ニューヨークは、個人データに関する消費者の権利をめぐる戦いの次の戦場となるだろう。
ニューヨーク州プライバシー法が可決されれば、ニューヨーク州の住民は他のどの州よりも自らのデータに対するコントロールを強化されることになる。ゲイリー・ハーショーン/ゲッティイメージズ
来年施行されるカリフォルニア州の画期的な消費者プライバシー法を阻止しようと、ハイテク大手企業やロビー団体が競い合う中、米国の議員らはさらに抜本的な法案を検討している。
ニューヨーク州上院議員ケビン・トーマス氏が先月提出したニューヨーク州プライバシー法案は、ニューヨーク州の住民に他のどの州よりも強力なデータ管理権限を与えるものです。また、企業には顧客のプライバシーを自社の利益よりも優先することが義務付けられます。この法案は州議会で共同提案者を募集中ですが、トーマス氏は上院で過半数の支持を得られると確信しており、今夏に成立させたいと述べています。トーマス氏が委員長を務める消費者保護委員会は、火曜日にこの法案に関する公聴会を開催する予定です。
これにより、エンパイアステートは州のプライバシー法制定をめぐる争いの新たな戦場となるだろう。カリフォルニア州は昨年、カリフォルニア州消費者保護法(CCPA)を制定し、この種の法律を可決した最初の州となった。それ以来、業界団体や消費者擁護団体はCCPAの文言をめぐって論争を続けている。企業はCCPAの適用範囲が広範すぎると主張し、各州で異なる法律を遵守するのは現実的ではないため、連邦レベルでより緩やかな規制を求める。
ニューヨーク州プライバシー法はカリフォルニア州法と類似点があります。CCPAと同様に、この法律は、企業が自分に関してどのようなデータを収集しているかを人々が把握し、そのデータを誰と共有しているかを確認し、修正または削除を要求し、第三者とのデータの共有や販売を完全に回避することを可能にします。
しかし、ニューヨーク州の法案は、現状ではカリフォルニア州のモデルとは大きく異なる点が多い。カリフォルニア州法では執行権限が州司法長官に委ねられているのに対し、ニューヨーク州プライバシー法は、ニューヨーク州民にプライバシー侵害を理由に企業を直接訴える権利を与えるため、個人訴訟が相次ぐ事態を招く可能性がある。業界団体はカリフォルニア州における同様の条項(民事訴訟権とも呼ばれる)に強く反対し、昨年最終的に法案が成立した際には、この条項を法案から排除することに成功した。また、カリフォルニア州法は年間総売上高2,500万ドルを超える企業にのみ適用されるのに対し、ニューヨーク州法案はあらゆる規模の企業に適用される。
この法案は、カリフォルニア州消費者プライバシー法の基礎となったカリフォルニア州の住民投票法案の起草に協力したメアリー・ストーン・ロス氏をはじめとするプライバシー擁護者からすでに賞賛を受けている。
「これだけでも変化、あるいは少なくとも恐怖を巻き起こす可能性がある」とロス氏は言う。「大企業のロビイストたちは今頃、パニックに陥っているに違いない」
当然のことながら、この法案は既にテクノロジー業界からの強硬な反対に直面している。「現在のニューヨーク州プライバシー法は、遵守を望む企業にとって機能不全であり、ニューヨーク州民にデータの収集、利用、保護方法について実質的なコントロールを与えることができていない」と、Facebook、Google、Amazon、Microsoftなどの企業を代表するインターネット協会の理事、ジョン・オルセン氏は述べている。
トーマス氏は法案提出前にインターネット協会と面会し、カリフォルニア州法や昨年欧州で施行された一般データ保護法(GDPR)といった他のプライバシー保護措置について、会員の賛否両論を聴取した。しかし、最終的にトーマス氏が提出した法案には、民事訴訟権や、GDPRに類似した、企業がデータを処理、共有、または販売する前に消費者の同意を得ることを義務付ける要件など、業界が反対する項目がいくつか含まれている。
