ニュースコメンタリー CCPA執行状況など

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

• 配信日：2022年9月8日
• タイトル：ニュースコメンタリー CCPA執行状況など
• コメンテーター：データサイン 代表取締役社長 太田祐一、ビジネスディベロッパー 宮崎洋史

GPC対応を怠ればCCPA違反に

この日のランチタイムトークではプライバシーに関する米国、中国、欧州の話題を取り上げました。

最初の話題は、2020年７月に発効した米国カリフォルニア州消費者プライバシー法（CCPA：California Consumer Privacy Act）の執行状況についてです。

2022年8月24日、カリフォルニア州司法長官府が13件の執行事例を発表しました。

その1つをみると、複数のオンライン小売業者が、ウェブ追跡技術を用いて、広告や分析などのサービスと引き換えに消費者の個人情報を第三者に手渡していたことが強制捜査の結果、判明したそうです。これらの小売業者は、CCPAが要求するグローバルプライバシーコントロール（Global Privacy Control、GPC）を介した消費者からのオプトアウトのリクエスト（「Do Not Sell My Personal Information」や「Do Not Sell My Info」など）を処理せず、データを外部に提供していました。

GPCとは、2020年10月29日配信のランチタイムトークでも触れましたが、ブラウザのユーザーが、ウェブサーバー側に「自分のデータを販売しないで」という内容の信号を送ることでウェブサーバー側からのデータ取得拒否を意思表示する仕組みです。このGPCシグナルを送れるブラウザやコミュニティには、braveやDuckDuckGo、mozillaなどがあります。

「かつてFireFoxが開発したトラッキング拒否機能（DNT：Do Not Track）はいまひとつ普及しませんでしたが、その後開発されたGPCは、その対応を怠れば、ウェブサイトを運営する企業がCCPA違反と指摘される段階まで来ました。これは画期的な出来事だと思います」（太田）

中国DiDiに制裁金

タクシー配車アプリ「DiDi Taxi」などを提供するDiDi（ディディ、中国語表記では「滴滴」）。2021年6月30日にニューヨーク証券取引所に上場しました。ところがその直後の7月2日、中国当局（国家ネットワーク情報弁公室）が調査を開始。7月4日から新規ユーザー登録を停止し、DiDiが運営する25のアプリが削除されました。翌2022年6月にはニューヨーク証券取引所の上場廃止が決定されました。さらに翌7月には滴滴グローバル株式会社に約80億元、日本円にして約1640億円の罰金が科されました。

「米中間の政治的な摩擦も見え隠れします。このニュースに関連して思い出したのが、中国のプライバシー関連の法律の厳しさです」（太田）

たとえば、2021年5月に施行された『一般的な種類のモバイルインターネットアプリケーションに必要な個人情報の範囲に関する規定（規則）』の第4条には、アプリの基本機能の提供に必要なユーザーの情報の取得は認めるとともに、それ以外の個人情報の取得にユーザーが同意しなくてもアプリの基本機能を提供しなければならない（アプリの基本機能の提供を拒否することは禁じる）ことが記されています。Cookieウォールを禁じるEUのGDPR（一般データ保護規則）より厳しい、といえるかもしれません。

noyb苦情申し立て

3番目の話題は、欧州のプライバシーキャンペーングループのnoyb（ノイブ）公式サイトに2022年8月9日付で掲載されたニュースに関するものです。この記事によると、noybがGDPR違反を理由に、人気の高いクッキーバナーソフトウェアの「OneTrust」を利用しているウェブサイトに対して改善を求めたものの、違反が是正されたのは全体の一部に過ぎず、合計226件の苦情を18のデータ保護当局に申し立てたそうです。

クッキーバナーとは、ウェブサイトを訪問した閲覧者に対して、Cookie利用に対する情報提供や同意/拒否の選択、設定を求めて表示されるポップアップ画面やウェブページのことです。

GDPRでは、Cookie利用の拒否は同意と同じように簡単にできるようにしなければならないことを定めています。OneTrust自体に問題はないものの、noybではそれを用いるサイトの中でユーザーが簡単に拒否できないような「欺瞞的な設定」になっているケースについて改善を要求したと記事にあります。

「noybはまだまだ追求の手を緩めないようです。おそらくいずれ、ユーザーがGPCの設定などで『［すべてを拒否］しているのに拒否できていないじゃないか問題』を取り上げてくるのではないか、と想像しています」（太田）

新たな動きがあった際には、ランチタイムトークでも取り上げたいと思います。