SECURE法案とGUARD金融データ法案は成立する可能性は低いが、CIO、CISO、CFOが直面するプライバシーの戦いを予告している:データミニマイゼーション、AIプロファイリング、ベンダー責任、およびティーンデータに関する物議を醸す新しいルール。
米下院共和党員は、米企業がどのようにして消費者データを収集、処理、保持するかを変える2つの重大なプライバシー提案を導入した:一般的な消費者プライバシーのためのSECURE法案と金融機関のためのGUARD金融データ法案。
法案は、プライバシーとセキュリティの慣行のための国家基準を作成しながら、カリフォルニア州やメリーランド州などの州で既に実施されている強い保護を含む多くの州のプライバシー法を広く先制するものである。また、連邦の枠組みの下での私的訴訟の可能性を排除し、執行を主に連邦取引委員会と州司法長官に任せることになる。
連邦先制、弱い執行、および広範なコンプライアンス変化のこの組み合わせにより、これらの法案は民主党とプライバシー擁護者の両方にとって政治的に有害になった。電子プライバシー情報センター(EPIC)は、SECURE法案を「大手テックへの巨大な贈り物」と呼び、「弱い連邦基準は基準がないことより悪い」と警告した。
議会は10年以上にわたって、しばしば今日より偏光が少ない状況下で包括的な連邦プライバシー法を制定することに失敗している。「議会の単一の両議院からの1つの政党の支持では行かない」と、EPIC の最高経営責任者兼会長のアラン・バトラーは述べた。「実際には、このような実質的な法律を可決するにはバイパーティサンのプロセスが必要です。」
これらの法案は重要である。なぜなら、企業が既存の州法および連邦のガイダンスの下で直面することを強いられているプライバシーの問題を露出させるからである。データミニマイゼーション、自動プロファイリング、データブローカーの説明責任、および機密データに関するますます複雑なルールを含む。
データミニマイゼーションが経営課題になっている理由
SECURE法案は、よく知られたプライバシー権を含む:アクセス、訂正、削除、ポータビリティ、ターゲット広告とデータ販売のオプトアウト、および特定の形態の自動プロファイリングに対する制限。また、企業とベンダーのための連邦データブローカーレジストリと正式なコントローラープロセッサの義務を作成する。
企業にとって最も重要な運営上の問題は、しかし、データミニマイゼーション、企業が必要なもののみを収集し、必要な限りの間のみ保持し、両方の決定を正当化することができるという増加した受け入れられた原則である。
国立標準技術研究所(NIST)は既にミニマイゼーションを中核のプライバシーとセキュリティの原則として扱っている。その「収集とデータミニマイゼーション」ガイダンスでは、機関は企業が述べられた目的のために必要な個人情報のみを収集すべきだと述べている。なぜなら、過度な保持は回避可能なプライバシーとセキュリティのリスクを作成するからである。
その原則は州のプライバシー法にも同様にますます中心になっている。カリフォルニア州とメリーランド州の両方が、多くの初期の州フレームワークより不必要な収集と保持に対する強い制限を課す。
CIO、CISO、CFOにとって、これは単なるプライバシー通知の問題ではない。休眠顧客記録、過度なテレメトリー、忘れられたSaaS アーカイブ、過度なAI トレーニングデータセット、およびレガシーマーケティングデータベースはすべて侵害にさらされることを増加させる。企業が不必要なデータを保存するほど、その攻撃面が大きくなる。
バトラーはSECURE法案の独自のミニマイゼーション言語が、主導的な州が既に要求するものより弱いと主張している。
「答えは、法律が実際には何もしないということです」と彼は述べた。なぜなら、その規定は主に企業がプライバシーポリシーで開示するものに収集制限を結び付け、より強い必要性の基準を課すことはないからである。
それは珍しいエンタープライズのダイナミクスを作成する:法案は全体的なプライバシー保護を弱める可能性があり、企業が彼らが持つデータを保持している理由を正当化することができなければならないという長期的な期待を強化し続ける。
プライバシー法がAI統治と重なるところ
SECURE法案は広い、スタンドアロンのAI統治ルールを含まないが、それでも有意義な方法でAIに触れる。
法案は、法的または同様に重大な効果を持つ決定のために使用される完全に自動化されたプロファイリングのためのオプトアウトを含む。その言語は明らかにAIのいくつかの使用を巻き込むことができる。特に採用、貸付、保険、およびその他の高い影響力を持つ決定において。
バトラーはプロファイリング条項は注視する価値があると述べた。なぜなら、複数の州法は既に同様の要件を含み、その概念は拡大しているからである。これは、プライバシー法が多くの企業にとってAI規制の最初の実用的な形になる可能性があることを意味する。
