多くのデータブローカーが州を越えて登録していないとプライバシー団体が指摘

プライバシー権クリアリングハウスと電子フロンティア財団による新しい分析によれば、ある米国の州でデータブローカーとして登録されている何百もの企業が、同様の開示法を持つ他の州ではそのように認識されていないことがわかりました。

米国にはデータブローカーの問題があり、連邦レベルや州レベルでの有意義な法律がほとんどなく、アメリカ人のデータの大量収集と再販を抑制することができません。これらのブローカーは通常、インターネットをマイニングし、他の企業から顧客データを購入し、直接取引をしたことのない何十万、何百万ものアメリカ人に関する情報を取得する第三者企業です。

しかし、EFFとプライバシー権クリアリングハウスの分析によれば、これらの州のいずれかでデータブローカーとして登録されている何百もの企業が、他の3州ではそのようにリストされていないことが判明しました。

そして、これらの数字はおそらくそのギャップの表面をかすめるに過ぎず、どの州にも登録しない「怪しい」企業が多数存在する可能性があります。

「この分析には、少なくとも1つの州で登録された企業のみが含まれています。どの州にも登録しないことで州法を完全に無視しているデータブローカーは含まれていません」と著者のマリオ・トルヒーヨとヘイリー・塚山は書いています。「合計750のデータブローカーが少なくとも1つの州で登録されています。見つけるのが難しいですが、どこにも登録していない怪しいデータブローカーは主要な執行対象であるべきです。」

著者は、4州にわたる何百もの企業、プライバシーと収集方針へのリンク、ビジネスアドレス、オプトアウト情報、連絡先を詳細に記載したスプレッドシートを提供しました。

著者はこれらの企業が法律を破っていると主張しているわけではありません。これらの不一致の一部は、州がデータブローカーを法的に定義する方法の違いに起因する可能性があります。

カリフォルニアは、ビジネスが直接関係を持たない消費者の個人情報を第三者に意図的に収集して販売するビジネスを定義しています。テキサスの法律には、個人から直接収集しなかった個人データの収集、処理、または転送から主な収入源を得ているビジネスが含まれています。オレゴンの法律は、ブローカーされた個人データを他者に販売またはライセンスするビジネスまたはエンティティを対象としており、バーモントの法律は、ビジネスが直接関係を持たない消費者のブローカーされた個人情報を第三者に意図的に収集して販売またはライセンスするビジネスを対象としています。

代わりに、組織は州の調査官に対して、データブローカー業界に対するより厳しい精査と監視を求めています。彼らは、開示なしに州内で活動している可能性のある未登録のデータブローカーの数を強調する手紙を4州の司法長官に送りました。

「私たちの分析は単純な前提に基づいています：他の州で登録することによって自らをデータブローカーと識別するデータブローカー、または過去にいずれかの州で登録したデータブローカーは、カリフォルニア法のデータブローカーの法定定義を満たす場合、カリフォルニアで登録する義務があるかもしれません」と著者とプライバシー権クリアリングハウスのエモリー・ロアンは、カリフォルニア州司法長官ロブ・ボンタに書きました。

データプライバシーの専門家は、単にデータブローカーを登録するだけでは、消費者データへの欲求を減らすことはできないが、誰がその定義に該当し、誰が該当しないかを特定し分類することは、この慣行を抑制するための後続の法的または政策的行動の重要な第一歩であると述べています。

昨年、プライバシー専門家のジャスティン・シャーマンは、CyberScoopに対し、誰がブローカーと見なされるかについての明確さの欠如は政策立案者にとって問題であるが、ほとんどのアメリカ人の個人情報を広範に侵害している慣行を意味のある形で取り締まるには不十分であると述べました。

「透明性と自己規制を最大の焦点にすることは、消費者に負担をかけ続けるためのデータブローカーのロビー活動戦略です」とシャーマンは述べました。昨年、議会はデータブローカーのための全国的な登録簿を設けるデータプライバシー法案を推進しようとしましたが、内部対立の中で頓挫し、投票に至りませんでした。議会の推進は現在、共和党主導の下院エネルギー・商業委員会に移行しており、RFIを発行し、業界と協力してそのような法案を作成する方法を模索しており、民主党側の個々のメンバーも独自の法案を推進しています。