最も注目すべきは、ニューヨーク州法案が企業にいわゆる「データ受託者」としての行動を義務付ける点です。これはプライバシー界で新たに登場した概念で、企業が自社に利益をもたらし、ユーザーに不利益をもたらすような方法でデータを使用することを法的に禁止するものです。「情報受託者」としても知られるこの概念は、イェール大学ロースクールのジャック・バルキン教授によって提唱され、2014年からデータプライバシー問題の解決策の一つとしてこの概念を推進してきました。「デジタル企業が生み出す新たな問題に対処するには、従来の法的概念を適応させ、オンライン企業がエンドユーザーや顧客に対して負う義務を明確に規定する新しい種類の法律を制定する必要があります」と、バルキン教授と共著者であるハーバード大学のジョナサン・ジットレイン教授はアトランティック誌に記しています。「最も基本的な義務は、企業が定期的に収集し、利益を得ているデータの所有者の利益を守る義務です。」
州上院議員トーマス氏も同意見だ。「弁護士や医師のような受託者は、あなたの情報を保管します。彼らは、収集した目的に必要な場合を除き、情報を共有しません」と彼は言う。「データ企業やデータブローカーが行っているのは、それとは違います。彼らは情報を共有し、私たちが標的にされているのです。」
トーマス氏は、人々のデータを収集する企業は、利益だけでなく、人々の利益も考え始めるべきだと述べています。そのため、ニューヨーク州の法案は、企業に対し、ユーザーのデータを「合理的に保護」し、データ漏洩が発生した場合にユーザーに通知することを義務付けるだけでなく(ほとんどの大手IT企業が既に同意している規定)、ユーザーに何らかの金銭的または物理的な損害を与える方法、あるいは「合理的な消費者にとって予期せぬ、非常に不快な」方法でデータを使用することを禁止します。法案は、企業がデータを共有または販売するすべての組織に、同様の義務を負わせることを規定し、企業がウェブ上を移動する際の、往々にして迂回的なデータの軌跡を追跡することを義務付けています。また、この義務は、企業が株主に対して負う他の受託者義務よりも優先されると規定しています。
法案が提出された後、トーマス氏はフェイスブックの北東部担当州政策マネージャー、キア・フロイド氏の訪問も受けた。フロイド氏は特にデータ受託者義務について懸念していたとトーマス氏は語る。「フェイスブックは基本的に、『これは遵守できない。ニューヨーク州のフェイスブックを閉鎖しなければならない』と言っていた」とトーマス氏は振り返る。
Facebookの広報担当者は、これは会議の正確な描写ではないものの、ニューヨーク州の法案については懸念を抱いていると述べた。同社は、民事訴訟権の規定に加え、データ受託者に関する法案の一部の文言が過度に広範すぎると指摘し、これに反対している。具体的には、法案には企業に対し「消費者の最善の利益のために行動する」ことを義務付ける条項がある。Facebookは、データの利用に関しては消費者ごとに利益が異なるため、線引きは曖昧だと主張している。
「データ受託者という概念は確かにさらに検討する価値がありますが、プライバシー法制は消費者が行使できる明確な権利を規定するべきであり、この法案はそのために更なる検討が必要だと考えています」とフロイド氏は声明で述べた。「私たちは引き続き議員と積極的に協力し、すべてのニューヨーク市民にとって重要なプライバシー保護を確立する解決策を見つけていきます」フロイド氏は、トーマス氏が提出したもう一つの法案、州のデータ漏洩法を近代化するSHIELD法は、「プライバシーと消費者保護への協調的なアプローチ」の一例だと述べた。
バルキン氏らが推進するデータ受託者責任の概念を精査しているのは、テクノロジー企業だけではない。下院反トラスト・商事・行政法小委員会に所属するリナ・カーン氏をはじめとする反トラスト学者たちは、多くの巨大テクノロジー企業が設立されているデラウェア州の既存法、すなわち企業に株主利益の最大化を義務付ける法律と、この概念は相容れないと主張している。「忠誠心が深く分裂した受託者は、矛盾の淵に立たされている」と、カーン氏とコロンビア大学法学部のデイビッド・ポーゼン教授は3月に記している。「株主とユーザーの利益が乖離している限り、これらの企業の役員や取締役は、バルキン氏が提案する新たな法律体系の下で(エンドユーザーに対する)受託者責任を果たすために、デラウェア州法の下での(株主に対する)受託者責任に違反しなければならないという、耐え難い立場に立たされる可能性がある」
