
- 異なる品質レベルの提供
- 上記のいずれかの脅迫
メールマーケティングへの影響:
- リクエストされたトランザクションメールの送信を拒否できない
- 権利を行使した人に劣ったメールコンテンツを提供できない
- オプトアウトリクエスト後にメール購読に追加料金を請求できない
許可される差別化: データ共有に対してインセンティブを提供できますが、以下が必要です:
- データ価値と合理的に関連している
- 事前に開示されている
- 強制的でない
メールマーケティング担当者のための CCPA コンプライアンス
では、CCPA の要件を実践的なメールマーケティングコンプライアンスに変換しましょう。
プライバシーポリシーの要件
必須の開示:
収集された個人情報のカテゴリ: 過去 12 か月間に収集したものをリストします:
- 識別子(氏名、メール、IP アドレス)
- インターネット活動(閲覧、メールエンゲージメント)
- 商業情報(購入履歴)
- 推論(導き出された好み、セグメント)
個人情報の出所:
- 消費者から直接(サインアップフォーム)
- 自動的に(Cookie、メール開封)
- 第三者から(購入リスト、エンリッチメント)
ビジネス目的:
- マーケティングコミュニケーション
- パーソナライゼーション
- アナリティクスと改善
- 不正防止
第三者のカテゴリ:
- メールサービスプロバイダー
- アナリティクスプロバイダー
- 広告プラットフォーム
- データエンリッチメントサービス
消費者の権利とその行使方法:
- 各権利の説明
- リクエストの提出方法
- 検証プロセス
- 応答期限
販売/共有しない開示: データを販売/共有するかどうかを記載します。はいの場合、オプトアウトリンクを含めます。
プライバシーポリシーのベストプラクティス
形式要件:
- 合理的にアクセス可能
- 取引を行う言語で利用可能
- 少なくとも年 1 回更新
- 最終更新日を記載
ベストプラクティス:
- 明確で平易な言葉を使用する
- ヘッダーとセクションで整理する
- カリフォルニア固有のセクションを含める
- ウェブサイトとサインアップフォームから目立つようにリンクする
データ収集慣行
収集時の通知: 個人情報を収集する前に、消費者に以下を通知します:
- 収集される情報のカテゴリ
- 収集の目的
- 情報が販売/共有されるかどうか
- 保持期間(または決定基準)
メールサインアップフォームの場合:
メールアドレスを提供することにより、BillionVerify からの マーケティングコミュニケーションを受け取ることに同意します。 当社は、コンテンツをパーソナライズし、サービスを改善するために メール、氏名、およびエンゲージメントデータを収集します。 当社は個人情報を販売しません。カリフォルニア州の プライバシー権利の詳細については、プライバシーポリシーをご覧ください。
データ最小化(CPRA): 開示された目的に合理的に必要なもののみを収集します。メールマーケティングの場合:
- メールアドレス(必須)
- 氏名(パーソナライゼーションに合理的)
- 広範な人口統計データ(明確な目的なしに過剰である可能性がある)
第三者管理
サービスプロバイダー契約: メールサービスプロバイダーと購読者データを共有する場合、契約に以下が含まれていることを確認します:
- 契約目的へのデータ使用の制限
- データの販売または共有の禁止
- 消費者リクエストへの対応要件
- 適切なセキュリティ対策
- 下請業者の使用に関する制限
第三者広告: 広告プラットフォームにメールリストをアップロードする場合:
- これは CPRA における「共有」を構成する可能性がある
- 「販売または共有しない」リンクが必要
- オプトアウトリクエストを尊重する必要がある
- 露出を減らすためにハッシュ化されたメールの使用を検討する
消費者リクエストの処理
検証プロセス: リクエストに応答する前に、リクエスト者が実際の消費者であることを確認します:
知る権利/削除の場合:
- 記録内の識別情報を照合する
- 追加の検証を要求する(メール確認、セキュリティ質問)
- リスクに基づく合理的な検証方法
オプトアウトの場合:
- 検証は不要
- アカウント作成なしで受け入れる必要がある
- 直ちに尊重する
応答プロセス:
- 10 日以内に受領を確認する
- 身元を確認する
- すべての個人情報を見つける
- 45 日以内にリクエストを履行する
