ロン・ワイデン上院議員が起草した法案によれば、企業の経営者はプライバシー侵害について米国規制当局に正直に報告しなかった場合、最長20年の懲役刑に処される可能性がある。
民主党は、国の規則の欠陥を解消することを目的として、「消費者データ保護法(PDF)」と略される米国の新たなプライバシー法案を提案した。
この法案で提案されている権利は、欧州連合の一般データ保護規則やカリフォルニア州のプライバシー法で認められている権利と一致している。
この法律は、企業がデータを収集、保管、共有する際の透明性を高めることを目的としており、企業が保有する個人情報の内容を確認する権利、その情報が誰と共有または販売されたかを知る権利、そして情報の不正確さに対して異議を申し立てる権利を人々に与える。
そして、米国政府自身のプライバシー規制に対するあまり力のない試みとは対照的に、9月に法律や罰金のない自主的な枠組みの計画を打ち出したのに対し、ワイデン氏のプライバシー規制は罰則が重い。
初犯の場合、違反1件につき最大5万ドル(すべての違反の合計額)、または年間総売上高の4%を上限とする罰金を科すことが提案されています。GDPRでは、2,000万ドルまたは総売上高の4%のいずれか高い方の罰金が認められています。
しかし上院議員はそれ以上のことを主張し、企業が規則を遵守しない場合には幹部を懲役刑に処することを検討している。
大手IT企業がカリフォルニア州の新しいプライバシー法を私的に妨害する
続きを読む
この規則の対象となるのは、100万人以上の消費者情報を収集し、年間売上高が10億ドル以上の企業、または5000万人以上のデータを収集する小規模企業だ。
企業は連邦取引委員会(FTC)に毎年データ保護報告書を提出することが義務付けられ、規則を遵守しているかどうかを記載します。遵守していない場合は、違反の内容と影響を受けた人数を説明する必要があります。
報告書には、CEO、最高プライバシー責任者、最高情報セキュリティ責任者からの書面による声明が添付されなければなりません。年次報告書が基準を満たしていないことを知りながら声明を承認した場合、意図に応じて数百万ドルの罰金、または最長10年または20年の懲役刑が科せられる可能性があります。
この法案では、年次報告書に加え、企業に対し、消費者データを処理するアルゴリズムを評価し、その正確性、公平性、偏見、差別、プライバシー、セキュリティへの影響を調べることも義務付ける。
自動化された意思決定システムを使用している企業は、システムとその開発プロセス、およびシステムの目的に照らしたシステムの利点とコストを評価する影響評価を公開する必要があります。
これには、使用される設計およびトレーニング データと、それがデータ最小化などの実践の文脈で、正確性、公平性、偏見、差別、プライバシー、セキュリティにどのように影響するか、消費者に提供される情報は何か、消費者が結果にアクセスして修正できるかどうかなどが含まれます。
辞退するか支払うか
ワイデン氏の法案の大部分はオプトアウトに焦点を当てており、その中心となるのは連邦取引委員会(FTC)が実装し維持する必要がある「Do Not Track」データ共有オプトアウト・ウェブサイトだ。
これにより、人々は企業が自分の情報を第三者と共有することを望まないという包括的なポリシーを設定できるようになり、FTC はオプトアウトした日時を記録することになります。
企業はこのサイトを確認し、各人の状況に応じて対応することが義務付けられます。法案では、FTCがサイトを監視できるように何らかのAPIを作成することが提案されています。FTCは、オプトアウト登録簿の運営とシステムへのアクセスにかかる費用を賄うため、APIに対して「合理的な料金」を請求する可能性があります。
消費者はサイトを利用して確認し、オプトアウトのステータスを変更できなければなりません。これもまた、法案では API 経由で実行できるとされています。また、これらのステータスは、オプトアウトのステータスのみが渡され、その他の個人情報が渡されないように、プライバシーが保護された方法でのみ企業と共有される必要があります。
この法案では、企業が消費者が求めるサービスを提供するためにデータを共有する必要がある場合や、開示が法律で義務付けられている場合など、企業が要求に応じる必要がない例外が設けられることになる。
企業は消費者に対して、この追跡オプトアウトを解除するよう求めることができますが、そうするためには、消費者に対してより透明性を高め、第三者のリスト、共有されるデータとその使用方法を示す必要があります。
ワイデン議員の法案では、企業が製品やサービスへのアクセスに同意を条件とすることも認められている。しかし、その場合、企業は顧客に同時に同様の製品やサービスの支払い方法を提供しなければならない。
この手数料は「平均的な消費者がオプトアウトしなかった場合に対象事業者が得たであろう金銭的利益の額を超えてはならない」と法案は規定している。ただし、規制当局がどのように計算・評価するかについては詳細が示されていない。
FTC、法案執行のため職員175名を増員へ
同上院議員はまた、この法案の施行によりFTCにさらなる負担がかかることを認め、「ほとんど規制されていない個人データ市場を監視する」ために175人の職員を追加雇用することを提案している。
法案によれば、委員会は技術局を設立し、FTC委員長が主任技術者を任命し、「経営、技術、デジタルデザイン、ユーザーエクスペリエンス、製品管理、ソフトウェアエンジニアリング、その他技術者や管理職の職位に関連する分野の専門知識を持つ」50人が職員として勤務することになる。
消費者保護局のプライバシーおよび個人情報保護部門には2倍の職員が採用され、残りの25人は消費者保護局の執行部門に採用される。
この法案はプライバシー擁護者から賞賛されている。DuckDuckGoのCEO、ガブリエル・ワインバーグ氏は、「ユーザーデータを販売・収益化する企業に対し、データ取り扱いについてより透明性を高めるよう義務付けることで、消費者がオンラインでプライバシーに関する意思決定をより多くの情報に基づいて行えるようになり、当社のような企業がより公平な競争の場で競争できるようになる」と述べた。
しかし、米国における巨大IT企業のロビー活動の力、そしてカリフォルニア州の法律を撤廃しようとする動きを考えると、この法案が現状のまま可決される可能性は低いでしょう。おそらく最良の結果は、より良いプライバシー法を求める人々が議論で活用できる青写真となることでしょう。®
