はじめに:データブローカー規制の強化
カリフォルニア州プライバシー保護庁(CalPrivacy)は、データブローカーに対する取り締まりを強化しています。特に、数百万人の医療データを含む個人情報を未登録で転売していたマーケティング企業「Datamasters」に対し、高額な罰金とカリフォルニア州民のデータ販売禁止という厳しい措置を講じました。これは、個人情報保護を目的とした「California Delete Act」に基づくもので、2026年からは消費者がオンラインプラットフォーム「Delete Request and Opt-out Platform(DROP)」を通じて、登録データブローカーに対し個人情報の削除を要求できるようになります。
Datamasters社への断固たる措置
Rickenbacher Data LLC(Datamastersとして運営)は、データブローカー登録義務の期限を過ぎても登録を怠ったとして、45,000ドルの罰金を科されました。さらに、違反が継続的かつ深刻であると判断され、カリフォルニア州民の個人情報販売が禁じられました。
CalPrivacyの最終命令によると、Datamasters社はアルツハイマー病、薬物依存症、膀胱失禁など、様々な病状に苦しむ人々のユーザー情報を購入し、ターゲティング広告のために転売していました。これには、年齢や人種(「高齢者リスト」や「ヒスパニックリスト」)、政治的見解、食料品の購入履歴、銀行取引活動、健康関連の購入に基づいたリストも含まれていました。
収集されたデータは、氏名、メールアドレス、住所、電話番号など、数億件に上る記録で構成されていました。同社が当初、カリフォルニア州で事業を行っていない、あるいはカリフォルニア州民のデータを扱っていないと主張しながら、証拠を突きつけられると真逆の事実を認めるなど、不誠実な対応を見せたことも罰則強化の一因となりました。
Datamasters社は、過去に購入したカリフォルニア州民の個人情報を昨年12月末までに全て削除するよう命じられ、今後カリフォルニア州民のデータを受け取った場合は、24時間以内に削除する義務が課されました。また、今後5年間はコンプライアンス対策を維持し、1年後には関連するプライバシー慣行の報告書を提出しなければなりません。
S&P Global社への行政処分
一方、S&P Global Inc.も、2024年のデータブローカー登録を期限(2025年1月31日)までに完了しなかったとして、62,600ドルの罰金を科されました。しかし、同社の場合は事務的なミスが原因であり、登録遅延は313日間であったものの、迅速に登録し、是正措置を講じた点が考慮されました。
「California Delete Act」とその影響
今回の措置は、データプライバシー保護を強化するカリフォルニア州の取り組みを明確に示しています。「California Delete Act」は、消費者が自分の個人情報がどのように利用されているかをより詳細に管理できるようにすることを目指しており、DROPプラットフォームの導入により、登録データブローカーから個人情報を一括して削除するプロセスが簡素化されます。企業は今後、厳格な登録義務と情報管理の透明性が求められることになります。