テクノロジー企業は、カリフォルニア州で新しいプライバシー法が施行される前にそれを弱体化させようと水面下で戦いを繰り広げている。
カリフォルニア州消費者プライバシー法は、草の根運動家と議員の間で繰り広げられた異例のチキンゲームを経て、6月に承認されました。この法律は、州民4,000万人に新たな権利を与えるもので、企業が保有するデータを閲覧する権利、そして特に重要な点として、データの削除と第三者への販売停止を要求する権利が含まれます。これは、欧州のGDPR(一般データ保護規則)とそれほど変わりません。
5万人以上のデータを保有する企業はこの法律の対象となり、違反ごとに7,500ドルという高額な罰金が科せられます。しかし、企業の対策を支援するため、この法律は2020年1月に施行されます。そのため、大手IT企業は議員に圧力をかけ、改正を促す機会を得ています。
カリフォルニア商工会議所が主導し、38の業界団体がカリフォルニア州の主要議員に送った20ページの書簡[PDF]には、新法の施行前にテクノロジー企業が望む変更点が詳細に概説されており、その一部はプライバシー擁護派の反発を招いている。
この書簡は「急いで可決された」法律について不満を述べ、「起草上の誤りを修正し、この法案の実行不可能な側面と作成者が意図していない悪影響をもたらす側面を修正する」修正案を提案している。
しかし、批判者たちは、提案されている変更の一部は、事実上、この法律の重要な要素を台無しにしてしまうと批判しています。提案されている変更には、「特定の部分」という用語の削除が含まれており、これにより、ユーザーのデータを保有する企業が、消費者のデータ提供要請に対し、ユーザーのプロフィールにどのウェブサイトが関連付けられているかといった正確な情報ではなく、「閲覧履歴」といった曖昧な回答を返すことが可能になります。
使える?馬鹿げたことを言わないで
企業はまた、消費者に個人データを「容易に利用可能な」形式で提供するよう求める権利を与える法律の重要な部分を削除したいと考えています。この形式は、データの共有、分析、移動をはるかに容易にするものです。この条項がなければ、企業は個人データを、理解、検索、または分析のために他者に送信することがはるかに困難な形式で提供できるようになります。スプレッドシートではなく、PDF形式を想像してみてください。
その他の変更は、個人に関する膨大なデータを収集し、それをパッケージ化して第三者の広告主に販売するという、Google と Facebook のビジネス モデルを保護するために設計されていることが明らかです。
テクノロジー企業は、広告主に個人を特定できる情報を提供していないため、つまり特定の地理的範囲内に住み、ビデオゲームに興味を持つ18~30歳の男性に広告を出すことはできるが、それらの人々の具体的な名前は取得していないため、プライバシーの問題はないと主張している。
しかし、プライバシー擁護派は、データを収集・販売する企業が横暴に行動し、あらゆる種類の極めて個人的なデータを収集して販売していると主張しています。ユーザーは、自分に関するデータが何であるかを確認し、企業に知られたくない場合は削除を要求できるべきだと彼らは主張しています。
ユーザーに自身のデータに対するコントロール権を与えるという法律の明確な意図にもかかわらず、Facebook や Google などが現状の活動を継続することを事実上許可するような、非常に具体的な変更案がいくつか提案されています。
例えば、大手IT企業は、「消費者の嗜好、特性、心理的傾向、嗜好、素質、行動、態度、知性、能力、適性」を反映するプロフィールに関するセクションの完全削除を提案しています。言い換えれば、企業が保有する最も厄介な個人データです。
個人的な話。いや、そうでもない。
また、「個人情報」の定義には「集計された消費者情報、匿名化された情報、仮名化された情報、または公開されている情報」は含まれないということを法律に書き込もうとしている。
言い換えれば、Google と Facebook の極めて貴重な消費者情報のパッケージは、法律から明確に除外されることになります。