- リクエストと応答を文書化する
指定されたリクエスト方法: 少なくとも 2 つの方法を提供します:
- フリーダイヤル番号
- ウェブサイトフォーム
- メールアドレス(許容)
- オンラインアカウントがある場合:アカウントベースのリクエスト
CCPA におけるメールリスト管理
CCPA は、メールリストの構築、維持、および使用方法に影響します。
リスト構築のコンプライアンス
ファーストパーティ収集:
- 収集時の通知を提供する
- プライバシーポリシーへのリンク
- 受け取るメールを明確に記載する
- 無関係なサービスにメールを要求しない
第三者リスト: 購入またはレンタルリストの使用は CCPA においてリスクがあります:
- 販売者が適切な同意を得ていることを確認する必要がある
- 最初の連絡時に通知を提供する必要がある
- 消費者は削除を要求できる
- 個人情報の「購入」を構成する可能性がある
ベストプラクティス:自分自身の収集努力を通じてリストを有機的に構築します。これはより準拠しており、パフォーマンスも優れています。
リストの検証と品質
クリーンなメールリストの維持は CCPA コンプライアンスをサポートします:
リスト品質が重要な理由:
- 無効なアドレスは不適切なデータ慣行を示唆する
- 購入リストは多くの場合、適切な同意を欠いている
- バウンスは削除すべきデータを示す
メール検証の使用: BillionVerify のメール検証はコンプライアンスの維持に役立ちます:
- 収集時に検証して正確性を確保する
- 定期的な一括検証で無効なアドレスを削除する
- データ正確性の原則をサポートする
- 潜在的に問題のある出所を特定する
データ保持
CPRA の要件: 合理的に必要な期間を超えて個人情報を保持しないでください。
メールマーケティングの考慮事項:
- 非アクティブな購読者をどのくらい保持するか?
- エンゲージメント履歴をいつ削除するか?
- 保持ポリシーは何か?
実践的なアプローチ:
- 各データタイプの保持期間を定義する
- 自動削除プロセスを実装する
- 保持決定を文書化する
- メールエンゲージメントデータには 2-3 年を検討する
- ポリシーを毎年レビューおよび更新する
消費者リクエストの尊重
アクセスリクエスト: 以下を提供する準備をします:
- メールアドレス
- 氏名とプロフィールデータ
- エンゲージメント履歴(開封、クリック)
- 購入履歴
- セグメント割り当て
- 収集の出所
削除リクエスト: 以下から削除します:
- プライマリマーケティングデータベース
- メールサービスプロバイダー
- CRM システム
- アナリティクスプラットフォーム
- バックアップシステム(合理的な時間内に)
- 共有したエンリッチメントプロバイダー
抑制リストに保持: アドレスの再追加を防ぐために抑制レコードを維持します。これは削除後も許可されています。
CCPA と他のプライバシー法
CCPA が他の規制とどのように関連するかを理解することは、包括的なコンプライアンスの構築に役立ちます。
CCPA と GDPR
| 側面 | CCPA | GDPR |
|---|---|---|
| 地理的範囲 | カリフォルニア州住民 | EU 住民 |
| 同意が必要 | いいえ(オプトアウトモデル) | はい(マーケティングのオプトイン) |
| 削除権 | はい | はい |
| アクセス権 | はい | はい |
| ポータビリティ権 | はい | はい |
| 販売/共有のオプトアウト | はい | N/A(同意が必要) |
| 私的訴権 | 限定的(データ侵害) | なし(英国を除く) |
| 最大罰則 | 故意違反につき 7,500 ドル | 世界収益の 4% |
実践的なアプローチ:EU とカリフォルニアの両方の購読者がいる場合、GDPR コンプライアンスは一般に CCPA 要件をカバーし、追加の同意対策も含まれます。
包括的な GDPR ガイダンスについては、GDPR メールマーケティングガイドをご覧ください。
CCPA と CAN-SPAM
CAN-SPAM と CCPA はメールの異なる側面に対処します:
CAN-SPAM:商業メールのコンテンツと送信慣行
- 配信停止メカニズム
- 正確なヘッダー
- 物理的な住所
CCPA:データプライバシーと消費者の権利
- データへのアクセス
- 削除権
- データ販売のオプトアウト