それでも、電子フロンティア財団(EFF)のようなプライバシー保護団体は、適切な法律があれば法的な矛盾は解決できると主張している。「データ受託者制度は良い考えだと考えており、これは解決すべき複雑な問題であることは認識していますが、この考えに致命的な打撃を与えるとは考えていません」と、電子フロンティア財団のシニアスタッフ弁護士、アダム・シュワルツ氏は述べている。(EFFはニューヨーク州の法案についてまだ立場を明らかにしていない。)
昨年末、ハワイ州選出の民主党議員ブライアン・シャッツ氏が上院に提出した連邦プライバシー法案「データケア法」にも、データ受託者に関する要件が含まれています。しかし、その執行は連邦取引委員会と州司法長官に委ねられており、テクノロジー企業にとってはより受け入れやすいものとなっています。また、同意に関する規定や、データが販売、共有、保管されるかどうか、またその方法について個人がどのようなコントロール権を持つべきかといった規定は含まれていません。インターネット協会は、この法案が発表されるや否や支持を表明しました。
業界の最終的な目標は、カリフォルニア州を含むすべての州法に優先する連邦レベルのプライバシー法を制定することです。企業は、寄せ集めの規則を遵守するのは負担が大きすぎると訴えています。連邦取引委員会の元主任技術者で、カリフォルニア州消費者保護法の策定に携わったアシュカン・ソルタニ氏は、ニューヨーク州のような州がますます強力な法案を導入することの唯一の潜在的なデメリットはそこにあると指摘します。州法の定義や要件が大きく異なるほど、企業団体が議会に州法の遵守は乗り越えられない障害であると納得させることが容易になります。
「多くの企業やロビー団体が、各州に少しずつ異なるプライバシー法を制定するよう働きかけています」とソルタニ氏は言う。「業界は、州間の分断を図り、先取権を正当化しようとする戦略をとっています。」
ニューヨーク州議会の会期最終日は6月19日で、トーマス議員はそれまでに法案を可決させたいと考えている。インターネット協会とニューヨーク市民自由連合などの消費者擁護団体は、火曜日の公聴会で証言する予定だ。
ニューヨーク州プライバシー法が可決された場合、カリフォルニア州の例に倣い、最終的に法律となる前に修正・改良される可能性が高い。また、カリフォルニア州法に倣い、米国有数の人口密集地であるニューヨーク州に前例のないデータ保護を保証することになるだろう。そして、これらの法律の施行を阻止しようとする業界によるワシントンでの闘いが、間違いなく激化するだろう。
WIREDのその他の素晴らしい記事
- 日本での私の輝かしい、退屈な、ほとんど途切れた散歩
- Amazon の星評価は実際には何を意味するのでしょうか?
- 概日リズムを高める薬が私たちの命を救うかもしれない
- デジタルライフを守るための4つの最高のパスワードマネージャー
- 2019年のテクノロジー企業の従業員への給与
- 🏃🏽♀️ 健康になるための最高のツールをお探しですか?ギアチームが選んだ最高のフィットネストラッカー、ランニングギア(シューズとソックスを含む)、最高のヘッドフォンをご覧ください。
- 📩 毎週配信されるBackchannelニュースレターで、さらに多くの内部情報を入手しましょう
イッシー・ラポウスキーは、テクノロジーと国内情勢を専門とするジャーナリストです。彼女の記事は、ニューヨーク・タイムズ、ファスト・カンパニー、アトランティックなど、数多くのメディアに掲載されています。以前はWIREDのシニアライターを務めていました。…続きを読む
