カリフォルニアのDelete Actとデータブローカーへの影響

はじめに

2023年10月10日、カリフォルニア州知事の署名を受けて、カリフォルニア州で「データブローカー」に対しての規制を目的とする法律「Delete ActSB-362 Data broker registration: accessible deletion mechanism.)」が成立しました。

日本では、データブローカー(情報ブローカー:IB と略されることもある)というワード自体にあまり馴染みがない方も多いかもしれませんが、NTT西日本子会社の委託先社員による顧客データの流出問題で流出した顧客データの販売先としても挙げられていた「名簿業者」という言葉であれば、知っているという方も多いのではないでしょうか?

今回のブログでは、カリフォルニア州のDelete Actにより規制の対象となる「データブローカー」の定義と規制内容ついて紹介したいと思います。

データブローカーとは?

データブローカーとは、個人データ(名前、住所、電話番号、電子メール アドレス、性別、年齢、婚姻状況、子供、学歴、職業、収入、政治的嗜好、所有する車や不動産、支払い方法、健康情報、位置情報などのさまざまな種類の個人情報) や企業に関するデータを収集し、そうした情報を第三者に販売またはライセンス供与することを専門とする個人または企業を指します。

データブローカーの主なサービスは、「情報を商品として売買すること」であり、消費者に関する個人情報を含む情報を、マーケティングや信用調査など様々な目的で情報を再販することを目的に、多岐にわたる情報源から情報を収集し、それを処理して強化、クレンジング、分析し、他の企業や組織にサービスやライセンス供与という形で提供しています。

Delete Actでは「データブローカー」を「直接関係のない消費者の個人情報故意に収集し、第三者に販売する事業者」と定義しています。

(c) “Data broker” means a business that knowingly collects and sells to third parties the personal information of a consumer with whom the business does not have a direct relationship.

出典:SB-362 Data broker registration: accessible deletion mechanism.(2023-2024)

対象となる事業者の詳細

上記の事業者とは、CCPAの第 1798.140 条(c)の規定が適用され、以下を指します。

  • カリフォルニア州で営利を目的として運営している(州内に物理的な拠点が有るかどうかは問わない)
  • 個人情報の処理の目的と手段を決定している

さらに上記の両方に該当するのと合わせて以下のいずれかの条件を満たす企業を指します。

「対象外」となる企業

この法律では、Fair Credit Reporting ActGramm-Leach-Bliley Act 、またはInsurance Information and Privacy Protection Act の対象となる事業者については適用対象から除外しています。

データブローカーを規制する法律の必要性

一部の州でデータブローカーへの法規制が制定されるまでの間、米国では、個人がデータブローカーに対し、自身についてどのようなデータを保持しているのか、データブローカーがそれをどのように取得したのか、または、それがどのように使用されたかを知ることができませんでした。

言い換えると、消費者が直接関係のないブローカーによって収集されたデータを閲覧、修正、または使用をオプトアウト(拒否)するためのデータブローカーを規制する法律はありませんでした。そのため、データデータブローカー業界は、個人のプライバシーを犠牲にし、大量のプロフィールデータベースを構築してきました。

近年、アメリカにおいてもプライバシーに関する法規制が厳しくなる中、バーモント州やカリフォルニア州など州レベルで、データブローカーを規制する法律が制定されました。

カリフォルニア州のCCPA(カリフォルニア州消費者プライバシー法、2018年6月28日成立、2020年1月1日施行 )では、データブローカーに対し、カリフォルニア州司法長官に毎年登録を申請し(CPRAでは、CPPAがデータブローカーの登録制度を担当)、消費者が個人情報の販売をオプトアウトする方法に関する情報を提供することを義務付けました。しかし、この法律では、企業に対して、消費者から直接取得した個人情報のみを削除することを求めているため、間接的に購入または取得されるなどして他の様々なソースから取集した情報は引き続き使用することができました。

その後、さらに規制が強化され、CPRAカリフォルニア州プライバシー権法、2020年12月成立、2024年3月施行予定)では、さらに個人情報の共有(クロスコンテキスト行動広告目的の開示)についてもオプトアウト権が認められており、個人データを第三者に販売または共有する事業者に対して、いつでもその販売と共有を止めるように指示することができます。

CPRAの動きに関連し、Delete Actでは、データブローカーへの規制についてCCPAの欠点を埋めることを目的とした新たな要件が追加されています。

Delete Actについて

この法律により、カリフォルニア在住の住民は、ワンストップで州内のすべてのデータブローカーに対して自身の情報を削除するようにリクエストすることが出来るようになります。CCPAでは、カリフォルニア州の消費者が企業に個人情報の削除を要求する権利を認めていましたが、リクエストを企業ごとに個別に行う必要がありました。

