カリフォルニア州のデジタルプライバシー法の最終規則が公表されましたが、そこには穴だらけのものがいくつもありました。
カリフォルニア州のザビエル・ベセラ司法長官は、同司法長官事務所がこの画期的な法律をどのように定義し施行するかについての詳細を明らかにした[PDF]。この法律は、米国カリフォルニア州の住民に、企業が保有する自分に関するデータの開示を要求する権利、この情報が販売されないよう要請する権利、そして削除を要求する権利を与えることになっている。
しかし、カリフォルニア州消費者プライバシー法(CCPA)が2年前に可決されたにもかかわらず、その規則の適用方法には依然として大きな欠陥があり、司法長官が7月1日に同法の施行を開始した後、その欠陥が間違いなく法律の趣旨を回避するために利用されるだろう。
最も重大なのは、GoogleやFacebookのような企業が保有する膨大なデータベースがCCPAの対象となることを明記していないことです。この記載漏れは、巨大IT企業は間違いなく自社に有利に働くでしょう。両社は長年、個人情報を広告主に直接販売しているのではなく、プラットフォーム上で厳選されたユーザーへのアクセスを提供しているだけなので、ほとんどのプライバシー法は適用されないと主張してきました。
行動ターゲティング広告がCCPAの「データの販売」条項に該当するという明確な声明がなければ、GoogleとFacebookは独自の法的解釈を使い続けるだろう。
消費者が自分のデータを保存したくないことを示すための単一のオプトアウト ポータルを導入する取り組みには、もう 1 つの大きな欠陥があります。消費者は、個々の Web サイト、サービス、アプリごとにオプトアウトを行う必要があります。
クッキーモンスター
他にも重大な欠陥があり、そのほとんどは主要用語の定義に関するものです。ウェブサイト上のサードパーティCookieは、ガイダンスの欠如により依然としてグレーゾーンであり、ほとんどのオンライン広告会社は現状維持のためにこれを利用するでしょう。
カリフォルニア州の政治家は、ハイテク大手に有利な修正案でインターネットプライバシー法を骨抜きにしようとしている
続きを読む
また、オプトアウトボタンがどのような外観であるべきか、またはウェブサイト上のどこに配置すべきかについても明確なガイドラインがないため、企業がその使用を大幅に削減する方法を見つけることはほぼ確実です。
これらを総合すると、CCPA(忘れてはならないのは、民間人が同様の保護措置をほぼ確実に可決される投票法案に盛り込むと脅したために可決された)は、司法長官事務所による個別案件への適用に全面的に依存した、ほとんど無力な法案になってしまう可能性がある。言い換えれば、そもそもこの法律の対象となったGoogleやFacebookのような企業にとって、CCPAは無関係になってしまう可能性があるのだ。
良いニュースもあります。「個人情報」の定義を大幅に狭めようとする試みは却下され、現行法(詳しくは民法§1798.140(o))と同じままになります。しかも、その定義は広範囲にわたります。
また、テクノロジー大手がサクラメントでこの法律を骨抜きにしようと一致団結して努力したにもかかわらず、この法律はほぼ無傷で可決され、たとえ物事を意図的に定義しなかったことで多くの法的な抜け穴が生じたとしても、司法長官の規則にはこの点を覆すような内容は何も見当たらない。
彼の手からそれを奪い取る?
一方、ベセラ氏自身は声明の中で、この法律は「画期的で歴史的なもの」であり、「市場における個人情報に関する選択と管理を消費者に与える」ものだと主張した。
誰もが同意しているわけではない。そもそもCCPAを事実上法律として成立させた張本人たちは、テクノロジー業界のロビー活動によって最終結果が望んだものとはかけ離れていると判断し、プライバシー法の強化と拡大を目的とした新たな住民投票を開始した。この投票は11月にカリフォルニア州の有権者に提示される見込みだ。
この投票イニシアチブの重要な要素の一つは、CCPAの解釈をカリフォルニア州司法長官から新しい規制機関に移譲する措置です。®
