世界を動かす技術を、日本語で。

バージニア州、位置情報データの販売を禁止

2026年7月3日原文(hunton.com)

概要

  • Virginia州地理位置データの販売 を禁止する法改正を施行
  • VCDPAの「販売」定義は他州より 狭義
  • 2026年7月1日 より新規定が発効
  • MarylandOregon も同様の禁止措置
  • 全米で同様の法案や規制強化が進行中

Virginia州における地理位置データ販売禁止法の成立

  • 2026年4月13日、Governor Abigail Spanbergerによる S.B. 388署名・成立
  • Virginia Consumer Data Protection Act(VCDPA) の改正による地理位置データの販売禁止
  • 「販売」 の定義:コントローラーが第三者へ 金銭的対価 と引き換えに個人データを提供する行為
  • 他州の包括的プライバシー法よりも「販売」定義が 限定的
  • 施行日:2026年7月1日

他州・全米の動向と規制強化

  • MarylandOregon :地理位置データ販売禁止を既に導入
    • 両州は「販売」を 金銭またはその他の価値ある対価 を含めて広く定義
  • CaliforniaMassachusettsVermontWashington State などでも同様の法案提出
  • 規制当局の監視強化
    • 2025年3月、California Attorney Generalによるロケーションデータ業界調査
    • 2024年、FTCによるデータブローカーへの地理位置データ販売禁止措置

今後の展望と留意点

  • 地理位置データの取り扱いに関する 法規制の全国的拡大傾向
  • 企業による 個人データ管理体制の見直し ・コンプライアンス強化の必要性
  • 各州ごとの「販売」定義や規制内容の 相違点把握 が重要

Hackerたちの意見

ビル: https://lis.virginia.gov/bill-details/20261/SB338/text/SB338 「バージニア州はメリーランド州とオレゴン州に続いて、位置情報データの販売を禁止しました。メリーランド州とオレゴン州は「販売」を、個人データを「金銭またはその他の価値のある対価と交換すること」と広く定義しています。バージニア州は最近、カリフォルニア州、マサチューセッツ州、バーモント州、ワシントン州など、同様の禁止を提案した他の州と合流しました。この立法活動は、位置情報データの販売に対する規制の厳格化に続くもので、2025年3月にはカリフォルニア州の司法長官が位置データ業界を調査し、2024年にはデータブローカーが位置情報データを販売することを禁止するFTCの和解がありました。(この種の立法に関する州の立法トラッカーが見つからなかったので、もし見つけたら返信で教えてください!)」

選挙で選ばれた公務員が多く住む2つの州がプライバシー優先を選ぶのは面白いですね。

https://law.lis.virginia.gov/vacode/title59.1/chapter53/sect...

この記事は4月のもので、禁止は7月1日から施行されました。

数年前のNYTimesの記事では、自動車保険会社がそのデータをどう使っているかについて書かれていました。急停車の追跡、夜間の運転、80マイル以上の速度での運転など。

その通り。ユーザーの同意なしに、またユーザーが気づかないうちにプライベートで個人的なデータを交換して、利益を得ているんです。

ちなみに…なんで「80 mph」が適当な値として選ばれたのか気になるな。ユタの田舎では80 mphの制限速度が掲示されてて、表面的な速度法もあるんだけど、ユタのドライバーは80 mphを超えることが多いし、合法だと思う。選ぶには変な数字だよね。

例えば、デラウェア州に設立された会社がバージニア州で収集された位置データを販売した場合、その会社はバージニア州での業務がないとします。どうなるんでしょう?一方で、us-east-1はバージニア州にあり、どれだけの決済処理サーバーが稼働しているかは誰にもわかりません。

州をまたぐ裁判で起こるのと同じことだね。訴訟では、特定の管轄区域に行くけど、多様性管轄に該当すれば連邦裁判所に行くことになる。

たぶん、ベンダーは遵守するかどうかを判断するだろうね。もし遵守したいなら、バージニアのデータを収集データセットから除外して、契約上、下流のユーザーに対して、バージニアの人が影響を受けた場合に補償するように求めるだろうね。

正直、他人の正確な位置データを売ることが普通のビジネスモデルとして扱われていたのは驚きです。すでに大規模なデータ収集が行われていることはわかっています。こういった法律は、追いつくための最低限のものです。これらの企業を存在できないように罰する法律ができればいいのにと思いますが、無理でしょうね。

良いスタートですね。2024年から: 「ある会社が、48州にある約600のプランド・ペアレントフッドの訪問を追跡し、そのデータを国内最大の反中絶広告キャンペーンの一つに提供したとされる調査があります」 - https://www.politico.com/news/2024/02/13/planned-parenthood-...

Hacker Newsで議論の続きを見る