ハクソク

世界を動かす技術を、日本語で。

マサチューセッツ州、プライバシー権法案で正確な位置情報データの販売を禁止

7時間前原文(techcrunch.com)

概要

  • Massachusetts州 で新たな消費者データプライバシー法案が可決
  • 住民にデータアクセス権や削除権などの 新しい権利 を付与
  • 正確な位置情報データの 販売禁止 を盛り込む
  • 中堅企業や大手テック企業 に大きな影響
  • プライバシー保護の動きが 全米各州で拡大

Massachusetts州 消費者データプライバシー法の可決

  • Massachusetts州議会 が消費者データプライバシー法案を全会一致で可決
  • 上院でも事前に全会一致で可決済み、今後は法案を統合し知事へ送付予定
  • 知事の署名 が見込まれ、成立時期は未定

法案の主な内容

  • 10万人以上 の消費者データを扱う企業が対象
  • 個人データへのアクセス権・削除権 など住民に新たな権利を付与
  • 正確な位置情報データの販売・共有 を全面禁止
  • 生体情報(健康・遺伝情報・指紋) や宗教・移民状況・性的指向などの機微情報も保護対象
  • 明示的同意なし での機微情報の共有や販売を禁止

影響を受ける主体

  • 中堅スタートアップ から Silicon Valleyの大手テック企業 まで幅広く影響
  • 位置情報データを収集・販売する企業 や広告会社にも大きなインパクト
  • 訪問者も含め州内全体 での位置情報データ販売が事実上禁止に

背景と評価

  • 米国全体 では統一的なプライバシー法がなく、各州ごとに独自の規制が進行
  • データブローカー による位置情報販売が長年の論点
    • アプリ開発者からのユーザー位置情報売買
    • ストーカー・政府・軍 など様々な購入者
  • 連邦レベル での規制は進まず、Trump政権下で見送り
  • 州議会は超党派で「プライバシーは基本的人権」と認識
  • Fight for the FutureACLU などプライバシー擁護団体から高評価

今後の展望

  • 他州にも波及 する可能性
  • 消費者プライバシー保護強化 の動きが全米で加速
  • テクノロジー企業の対応 が今後の焦点

Hackerたちの意見

これはいいね。全ての州が何かしら導入すべきだと思う。最終的には、州レベルのものを超える連邦レベルの法律ができて、50州の税金の混乱を避けられるといいな。連邦レベルで統一されたプライバシー法があれば最高だね。

これはもっと象徴的な感じがする。法律に実効性があるとは思えないし、従わなかった場合の罰金や懲役もないしね。

いや、私たちは特に均一性を求めてないよ。州がそれを超えていける最低限の基準が欲しいだけ。今の状況では、テック企業はプライバシー法を阻止するために50州と連邦議会に賄賂を渡さなきゃいけない。もし連邦の優先権があれば、ただ議会に賄賂を渡せばいいだけになる。州はプライバシー法を全く通せなくなるからね。連邦政府はプライバシー法を望んでいないことも分かってる。連邦の監視システムの合法性は、第三者からデータを買うことが憲法の審査を引っかけないって事実に依存してるから。優先権があると、要求が時間の中で固定されるから、常にTLAsより数歩遅れることになる。理想は、すべての主権国家が自分の領土に適用されるプライバシー法を通して、プライベートな訴訟権を持つこと。そして、アドテック企業は「50州法的」な姿勢を取らざるを得なくなる。これは意図的にそうなってるんだ。どの州でもより高い基準を求めるのは簡単だけど、すべての州が基準を下げるのは難しいから、プライバシー法は秘密裏に後退することができないんだよ。

でも、これには実効性があるのかな?抜け道がありそうな気がする…マサチューセッツ州以外の企業からデータを買うのをFacebookやGoogleが止める理由はないよね?それに、FacebookやGoogleは広告主に位置情報を教える必要はないけど、その情報を使って広告を決めることはできるよね?理論的には、この法律のターゲットとなるシリコンバレーの大企業は、データを手放す大きなインセンティブがないんじゃないかな?彼らはただデータを読み取ったりアクセスできればいいわけで、この法律がそれを止めるとは思えないし。データブローカーがマサチューセッツ州でビジネスをしていない場合を想定して。

