バージニア州、位置情報データの販売を禁止
(hunton.com)- バージニア州はVCDPA改正により位置情報データの販売を禁止し、州レベルの個人情報保護法における位置データ取引の制限を強化
- 今回の改正はS.B. 388への署名により成立し、禁止措置は2026年7月1日から適用
- VCDPAにおける販売(sale) の定義は、個人情報を金銭的対価と引き換えに第三者へ渡す場合に限定され、他州より範囲が狭い
- MarylandとOregonも位置情報データの販売を禁止したが、両州は金銭以外のその他の価値ある対価まで販売に含めている
- California、Massachusetts、Vermont、Washington Stateの類似法案や、California Attorney Generalによる調査、FTCの和解にまで広がり、位置情報データ販売が規制の焦点として浮上
バージニア州のVCDPA改正
- バージニア州知事Abigail Spanbergerは2026年4月13日、S.B. 388に署名
- この法律はVirginia Consumer Data Protection Act(VCDPA) を改正し、位置情報データの販売を禁止
- VCDPAでは販売を「コントローラーが第三者に対して個人情報を金銭的対価と交換する行為」と定義
- このため、バージニア州の販売の定義は他州の包括的な個人情報保護法より狭い範囲にとどまる
施行日と他州法制との違い
- 位置情報データ販売の禁止は2026年7月1日から効力を生じる
- バージニア州は、位置情報データ販売を禁止したMarylandとOregonに続く動き
- MarylandとOregonは、販売を個人情報を「金銭的対価またはその他の価値ある対価」と交換する行為として、より広く定義
類似法案と規制調査
- 複数の州でも、位置情報データ販売の禁止と類似した法案が提案されている
- こうした立法の動きは、位置情報データ販売に対する規制調査の流れとも連動している
1件のコメント
Hacker Newsのコメント
実際に十分な情報を得たうえで、強制されない選択肢が与えられれば、人々はこの種のデータ収集、とりわけ販売を拒否する。
ナビゲーションや時刻設定のように、明示的に許可したと思っていたサービス以外の目的に使われる場合も同じだ。多少の保護文言が入っているのは歓迎だが、実効性のある強制力が必要だ。虚偽の名目や強圧的な方法でデータを収集したなら、罰金だけでなく刑事訴追まで受けるべきだ。
追記:今になってようやく頭が情報を処理したが、刑事訴追なら多少は抑止力がありそうだ。もちろん、違法なことをする人など誰もいないだろうけど ;)
決済画面で「私たちはあなたの位置データを販売します」と大きく表示する製品は可能なのだろうか? 単にその製品が欲しいという理由だけでも強圧になるのだろうか?
良い出発点だ。2024年に「ある企業が48州にあるPlanned Parenthood約600カ所への訪問を追跡し、そのデータを米国最大規模の反中絶広告キャンペーンの一つに提供していたという調査結果が出た」と報じられていた - https://www.politico.com/news/2024/02/13/planned-parenthood-...
例えば、Delawareで設立された会社がVirginiaで収集された位置データを販売するが、その会社がVirginiaで営業していない場合はどうなるのだろうか?
逆にus-east-1はVirginiaにあり、決済処理サーバーがどれほど多く動いているのかも分からない。
ただしus-east-1がVirginiaにあるという点は、事案をかなり複雑にする可能性が高く、裁判所が整理すべき問題に見える。
数年前、NYTimesが自動車保険会社がこうしたデータをどう使っているかを取り上げていた。急ブレーキ、夜間運転、時速80マイル超での運転などを追跡していたという内容だった。
Utahの田舎には制限速度80マイルの区間があり、一応違法と推定される速度法規もある。多くのUtahの運転者は定期的に80マイルを超えており、合法的にそうしている場合もあると思う。基準にするには奇妙な数字だ。
広告を買う分野で働く立場からすると、こういう法律は本当に良い。こうしたデータポイントは、そもそも販売対象であるべきではない。
人々を守ることを善意だけに委ねないようにしてくれる。正しい方向への一歩だ。
この記事は4月の記事で、禁止は7月1日に発効した。
これが実際にデータの「販売」を標的にし、データブローカーやさまざまな悪意ある行為者に厳しい制限を課すものなら、全面的に賛成だ。
逆にCaliforniaの法律のように、あらゆるデータ利用を「データ販売」と呼びながら、業界の悪質な行為者に実質的に価値ある規制を課せず、話を濁すだけなら残念だ。言葉の意味を明確で一貫したものに保つことにも価値がある。Googleが自社のGoogle Mapsデータを活用してより良いおすすめを提供するのは問題ないが、AT&Tが個人識別しやすい集計位置データを第三者に販売するのは大問題だ。後者は禁止しつつ、前者には手を触れない明確な道になってほしい。
こういう法律を作る手間をかけるのに、なぜすべての共有ではなく販売だけを禁止するのか気になる。
通信会社のような第三者の商業主体が必要に応じて収集し共有はするが、おそらく販売はしないという理屈なのかもしれない。だが興味深い抜け穴も生まれる。共有契約を結んだうえで、別のメカニズムで本来受け取る料金を回収できる。Provider AがProvider Bにデータを売りたく、Bも買いたいが法的に売れないなら、AがBとの別の無関係な契約に費用をこっそり入れておき、ウィンクと握手とうなずきで、「関係」上、位置データを「無料」で共有すればよい。双方とも費用が別契約に入っていることは分かっているが、項目別の費用はAだけが知っており、Bは別パッケージの価格と友好的な位置データ共有が全体費用に見合うかを計算するだけだ。公平に言えば、お金が絡む前は、情報の利用や意図において人々はそれほど悪意的ではない傾向がある。常にではないが、平均的にはそうだ。
人々の正確な位置データの販売が、かつて普通のビジネスモデルのように扱われていたこと自体、正直言ってあり得ない。
すでに大規模なデータ収穫が起きたことは分かっている。こうした法律は後追いで追いつくための最低限の措置にすぎない。こういう会社を存在できないほど処罰する法律まで作れればよいが、期待はしにくい。
IPアドレスのおおよその位置も「位置データ」なので興味深かったが、法律は正確な位置データと言っており、デバイスから報告されるデータに限定しているようだ。