カリフォルニア州の住民、すべてのデータブローカーに個人情報の削除を要求可能に

 (consumer.drop.privacy.ca.gov)
1 ポイント 投稿者 GN⁺ 2026-01-07 | 1件のコメント | WhatsAppで共有
  • カリフォルニア州の住民が州政府のウェブサイトを通じて、データブローカーに個人情報の削除を要求できる機能が提供された
  • このサービスは consumer.drop.privacy.ca.gov ドメインで運営されており、アクセス時に セキュリティ確認手続き を経る
  • サイトは、ユーザーが JavaScript と Cookie を有効化する必要があり、そうして初めて正常に利用できる
  • ページには 本人確認手続きと接続セキュリティの確認プロセス が含まれている
  • この機能は 個人情報保護の強化とデータ削除の権利の実現 に向けた重要な措置である

consumer.drop.privacy.ca.gov へのアクセス手順

  • サイトにアクセスすると「人間であることを確認しています」というメッセージが表示される
    • このプロセスには数秒ほどかかる
  • 確認が完了すると、「consumer.drop.privacy.ca.gov の応答を待っています」という案内が表示される
  • その後、JavaScript と Cookie を有効化しないと先に進めない

サイトの目的と機能

  • カリフォルニア州の住民が、データブローカーに保存された個人情報の削除を要求できるよう支援するウェブポータル
  • 州政府の 個人情報保護法令(Privacy Rights Act) に基づいて運営される公式チャネルである
  • ユーザーは 1 回の要求で、登録されたすべてのデータブローカー に削除要求を送ることができる

セキュリティとアクセス要件

  • アクセスの過程で セキュリティ接続の確認 が自動的に行われる
  • JavaScript と Cookie が無効化されている場合、サービスの利用は制限される
  • これらの手続きは、自動化されたアクセスの遮断とユーザーデータ保護 のための措置である

サービスの意義

  • 住民が自らの 個人データに対するコントロール権 を直接行使できる手段を提供
  • データブローカーの 透明性と説明責任の強化 に寄与
  • カリフォルニア州における 個人情報保護政策強化の流れ を示す事例である

関連記事

1件のコメント

 
GN⁺ 2026-01-07
Hacker News のコメント

  • 削除リクエストを送信する前に、カリフォルニア居住者認証をしなければならない条項がある
    認証は Socure や Login.gov のような第三者ベンダーを通じて行われるそうで、何か問題を感じる

    • 結果は規制当局の執行力次第になりそう
      ヨーロッパやフランスにも似た事例があるが、新しい権利を作る場合もあれば、参入障壁を作るだけの場合もあった
    • いかにもカリフォルニアらしいと思う
      これは左派政策自由主義(新自由主義)政策の違いをよく示す例だ
      左派的なら政府機関が直接認証を担当しただろうが、新自由主義的なアプローチでは「税金で民間10社に任せよう」という形になる
    • データブローカー業界は自己正当化の毒のような存在だ
      全面禁止しない限り、規制を巧妙に回避しながら存在理由を作り続けるだろう
    • 「政府の契約業者だからハッキング不可能だ」という類いの詭弁に聞こえる /s

  • 関連文書とリンクを整理した
    CCPA 法令 PDF,
    施行版 PDF,
    データブローカー登録簿,
    公式告知ページ
    他の州もこうした制度を追随してほしい

  • こうした制度が時間の経過とともにどう機能するのか気になる
    毎月再申請しなければならないのか? データは州境をまたぐので実効性に疑問がある

    • 削除リクエストを処理するには結局データをある程度保持しなければならないという矛盾がある
      法的には45日ごとに削除リクエストを処理しなければならないが、たとえば Broker A がカリフォルニアにあり、Broker B が海外にある場合、
      A は45日のうち44日間、データを再び受け取っても合法だ
      結局、法律の抜け穴を利用する余地が多いと思う

  • CloudFlare が私を人間だと認識せず、サイトへのアクセスをブロックされた

    • 私の非主流スマートフォンブラウザーがインターネットの寡占体制に適合しないと判断されたようだ

  • もともとこういう法律はあったはずだが、今回はカリフォルニアが独自のリクエストプラットフォームを作ったのが変化のようだ

    • もう一つの変化は、データブローカーに州政府への登録義務が課されたことだ
      理論上は1回のリクエストですべてのブローカーから自分の情報を削除できるようになる

  • データブローカーが実際にデータを完全に削除するとは信じていない
    そもそもこうした会社が機微情報を収集していること自体が問題だと思う
    強力な罰金が必要だ

    • 多くのデータは公開記録からスクレイピングされたものなので完全削除は難しいという
      それでも再販売は制限すべきだと思う

  • 昨日試してみたが、2回のSMS 二要素認証を経た後もコードが拒否され続け、諦めた
    こんな戦いにあまりエネルギーを使いたくない

  • 法施行は2026年8月1日から始まるという

    • その頃にはデータがすでに海外ブローカーへ渡っている可能性が高い
      米国法だけではインド、中国、ロシアのような国には影響しない

  • アイデアは良いが、いくつか物足りない点がある
    法には実効的な制裁手段が必要で、無視されたときの対応手順も示すべきだ
    また「居住者認証」という要件は理解できるが残念ではある
    最後に、人を「消費者」と表現するのは言葉として不適切だと感じる

    • 「consumer」という表現は CCPA 法案自体の用語だ
      米国の個人情報保護法はほとんどが消費者保護法の延長線上にあり、EU のような市民権ベースではない

  • こうした制度の連邦版があればいいと思う

    • しかし現在の政治体制では絶対に不可能そうだ
      企業が規制を避けるためにそうした体制を維持しているのだと思う