【一問一答】「カリフォルニア消費者プライバシー法」とは?:もうひとつの米版 GDPR

欧州の一般データ保護規則(General Data Protection Regulation:以下、GDPR)が施行され、大混乱がはじまっています。米国で提出されているGDPRに似た法律にも目を向けておいたほうがいいでしょう。4月には、ふたりの上院議員がCONSENT法案を提出しました。そして今年、カリフォルニア州では、すでにFacebookとGoogleの怒りを買っている、また別のプライバシー法の投票が行われます。

カリフォルニア消費者プライバシー法(California Consumer Privacy Act)の狙いは、企業が人々から収集している個人情報と、その情報がほかの企業の手に渡る可能性について人々の関心を集めることにあります。似た法律はありますが、ここまでのものはありません。

デジタルマーケティングの未来に示唆を与える用語をわかりやすく説明する「一問一答」シリーズ。今回は、「カリフォルニア消費者プライバシー法」を取り上げます。

――カリフォルニア消費者プライバシー法は、米国版GDPRですか?

けっこう違います。たしかに、この法律はGDPRのように、人々に対して、企業が自分のどんな情報を収集しているのかを知る権利を与えるものです。だた、GDPRと大きく違うのは、情報の収集をはじめるにあたって、人々の許可を得ることを企業に求めるものではない点。企業はデータ収集のオプトアウトを提供する必要もありません。

法律事務所ミシェルマン&ロビンソン(Michelman & Robinson)のロサンゼルスオフィスのマネージングパートナーで、同事務所の広告およびデジタル業界グループのチェアを務めるロン・カムハイ氏は、「知る権利を拡張し、要求をすればオプトアウトの要件が得られるものだ。GDPRの承諾の同意条件とは対照的だ」と語っています。

――何が必要になりますか?

企業はどのような個人情報を収集しているのか、カリフォルニア州の住人に伝えることが必要になります。ただ、これは知りたいと求められた場合のみです。また、企業は情報をほかの企業に販売したり共有したりする場合に、本人に相手企業を教えることが必要になります。これも、求められた場合のみです。さらに、企業が情報を販売する場合には――販売する場合のみですが――、本人が企業にその販売をやめるように求められるようになり、企業はその要求を尊重することが必要になります。

――カリフォルニア州の住人だけですか?

そうです。それに、カリフォルニアにいるあいだだけです。ロスの人がニューヨークを訪れているなら、対象になりません。とはいえ、カリフォルニア州の住人がおよそ4000万人いることを考えると、この法律が通過した場合、米国で事業を営んでいる企業が回避できる見込みはないでしょう。

――わかりました。何が「個人情報」にあたるのですか?

あらゆる種類の情報です。まず、名前、郵送先住所、社会保障番号、自動車の登録番号や、そのデジタル版にあたる電子メールアドレス、ユニークID、IPアドレスなど、ありきたりなものが該当します。人種、民族、性別といったデモグラフィックデータや、職業関連のデータも対象になります。

さらに、ウェブ閲覧やウェブ検索の履歴、サイトやアプリにおける行為や広告とのやり取りに結びつく情報もそうです。Amazonのようなeコマースサイトや、アクシオム(Acxiom)やデータロジックス(Datalogix)のようなサードパーティデータプロバイダーも、購入商品や利用サービスに関するデータが含まれることで影響を受けるでしょう。「IoT(モノのインターネット)」のエコシステムからのデータをどのように使えるのかにも、顔関連データ、声関連データ、健康関連データが含まれれば、この法律が影響するでしょう。最後に、これまで述べてきた情報から推論される情報(たとえば離乳食を購入したことから親になったのだと推論したもの)も、この法律に左右されます。

――それで?

人々はどんな個人情報を収集しているのか企業に尋ねられるようになり、企業は教えることが必要になります。企業が「ビジネス目的」で情報を販売したり共有したりする場合に、人々はどんな情報がどこに販売または共有されるのかを尋ねられるようになり、企業はこれを教えることが必要になります。

――「ビジネス目的」とは?

曖昧ですね。広告関係では、広告をサイトやアプリに掲出するプログラマティックのさまざまなプロセスが該当します。インプレッション測定、ビューアビリティ(可視性)の検証、広告配信などです。そして、企業が顧客サービス、支払処理、サイバーセキュリティなどで他社を使っていて、業務で個人情報を共有する場合も当てはまるでしょう。

――それだと、プログラマティック広告もトラフィック分析ソフトウェアもなしで、サイトやアプリを完全に孤立して運営しているのでない限り、個人情報の収集やビジネス目的の共有はたいていやっているのではないですか?

まあそうでしょう。

――でも、どんな情報を収集しているのか、どこと共有しているのかを知りたいという要求に応じるならば、個人情報の収集やビジネス目的の共有は続けられるのですよね?

そうです。

――また、個人情報を販売する企業が販売停止を求められた場合も、個人情報の収集については継続できるのですよね。

その通りです。

――FacebookやGoogleなどのテック企業はどう考えているのですか?

支持はしていません。FacebookもGoogleも、この法案に反対するロビー活動をしている、コミッティー・トゥ・プロテクト・カルフォルニア・ジョブス(Committee to Protect California Jobs:カリフォルニア州の雇用を保護する会)という団体にそれぞれ20万ドル(約2200万円)を寄付しています。AT&T、コムキャスト(Comcast)、ベライゾン(Verizon)も同様です。ただ、その後、ちょうどFacebookのケンブリッジ・アナリティカ(Cambridge Analytica)のスキャンダルがあり、送金したお金はそのままですが、Facebookベライゾンは、この反対団体の支持を取り下げています。

――Facebook、Google、AT&T、コムキャスト、ベライゾンはいずれも、広告ターゲティングに個人データを使ってデジタル広告業界を支配しているのか、支配したいのかのどちらかですね。となると、これは反広告ターゲティング法案ということですか?

この法案を推進する委員会、カルフォルニアンズ・フォー・カスタマー・プライバシー(Californians for Consumer Privacy)の議長であるアラステア・マクタガート氏によると、そういうわけではありません。「私たちはこれから先も広告を許容しますし、ターゲティング広告を許容します」と、マクタガート氏は語っています。なお、Facebookはすでに、プラットフォームでのサードパーティのデータを使ったターゲティング広告を制限しています。

――それなら、FacebookとGoogleはなぜこの法案に反対なのですか?

その通りですよね。

Tim Peterson (原文 / 訳:ガリレオ)
Photo by Shutterstock