カリフォルニア州のプライバシー規制当局は、適切な認可なしに個人データの取引を行っていると非難されている企業に対して、新たな措置を講じました。
最新の決定は、健康関連のプロフィールを販売したマーケティング企業と、登録規則を満たさなかったグローバル分析プロバイダーを対象としています。
カリフォルニア州プライバシー保護庁(CPPA)は、これらの措置は消費者データの売買を行う事業者に年間登録を要求するDelete Act(削除法)の執行の一部であると述べました。
当局は、医学的状態と個人的行動に関連する情報が商業的利得のために流通した場合、深刻なリスクを招く可能性があると警告しました。
最も厳しい罰金はDatamastersとして事業を行うRickenbacher Data LLCに科されました。規制当局は、テキサス州を拠点とするこの企業が2024年に数百万人に関連する個人データを購入・転売したが、カリフォルニア州でデータ仲介者として登録していなかったことを発見しました。
センシティブなプロフィールの取引
同庁の命令によれば、Datamastersは名前、メールアドレス、電話番号および住所を含む数億件のレコードを処理しました。データは極めてセンシティブな属性を中心に構築されたマーケティングリストにパッケージ化されました。
-
アルツハイマー病、薬物中毒、尿失禁などの疾患のある人々
-
年齢および認識された人種に基づくリスト。「シニアリスト」および「ヒスパニックリスト」を含む
-
政治的見解、食料品の購入、銀行取引活動、健康関連の支出に関連するグループ分け
「アルツハイマー病と闘っている人々のリストを転売することは問題を招く元です」とCalPrivacyの執行責任者マイケル・マッコは述べました。
「悪意のある者の手に渡れば、これらのリストは広告以上の目的で人々をターゲットにするために使用される可能性があります。」
罰金および営業制限
CalPrivacyはDatamastersに45,000ドルの罰金を科し、カリフォルニア州民に属する個人情報の売却を中止するよう命じました。また、以前に取得したすべてのカリフォルニアデータを削除し、将来のデータセットに出現した場合は24時間以内にそのような情報を削除する必要があります。
データブローカーの詳細:サイバー犯罪者が低コストの初期アクセスブローカー市場を悪用
別の決定として、S&P Globalは2025年1月31日のデータブローカー登録期限までに登録しなかったため、62,600ドルの罰金が科されました。規制当局は、行政上の誤りが原因の当該不備により、同企業は313日間登録されていない状態が続いたと述べました。
これらの措置は、削除要求およびオプトアウトプラットフォーム(DROP)の開始と一致しており、消費者は1つのステップで登録されたすべてのデータブローカーから個人情報の削除をリクエストできます。
翻訳元: https://www.infosecurity-magazine.com/news/california-shuts-health-data/