Delete Actでは、CPPA(カリフォルニア州プライバシー保護局、 California Privacy Protection Agency) に対して、個人データの削除とトラッキングをリクエストするための安全性のある消費者のためのワンストップショップメカニズムの実装を求めており、CPPAは、2026年1月1日までを期限に削除メカニズムの実装を完了する必要があります。

削除メカニズム

削除メカニズムでは、消費者からの単一のリクエストを通じて、個人情報を保持するすべてのデータブローカーに対し、データブローカーまたは関連サービスプロバイダーもしくは請負業者が保持する当該消費者に関連する個人情報の削除をリクエストすることができます。

また、2026年8月1日以降、データブローカーに対し、少なくとも45日に1回は削除メカニズムにアクセスし、特定の場合を除き、すべての削除リクエストを処理することを義務付けています。

2026年8月1日以降、消費者が削除リクエストを出し、データブローカーが法案の規定に従って消費者のデータを削除後、法案は、データブローカーに対し、指定された通り、少なくとも45日に1回、消費者のすべての個人情報を削除することを義務付け、データブローカーが、消費者の新たな個人情報を販売または共有することを禁止します。

データブローカへの監査の義務付け

2028年1月1日以降、データ ブローカーは 3 年ごとに、同法の遵守を判断するために独立した第三者による監査を受ける必要があります。 CPPAから書面による要請があった場合、データブローカーは監査報告書をCPPAに提出することを義務づけています。

また、データ ブローカーに対し、以下の内容を含む年次報告書を作成することが求められています。

  1. 同法に基づいて受け取った削除リクエストの数
  2. 対応した削除リクエストの数と拒否した削除リクエストの数
  3. 拒否した削除リクエストのうち、検証不可能、当該消費者によるリクエストではないとみなされた削除リクエスト、または免除情報の削除をリクエストした削除リクエストの数
  4. データ ブローカーがリクエストに実質的に応答するまでにかかった日数の中央値と平均値

さいごに

カリフォルニア州では、子供のプライバシー規制について対象を18 歳未満に拡大するカリフォルニア州年齢適正デザイン法 (CAADCA : California Age-Appropriate Design Code Act) が2024 年7月1日に施行予定です。

2024年3月には、延期されたCPRAの施行も控えていおり、カリフォルニア州でプライバシー法規制が強化されています。

アメリカの1つの州でしかないカリフォルニア州の法律になぜこれほど注目するのかと思われるかもしれませんが、カリフォルニア州は全米最大の経済規模であること、単独でも名目GDPにおいてドイツを上回り、世界有数の経済規模であることから、カリフォルニア州を避けてビジネスを行うにはあまりにも大きく、そうした選択は多くの企業にとって現実的ではありません。

今回紹介したDelete Actについては、「データブローカー」に対する規制のため、多くの企業には当てはまらないかと思いますが、カリフォルニア州でビジネスをする上で、企業はその他のプライバシー法規制に対応していく必要があります。

カリフォルニア州のプライバシー法(CCPAやCPRA)遵守をサポートするOneTrustソリューション

弊社が販売代理店として取り扱っているOneTrustソリューションには、カリフォルニア州のプライバシー法(CCPAやCPRA)を遵守するのをサポートするための機能が提供されています。

以下は、プライバシー法を遵守するのにOneTrustソリューションのどの機能が役立つかをまとめた例です。

  • 消費者の権利リクエストに対応するためのプロセスの構築 (データ主体リクエスト対応自動化
  • WebサイトでのCookie のオプトアウト機能の実装( Cookie 同意
  • 同意の追跡および検証(同意
  • 組織のデータガバナンスの構築(データマッピング) 例)消費者データを共有しており、販売禁止要求に従うために連絡する必要があるベンダー(企業やサービス)の特定
  • ポリシーと通知管理(ポリシー・通知管理
  • CCPAに関するリサーチ(Data Guidance リサーチ
  • データ侵害の調査と通知(インシデント管理
  • データの最小化と目的の制限(プライバシー評価自動化)例)プライバシー影響評価を実施し、CCPA およびその他のプライバシー規制に規定されているデータの最小化と目的の制限に関して組織のプロセスとプロジェクトを評価

OneTrustのソリューションに興味のある方は、ぜひ弊社までご相談ください。

この記事をシェアする

OneTrust は、プライバシー分野でNo.1のソリューションです。

その理由は、機能の網羅性にあります。

OneTrustのソリューションに興味がありましたら

お気軽にお問い合わせください