でも、これには実効性があるのかな?実効性はあるよ。マサチューセッツ州には長腕法があって、チャプター93の文脈でその法律が適用されてきた歴史があるからね。実効性はあるけど、君が期待するほどではないかもしれない。この法律は、州検事総長だけが訴訟を起こせるように書かれているから、セクション10(b)を見てみて。これは、コモンウェルスでの長い歴史から逸脱していて、ほとんどのチャプター93違反に対して個人が民事訴訟を起こすことを許可していたんだ。だから、最も影響力のある変化は、マサチューセッツ州のAG候補者への政治献金の量と頻度に現れると思うよ(そして、争われる予備選挙の場合は、その候補者たちのブロック全体にもね)。消費者保護法は常に個人の訴訟権を提供すべきだよ。そうでなければ、合法的な腐敗のメカニズムとして機能するだけだから。

誰かにデータを読むことを許可した時点で、それは渡されたことになる。バッファのリフレッシュまでしか保持されなくても、やっぱり渡されたことには変わりないよ。バッファスペースから読み取られて、永続的な構造に変換されたら、それはずっと与え続けるギフトになるんだ。

すごくワクワクするね。

いい第一歩だけど、データが集められた時点で害はすでに発生してる。集めた情報を売らなくてもストーカー行為は違法にすべきだし、トヨタやGM、Googleに自分の行動を知られたくないよ。彼らの「パートナー」だけじゃなくてね。それに、EULAの抜け道が閉じられるのはとっくに過ぎた話だよ。契約は社会のために存在するものであって、その逆じゃないんだから。

世界中にある多くのプライバシー法案が、意味のある執行を始めるのをまだ待ってるよ。

私たちはプライベートな訴訟権が必要だよ。それが大きな問題で、マサチューセッツ州のプライバシー法が進まない原因になってる。下院はプライベートな訴訟権を支持してるけど、上院は法律を執行するのは検事総長だけでいいって考えてる。

これに車両データも含まれるの?それは大きな問題だね。新しい車が常に情報を売り渡してるってことだ。

10年間接続された車を運転してるけど、まだ裏切られたと感じたことはないよ。何か見落としてるのかな?

「販売」という言葉が実は抜け道になりそうな気がする。多分「交換」か「移転」って言葉を使うべきだったんじゃないかな。でも、これは進展だね。

そうだね、データの最小化が必要だよ。収集される限り、それは消費者にとってリスクになるから、企業にとってはできるだけ少なく収集するように仕向ける必要がある。

カリフォルニア州が先週、AB-1542を静かに通過させたんだけど、これには正確な位置データや健康データ、社会保障番号なんかが含まれてる。多くの州がこれに続くと思うよ。ちなみに、ゼネラルモーターズは先月、OnStarの位置データを再販したことで1275万ドルの罰金を受けたんだって。: https://ccpa.world/enforcement/gm-onstar-smart-driver

多くの州が続くと思うよ。もっと重要なのは、カリフォルニアのルールに従う企業が、カリフォルニア以外でも増えるってこと。俺の車は、当時ほとんどの州が厳しいルールを持ってなかったのに、カリフォルニアの排出基準に合わせて作られたんだ。(唯一の大きな例外は「データを売らない」オプトアウトやプライバシーのルールみたいで、その業界は本当にずるいから、非カリフォルニア住民を騙し続けるために余計な手間をかけるんだよね。)

GMとのFTCの和解により、GMは個人情報ではなく匿名の識別子に結びつけることで、正確な位置情報を販売できるようになったんだ。また、特定の情報に結びつけられた不正確な位置情報(例えば郵便番号や国勢調査ブロック)も許可されてるらしい。どうやらFTCの誰も、ボブと匿名IDが同じ一連の大体の場所を通過したら、その匿名IDがボブだって気づかないみたい。もしくは、彼らはそんなに無知じゃなくて、監視の現状を守りながら仕事をしているふりをしたかっただけかもね。

これが下院で通過すべき法案だよ。年齢(身分)でソーシャルメディアを制限しようとするのはやめてほしい。 (https://epic.org/press-release-massachusetts-senate-unanimou...)

存在しないデータだけが、悪用されることはない。