また、この書簡は、ターゲット広告や、消費者に広告目的での自分のデータの使用を拒否する権利が与えられるかどうかという重要な問題について正確な文言の変更を提案することを避けているが、テクノロジー企業がその点についても推進していくことは明らかにしている。
プライバシー法の最終版は、「法律がすべての広告のオプトアウトを義務付けるものではないことを明確にすべきだ」と書簡は主張している。「オンライン広告は、企業が自社の製品やサービスに興味を持つ可能性が高いオーディエンスに、プライバシーを保護しながらリーチすることを可能にするものであり、オンラインプラットフォームは、企業の広告を配信するために消費者を企業に特定する必要がない。」
これは、消費者が企業によるデータ販売を事前に阻止できないようにするための、政策にこだわったやり方です。そうなると、消費者は「このデータは販売できません」と事前に断言できるのではなく、自分のデータを保有するすべての企業に定期的に連絡を取り、削除を要求しなければならなくなります。
事実上、個人データの削除は迷惑メールの購読解除のようなものになります。数ヶ月ごとに、今後メールが届かないように申し立てをしなければなりません。そしてもちろん、数ヶ月後には元の状態に戻ってしまいます。
この書簡では、企業に要請への対応期間を45日間延長することも提案しており、実施を1年延期したい考えだ。
もちろん、自己満足的な提案の中には、法律を厳格化するための優れた提案も少なくありません。ロビイストが議員事務所に潜り込むのは、まさにこのためです。つまり、役に立つことをすることです。彼らは、法律の趣旨を損なうような、自分たちのビジネスモデルに都合の良い変更を提案する直前に、その提案をします。
いやいや
これに対して、プライバシー擁護派は反発している。
彼らは、大手テクノロジー企業が議員らに多くの変更を行わないよう求める書簡に応えて、独自の書簡[PDF]を送った。
声明は「3,950万人のカリフォルニア州民を代表し、下記に署名した州および全国組織は、カリフォルニア州消費者プライバシー法(「CCPA」)を弱める最近の提案を拒否するよう強く要請します」と始まり、「商工会議所の書簡で提案された変更の大部分は本質的なものであり、CCPAのプライバシー保護を根本的に弱めるものである」と主張している。
さらに、「書簡で技術的な修正が必要な条項が特定されている場合でも、提案されている解決策は往々にして過剰なものであり、立法の明確な意図に反することになるだろう」としている。
おそらく最も重要なのは、現行法が「機能しない」という核心的な主張を次のように取り上げていることである。「今日『機能しない』と言われているものも、企業が法律を遵守すれば機能するようになるだろう。」
グーグルは、カリフォルニア州が独自のGDPRを可決したことに悲嘆している
続きを読む
サクラメントの議員らが、意志の強い3人の市民による同様の提案がカリフォルニア州の投票用紙に載せられるのを防ぐため、記録的な速さで法案を可決せざるを得なかったことから、この法律を書き換えようとする取り組みは必然だった。
草の根
カリフォルニア州法では、十分な支持があれば誰でも州法の改正を提案できる。不動産開発業者のアラスター・マクタガート氏、元公務員のリック・アーニー氏、元CIAアナリストで弁護士のメアリー・ストーン・ロス氏による、真のプライバシー法を導入する提案は、可決される可能性が非常に高かった。
投票で可決された法律は議員にとって変更が非常に困難であるため、サクラメント市は法案作成者らと合意に達し、法案が撤回された場合はプライバシー法を可決することを約束しました。この法律は、投票期限の文字通り数時間前に署名され、法律として発効しました。
急いで行われた手続きの結果、その後法律を厳格化する必要があることは誰もが認めたため、「技術的、クリーンな修正」を行うための18か月の猶予期間が導入された。
その結果、SB 1121 は、理論上は同じ法律のより簡潔なバージョンとなるはずですが、大手テクノロジー企業は、カリフォルニア州に住む人々がそれらの企業が保有するデータを知る能力を制限し、気に入らないデータを削除することを義務付けるために、可能な限り多くの変更を加えることを決意しています。®
