カリフォルニア州と他2州、GPC違反者に厳しい対応へ

米国の組織は、グローバルプライバシーコントロール（GPC）信号を検出し遵守するためのシステムを整備していることを確認するよう勧告されています。これは、今週、GPCを遵守していない企業を標的とした複数州によるプライバシー執行の一斉取締りが開始されたことを受けたものです。

カリフォルニア州プライバシー保護局（CPPA）およびカリフォルニア州、コロラド州、コネチカット州の司法長官は火曜日、「法律で義務付けられているGPC経由で提出された個人情報の販売停止の消費者リクエストを処理していない可能性のある企業」に連絡し、遵守を求める計画を発表しました。

CPPAの発表によると、この一斉取締りは「3州による2025年データプライバシーデーのGPCに関する教育活動を強化するもの」とされています。例えばカリフォルニア州では、カリフォルニア消費者プライバシー法（CCPA）が、企業が収集する個人情報に対する消費者のコントロール権を認めており、企業に対して個人情報の販売や共有の停止を求める権利も含まれています。

法律事務所Clark Hillが水曜日に発表したアドバイザリーでは、「GPCの執行一斉取締りは単独で発生したものではありません。これは、2025年4月に覚書（MOU）で発表された新たに結成された複数州による連携組織であるプライバシー規制当局コンソーシアムから生まれた最初の大規模な取り組みの一つです。このコンソーシアムには、カリフォルニア州、コネチカット州、コロラド州、デラウェア州、インディアナ州、ニュージャージー州、オレゴン州のプライバシー規制当局や司法長官が参加しています。」と述べられています。

アドバイザリーの中で、弁護士のMyria V. Jaworski、Chirag H. Patel、Ali Bloomは、各州のプライバシー法には違いがあるものの、MOUはデータアクセス、データ削除、オプトアウトといった基本的な類似点を強調しており、これらは各管轄で守られるべきだと記しています。

GPCを特定のブラウザや拡張機能に組み込まれたオプトアウト優先信号（OOPS）と定義し、「GPCの執行は、企業がGPCやOOPSを検出し遵守するためのシステムを備えているかどうかを直ちに評価する行動を取るべきことを意味します」と述べています。

アドバイザリーによると、企業は以下のような主要な技術的・運用的対策を検討すべきとされています：

• GPC信号の認識を実装：企業はウェブサイトやバックエンドシステムを更新し、「ブラウザやブラウザ拡張機能から送信されるGPCヘッダーまたは同等の信号の存在を検出できるようにする必要があります。GPC信号はHTTPヘッダーの一部またはJavaScript経由で送信され、個人データが収集・販売されるすべての関連ページで確実に検出されなければなりません。」
• 同意管理プラットフォーム（CMP）との統合：プラットフォームがGPC信号を自動的に認識し、データの販売や共有を許可する他の同意設定やデフォルトを上書きするように構成することが推奨されています。
• テストと監視：企業は「システムが各種ブラウザやデバイスでGPC信号を正しく検出できているか定期的にテストし、ログを監視して信号がリアルタイムで受信・遵守されていることを確認すべき」とされています。

さらに、組織はプライバシーポリシーの更新も必要であり、「プライバシー通知やポリシーには、GPC信号に対して企業がどのように対応するか、消費者の権利やオプトアウトの有効期間について明確に記載すべき」と弁護士らは付け加えています。

不遵守に対する法的措置も十分にあり得ます。CCPAの執行部門による最近の事例では、衣料小売業者Todd Snyderが州のプライバシー法違反で345,178ドルの罰金を科され、American Honda Motor Co.はCCPA違反で632,500ドルの罰金を科されました。これは同法の歴史上、最高額の罰金の一つとされています。

準選択的な標的化は賢明な判断と評価

カナダ拠点のBeauceron Securityの責任者David Shipley氏は、CPPAと3州による今回の動きを、スピード違反者を減速させるための一斉取締りに例えました。

この取り組みは、「ガバナンスやプライバシー法における『カリフォルニア・プライバシー・ハイウェイパトロールを出動させて、誰がスピード違反をしているか、誰がルールを守っていないかを見極めよう』というものに相当し、賢明な判断です。これは責任を持って実施されるべきツールキットの一部であり、『全員を監査する』というものではありません。そんなことをしたら恐ろしいですし、誰もそんなリソースは持っていませんし、大混乱を招くでしょう。」と述べています。

しかし、ランダムまたは準選択的な標的型の執行イニシアチブは、実際にはプライバシー分野にとって有益だと彼は述べています。「つまり、プライバシーやガバナンス、リスク、コンプライアンス分野で一生懸命働いている多くの人々が『こういう法律がある』と声を上げます。しかし、時には上級幹部や取締役会レベルで『でも実際に摘発される可能性は？ それは受け入れられるリスクだし、実際にどれくらいコストがかかるのか？ 他のビジネス上のプレッシャーと比べてどれくらいの確率で起こるのか？』という反応が返ってくることがあります。」

この取り組みによって、「人々の意識の中の計算式が変わることになり、それは悪いことではありません」とShipley氏は述べています。彼は、真に必要なのは国家レベルのプライバシーアジェンダだとも付け加えました。

「アメリカ合衆国は、一つの統一国家として行動するときに最も効果的に機能します」と彼は述べています。「つまり、全国的な包括的プライバシー法と単一の報告メカニズム、単一の基準セットがあれば、複数の管轄で事業を展開する企業にとってはよりコスト効率が高くなります。」