コンテンツにスキップするには Enter キーを押してください

何百もの登録済みデータブローカーが個人データに関するユーザーの要求を無視

投稿日 2025年7月28日

データブローカー業、つまり企業が面識のない人々や取引のない人々の大量データを収集・販売するプロセスを制約する法律は、州レベルでも連邦レベルでもほとんど存在しません。

カリフォルニア州のように業界規制の最前線にいる州では、現在、何百もの企業が政府に登録し、消費者がデータ収集のオプトアウトやデータ削除を要求できる手段を提供することが義務付けられています。

現在、カリフォルニア大学アーバイン校の研究によると、多くの登録済みブローカーがこれらの要件を無視している可能性があり、専門家はCyberScoopに対し、州の規制当局は現行のプライバシー法の執行を強化すべきだと述べています。

この研究では、研究者たちがカリフォルニア消費者プライバシー法(CCPA)に基づく権利を行使し、すべての登録済みデータブローカーに連絡して、企業が収集した自分たちのデータの詳細を要求しました。連絡した543社のうち、40%が全く返答しなかったことから、登録済みブローカーの間で「蔓延する不遵守」が明らかになりました。

「私たちの調査結果は、データアクセス要求プロセスにおける蔓延する不遵守と標準化の欠如を明らかにしています」と著者のElina van Kempen、Isita Bagayatkar、Pavel Frolikov、Chloe Georgiou、Gene Tsudikは記しています。「これらの問題は、消費者のプライバシー保護を強化し、データブローカーの説明責任を向上させるために、より強力な執行、明確なガイドライン、標準化された定期的なコンプライアンスチェックの緊急性を浮き彫りにしています。」

返答しなかったブローカーに加え、返答したブローカーも、データへのアクセスを試みる人々に多くの障壁を設けていました。こうした要求を提出するための標準的なプロセスはなく、電話を必要とする企業もあれば、メールやオンラインフォームの記入を求める企業もありました。

この研究では、これらの要求における6つの摩擦要素を測定しました:個人の負担、本人確認の課題、応答時間、応答の質、収集されたデータ、要求に関連するプライバシー問題です。

重要な発見の一つは、ブローカーごとに異なる本人確認手続きが消費者にとって混乱を招き、「負担」となっており、さまざまな要件のパッチワークを乗り越えなければならないということでした。

Image

キャプション:データブローカー(DBR)が消費者に返答する場合でも、多くは連絡やデータ要求、オプトアウトのプロセスが分かりにくく信頼性に欠ける。(出典:UC Irvine)

個人データを収集・販売する多くのブローカーは、消費者からのデータ要求に対して厳格な本人確認を求めており、不正アクセスを防ぐのに役立っています。

一方で、研究の著者らは、これが消費者にとって「意図しないプライバシーのパラドックス」を生み出していると指摘しています。つまり、個人データの露出を制限しようとブローカーと直接やり取りする際、追加の個人情報や個人識別情報の提供を求められることが多いのです。

「逆説的に言えば、CCPAに基づくプライバシー権を行使することが新たなプライバシーリスクを生み出している」と著者らは記しています。

この研究はカリフォルニア州でデータブローカーとして登録された企業のみに焦点を当てていますが、他の研究によると、多くのデータブローカーは州をまたいで情報開示を行っていないことが示されており、実際には問題を過小評価している可能性があります。

プライバシー専門家でElectronic Privacy Information Centerの客員研究員であるJustin Sherman氏はCyberScoopに対し、多くのブローカーが特定の場面でプライバシー原則に奇妙なこだわりを見せているようだと語りました。それは、第三者企業による個人情報の収集・利用に異議を唱える人々の本人確認の場面です。

「基本的に誰にでもデータを販売するデータブローカーがいて……それなのに誰かが『あなたが私のデータをこっそり収集したことに同意しません』と言うと、突然『どうやって本人確認する?』『どうやって顧客確認(Know Your Customer)ルールを適用する?』となるのは皮肉を通り越しています」とSherman氏は述べました。「これは二枚舌です。摩擦を生み出せば、人々は解約しにくくなると彼らは分かっているのです。」

さらにSherman氏は、オプトアウト権が有効であるためには「消費者が簡単にそれを行使できなければならない」と指摘しました。標準化されたプロセスがなく、何百もの異なる企業に個別に連絡しなければならない仕組みは、フラストレーションやダークパターンの温床だと彼は主張します。

彼はさらに、「登録済みブローカーがこうした要求をどのように扱うべきかについては『グレーゾーンはない』」とも付け加えました。

「法律は非常に明確だと思います。法律は『要求を受け入れて返答するか、要求を拒否してその例外理由を返答する』と定めています」とSherman氏は述べ、研究によれば何百もの登録済みブローカーがこれを怠っていると指摘しました。

カリフォルニア州プライバシー保護局は、UCアーバイン校の研究やCCPAに基づくデータブローカーの不遵守に関する自身の調査について、CyberScoopからの質問に回答しませんでした。

翻訳元: https://cyberscoop.com/data-brokers-california-ccpa-non-compliance-privacy/

Published in cyberscoop-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です