カリフォルニア州のプライバシー規制当局は、アルツハイマー病患者のデータを販売したとして、テキサス州のデータブローカーに4万5,000ドルの罰金を科し、カリフォルニア州民の個人情報の販売を禁じた。Datamastersとして事業を行うテキサス企業Rickenbacher Data LLCは、重篤な健康状態にある人々の氏名、住所、電話番号、メールアドレスを購入して再販売していたと、カリフォルニア・プライバシー保護庁(CPPA)が述べている。
Datamastersに対するCPPAの最終命令によれば、同社はアルツハイマー病患者の郵送先住所435,245件を含むデータベースを保持していた。しかし、それだけではない。さらに、盲目または視覚障害のある人2,317,141人分、依存症の人133,142人分の記録も取引対象となっていた。また、膀胱コントロールに問題のある人857,449人分の記録も販売していた。
Datamastersが扱っていたのは健康関連データだけではない。同社は民族性に紐づく情報も販売しており、2,000万件を超える名前を含む、いわゆる「ヒスパニック・リスト」や、年齢に基づく「シニア・リスト」、さらに経済的脆弱性を示す指標も提供していた。例えば、高金利の住宅ローンを保有する人々の記録を販売していた。
また、買い手が、リベラル寄りか右派寄りかといった、他の顧客特性や行動の可能性に関するデータを望むなら、自動車の嗜好、金融活動、メディア利用、政治的所属、非営利活動にまたがる3,370の「消費者予測モデル」により、そうした情報も提供できた。
Datamastersは、全国消費者データベースからの記録の一括購入を提供しており、同社はそれが1億1,400万世帯と2億3,100万人をカバーしていると主張している。顧客はサブスクリプション形式の更新も購入できる。
カリフォルニア州の規制当局は、同社がカリフォルニア州のDelete Actで義務付けられているデータブローカーとしての登録を怠っていたことを発見し、Datamastersの調査を開始した。この法律により、データブローカーは2025年1月31日以降、登録が必要となっている。
同社は当初、カリフォルニア州で事業を行っておらず、カリフォルニア州民のデータも保有していないと否定した。しかし、規制当局がウェブサイト上で、カリフォルニア州の学生記録204,218件を列挙したExcelスプレッドシートを見つけたことで、その主張は崩れ去った。
Datamastersは最初、全国データベースからカリフォルニア州民のデータを除外するスクリーニングをしていなかったと述べた。弁護士を立てた後、同社は話を変え、実際にはデータセットからカリフォルニア州民をフィルタリングしていたと主張した。しかし、それでもCPPAは納得しなかった。
規制当局は、Datamastersがカリフォルニア州のプライバシー法に準拠しようとしたことは認めたが、
「Delete Actへの準拠を確実にするための十分な書面の方針および手続きが欠けていた。」
Datamastersに科された罰金は、同社が州のデータブローカー登録簿に登録していなかったことも考慮している。登録しないデータブローカーは1日あたり200ドルの罰金を科される責任があり、消費者データの削除に失敗した場合は、消費者1人あたり1日200ドルの罰金が発生する。
2028年1月1日からは、カリフォルニア州に登録されたデータブローカーは、3年ごとに独立した第三者によるコンプライアンス監査を受けることも義務付けられる。
「歴史は、特定の種類のリストが危険になり得ることを教えている」
と、CPPAの執行責任者であるマイケル・マッコ氏は指摘した。
研究によれば、アルツハイマー病患者は金銭的搾取に特に脆弱だという。詐欺師がそのようなリストを探し求めないと思うなら、考え直したほうがいい。過去には、犯罪者が少なくとも3つのデータブローカーからデータにアクセスしていたことが判明している。Datamastersが詐欺師に意図的にデータを販売したという示唆はないものの、データブローカーのリストは誰でも簡単に購入できてしまうように見える。
また、これらの記録の多く(念のため言えば、同社は全米の人々に関する情報を保有している)が、現在の米国の政治情勢の中で特に機微になり得る理由は、博士号がなくても理解できる。
ここには、より広いプライバシー問題もある。多くの米国人は、連邦の医療保険の携行性と責任に関する法律(HIPAA)が自分の健康データを保護していると思いがちだが、適用対象は医療提供者に限られる。驚くべきことに、データブローカーはその適用範囲の外にある。
では、自分を守るために何ができるのか?
まず最初に確認すべきは、あなたの州のデータ保護法だ。カリフォルニア州は今年、Delete Actの下でデータ請求およびオプトアウト・プラットフォーム(DROP)システムを導入した。これは、カリフォルニア州の居住者が、登録簿に載っているすべてのデータブローカーに対し、自分に関して保有されているデータの削除を求められるオプトアウト制度である。
機微なデータを重視しない州に住んでいる場合、選択肢はより限られる。引っ越すという手もある――たとえば、プライバシー保護がかなり強いヨーロッパへ。