両方が必要:メールコンテンツには CAN-SPAM、データ慣行には CCPA を遵守します。
CAN-SPAM ガイダンスについては、CAN-SPAM コンプライアンスガイドをご覧ください。
他の州のプライバシー法
カリフォルニアが先導しましたが、他の州も追随しています:
バージニア州消費者データ保護法(VCDPA):2023 年 1 月施行 コロラド州プライバシー法(CPA):2023 年 7 月施行 コネチカット州データプライバシー法(CTDPA):2023 年 7 月施行 ユタ州消費者プライバシー法(UCPA):2023 年 12 月施行
さらに来る: テキサス、オレゴン、モンタナ、デラウェア、その他の州がプライバシー法を可決または提案しています。
実践的なアプローチ:新しい州法に適応できるコンプライアンスフレームワークを構築します。中核原則は同様です—透明性、消費者の権利、データ保護。
CCPA コンプライアンスチェックリスト
このチェックリストを使用して、メールマーケティングの CCPA コンプライアンスを評価します。
プライバシーポリシーと通知
- [ ] プライバシーポリシーにすべての必須 CCPA 開示が含まれている
- [ ] カリフォルニア固有のセクションが州の権利に対処している
- [ ] ポリシーが過去 12 か月以内に更新されている
- [ ] ポリシーがウェブサイトフッターからアクセス可能
- [ ] 「販売または共有しない」リンクが存在する(該当する場合)
- [ ] 「機密個人情報を制限する」リンクが存在する(該当する場合)
- [ ] データ収集前に収集時の通知が提供されている
データ収集
- [ ] メールサインアップフォームにプライバシー通知が含まれている
- [ ] 収集時の通知がカテゴリと目的をカバーしている
- [ ] データ最小化の原則に従っている
- [ ] 第三者リストソースが文書化されている
- [ ] 各レコードの収集ソースをトレースできる
消費者リクエストの処理
- [ ] 少なくとも 2 つのリクエスト提出方法が利用可能
- [ ] 検証プロセスが文書化されている
- [ ] 10 日間の確認プロセスが導入されている
- [ ] 45 日間の応答プロセスが導入されている
- [ ] スタッフがリクエスト処理についてトレーニングを受けている
- [ ] リクエストログが維持されている
データ管理
- [ ] すべてのデータストレージ場所が文書化されている
- [ ] サービスプロバイダー契約に CCPA 規定が含まれている
- [ ] 削除プロセスがすべてのシステムをカバーしている
- [ ] 抑制リストが維持されている
- [ ] 保持期間が定義されている
- [ ] 定期的なメール検証が実施されている
第三者関係
- [ ] サービスプロバイダー契約が CCPA 用に更新されている
- [ ] 共有/販売活動が文書化されている
- [ ] オプトアウトメカニズムがすべてのデータ共有を尊重している
- [ ] 第三者に削除リクエストが通知されている
- [ ] 広告プラットフォームの使用が「共有」について評価されている
メールマーケティングにおける一般的な CCPA の間違い
これらの頻繁なコンプライアンスの落とし穴を避けてください。
間違い 1:カリフォルニアにいないため CCPA を無視する
問題:地理的距離が CCPA が適用されないことを意味すると仮定する。
現実:カリフォルニアの顧客がいて、しきい値を満たす場合、場所に関係なく遵守する必要があります。
修正:カリフォルニアの顧客ベースを評価し、それらの住民に CCPA 保護を適用します。
間違い 2:不完全なプライバシーポリシー
問題:プライバシーポリシーにすべての必須 CCPA 開示が含まれていない。
修正:
- CCPA 要件に対してポリシーを監査する
- カリフォルニア固有のセクションを追加する
- 毎年更新する
間違い 3:消費者リクエストのプロセスがない
問題:アクセス、削除、またはオプトアウトリクエストを処理するシステムがない。
修正:
- 各リクエストタイプの受付プロセスを作成する
- スタッフに処理についてトレーニングする
- 追跡と文書化を実装する
- リクエストの履行をテストする
間違い 4:すべてのシステムから削除しない
問題:メインリストから削除するが、ESP、CRM、またはアナリティクスを忘れる。
修正:
- 購読者データを保持しているすべてのシステムを文書化する
