カリフォルニア州では来年1月1日に、カリフォルニア州プライバシー権利法(CPRA)が施行される。この新しく更新するプライバシー法の影響で、「米国におけるプライバシー遵守がよりシンプルになるかも」と期待している人たちがいるとしたら、彼らには失望が待ち構えている。CPRAによって、プライバシー状況はさらに混乱する見通しだ。
法律事務所リードスミス(Reed Smith)のパートナーであるサラ・ブルーノ氏は、最新のDIGIDAYポッドキャストで「CPRAは、米国の法人にとってプライバシーを著しく複雑にする、独特な化物のような存在だ」と述べた。
CPRAに関して、より明確さが求められている要素の1つは、本法律における「請負業者(contractor)」と「サービス提供者(service provider)」という二つのラベルの違いだ。「請負業者とは、データを利用できるように渡す相手の会社のこと」とブルーノ氏は語り、「サービス提供者とは、自分に代わってデータを処理する会社のことだ」とした。「それはパッと聞いてすぐに分かるような区別ではない。それについてもっと明確にする必要がある」
Advertisement
同法律は、2020年に発効したカリフォルニア州の既存のプライバシー法である「カリフォルニア州消費者プライバシー法(CCPA)」のいくつかの側面を明確にしている。Cクロス・コンテキストの(ユーザー)行動による広告目的でのデータの共有をカバーしており、これによって、「販売」の定義が曖昧であったCCPAの問題を解決するのに役立つだろう。化粧品小売大手のセフォラ(Sephora)は、この問題に関して、カリフォルニア州司法長官と衝突した。
CPRAがデータを共有できるようにしたことで、「(CCPAの定義である)販売に関する疑問は解消された」とブルーノ氏。また、CPRAが米国の企業のプライバシー状況をさらに混乱させる可能性がある一方で、そもそも事態を複雑にしている根本的な問題に、包括的な連邦プライバシー法が存在しないことがある。「この問題に対処する連邦法が制定されるまで、このような(明確でない)ニュアンスが存在し続けることになるだろう」と同氏は語る。
以下は、読みやすさのために編集された、会話のハイライトである。
Subscribe: Apple Podcasts | Stitcher | Spotify
どのように施行されると予測するか?
法律の遵守を強制する行為が今後増えると考えている。もちろん、最初は(警告の)連絡が送られ、会社はそれに対して弁明する機会が与えられるような穏やかなスタートを望んでいる。しかし、CCPAの下で行われたよりもはるかに多くの執行が行われ、より迅速に行われるようになると思う。CCPAにおいては(指摘を受けた組織が問題を)直そうとする権利があった。しかし、CPRAにはその権利はない。
セフォラの判決による影響は?
化粧品小売大手のセフォラの判決は、会社内の法務部門の多くが、「この問題は重要だ」とほか部門を説得することを可能にした、ひとつのきっかけだった。今では、CCPAに基づいて迅速な決定を下した結果が、カリフォルニア州から現れつつある。現在では、データフローとその使用方法に関して、より思慮深い分析が行われている。
州レベルのプライバシー法の寄せ集め
州ごとに固有の要件がある。機密性の高い個人情報の定義は、州によって異なる。そのため、データ在庫を作成して各州のチェックリストを確認し、どのようなコンプライアンス対策を行う必要があるかを検討する必要がある。企業にとっては非常に酷な作業だ。
米国連邦プライバシー法登場の可能性
政治情勢がこれを大きく左右するのは明らかだ。ドブス判決(最高裁はそれを通じてロー対ウェイド判決を覆した)で起きていることを考えると、このようなことが引き金となって、消費者のプライバシーに関する考えがさらに深まり、すべての州と連邦の間でより一貫した枠組みが必要になるかもしれないと思う。しかし、現時点でそれを示すものは何も聞こえてきていない。
Tim Peterson(翻訳:塚本 紺、編集:島田涼平)
