カリフォルニア州はプライバシー法の施行をめぐる争いに、一般の人々を活用している。ロブ・ボンタ司法長官はCCPAを遵守していない企業に対して「改善要求通知」を送ってきたが、今後州内の消費者に特別なツールを提供し、「クラウドソーシング」のような形で企業の違反を通知させ、取り締まりを強化しようとしている。
カリフォルニア州はプライバシー法の施行をめぐる争いに、一般の人々を活用している。
カリフォルニア州のロブ・ボンタ司法長官は、同州の消費者プライバシー法(CCPA)を遵守していないことが明らかになった企業に対して、いわゆる「改善要求通知」を送ってきた。そして現在、カリフォルニア州司法府は州内の人々に特別なツールを提供し、「クラウドソーシング」のような形で取り締まりを強化しようとしている。
「興味深い戦略ではある」
CCPAでは企業によるデータ収集に対して、ユーザー側がそれをオプトアウトできるようにすることを義務付けている。つまり、サイトにアクセスした際、オプトアウトに必要な情報や設定へのリンクが提供されていなければ、CCPAに違反している可能性がある。そのことを指摘する「通知書」を消費者が作成し、電子メールや郵便で企業に送ることができる新しいツールをカリフォルニア州司法府は州の市民に提供し、同法の強化を進めようとしているのだ。
Advertisement
しかし、このツールはすでに混乱を招いていると非難されているCCPAの遵守問題を明確にするどころか、企業にとって新たなグレーゾーンを作り出す可能性がある。
法律事務所ロウブ・アンド・ロウブ(Loeb and Loeb)のパートナーで、プライバシー・セキュリティ・データ関連イノベーション部門の主任であるジェシカ・B・リー氏は「消費者を司法長官の事務所に入れて、その機能の管理・施行の手助けをさせるような側面があるため、興味深い戦略ではあると思う」と述べた。
このツールは「企業のウェブサイトまたはモバイルアプリに『私の個人情報を販売しない』と示したリンクはあるか」など、ビジネスの詳細に関連する一連の質問を出し、消費者はそれに回答する。すでに広く活用されている政治的主張を目的とした署名自動化するツールなどと同様に、質問に回答したあとにEメールもしくは手紙用の草稿が出力される。同ツールはさまざまなパターンの通知文書を作成することが可能で、そのひとつでは「私はあなたの事業(中略)が、CCPAの要求に違反していると考える。同法は、消費者が個人情報の販売から除かれることを選択できるように、インターネットのホームページ上に明確で目立つ『私の個人情報を販売しない』ためのリンクを提供することを要求している」と書かれていた。
データプライバシーに関するシンクタンク、プライバシーの未来フォーラム(Future of Privacy Forum:FPF)の上級顧問を務めるステイシー・グレイ氏は、「(司法長官が)改善要求通知を一般の人々にアウトソーシングするという、実に興味深い道を歩んでいるように感じている」と述べた。
適正な手続きに関して残る疑問
司法長官の事務所は米DIGIDAYに対して、このツールを使っただけではCCPA違反に関する消費者からの正式な苦情にはならないと述べた。しかし、ボンタ司法長官によると、このツールで作成された文書を使って通知を送信すると、取り締まり執行につながる可能性はあるという。同氏は、2020年7月のCCPA施行開始から1年が経って開かれた会見で「Eメールがきっかけとなって、法律に違反している企業が改善するための30日の猶予期間が始まることもある。(30日の猶予期間は)司法長官と私の事務所が取り締まりを実施するための前提条件となっている」と述べているのだ。
司法長官の事務所が、CCPAを遵守していないことを通知する手紙を企業に送ると、彼らは30日間の猶予期間を与えられ、そこから事務所と協力して遵守に向けた変更を行うことになる。
この手紙生成ツールは、「特に考え抜かれたとは感じられない、多くの正当なプロセス上の懸念」を引き起こすとリー氏は述べている。たとえば、消費者が手紙を送ってきたときから30日の猶予期間が開始するのか、それとも司法長官の事務所から別に手紙を受け取るまで待つべきなのかは明らかではない、と同氏は指摘する。
リー氏はまた、司法長官事務所から改善要求通知を直接受け取った企業は事務所と協力して何が適切な改善処置かを判断できるのに対して、このツール経由で消費者から手紙を受け取った企業が、同レベルの対応を事務所から受け取れるかどうかは不明だと語る。「30日間の期間が始まって初めて、司法長官事務所との会話が開始される」と彼女は言った。
リー氏がさらに懸念するのは、消費者がツールを悪用することで、データ販売をしていないにも関わらず、企業が対応しなければならない大量の消費者コミュニケーションを生み出してしまう可能性だ。同氏は、「これで迷惑メールが出される可能性すらある」と話した。
ボンタ司法長官によると、CCPAの改善要求通知を受け取った企業の75%が、30日間の猶予期間内に法律遵守を達成したという。「私の考えでは、大多数の企業は本当に遵守することを望んでおり、それに従うだろう。彼らは対応の仕方を知りたがっており、それがわかりさえすれば、遵守する」と述べた。ただし、割り当てられた30日間に法律遵守に向けて改善をしなかった企業もあり、現在いくつかの企業に対してCCPA関連で調査が進められているとカリフォルニア州司法府は明らかにしている。
ダークパターン検出ツールとなるか
FPFのグレイ氏によると、このツールはCCPAの遵守状況を追跡している研究者のあいだで歓迎される、プライバシー意識の高いユーザー層を形成する可能性があるという。実際、スタンフォード大学人間中心人工知能研究所(the Stanford Institute for Human-Centered Artificial Intelligence)のプライバシーおよびデータポリシー担当フェローであるジェニファー・キング氏のような研究者は、CCPA関連の規則違反を監視している。
(消費者によるデータ販売を拒否する)オプションの存在を不明瞭にするような、データ収集通知デザインにおけるダークパターンをこれらの規則は禁止しているが、企業たちがどのように違反しているかを研究する研究者たちが存在する。このツールでは、企業がデータ販売を拒否するリンクを備えていても、それが「見つけるのが非常に難しいか、混乱を引き起こす形になっている」場合はそれを指摘・通知することができる。
今のところ、このツールは簡単に見つけられる「私の個人情報を販売しない」リンクをサイトに掲載していない事業者への通知を作成することに限られているが、司法長官の事務所は、「他の潜在的なCCPA違反を含めるために、今後更新される可能性がある」と述べた。
KATE KAYE(翻訳:塚本 紺、編集:分島 翔平)