プライバシー保護のための、最初の一歩となれるか?
カリフォルニア州で施行される、非常に厳しいデータプライバシー法に合わせ、現在アプリや店舗が一斉に大慌てで「私の情報を売らない」通知を表示させようとしています。そのおかげで、カリフォルニア州は現在、企業がいかに州民を監視し搾取しているかを示す、貴重なサンプルとなっています。
2020年の元旦から施行されるCalifornia Consumer Privacy Act(CCPA、カリフォルニア州消費者プライバシー法)は、州でビジネスを行なっている企業に対し、消費者が自身の情報を売られることを拒否できるよう強制するものです。それだけでなく、情報を消去したり、どういった情報が収集されていたのかを見たりすることも、できるようにしなければいけません。企業が法の施行に間に合わなかった場合、消費者は企業を相手取って訴訟を起こし、違反一回ごとに最高で2,500ドル(約27万円)を請求できます。また、企業が意図的に違反した場合は最高7,500ドル(約8万1千円)まで請求できます。
曖昧な定義の「個人情報」
この法律の「個人情報」の定義は曖昧で、識別情報(住所、氏名、オンラインハンドル、IPアドレス等)、購入履歴、地域情報、オーディオ/ビデオ、生体データ、消費者の性格や精神的傾向について推測したもの、更には匂いまで(これで、Amazonがあなたの匂いを嗅いでいるかわかりますね!)含まれ、それだけに留まらない可能性もあります。この法のおかげで、カリフォルニア州民は情報の元や、情報を共有しているサードパーティ企業の種類、そしてどういうカテゴリー分けをされているかを知ることができます。
この法律が適用されるのは、「一年の売上高が2,500万ドル(約25億円)以上の企業」、「5万人以上の消費者のデータを営利目的で売買、または収集している企業」、そして「消費者の個人情報を売ることで、50%以上の収益を得ている企業」です。Reutersが報じているように、これが意味することは単なるアプリやtarget.comのポップアップ通知だけでなく、Walmart(ウォルマート)のような実店舗も告知を貼る必要があるということです。
多くの企業が間に合わせるために、去年から行動を開始していました。8月にカリフォルニア州司法省が出資して独立調査を行ったところ、施行後最初のコンプライアンスの為に企業にかかる費用は550億ドル(約6兆円)と見積もられました。
「米国のほとんどの企業は、CCPAへの対応が大きく遅れています」と米Gizmodoにメールで答えたのは、ソフトウェアセキュリティ企業、Security Compassの研究主任であるAltaz Valani氏。
EUにも支社がある米国企業のなかで、GDPR(EUの「一般データ保護規則」)が施行された際にプライバシー保護規則を変えて積極的に対応した企業は、コンプライアンスに関して先をいっていますが、他のほとんどの企業はまだ準備モードで、2020年1月1日の期限には間に合わないと予想されます。
実はカリフォルニア州は、トランプ政権下のFCC(連邦通信委員会)が軽んじてサボってきたことを代わりにやっているようなもので、その影響は州境を超えようとしています。Home Depot(ホームデポ)とMicrosoft(マイクロソフト)は同じ制度を全国の消費者に適用すると発表しており、一方Timesによりますと、職業検索サイトIndeedは、情報を売ることを拒否するユーザーは、アカウントを消去すると発表しています。
法をかいくぐる企業も現れる予感
プライバシーに関するコンプライアンスを専門に扱う企業、TrustArcで幹部を務めるHilary Wandall氏は、米Gizmodoに対し、企業はプライバシーポリシーやベンダーとの契約を更新し、法をかいくぐろうとするだろうと予測しているそうです。「法律の定義が非常に曖昧で、範囲に関して共通の理解がありません。その結果、企業ごとに対応が異なり、一貫した適用が行われず、消費者に混乱を呼ぶことが予想されます」。
初期の法案には、Facebook(フェイスブック)によるCambridge Analytica(ケンブリッジ・アナリティカ)スキャンダルが発案の理由と書かれています。それだけでなく、過去数年のニュースは、消費者の情報が悪用されていることを明確にしています。一昨年、New York Timesは多くのアプリがどれだけ多くの個人情報を収集し、拡散させているかを報じました、例えば、IBMのWeather Channelアプリはヘッジファンドのために情報を収集、解析していたことがわかっています。去年の1月にはMotherboardが実験を行い、バウンティーハンターに300ドル(約3万2千円)を支払って携帯の位置を探させたところ、大手キャリアが中間業者に売ったデータを元に場所を特定しました(T-MobileがTimesに語ったところによると、同社はそういったことをやめるとのことですが、詳細は語らなかったそうです)。またTimesは12月の初め、1200万人分の個人情報を分析しました。情報を集めたのは、誰も聞いたことがなく、「Skyhook」「Gimbal」「SafeGraph」など曖昧な名前の企業でした。最後の企業に至っては、消費者の行動のデータを「プレビューし、購入する」ことを堂々と宣伝しています。
Timesは、データの収集があまりに広範囲で行われており、法律がカリフォルニア州で営業しているビジネスのみに適用されるので、実際どれだけの効果があるかは分からないとしています。また、法律は「業務の内容上適切であると考えられる」利用目的のデータは、消費者の選択にかかわらず、企業に保持を許可しています。つまり、(法案に反対していた)Facebookのような企業は、即座に倒産とはならなそうです。Facebookは中間業者を通すことなく、社内でユーザの情報を解析し、無名の統計データとして使いやすくパッケージングしたうえで、販売して収益を得ています(ちなみにFacebookでは、ユーザーは自身に関して収集されている情報を既に閲覧可能です)。Facebookは、このサービスが運営に必要不可欠だと頻繁に説明しており、同時に「Facebookや関連商品を使いたくないなら、それも自由」と言いながら、私たちが使わざるをえないことを、さりげなく思い出させてくれます。
Timesによりますと、カリフォルニア州司法長官事務所は、企業のためのより明確なガイドラインを2020年中頃に公開する予定だそうです。
