カリフォルニア、データ共有を全面的に拒否できる法案を施行

 (therecord.media)
1 ポイント 投稿者 GN⁺ 2025-10-10 | 1件のコメント | WhatsAppで共有
  • カリフォルニア州で、ウェブブラウザを通じて第三者へのデータ提供を全面的に拒否できる新たな法案が制定された
  • 2018年に導入されたCalifornia Consumer Privacy Actはオプトアウト権を提供していたが、実際の利用は困難だった
  • この法律により、ボタンひとつで簡単に包括的なオプトアウトが可能となり、主要ブラウザに明確な実装要件が生じる
  • 同日に署名された他の法案では、ソーシャルメディアアカウント削除時のデータ完全削除データブローカーの情報開示義務が強化された
  • プライバシー保護と消費者のデータ管理権限大幅に拡大する節目となる

カリフォルニアのデータ共有拒否法案の概要

  • カリフォルニア州知事 Gavin Newsom が、ウェブブラウザでのデータ販売オプトアウト機能を簡素化する法案に正式署名した
  • 2018年に制定されたCalifornia Consumer Privacy Actによって、カリフォルニア市民はデータ販売拒否のシグナルを送る権利を得ていたが、ウェブブラウザは簡便な拒否手段を十分に提供していなかった
  • 今回新たに成立した法案は、ウェブブラウザにアクセスしやすいオプトアウト機構の導入を義務付けることを求めている
  • 個別サイトごとに手動で拒否する手間の代わりに、1回のクリックで全サイトにオプトアウト要求シグナルを送れる環境を作ることが核心だ

法案導入の社会的意義

  • この法案は、米国内で初めて導入された普遍的なデータ拒否法である
  • 従来はサードパーティのブラウザ拡張機能やプライバシー特化型ブラウザを使わなければ、包括的なオプトアウトは不可能だった
  • これにより、数百万人の利用者がはるかに容易にデータ販売の拒否を実行できるようになる

追加で可決されたデータ保護関連法案

  • 同日に州知事が署名した別の法案は、ソーシャルメディア企業に、簡単なアカウント削除とデータ完全削除機能を備えることを義務付ける
  • また別の法案は、Data Broker Registration Lawを強化し、データブローカーがどの個人情報を収集し、誰がそれを取得できるのかに関する情報開示を拡大する

展望

  • 今回の一連の立法は、プライバシー保護と消費者のデータ統制権限を飛躍的に高める契機となる
  • ブラウザ、ソーシャルメディア、データブローカーに対する規制強化と透明性向上の流れは今後も継続すると見られる

関連記事

1件のコメント

 
GN⁺ 2025-10-10
Hacker Newsの意見

  • 企業がこのような要求を無視した場合に集団訴訟を起こせるようにしなければ効果がないだろうと述べている。実際にWebサイト上のopt-out機能を定期的にテストするスクリプトを書いたところ、ほぼ50%が誤って実装されていることを確認し、その中には最近上場した有力IT企業も含まれていたという。カリフォルニアのCCPA/CPRA法では執行権限の大半が当局(CPPA、Attorney General)にあり、個人が直接提訴できないため、企業側は集団訴訟の脅威に直面せず負担が小さい

    • 広範な事前の紛争仲裁合意、集団訴訟放棄、大量仲裁禁止条項などの影響で集団訴訟は難しくなっている。連邦最高裁がこれを認めているため、カリフォルニアでも簡単には覆せない。代わりに、法的にCPPAやAttorney Generalが問題発生時に必ず執行するよう義務付け、カリフォルニア州民がそれを通報する際にはいかなるNDAも無効とし、執行が不十分な場合には強制訴訟(writ of mandamus)で執行を求められるようにすべきだと提案している。そのような訴訟を金銭的に可能にするため、弁護士費用も支給すべきだという。基本的には義務化しつつ、例外は透明に議論できるようにすべきであり、この種の問題についてカリフォルニア州議会や知事は実質的な解決よりも見せかけの対応に関心があるように感じるとしている

