Ipad

データプライバシーの新時代:カリフォルニア州の法律がシアトルをはじめとする企業に及ぼす影響

データプライバシーの新時代:カリフォルニア州の法律がシアトルをはじめとする企業に及ぼす影響
(ビッグストックフォト)

カリフォルニア州の新しいデータプライバシー法が1月1日に発効し、多くのアメリカのテクノロジー企業がユーザーに情報を削除する権利を含む情報に対する新たな権利を与えなければならなくなった初めてのケースとなった。

2018年に欧州のプライバシー法が施行された際、一部の企業は既に新しいデータ基準への準拠に必要な多大な努力を払いましたが、他の企業は初めてその能力を構築しています。この法律は、一定のデータ収集基準を満たし、米国最大のテクノロジーハブであるシリコンバレーの本拠地であるカリフォルニア州に顧客を持つ企業に適用されます。

カリフォルニア州消費者プライバシー法(CCPA)の適用範囲が広がったことにより、シアトルを含むカリフォルニア州外の多くのテクノロジー企業も、過去 1 年間にわたり新たな技術機能の構築に忙しく取り組んできました。

シアトルに拠点を置き、顧客のデータプライバシーシステムの自動化を支援するインテグリス社は、企業が年末商戦と1月1日の期限前にコンプライアンス対応を模索したため、夏季に「活動が急増」したと報告した。これは、インテグリス社の事業開発担当バイスプレジデント、ドリュー・シュイル氏の言葉だ。

ベイエリアの企業と同様に、シアトルの企業もソフトウェアを使って課題に取り組む可能性が高い。「なぜなら、イノベーションとテクノロジーのDNAがあるからだ」と同氏は語った。

「対象範囲が広範で、人力で手作業で処理するのは不可能です。そのため、シアトルは、このプロセスを自動化する方法を検討し、CCPA施行後すぐにカリフォルニア州の顧客から数万件もの個別の権利要求が届く可能性に先手を打つという点で、国内の他の地域よりも進んでいると言えるでしょう。」

シュイル氏によると、ワシントン州ベルビューに拠点を置くインテグリス社の顧客は、コンプライアンスの取り組みにおいて4つの異なるデータプライバシー企業と提携した。

Expediaグループのようなシアトルの他のテクノロジー企業は、コンプライアンスを社内で管理することを選択している。Expediaのグローバルプライバシー担当シニアディレクター、スーザン・ケッペン氏によると、このオンライン旅行大手は、欧州の一般データ保護規則(GDPR)に対応するために構築された社内リソースと既存のプロセスに依存しているという。

「当社のウェブサイトは非常にカスタマイズされており、個人的なものなので、社内で処理する方が効率的でした」と彼女は語った。

CCPA に基づき、カリフォルニア州民には次のような新しいデータプライバシー権があると、同州は述べています。

  • 「個人情報の種類と具体的な内容の両方について、どのような個人情報が収集、使用、共有または販売されるかを知る権利」
  • 企業、ひいては企業のサービスプロバイダーが保有する個人情報を削除する権利
  • 個人情報の販売をオプトアウトする権利。消費者は、個人情報を販売する企業に対し、その販売を停止するよう指示することができます。16歳未満のお子様はオプトイン同意を、13歳未満のお子様は親または保護者の同意が必要です。
  • 消費者がCCPAに基づくプライバシー権を行使する際に、価格やサービスに関して差別されない権利。 」

この法律は、年間総売上高が2,500万ドルを超える企業、および5万人以上の消費者の個人情報を購入または受領する企業に適用されます。また、年間売上高の50%以上を消費者データの販売から得ている企業も対象となります。

Microsoft は、CCPA に規定されている権利を米国の全顧客に提供する計画です。

CCPAの対象となる企業は、消費者からデータを収集する前に通知することが義務付けられています。また、消費者からのオプトアウトやデータ削除の要請には、一定の期間内に応じなければなりません。

消費者の観点から見ると、これらの変更は主にプライバシーに関する通知の更新という形で現れるでしょう。例えば、Zillow Groupは、ユーザーが自分に関して収集された情報を閲覧・削除できるプライバシーポータルを立ち上げました。

関連:ワシントン州議会がデータプライバシーと顔認識を規制する計画をチラ見せ

「当社が収集する個人情報の種類、その情報の入手先、その情報の使用方法、および情報を共有する可能性のある第三者パートナーについて明確に規定するために、ポリシーを書き直しました」とジロウはユーザーへのメールで述べた。

Zillow はシアトルを拠点とし、米国のユーザーにサービスを提供しているテクノロジー企業であり、CCPA は同社が遵守しなければならない最初のデータ プライバシー法となります。

Expediaのような欧州の顧客を持つ企業は、カリフォルニア州の法律施行に備える中で、GDPR対応のために構築した機能の一部を活用することができました。多くの企業にとって大きな負担でしたが、CCPAコンプライアンスのプロセスは容易になりました。

「ある時点では、最大800人の従業員が同時に作業に取り組んでいたと聞いています」とケッペン氏は述べた。「非常に重要な取り組みでした。GDPRのインフラを構築していたおかげで、カリフォルニア州法に関してかなり有利な立場に立つことができました。」

ケッペン氏は、データへのアクセスや削除を求めるカリフォルニア州民からの要請がエクスペディアにどれだけ届くかを予測するのは難しいと述べた。

「GDPRの施行後、当初はアクセス数が急増しましたが、その後は落ち着きました」と彼女は述べた。「カリフォルニア州でも同じ現象が予想され、その後は減少していくでしょう。」

しかし、カリフォルニア州と欧州連合(EU)の間には大きな違いがあるため、「予測するのは本当に難しい。何が起こるか全く分からない」とケッペン氏は強調した。

シュイル氏は、欧州に顧客を持つ企業では、ユーザーからのデータへのアクセスや削除の要請が急増しているわけではないと述べた。

「ヨーロッパでは、昨年施行されて以来、こうした個人の権利に関する要請はそれほど多くありません」と彼は述べた。「しかし、アメリカでは、ヨーロッパよりもはるかに多くの、こうしたアクセス権に関する要請が何千件も寄せられるのではないかと、組織はより懸念しているようです。その一因はメディアのせいです。メディアはこの問題に非常に注目しています。」

GDPRは2018年に施行され、世界で最も厳格なデータプライバシー規則の一つとなりました。GDPRの対象となる企業は、ユーザーがデータにアクセスし、修正、削除、移動できるようにする必要があります。

ケンブリッジ・アナリティカのような米国企業が関与する注目を集めたスキャンダルにもかかわらず、米国はデータプライバシーに関して動きが遅い。

「米国企業は長年にわたり、欧州に比べてかなり緩いプライバシー規制の恩恵を受けてきましたが、消費者にとっては不利益と言えるかもしれません」と、企業のCCPA対策を支援してきたヒンツェ法律事務所のシニアアソシエイト、ジャレッド・フレンド氏は述べています。「今回の変更は、多くの企業がかなりの遅れを取り戻さなければならないことを意味します。」

カリフォルニア州は2018年に全米で初めてデータプライバシー法を可決した州となった。ワシントン州の議員たちは、次の議会会期でカリフォルニア州に倣いたいと考えている。しかし、連邦プライバシー規制の可能性が高まりつつある中、州のプライバシー法の長期的な運命は不透明だ。米国下院エネルギー・商業委員会は、超党派の支持を得た連邦プライバシー法案の草案を回覧している。上院民主党もワシントン州のマリア・キャントウェル議員が主導する法案を提出しているが、共和党の反対に直面している。