カリフォルニア州の規制当局は、データブローカー取り締まりの一環として、高齢者の健康状態に関するリストを含む、ターゲットマーケティング向けのデータを売買していたテキサス州の企業に罰金を科した。同社は現在、カリフォルニア州民全員の個人情報を販売することを禁じられている。
カリフォルニア・プライバシー保護庁(CalPrivacy)の理事会は木曜日、理事会の執行部門にあるデータブローカー執行ストライクフォースが到達した和解を受け、DataMastersとして事業を行うRickenbacher Dataに対する措置を発表した。CalPrivacyは11月、データブローカー業界におけるプライバシー違反の調査を強化すると述べていた。
州当局は、同社が「アルツハイマー病、薬物依存、膀胱失禁などの健康状態を持つ何百万人もの人々に関するデータを、ターゲット広告のために」取引していたと述べた。
CalPrivacyによれば、このデータブローカーは「高齢者」や「ヒスパニック」といったカテゴリに分類された人々のリストに加え、政治的所属、食料品店での購入、銀行取引、健康関連の購入によって分類されたリストも売買していた。
DataMastersは2024年、カリフォルニア州データブローカー登録簿に登録しないまま、これらの活動を行っていた。カリフォルニア州のプライバシー法の下では、データブローカーは司法長官に登録し、現在6,000ドルに設定されている登録料を支払わなければならない。
CalPrivacyはさらに、カリフォルニア州民に関するあらゆる形態の個人情報の販売を同社に禁じ、カリフォルニア市場から同社を「事実上排除」した。
CalPrivacyの執行責任者であるマイケル・マッコ氏は声明で、「アルツハイマー病と闘う人々のリストを転売するのは、トラブルのもとだ」と述べた。
「悪意ある者の手に渡れば、これらのリストは広告以外の目的で人々を狙うために使われかねない。同じリスクは、高齢者のリスト、保守派またはリベラルだと自認する人々のリスト、あるいは機微な健康関連製品を購入する人々のリストを販売する場合にも当てはまる。歴史は、特定の種類のリストが危険になり得ることを教えている。」
CalPrivacyは先週、データおよびテクノロジーの提供企業でニューヨークに拠点を置くS&P Global, Inc.に対し、「事務上の誤り」によりデータブローカーとして登録しなかったとして、62,600ドルの罰金を科したことも明らかにした。
メタバース・ロー法律事務所の創設者でサイバーセキュリティ弁護士のリリー・リー氏は、「データブローカー市場は巨大で、これまでのところ規制が十分ではない」と述べた。「ターゲット広告企業がこのデータにアクセスして医療広告をパーソナライズすることに加え、悪意ある行為者がこの情報を購入・取引し、ソーシャルエンジニアリング攻撃、フィッシング攻撃、メディケア/メディケイド詐欺に関与することもあり得る」と同氏は述べた。
リー氏によれば、カリフォルニア州以外にも、オレゴン州、バーモント州、テキサス州といった少数の州がデータブローカーに州への登録を義務付けている。さらに同氏は、登録済みデータブローカーに対し、州のプラットフォームを通じて行われた消費者の削除要請に応じるという追加要件がある点で、カリフォルニア州は他州と異なると付け加えた。
翻訳元: https://www.databreachtoday.com/california-fines-bans-data-broker-in-privacy-crackdown-a-30498
