コンテンツにスキップするには Enter キーを押してください

カリフォルニア州プライバシー法の抜け穴:データブローカーの半数がリクエストを無視

投稿日 2025年8月28日

2020年に施行されたカリフォルニア州消費者プライバシー法(CCPA)は、データ保護法の全国的なモデルになると期待されていました。しかし、カリフォルニア大学アーバイン校の新しい調査によると、この法律の規定は特にデータブローカーに関して十分に施行されていないことが明らかになりました。

データブローカー――消費者情報を購入し、マーケティングなどの目的で他者に再販売する事業者――は、法律の規制に対する遵守がまちまちであることが研究者によって判明しました。報告書「消費者は注意!データブローカーのCCPA遵守状況の調査」では、法令により個人を特定できる情報(PII)へのアクセスや削除を求める消費者のリクエストに対応する義務を負うデータブローカーに、遵守しない傾向が見られると指摘しています。連絡を取った543社の登録データブローカー(DBR)のうち、約半数が規定の45日以内に回答しました。電話やメールで検証可能な消費者リクエスト(VCR)を送った場合の回答率は42%、フォームベースのVCRでは71%でした。

この状況は懸念されます。これらのデータベース内の個人データは匿名化されているはずですが、十分に大きく詳細なサンプルがあればプライバシーが侵害される可能性があります。

報告書は多くのDBRが遵守していないことを明確に示しましたが、法律事務所Day Pitneyのデータプライバシーおよびサイバーセキュリティ部門の共同議長であるウィリアム・ロバーツ氏は、現時点では懸念していないと述べています。彼は、CCPAの遵守が完全でないことを、2016年に欧州連合の一般データ保護規則(GDPR)が施行された直後の遵守状況と同様だと例えています。

「学習曲線があるのです」と、コネチカット大学ロースクールのデータプライバシー法の非常勤教授でもあるロバーツ氏は述べています。

GDPRの初期段階が示したように、組織が複雑な規制に対応するには時間がかかります。データブローカーにも違いがあり、大企業の方が遵守しやすいとロバーツ氏は言います。GDPRの「忘れられる権利」規則が示すように、遵守は困難であり、自動化されたプロセスを導入するには時間がかかるだろうと述べています。

PIIを提供するか否か

消費者や企業が、どのデータブローカーが特定の個人のPIIを保有しているか事前に知ることは不可能なため、研究者がデータブローカーにPIIの有無を問い合わせたい場合、DBRがファイルを確認する前に本人確認のためにPIIを提供する必要があります。つまり、データブローカーが自分のPIIを持っているかどうかを調べるために、まずPIIを提供しなければならないのです。

これは逆説的に思えるかもしれませんが、実際にはそうではないと、バークリー・リサーチ・グループのプライバシーおよび情報コンプライアンス部門を率いるエイミー・ウォーリー氏は説明します。CCPA調査の著者らは、DBRがすでに保有しているかどうかを確認するためにプライベートデータを提供せざるを得ないこと――つまり消費者のプライバシーリスクがさらに高まること――を懸念していますが、ウォーリー氏はCCPAにはこの矛盾に対応する検証プロセスがあると述べています。つまり、データ主体リクエストの一環として企業に提供されたPIIは、問い合わせ後に保存・利用してはならないと定められているのです。

「彼らは私からリクエストを受け取ったという事実だけを保持できますが、それだけです」と彼女は言います。

つまり、リクエストの記録を保存することはコンプライアンス上必要かもしれませんが、データ自体は削除しなければなりません。著者らが「ソフィーの選択」として懸念している――自分のデータがDBRにあるかどうかを知るためにプライベートデータを差し出さなければならない――という問題は、CCPAが検証データの保存を禁じているため無効です。

米国初代連邦CISOのグレゴリー・トゥーヒル氏によれば、PIIの難読化は、複数のDBRから単一の個人や企業に関する幅広く統計的に有意なデータサンプルを収集すれば打ち破られる可能性があります。VCRフォームやデータの返却方法を標準化することで、データブローカーはガバナンスや監督の対象となります。しかし調査によれば、情報の提供方法に標準がなく、時には要求以上の情報が提供されることもあるといいます。

トゥーヒル氏は、登録データブローカーが500社以上ある一方で、データの再販市場の規模は把握不可能だと指摘します。ブローカーは複数の情報源からユーザー情報を収集し、それをまとめて正規企業から犯罪者までさまざまな利用者に再販しますが、すべてのブローカーが登録されているわけではありません。

「データは何度でも売買されます。ブロックチェーン技術やその他の出所追跡技術を導入しない限り、誰がその情報を持っているのか分かりません」と、現在カーネギーメロン大学ソフトウェア工学研究所のCERTディレクターを務める退役准将のトゥーヒル氏は述べています。

データを守るためのヒント

プライバシー専門家のデビー・レイノルズ氏は、データをよりよく守るのは消費者自身の責任だと述べています。企業がプライベートデータを求めてきた場合は、提供を断るか、マーケティングメールと個人データが混ざらないような使い捨てメールアドレスなど代替データを提供することを勧めています。また、小売業者など商用ウェブサイトにプライベートデータを保存しないことも提案しています。そうすれば、攻撃者が漏洩であなたのデータの一部しか入手できなくても、他の漏洩データと照合されてしまうリスクを減らせます。

トゥーヒル氏は、プライバシーに取り組むCISOに対して3つの提言をしています:

  • 国内外のプライバシー法を理解している優秀な弁護士を雇うこと。

  • 自社のデータを包括的に把握すること。多くの経営者は自社にどんなデータがあるか把握していません。

  • サプライチェーンを理解し、管理すること。データのガバナンスが必要です。見えないものは守れません。

翻訳元: https://www.darkreading.com/data-privacy/gaps-in-california-privacy-law-half-of-data-brokers-ignore-requests

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です