11月3日、カリフォルニア州は、住民投票でオンラインにおける個人情報保護法「プロポジション24(CPRA)」を可決した。これにより、これまでパブリッシャーにとってグレーゾーンだった部分が規制されることになる。同州の個人情報保護法(CCPA)は今年施行されたばかりだが、今回のCPRAはそれに代わる法律となる。
11月3日、カリフォルニア州は、住民投票によりオンラインにおける個人情報保護法「プロポジション24(CPRA)」を可決した。これにより、これまでパブリッシャーにとってグレーゾーンとされてきた部分が規制されることになる。
この記事の執筆時点(※原文記事は11月5日公開)で、カリフォルニア州が発表する最新の集票結果において、法案の支持が56%、反対が44%となっている。
カリフォルニア州における現行の個人情報保護法(CCPA)は今年施行されたばかりだが、今回のCPRAはそれに取って代わる法律となる。同法が施行されるのは2023年1月1日からだが、2022年1月1日以降に収集したデータすべて対象となる。
Advertisement
ワシントンを拠点とするシンクタンク、「個人情報のこれからを考えるフォーラム(Future of Privacy Forum)」で政策顧問を務めるポリアナ・サンダーソン氏は、「各社がコンプライアンスの遵守に努めているなか、状況は変化をつづけている」と語る。「今回の決定によりこの変化は加速したといえるだろう」。
今回の記事では、このCPRAについてパブリッシャーが知っておくべきこと、そして事業にどのような影響をおよぼすかについて要点をご紹介しよう。
◆ ◆ ◆
「売るな」だけだったところに「シェアするな」が加わる
現行のCCPAで問題視されたのは、個人情報の「販売」の定義と、それをオンライン広告へ適用できるかが不明確だったことだ。オンライン広告におけるデータ販売は、従来の方法とは異なり、サプライチェーンを通じたデータの「共有」という形態が多い。広告のターゲティングに個人情報を使用するにあたって、CCPAについてかなり厳格な解釈をとるパブリッシャーもあり、法律自体が不明確だという批判の声は少なくなかった。
CPRAはこの曖昧さを取り除く法律で、消費者はデータ共有のオプトアウトをより明確に行えるようになる。同法は、データ共有について「消費者動向のコンテキストに基づいた広告展開」という表現を行っている。この法律により、パブリッシャーは、ウェブサイトに「個人情報の販売および共有を行わない」というオプションを「目立つように」表示することが求められる。
サービスプロバイダーと請負業者
これまでのCCPAでは、他企業の収集した個人情報を共有することで、販売ではない形で処理できる「サービスプロバイダー」が存在する余地があった。一方、今回のCPRAは、「消費者動向のコンテキストに基づいた広告展開」について定めており、これまでパブリッシャーが抜け穴的に使ってきたサービスプロバイダーを同じように使うことはできなくなっている。ダウンストリームのベンダーもまた、このデータ関連の規制について遵守することを求められる。
CPRAは、「サービスプロバイダーまたは請負業者は、事業者から直接、または委託を通して受け取った、消費者がオプトアウトした個人情報を統合することを禁ずる。これは、サービスプロバイダーや請負業者がほかの組織または個人へ委託した場合および、消費者から直接収集した場合も含む」と定めている。
「センシティブな個人情報」がより明確に
また、CPRAは「センシティブな個人情報」についてより明確に定めており、社会保障番号(SSN)、クレジットカード番号、性的指向といった誰もが想定するようなデータ以外にも、広告でよく使われる「消費者の正確な位置情報」といった情報も含まれている。
CPRAにより、消費者は企業によるセンシティブな個人情報の利用を制限できるようになる。
データプライバシー企業のエシカ(Ethyca)でCEOを務めるシリアン・キーラン氏は「意図せずとも、センシティブなデータを使ってターゲティングを行っている広告主は多いはずだ」と指摘する。「CPRAは、広告主やパブリッシャーに対し、ダウンストリームのサービスプロバイダーが使用する情報のソースをより詳細に把握するよう求めている」。
新たな執行機関の誕生
CPRAでは、同法の執行を専門とする「カリフォルニア個人情報保護局(California Privacy Protection Agency)」という組織の立ち上げを定めている。同組織はCPRA違反1回に対して2500ドル(約26万円)の罰金を課す。さらに「意図的な違反」や「未成年者が対象の違反」の場合、罰金は7500ドル(約78万円)となる。この罰金対象となるのは、前年度の申告収益が2500万ドル(約26億円)超で、年間で10万人以上の消費者や世帯の個人情報を購入、販売、共有している企業だ。
キーラン氏は「現実的に、違反する企業を追跡するには、機能と予算、リソースを持った執行機関の立ち上げは意義深い」と語る。「カリフォルニア州議会が、この問題に真剣に取り組んでいることの表れだ」。
米政府の個人情報保護法の礎に
CPRAは、ほかの州における、ひいては米政府の定める個人情報保護法のベースとなる可能性は高い。
民主党の大統領候補になったこともあるアンドリュー・ヤン氏は、現在カリフォルニア州の消費者個人情報保護の諮問委員会で代表を務めており、声明で「カリフォルニア州の個人情報保護法であるプロポジション24が可決されたことで、消費者が個人情報をより明確に守れる時代が到来する」と述べている。「これは国中に広がっていくだろう。カリフォルニア州の住民として、データの扱いに関して先進的な基準が設定されたことを嬉しく思う」。
オプトインとオプトアウト
個人情報保護については、CPRAでも不十分という声もある。個人情報コンプライアンス企業のソースポイント(Sourcepoint)COO、ブライアン・ケイン氏は、「CPRAと欧州のGDPR(データ保護規則)の大きな違いは、前者がオプトアウトベースで、後者はオプトインベースとなっている点だ」と指摘する。
同氏は「CPRAがオプトインによる同意をベースとしなかったのは奇妙だ」と語る。「これについてはいずれ修正されるのではないか」。
だが、業界では、今後投票によりCPRAがオプトインベースになったとしても、パブリッシャーの収益には大きな影響は出ないだろうという声もある。
アドテク企業のティーズ(Teads)で最高商業責任者を務めるジェレミー・アルディティ氏は、「欧州のGDPRを見ると、消費者からの同意が95%以上となっている場合が多い」と語る。
さらに同氏は「一方、ユーザーからすればオプトアウトのほうが労力がかかるし、ユーザーに積極的な行動を求める仕組みだが、この部分を変更することによる影響は少ないのではないか」と予想している。
個人情報の権利を『持つ者』と『持たざる者』
また、同法のもとデータ共有のオプトアウトをさほど問題なく受け入れられる企業と、より大きな問題となってしまう企業があるという指摘もある。たとえば、ニュース系パブリッシャーは、広告のターゲティング用でなくとも、サブスクリプション登録時にユーザーへ情報提供を求めることが可能だ。
エレクトリックフロンティアファウンデーション(Electronic Frontier Foundation、以下EFF)は、7月に、CPRAの「個人情報の枠組みによって、有料サービスが増える」ことへの懸念を発表している。
「CPRAは、125条(a)(3)で商品価格による例外を定めており、企業が異なる価格設定の商品を提供し、価格に応じて消費者に提供を求める情報量を変えることも場合によっては可能だ。この仕組みは、『消費者により高い商品を購入させる』あるいは『安い商品を購入させ、より詳細な個人情報を提供させる』ことにつながる」とEFFは指摘する。「社会における経済格差に加え、こういった仕組みを通じて、これから個人情報の権利を『持つ者』と『持たざる者』に二極化していってしまう恐れがある」。
LARA O’REILLY(翻訳:SI Japan、編集:長田真)