カリフォルニア「新プライバシー法」、GDPRとの違いは?:より強く、よりアグレッシブな保護法

6月28日にカリフォルニア州知事が署名した消費者プライバシー法は、アメリカにおいて、もっとも強く、もっともアグレッシブなプライバシー保護対策であると、法律専門家たちから認識されている。

この法律が施行されるのは2020年の1月だが、カリフォルニアの州民に対して企業は、どのような情報を収集しており、その情報がどう使われているのかを伝えることが求められる。また、情報の削除、もしくは情報の販売停止を企業に求めるオプションも、消費者たちには与えられる。なお、人々の情報を収集すること自体は、防がない。また、情報収集を止めるよう求めるオプションを消費者に与えたりもしない。この点では、欧州の一般データ保護規則(GDPR)と異なっている。

「この法律の広範囲な性質は、これまでのプライバシー分野では例がない。そして、その影響は、いまだ計り知れない」と、全米広告主協会(Association of National Advertisers)の政府関係部エグゼクティブ・バイスプレジデントである、ダン・ジャッフ氏は言う。

広範に渡る、包括的なもの

カリフォルニア州の消費者プライバシー法は、「非常に広範に渡る、包括的なものとして個人情報を定義付けている」と語るのは、法律事務所ミシェルマン・アンド・ロビンソン(Michelman & Robinson)のロサンゼルス・オフィス、マネージング・パートナーであり彼らの広告・デジタルメディア業界グループのリーダーであるロン・キャムヒー氏だ。人々の名前、eメールアドレス、そして社会保障番号といったスタンダードなカテゴリーもこの個人情報には含まれる。しかし、それだけでなく、IPアドレス、位置情報、ショッピングや閲覧・検索履歴といった個人の特定につながる情報も含む。また、個人情報からの推測をもとにして作られる消費者プロフィールもだ。

こういった幅広い個人情報は、アドテク企業がユーザーに分からないように、人々のウェブ上の動きをトラッキングするのに使われている。人々のデバイス上のクッキーをトラッキングし、保管しているアドテク企業は、ユーザーが希望すれば、その情報も削除できるオプションを提供しなければいけない。また、これらのクッキーと、それに対応した情報が、漏えいされないように確実にする必要がある。もし、それが十分でなければ、集団訴訟の対象となる。

しかし、法律の文面をよく読むと、「特定できないようにされた、もしくは統合された消費者情報に含まれる」個人情報に対しては抜け道が存在している。特定の消費者と結びつけることができなければ、それは「特定できないようにされている」ことになると、キャムヒー氏は語る。しかし、現状のオンライン広告システムで使われている特定情報が法律の対象となるかどうかは不明確だと、プリンストン大学コンピューター科学の助教授であるジョナサン・メイヤー氏は言う。メイヤー氏は連邦通信委員会の元主任技術者でもある。

すべては、いまだ流動的

個々のデバイス情報の収集に利用されるオンライン上のクッキーのトラッキングとモバイル広告IDは、この法律の対象になる可能性がある。しかし、こういった情報は匿名化して、集合的なオーディエンス情報として統合してあるため、法律の対象からは免れると、デジタル広告企業たちは主張するかもしれない。

「これらすべては、いまだ流動的だ。しかし、匿名化した情報を使って、消費者プロフィールを作ることはできない、そのため、個人へとつながることはない。特定の人物が使っている個別のデバイスと結びついているクッキーの場合は、そうとは言えないかもしれない」と語ったのは、マナット・フェルプス・アンド・フィリップス(Manatt, Phelps & Phillips)のマネージングパートナーに就任するドナ・ウィルソン氏だ。彼女はオフィスのプライバシー・データ・セキュリティ部門のトップとなっている。

自分たちが法律の対象とならないだろうと思って、デジタル広告企業が安心していてはダメなことは明らかだ。企業が情報を個人から分離したと主張したとしても、その個人からの分離(匿名化)が非可逆的であり、もとに情報を戻して個人を特定する、ということができないと示せないといけないと、キャムヒー氏とウィルソン氏は言う。

抜け穴は存在しない?

カリフォルニア州知事が法律に署名をして半月以上が経つが、広告業界の関係者の多くはどこかに抜け穴がないか、頭をひねっている。また、ジャッフ氏によると、「ほかの種類のデータと結びついている場合、ほぼすべての種類のデータは、個人と関連付けることが可能」であるため抜け穴は存在しないと、確信している人もいる。

アドテク企業のエクスポネンシャル・インタラクティブ(Exponential Interactive)は第三者パーティの企業からデータを購入し、広告ターゲティングに活用している。「しかし我々が購入する際には、データは完全に統合されてしまっている」と、プロダクト・マネージメント部門のバイスプレジデントでありデータ保護オフィサーであるティム・スルース氏は言う。しかし、エクスポネンシャル・インタラクティブは、クッキーIDを使って、この統合されたデータを自分たちのオーディエンスプールとマッチさせている。それによって人々の名前やeメールアドレスといったデータにアクセスせずに、広告ターゲティングをしているのだ。クッキーを活用した、このマッチング処理は、法律の対象となるだろう。クッキーベースの個人特定情報をプロセスから取り除いたとしてもだ。

「もしも誰かの行動プロフィールを持っているとして、そこからIPアドレスとクッキーIDを削除しても、私なら匿名化されていると分類するこの行動プロフィールは、この法律のもとでは個人情報として見なされるのだ」と、スルース氏は言った。

FacebookとGoogleの動き

FacebookとGoogleはすでに、人々から集める情報を分類するプライバシー設定や、情報の削除を求めるためのツールといった機能を追加している。これらは法律によって義務付けられた機能だ。彼らは人々の情報を販売しないため、販売を停止することを求める機能を実装する必要はないと考えている。Facebookは類似の住民投票に反対する団体に寄付をしているが、最高執行責任者であるシェリル・サンドバーグ氏は、Facebookはこのプライバシー法を支援していると発言している。

「大手オンライン・プラットフォームにとっては、この法律の影響は非常に小さいと思う」と、メイヤー氏は語った。

この法律が施行されるまで、残すところ18カ月だ。そして、カリフォルニア州の有権者たちによってではなく、州議会によって通過されたため、施行までに詳細が変更することができる。しかし、業界がこの法律を変更とまではいかなくとも、より明確にしようと試みる前に、まずはこの第一弾の状態でどのような変化が求められるのかを見極めないといけないだろう。

「全米広告主協会は2000人以上の会員を抱えている。我々はメンバーたちに、この法律がどう影響を与えるか聞いてまわっている。まだインプットをもらうには十分な時間が経っていない。人々はまだそれを見極めようとしているのだ」と、ジャッフ氏は言った。

Tim Peterson(原文 / 訳:塚本 紺)
Photo by Shutterstock