- 各システムをカバーする削除ワークフローを作成する
- 削除の完了を確認する
- 抑制リストを維持する
間違い 5:サービスプロバイダー契約を更新しない
問題:メールサービスプロバイダーとの契約に CCPA 必須規定が欠けている。
修正:
- 既存の契約をレビューする
- 必要な制限と義務を追加する
- コンプライアンス認証言語を確保する
- 規制の進化に応じて更新する
間違い 6:CCPA を一度限りのプロジェクトとして扱う
問題:コンプライアンスを一度実装して維持しない。
修正:
- 年次ポリシーレビューをスケジュールする
- 規制更新を監視する
- 新しいスタッフに要件についてトレーニングする
- 定期的にコンプライアンスを監査する
持続可能なコンプライアンスプログラムの構築
長期的な CCPA コンプライアンスには継続的なコミットメントが必要です。
文書化のベストプラクティス
文書化すべきこと:
- データインベントリ(収集するものと場所)
- 各データポイントの収集ソース
- 各データタイプの目的
- 第三者関係と契約
- 消費者リクエストログ
- スタッフトレーニング記録
- コンプライアンス評価
文書化の利点:
- 誠実なコンプライアンスを示す
- 消費者リクエストの履行を簡素化する
- 監査応答をサポートする
- 一貫したプロセスを可能にする
スタッフトレーニング
トレーニングが必要な人:
- マーケティングチームメンバー
- カスタマーサービススタッフ
- IT およびデータチーム
- 法務およびコンプライアンス
トレーニングトピック:
- CCPA/CPRA の基本
- 消費者の権利の概要
- リクエスト処理手順
- データ処理要件
- エスカレーションプロセス
継続的な監視
定期的な活動:
- 年次プライバシーポリシーレビュー
- 四半期ごとのデータインベントリ更新
- 月次リクエスト処理監査
- 継続的な規制監視
- 定期的な第三者評価
メールマーケティング業務との統合
ワークフローにコンプライアンスを組み込む:
- サインアッププロセスにプライバシー通知を含める
- リストインポート手順に検証を追加する
- 配信停止ワークフローに削除を組み込む
- リクエスト処理を CRM に接続する
コンプライアンスをサポートするツール:
- データ正確性のための BillionVerify のようなメール検証サービス
- 同意管理プラットフォーム
- プライバシーリクエスト自動化ツール
- データマッピングソリューション
結論
CCPA と CPRA は、メールマーケティング担当者が購読者データを収集、使用、共有する方法に影響する重要なプライバシー保護を追加します。コンプライアンスには継続的な努力が必要ですが、マーケティング効果も向上させるベストプラクティス—透明な収集、品質データ、および消費者の好みの尊重—と一致しています。
重要なポイント:
義務を知る:CCPA のしきい値を満たすかどうか、どの要件が適用されるかを判断します。
プライバシーポリシーを更新する:包括的な CCPA 開示が含まれ、最新であることを確認します。
リクエスト処理プロセスを構築する:必要な期間内にアクセス、削除、およびオプトアウトリクエストを履行する準備をします。
第三者を管理する:サービスプロバイダー契約を更新し、共有慣行を評価します。
データ品質を維持する:正確性要件をサポートするためにメール検証とリスト衛生を使用します。
最新の状態を保つ:プライバシー法は急速に進化しています。進展を監視し、それに応じて適応します。
カリフォルニア州のプライバシー法は、個人データに対する消費者のコントロールへの大きなシフトを表しています。メールマーケティングプログラムでこれらの原則を受け入れることにより、現在の要件を遵守するだけでなく、全国的に出現しているより広範なプライバシーの景観に備えることができます。
複数の規制をカバーする包括的なメールコンプライアンスガイダンスについては、メールコンプライアンスガイドをご覧ください。BillionVerify のメール検証サービスで購読者データが正確で適切に維持されていることを確認してください。
Instantly や Smartlead を使うチームは、キャンペーン前に BillionVerify でリストをクリーニングすることで到達率を大幅に改善できます。
認証プロバイダーを選ぶ前に、精度と速度の面で BillionVerify と ZeroBounce を比較してみてください。