米国カリフォルニア州は最近、「削除リクエストおよびオプトアウト プラットフォーム」(DROP)と呼ばれるオンライン プラットフォームを正式に開始し、データ ブローカーによる個人情報の保存と販売を制限する新しい集中ツールを州住民に提供しました。施行されている以前のプライバシー規制では、カリフォルニア州の住民は2020年以降、企業に対しデータの収集と販売の停止を求める権利を持っていたが、これまでは各企業に個別のオプトアウト申請を1件ずつ提出する必要があり、煩雑な手続きとなっていた。
2023 年に可決された削除法はこのプロセスを簡素化することを目的としており、住民は 500 を超える登録データ ブローカーに 1 回限りのリクエストで個人情報の削除をリクエストできるようになります。
現在、DROPプラットフォームでは申請受付を開始しています。住民はプラットフォーム上でカリフォルニア州の居住確認を完了した後、削除リクエストを提出することができ、削除リクエストは州内に登録されているすべてのデータブローカーと今後登録されるデータブローカーに自動的に送信されます。ただし、これはすべての関連データが直ちに削除されることを意味するものではありません。規制によれば、ブローカーは 2026 年 8 月までそのようなリクエストの正式な処理を開始しません。また、90 日間の処理期間があり、その後、完了時に規制当局にフィードバックを提供する必要があります。ブローカーが関連する記録を見つけられなかったり、データを削除したりした場合、ユーザーはプラットフォームを通じてさらに情報を補足し、会社が自分の個人データを見つけられるようにすることができます。
新しいツールは主に個人情報を売買するデータブローカーを対象としており、企業が第一者としてユーザーから直接取得したデータを削除する義務はないことは注目に値する。言い換えれば、企業が独自のサービス関係に基づいて合法的に収集および保持しているファーストパーティ データは引き続き保持できます。削除する必要があるのは、社会保障番号、閲覧履歴、電子メール アドレス、電話番号、その他の種類の情報を含む、ブローカーが売買に使用する個人データです。また、車両登録情報や有権者登録記録など、公文書に由来する一部の情報は削除の対象外となります。医療保険の相互運用性と責任に関する法律 (HIPAA) など、他の連邦法または州法によって保護されている医療情報などの一部の非常に機密性の高いデータは、独自の特定の法的枠組みの対象となります。
カリフォルニア州プライバシー保護庁は、この新しいツールは、住民による自分自身のデータの管理をさらに強化することに加えて、望ましくないテキストメッセージ、電話、電子メールのプッシュを減らすなど、実生活に複数の効果をもたらすことが期待されると述べた。同庁はまた、データの一元的な削除は、個人情報の盗難、詐欺、「AIなりすまし」(詐欺を行うための音声や個人情報をシミュレートするための生成型人工知能の使用)、およびデータ侵害やハッカーのリスクを軽減するのにも役立つと指摘した。カリフォルニア州への登録が義務付けられていないか、削除要請を受けた後に義務を履行していないデータブローカーに対し、規制当局は1日あたり200ドルの罰金を課し、執行費用を回収することができる。
業界関係者らは、DROPの施行は「削除法」の主要な施行リンクが正式に具体化され、他の州や連邦レベルでのデータ仲介監督のための実践的なサンプルを提供することを意味すると考えている。生成型人工知能の急速な発展とデータ悪用のリスクの高まりを背景に、個人データの売買チェーンの監督がプライバシーとセキュリティ ポリシーの分野で新たな焦点になりつつあります。カリフォルニア州が導入した一元的な「ワンクリック削除」メカニズムにより、より多くの地域がデータ仲介業界のコンプライアンスの境界線と義務を再検討するようになる可能性がある。