    • 使ったスクリプトを共有してもらえるだろうか

    • 個人が直接執行できない法律があるのは奇妙だと述べている。法執行を容易にするための憲法改正が必要であり、具体的にどうするかは法律の専門家が考えるべき問題だという意見

  • ブラウザヘッダー機能の「Do Not Track」があった頃の経験を共有している。ユーザーとしてもエンジニアとしても気に入っていたが、業界の反発で消えてしまった。もし全員が善意で対応していれば素晴らしかったはずで、この種のツールはブラウザが実装すべきだと考えている。もしCookieにも同じように適用されていたなら、今日のCookieポップアップの混乱はなかっただろうとしている。今回の記事ではブラウザベンダーが「do not sell」規定も実装すべきだとしているように見えるが、Do Not Trackに似たものなのか気になっている

    • むしろデータ販売は、ユーザーが明確に同意しなければならないopt-in方式であるべきだと考えている。同意する場合には、データの販売、利用、再販売のたびに私たちが価格を決めて報酬を受け取るべきであり、ユーザーの同意なしに企業が何の対価もなくデータを持っていくのは異常だと指摘している

    • 今ではむしろもっと深刻で、プライバシー業界では「Do Not Track」ヘッダーは有効化しないほうがよいと勧めている。というのも、このヘッダーはほとんど守られないうえに、ブラウザフィンガープリンティングのdata pointとして使われ、かえってより追跡される可能性があるからだ

  • カリフォルニアの立法者たちに感謝を伝え、この法律が意図どおりうまく機能することを願い、抜け穴が見つかれば直ちに補強されることを期待している

    • この種のニュースは歓迎だが、実質的な罰金と確実な執行が伴わなければならない。実効性のない法的条項なら無意味で、本当に問題のある企業を市場から退場させるほどの強力な制裁が必要だと思う

    • またしても、あらゆるWebサイトで閉じなければならない新しいポップアップが増えるだけになりそうだと予想している

  • 米国の混乱したプライバシー法制が、米国市場の単一性という利点を弱めるのではないかという懸念がある。大企業は実際にはデータを売っているのではなく自ら活用しており、この法律が実際に打撃を与えるのは中小企業だという見方

  • 「universal opt-out」法案自体の強制力は非常に弱く、既存のCCPAと組み合わせてこそ可能性がある。CCPAはコンテキスト横断型行動広告の目的での情報共有にのみ制限を設けている。今回の法律は、ブラウザとモバイルOSにopt-outの意思を簡単に表明できる設定を要求するだけで、信号の形式や遵守の強制については明示的な要件がない。法律全体もツイート1本分程度で要約できるとしている。ただし「Cookieバナー」の問題については別の法律(CCPA)が12か月のクールダウン期間を規定している。主要な法条文と信号の定義も共有している https://legiscan.com/CA/text/AB566/id/3117187 https://oag.ca.gov/privacy/ccpa

  • universal opt-outが機能しないときの代替ツールとして https://simpleoptout.com/ を紹介している

  • デフォルトはopt-outであるべきで、ユーザーが明示的に再びopt-inしなければならないと考えている。これが本当の問題の本質だという

    • MicrosoftはDNTをopt-outのデフォルト値として試みたが、データ重視の企業がこれを無視したため失敗した

  • データが売られるたびに、ユーザーも収益を分配される仕組みが必要だと提案している

    • このアイデアはスタートアップ業界で長年議論されてきたが、実際に試されたことはほとんどない。一般大衆に対して「わずかな金額でも広告ターゲティングの対象になってよい」と引き換えに報酬を提示する、合理的なモデルに見える

  • 公式発表のリンクを共有している https://www.gov.ca.gov/2025/10/08/governor-newsom-signs-data-privacy-bills-to-protect-tech-users/

  • この機能のおかげで今インストールしている複数のセキュリティ拡張機能を減らしたいが、実際にopt-out信号が守られるのか確信が持てないため、依然として防御用の拡張機能を維持しなければならなさそうだ。それでも法律の趣旨自体は非常に前向きに捉えている