今日はカリフォルニア州が新しいデータプライバシー法の施行を開始する最初の日です。そのため、Web サイトのフッターなどに「個人情報を販売しないでください」というリンクがない場合は、すぐに後悔することになるかもしれません。
カリフォルニア州消費者プライバシー法(CCPA)は2年前に可決され、1月1日に施行されましたが、本日7月1日から、米国カリフォルニア州の司法長官Xaiver Becerra氏が施行を開始します。
ベセラ氏はここ数日、個人情報の再パッケージ化と販売を拒否する方法を説明するページにつながるボタンやリンクを自社ウェブサイト上に設置していない企業に対しては、厳重な執行措置を講じる方針を示してきた。
リンクの実装方法については合意された標準的な方法は存在せず、司法長官事務所は特定のボタンの使用を義務付けることはなくなったものの、ウェブサイトのフッターに「個人情報を販売しないでください」または単に「販売しないでください」というフレーズを追加してすべてのページに表示し、CCPAに準拠した一連の指示にリンクさせるという方法が最も一般的なアプローチとなっている。(The Registerは1月から米国の読者向けにこの指示を掲載している。)
こうしたリンクとフォローアップの仕組みがなく、カリフォルニア州の顧客から年間2,500万ドル以上の収益を上げている企業は、まもなく厳しい監視の目にさらされる可能性が高い。ベセラ氏はまた、規則の施行を積極的に開始することを明らかにしている。欧州のGDPRの施行の遅さを批判し、大企業に対して3件の訴訟を同時に提起するとともに、小規模な被害者に対しても少額の罰金を科す予定であることを既に表明している。これは、誰も法律から逃れられないことを明確にするためだ。
「販売禁止」リンクは、司法長官事務所が今週、人々にプロセスを理解してもらうために公開した説明用インフォグラフィックの最初のステップでもある。
苦情はすでに寄せられている
次の施行ポイントは、カリフォルニア州民から既に寄せられている苦情への対応です。すべての企業は1月からCCPAを遵守しているはずであり、ベセラ氏はその事実を指摘して、施行延期を求める度重なる要請を拒否しました。
ベセラ氏は今週、事務所から「多数の」苦情が寄せられたと述べた。最も多かったのは、組織に個人データの提供を求めたが、提供されなかったという苦情だった。次に多かったのは、データの削除を求めたが、実際には提供されなかったという苦情だ。したがって、もしあなたの会社がこれらのどちらも実行できず、特にネットユーザーから削除要請を受けているのであれば、あなたも標的にされていると言えるだろう。
カリフォルニア州は、GoogleやFacebook並みの穴だらけのGDPR風デジタルプライバシー法の細則を発表した。
続きを読む
これらすべてにより、あなた(そう、Reg の読者)はデータ削除リクエストに圧倒されることになるかもしれない、と現状を最もよく知るある人物は言う。
ダン・クラーク氏はコンピュータコンサルタント会社 IntraEdge の社長であり、同社はインテルと共同で GDPR 要求に対応するために特別に設計されたソフトウェアを開発しました。このソフトウェアはその後、カリフォルニア州の CCPA にも対応できるように拡張されました。
クラーク氏によると、GDPRへの対応を必要としなかった企業(主に欧州の顧客を持たないため)が50万社ほどあると推定されるが、CCPAの要件には従わなければならない。これらの要件は、書面上ではそれほど複雑ではない。企業は、顧客に関するあらゆる情報を顧客に提供できなければならない。また、要求があればそのデータを削除できなければならない。さらに、顧客が情報の販売をオプトアウトできるようにしなければならない。
しかし現実には、企業ではバックグラウンドで様々なシステムが混在して稼働しているため、特に削除作業は困難を極めます。データは世界中のシステムにバックアップされているため、特に困難です。そのため、その負担は(ご想像のとおり)IT担当者にのしかかっているのです。
自動化ステーション
クラーク氏は、リクエストの数がそれほど多くない多くの中小企業では手動削除で十分かもしれないと認めているものの、データ削除リクエストの長いリストがチケットシステムに詰まってしまう可能性について、IT担当者はそれほど懸念していないと指摘する。偶然にも、彼はまさにそれを実現するシステムを販売している。
最初の訴訟と罰金が下され始めると(クラーク氏は遅かれ早かれそうなるだろうと見ている)、多くの企業は消費者の意識の高まりによる削除要請の増加、そしてシステムの即時導入を求める訴訟という二重の打撃を受けることになるだろう。司法長官事務所が、規則を遵守していない企業を名指しし、非難するプレスリリースを通じてその意図を示すのは時間の問題だ。
クラーク氏は明らかに、自社のソフトウェアを人々に購入して使ってもらうことを期待しているが、同時に現実的なアドバイスもしている。「今から何かを始め、努力していることを示すべきだ」と。ベセラ氏は、CCPAに著しく違反している企業に対しては真っ先に行動を起こすと示唆している。したがって、新しいデータシステムの構築を急いで進める方が、結果が出るのを待つよりも賢明だ。
誰もがCCPAに熱心というわけではありません。リバタリアン系シンクタンクである競争企業研究所(CEI)はカリフォルニア州のアプローチを支持しておらず、The Regに対し、CCPAには「根本的な欠陥がある」と述べています。
「この法律は、あらゆる形態や規模の企業に多くの煩わしい規則を課すだけでなく、その複雑さゆえに、『個人情報』の定義など多くの重要な領域が極めて不明確である」と同団体は訴え、連邦法が必要だと主張した。
連邦制にしよう
CEIの研究員の一人、パトリック・ヘッジャー氏はThe Register紙に次のように語った。「私たちは連邦プライバシー法を全面的に支持します。ワールド・ワイド・ウェブは基本的に州際通商であり、議会はカリフォルニア州や他の州の法律が州境を越えて影響を及ぼさないようにする必要があります。」
ヘッジャー氏はまた、よくあるもうひとつの不満を指摘している。それは、CCPA には依然として多くの曖昧な点があり、企業が何をすべきかを正確に判断することが難しいということだ。
「新型コロナウイルス感染症の危機に加え、CCPAの多くの条項に関する『最終的な』規則が未だに存在しないことを踏まえると、この法律の施行全体を延期すべきだと考えています」と彼は述べた。「『個人情報』の定義自体がまだ確定していないことを考えると、これは特に懸念すべきことです。」
しかし、これらすべてが十分に混乱を招いたと思うなら、次のことを考えてみてください。カリフォルニア州プライバシー権利法 (CPRA) と呼ばれる、より厳格な一連の新しいデータ プライバシー対策が先月十分な支持を得て、11 月にカリフォルニア州で投票にかけられることになったのです。
CPRAは欧州のGDPRとより密接に連携しており、子供のデータに関する違反に対する罰金を3倍に引き上げ、未成年者からデータを収集するためのオプトイン同意を導入し、ユーザーが自分の健康、財務、正確な位置情報に関する機密データの共有を拒否できるようにし、法律の執行を任務とする新しいプライバシー機関を設立して司法長官の職務を完全に奪うなど、さまざまな新しい措置を導入する。
可決されれば、CPRAは2023年1月に発効します。®