トレーニングデータセット、カスタマープロンプト、テレメトリー収集、および保持期間は、規制者がデータが本当に必要かどうかを尋ねるときに防御するのがより難しくなる。法務チーム、プライバシー担当官、およびCISOは、議会がスタンドアロンのAI法を可決する前にAI戦略を形作ることができるかもしれない。
すべてを壊す可能性があるティーンデータ条項
SECURE法案で最も議論されていないが、最も破壊的な条項の1つはティーンを含む。
それは、コントローラー、すなわち個人データを処理しているあらゆる事業体は、検証可能な親の同意を得ることなくティーンの機密データを処理することはできないと述べている。問題は、法案が機密データを定義して13歳から15歳の間の既知のユーザーを含むほぼすべての相互作用が要件をトリガーすることを意味する、ティーンから収集された個人データを含むことである。
「ウェブサイト、アプリ、サービスを運営し、13歳から15歳であることを知っているユーザーがいる場合、それはすべてを壊すだろう」とバトラーは述べた。「データに触れるたびに検証可能な親の同意を得る必要があります — それを収集、転送、保存、処理、何でも。」
準拠するために、企業は年齢認識のみが必要であり、多くはアカウント作成またはアプリストアを通じて既に持っているが、親子関係を検証するシステムも必要とする。これはおそらく、ほとんどの組織が保存を避けようとすべき情報の正確な種類である追加の機密な身分証明書と個人記録を収集する必要があるだろう。
「それは機能しない。それは理に適わない」とバトラーは述べた。「もし私がCIOまたはCISOなら、それは完全に実行不可能であるため、非常に懸念するだろう。」
ベンダーとデータブローカーがより重要である理由
SECURE法案は、機密性、削除、保持制限、下請け業者の義務、およびその他の安全装置をカバーする正式なコントローラープロセッサの契約を要求する。これにより、プライバシーコンプライアンスが直接調達とサードパーティのリスク管理に押し込まれる。
買収から継承されたベンダーと不明確なデータ所有権を持つ企業にとって、プライバシーコンプライアンスは誰が何のデータを持っているか、どこにそれが置かれているか、そして誰かが実際にその削除を強制できるかを確認する運動になる。
バトラーは連邦データブローカーレジストリを、プライバシー法が既に移動しているところを明らかに反映する法案の数少ない条項の1つとして指摘している。より多くの州がレジストリ要件を採用しており、ビジネスはますます彼らが購入するデータ、どこからそれが来たか、そして彼ら自身がブローカーとして適格かどうかを評価する必要がある。
金融企業がGUARDをより密接に監視すべき理由
SECURE法案がはるかに多くの企業に影響を与えている間、同伴のGUARD金融データ法案は銀行、保険会社、およびフィンテック にとってより重要かもしれない。
完全に新しいフレームワークを作成するのではなく、GUARDはグラム・リーチ・ブリーリー法(GLBA)の第V章を大幅に近代化するだろう。それは消費者オプトアウト権を保護しながらアクセス権を拡大し、元の顧客削除権を追加し、機密個人情報の開示前に肯定的なオプトイン同意を要求し、金融データアグリゲーターとアクセス認証の周りでより強い義務を課す。
また、「対象国」を含むデータ処理に関する条項も含まれ、金融プライバシーをより直接的に国家安全保障とサプライチェーンの懸念に結び付ける。
GLBA プライバシー通知を年次コンプライアンス演習として扱う機関にとって、GUARDはプライバシーを日々の運営課題に変え、オープンバンキング、認証情報の処理、ベンダー関係、および元の顧客のための保持慣行に触れる。
連邦法がビジネスに最適ではない可能性
ビジネスグループは、州ごとのプライバシー法のパッチワークを置き換えるための単一の国家基準を長い間望んでいた。1つの連邦フレームワークは20の競う1つより統治するのが簡単であり、多くの企業は予測可能性を歓迎するだろう。
ブレンダン・トーマス、Internet for Growth 連合の最高経営責任者は、州法のパッチワークに対する連邦フレームワークを提供するためのSECURE法案を称賛し、連合は小企業の価格を上げると述べている。「下院でのSECURE法案(HR 8413)の導入は、国家プライバシーフレームワークを確立するための進行中の努力における重要なステップです」とトーマスは声明で述べた。
しかし、EPICのバトラーはより強い州法を消し去ることは実際にはビジネスに良くない可能性があると主張している。
彼は、企業はすでにそれらのフレームワークの周りのコンプライアンスプログラムに重く投資しており、それらをより弱い、より曖昧な連邦ルールに置き換えることは、より少ないのではなく新しい不確実性を作成する可能性があると述べている。
「それはあなたの顧客の間で不信を育成する」とバトラーは述べた。「人々がこれらのアプリで何が起こっているかを不信することはビジネスに良くない。突然、[消費者]は彼らのプライバシーがもはや保護されていると感じない。」
