あなたの自動車販売店はFTCに対応していますか？

カーディーラーに対するサイバーセキュリティとプライバシーの要求は、急速に高まっています。カーディーラー（その多くは機密性の高いPIIを大量に処理する）は、顧客データの保護を保証するために、一定のサイバーセキュリティおよびプライバシー保護措置の導入を義務付けられました。2021年10月、FTCは、違反に対する罰則強化とともに、1件あたり1日11000ドルの罰金という新要件を実施しました。

新要件の概要は以下のとおりです。

• カーディーラーは、この規則の遵守を監督する責任者として、プログラムコーディネーターを任命しなければなりません。
  
• 自動車販売店はリスクアセスメントを実施する必要があります。
  
• カーディーラーは、情報セキュリティプログラムを策定し、文書で文書化する必要があります。
  
• カーディーラーはサービスプロバイダーを監督する必要があります。
  
• カーディーラーは、情報セキュリティプログラムに関して、更新、維持、およびトレーニングを行う必要があります。
  

この新法律では、コンプライアンスを満たすために、財政的・時間的な投資が必要となる。カーディーラーは、このプレッシャーを軽減するために第三者を活用するか、社内に専門知識を導入するか、後者の方がよりコストがかかるという選択肢を取ることができる。

なぜコンプライアンスに対応するのか？

リース、ローン、その他の金融サービスやアドバイスの提供などの活動に従事する場合、これらのサービスを提供するために収集した個人情報は、プライバシー規則の対象となります。この規制がディーラーに与える最大の影響は、1件につき1日11,000ドルという罰金です。

よくあるご質問をまとめました。

プライバシー・ルールの規定は、私に適用されるのでしょうか？

カーディーラーがプライバシールールの要件に従うのは、以下の場合です。

• 個人・家族・家庭用の自動車購入に関連して、顧客に信用を供与すること（例えば、小売割賦契約を通じて）。
  
• 個人、家族、または家庭で使用する自動車の代金やリースを誰かに手配する。
  
• 経済的な支援やカウンセリングを個人に提供する。
  
• 車両を購入する、またはリースする人を手配する。
  

当該個人が伝統的な意味での申込書を提出していなくても、自動車の融資やリースの可能性に関連して当該個人の個人情報を収集する場合、プライバシー規則の要件に従うことになります。その人が現金で車を購入したり、他の金融業者を通じて自分で融資を手配したりする場合は、個人間取引と見なされるため、プライバシー規則は適用されません。

ショールームに来店されたお客様一人ひとりに、プライバシーに関する注意事項を説明する必要がありますか？

単に自動車の購入に関心を示したり、融資やリースに関する基本的な問い合わせをしたりする人については、いかなる場合であってもプライバシーに関する通知を提供する必要はない。ただし、正式な申し込みでなくても、潜在的な取引に関連して個人情報を提供する場合、例えば、金融パッケージの見積もりを取るために個人情報を提供する場合、あなたは果たすべき他の義務がある場合があります。例えば、金融パッケージの見積もりを得るために個人情報を提供した場合、関連当局にその情報を開示することが求められる場合があります。詳細については、質問3を参照してください。

どのような場合に、誰かにプライバシー通知を提供する必要があるのでしょうか？

その答えは、問題の個人が「消費者」と見なされるか「顧客」と見なされるかで決まりますが、これらの用語は両方ともプライバシー規則によって異なる定義がなされています。ある人があなたから自動車の融資やリースを受けるために個人情報を提供する場合、その人は「消費者」になったと見なされます。顧客に対してプライバシーに関する通知（およびオプトアウトに関する通知）を行う必要があるのは、顧客の個人情報を自社と関係のない第三者に開示する場合のみです。

ただし、この要件にはいくつかの例外があり、プライバシー規則では、セクション313.14および313.15にその概要が示されています。これらの除外は、消費者の同意を得て行われる開示、法執行機関の目的のために必要な開示、および消費者が要求されたトランザクションを実行するために提供される開示が含まれています。誰かが車を買うためにあなたと購入契約を結ぶと、あなたはどちらか信用でそれらを提供したり、信用でそれらを提供するために他の誰かのために手配を行う、あなたは "顧客 "としてその人を参照することがあります。あなたとリース契約を結んだ後、その人はあなたから製品やサービスを購入しているという意味で、「顧客」と見なされます。お客様の個人情報を第三者と共有する意図がない場合でも、小売割賦契約またはリース契約の締結前に、プライバシー通知を提供することが義務付けられています。これは、あなたが彼らにリースしているか、彼らのためにクレジットを手配している場合である。

私は個人向けに自動車をレンタルしています。プライバシー・ルールのどの条項が私の状況に関係しますか？

自動車をノンオペレーティングでリースし、その最初の期間が90日以上である場合、プライバシー規則の要件に従わなければなりません。リースが「ノンオペレーティング」と表現される場合、その契約には、例えばレンタカーサービスとは対照的に、いかなる種類の保守または修理サービスも含まれないことを示します。質問3で提示したガイドラインは、個人情報保護に関する通知を提供する必要があるか否かを判断する際にも適用されます。

プライバシー・ルールは、自動車の購入やリースに関連して収集するすべての情報に適用されるのでしょうか？

原則として、個人的、家庭的、または家族的な使用のために自動車を融資またはリースする過程で収集した個人を特定できる情報は、プライバシー規則に含まれます。ただし、以下の情報は含まれません： l お客様が資金調達に関与していない販売過程で得られた個人情報（例えば、個人が自分で資金を確保した場合や現金で支払った場合）、 l 個人情報を含まない販売数、および l 個人の資金調達やリース方法に関する情報から派生しない一般小売店販売数データ。

この運用の例を挙げると、以下のようになります。ただし、そのリストが、顧客が自動車の代金を支払った方法を開示せず、購入者が購入資金を調達した方法に関するいかなる情報からも導き出されたものでないことが条件です。一方、どの消費者が自動車を融資またはリースしたかをリストが示している場合は、規則の要件を満たします。自動車の融資またはリースの申込書を貴社に提出した個人のリストも、この適用範囲に含まれる。