カリフォルニア州プライバシー保護庁(CalPrivacy)は、データブローカーとして登録しないまま数百万人のユーザーの健康情報および個人データを販売していたマーケティング企業Datamastersに対して措置を講じました。
カリフォルニア州Delete Actにより、消費者に関する情報を売買する事業者は、毎年、翌年1月31日までにデータ仲介活動を登録することが義務付けられています。
2026年からは、これにより消費者はDelete Request and Opt-out Platform(DROP)と呼ばれるオンラインプラットフォームにアクセスでき、登録済みのすべてのデータブローカーに対して個人情報の削除を求めるリクエストを提出できるようになります。
Datamastersとして事業を行うRickenbacher Data LLCの件では、CalPrivacyは期限内に登録しなかったとして45,000ドルの罰金を科しました。
重大性の高い違反が継続したため、テキサス州拠点の同社は、カリフォルニア州民の個人情報を販売することも禁止されました。
同庁の最終命令によると、Datamastersは、さまざまな医療状態(例:アルツハイマー病、薬物依存、膀胱失禁)を抱える数百万人のユーザー情報を購入し、ターゲティング広告のために再販売していました。
「さらにDatamastersは、年齢や推定される人種に基づく人々のリストを購入・再販売し、『シニアリスト』や『ヒスパニックリスト』を提供したほか、政治的見解、食料品店での購入、銀行取引活動、健康関連の購入に基づくリストも提供していました」と、CalPrivacyは述べています。
収集されたデータは数億件のレコードで構成され、氏名、メールアドレス、住所、電話番号が含まれていました。
悪質性を高める要因として、同社が州の規制の取り組みに対して、カリフォルニア州で事業を行っておらずカリフォルニア州民のデータも扱っていないと主張し、証拠を突き付けられると後にその逆を認め、さらにデータを手作業で選別していると主張した点が挙げられます。
同社に遵守を迫る試みが複数回行われたにもかかわらず、Datamastersは抵抗したとされ、未登録のデータブローカーとしての運営を続けていました。
12月12日に署名された決定によると、同社は12月末までに、以前に購入したカリフォルニア州民の個人情報をすべて削除するよう命じられました。
今後、より大規模なデータセットの一部としてカリフォルニア州民に属する情報を受領した場合、同社は受領から24時間以内にそれを削除しなければなりません。
Datamastersはまた、今後5年間にわたり遵守措置を維持し、1年後に関連するプライバシー慣行の報告書を提出しなければなりません。
CalPrivacyはまた、2024年分のデータブローカー登録を2025年1月31日の期限までに行わなかったとして、S&P Global Inc.に62,600ドルの罰金を科しました。ただし、この違反は事務上の誤りによるものでした。
「S&P Globalは迅速にデータブローカーとして登録し是正措置を講じたものの、同社は313日間未登録の状態でした」と、同庁はS&P Globalに罰金を科す決定の中で指摘しています。
