カリフォルニア州民が個人情報売買を止められる企業ページの一覧

米国カリフォルニアの新しいプライバシー法が発効した。カリフォルニア州民は、ソーシャルネットワークや銀行、クレジット会社などさまざまな企業が集めている自身の個人データをこれまでよりもコントロールできる。1つだけ落とし穴がある。それは企業はこの法律を歓迎していないということ。多くの企業が法律に反対する動きをとった。

カリフォルニア州消費者プライバシー法(CCPA)では、州民なら誰でも企業が集めた自身についてのデータにアクセスし、コピーを入手することができる。またデータを削除したり、データの売買や収益化をオプトアウト(拒否)する権利も持つ。州レベルのプライバシー法見直しとしては現代では最大のものとなる。州当局はこの法律に違反した企業に対し罰金や制裁を科すことができる。ただし、これは7月からだ。同州で操業する多くのテック大企業がこの法律を遵守する用意ができていないことを考えた時、これはおそらく企業にとって歓迎する点だろう。

欧州のGDPR導入時に、その準備として多くの企業が新しいプライバシールールを作成した。そして消費者がデータにアクセスしたり、広告業者のようなサードパーティーにデータが売却されるのをオプトアウトしたりできる新しいデータポータルを作った。しかしそれらを見つけるのは容易ではない。大半の企業はどこにデータポータルがあるのか明示しておらず、往々にして見つけにくいようプライバシーポリシーの中に埋もれさせている。誰も見つけられないに等しい。

新たな法律が発効してまだ2日しかたっていないが、こうした見つけにくさをなんとかしようと、平凡な州民のために取り組んでいる人がいる。

Damian Finol(ダミアン・フィノル)氏は、カリフォルニアの住人がデータの売買をオプトアウトし、情報を要求できる企業ページの一覧を作成した。頻繁に更新されていて、いくつか挙げると、銀行や小売大手、車レンタルサービス、ゲーミング大企業、携帯電話販売会社などがこれまでのところ含まれている。

Caprivacy.meはカリフォルニア州民が企業に自分のデータを売らないよう意思を伝えたり、企業が蓄えている自身についての情報を請求したりできるページのリンク一覧だ(スクリーンショット:TechCrunch)

このプロジェクトはまだ初期段階にあり、コミュニティの貢献に頼っている(誰でも提案できる)とフィノル氏は話した。1日もたたずしてすでに80件以上のリンクが掲載されている。「私はプライバシーについて高い関心を持ち、個人プライバシーモデルがなんたるかを人々が声高に言えるようにしたい」とTechCrunchに対し語った。

さらに、この取り組みのモチベーションについて「私は1990年代に南米で育った。だから自分自身に関する真実をプライベートにしておくことは私にとって極めて大事なことだった。最近私は中東に住むLGBTQの兄妹のことを考えている。そこではプライバシーが侵害されれば死刑に直面することもありえる」と話した。

一気にすべてオプトアウトするという簡単な方法はまだない。カリフォルニア在住でオプトアウトしたい人はそれぞれのリンクを開いて作業しなければならい。しかし一度やれば、それで作業はおしまいだ。ポットにコーヒーを用意してから始めよう。

画像クレジット:Gallo Images / Getty Images

[原文へ]

(翻訳:Mizoguchi)

カリフォルニア州消費者プライバシー法が1月1日に発効

議論を呼んだ米国カリフォルニア州のプライバシー法が1月1日に正式に発効する。議会で可決後に署名されて1年半が経った。本人の許可なく個人情報を売りさばく法律軽視のテック企業に鉄槌が下されるまであと6カ月だ。

カリフォルニア州消費者プライバシー法(CCPA)は州レベルの法律で、企業には個人情報を収益化する意図をユーザーに通知する義務を課し、個人には収益化をオプトアウト(拒否)する簡明な手段を与える。

基本的な考え方の概要は以下の通りだ。

  • 企業は、収集する情報、その事業上の目的、データを共有する第三者を開示する義務を負う
  • 企業は、消費者が正式にデータ削除を要求した場合、それに従う義務を負う
  • 消費者は自身の個人データ売却をオプトアウトでき、企業は報復措置として価格やサービスレベルを変更できない
  • ただし企業は、データ収集の許可を得るために「金銭的インセンティブ」を申し出ることができる
  • カリフォルニア州当局は、違反に罰金を科す権限を持つ

法律の詳細はここで詳述されているが、企業や規制当局への影響が完全に理解され、また実際に影響が出るまでにはおそらく何年もかかる。とはいえ、直ちに影響を受けることが明らかな業界はパニックに陥っている。

インターネットに頼る著名な企業がCCPAに公然と反対している。企業は「そんな規制は不要だ」と発言するのを注意して避けてきた一方で、この規制は不要だと表明している。企業が必要だと表明しているのは連邦法だ。

字面だけ見ればこれは正しい。連邦法であれば、より多くの人々が保護され、企業のペーパーワークが減る。企業は、自社のプライバシーポリシーと報告がCCPAの要件を満たすようにしなければならない。だが、企業による連邦規制の要求は明らかに牛歩戦術だ。連邦レベルでの適切な法案は、大統領が弾劾されようとしている選挙の年はもちろん、最適な時期であっても1年以上の集中的な作業が必要となる。

そのため、カリフォルニア州は賢明にも事を進め住民を保護する制度を整備したが、結果としてカリフォルニアに拠点を置く多くの企業の怒りを買うことになった。

1月1日のCCPA正式発効後、6カ月の猶予期間がある。これは正常かつ必要な措置で、悪意のない間違いによる法律違反が罰せられるのを防ぎ、システム内で必ず発生するバグに対応する目的がある。

だが6月以降は、違反1件につき数千ドル(数十万円)規模の罰金が科される。Google(グーグル)やFacebook(フェイスブック)などの企業規模ではすぐに巨額になってしまう。

CCPAへの対応は難しいが、欧州でのGDPR(EU一般データ保護規則)の運用が示しているように、不可能とはほど遠い。CCPAの要求はあらゆる点でGDPRより厳しくない。それでも、あなたの会社がまだコンプライアンスに取り組んでいないなら、始めることを推奨する。

画像クレジット:Lee Woodgate / Getty Images

参考:シリコンバレーが恐れる米カリフォルニア州のプライバシー法

[原文へ]

(翻訳:Mizoguchi)