1 ポイント 投稿者 GN⁺ 4 시간 전 | 1件のコメント | WhatsAppで共有
  • バージニア州はVCDPA改正により位置情報データの販売を禁止し、州レベルの個人情報保護法における位置データ取引の制限を強化
  • 今回の改正はS.B. 388への署名により成立し、禁止措置は2026年7月1日から適用
  • VCDPAにおける販売(sale) の定義は、個人情報を金銭的対価と引き換えに第三者へ渡す場合に限定され、他州より範囲が狭い
  • MarylandとOregonも位置情報データの販売を禁止したが、両州は金銭以外のその他の価値ある対価まで販売に含めている
  • California、Massachusetts、Vermont、Washington Stateの類似法案や、California Attorney Generalによる調査、FTCの和解にまで広がり、位置情報データ販売が規制の焦点として浮上

バージニア州のVCDPA改正

  • バージニア州知事Abigail Spanbergerは2026年4月13日、S.B. 388に署名
  • この法律はVirginia Consumer Data Protection Act(VCDPA) を改正し、位置情報データの販売を禁止
  • VCDPAでは販売を「コントローラーが第三者に対して個人情報を金銭的対価と交換する行為」と定義
  • このため、バージニア州の販売の定義は他州の包括的な個人情報保護法より狭い範囲にとどまる

施行日と他州法制との違い

  • 位置情報データ販売の禁止は2026年7月1日から効力を生じる
  • バージニア州は、位置情報データ販売を禁止したMarylandOregonに続く動き
  • MarylandとOregonは、販売を個人情報を「金銭的対価またはその他の価値ある対価」と交換する行為として、より広く定義

類似法案と規制調査

  • 複数の州でも、位置情報データ販売の禁止と類似した法案が提案されている
  • こうした立法の動きは、位置情報データ販売に対する規制調査の流れとも連動している
    • California Attorney Generalは2025年3月、位置データ業界に対する調査を実施
    • 2024年のFTC和解では、データブローカーによる位置情報データ販売が禁止された

1件のコメント

 
GN⁺ 4 시간 전
Hacker Newsのコメント
  • 実際に十分な情報を得たうえで、強制されない選択肢が与えられれば、人々はこの種のデータ収集、とりわけ販売を拒否する。
    ナビゲーションや時刻設定のように、明示的に許可したと思っていたサービス以外の目的に使われる場合も同じだ。多少の保護文言が入っているのは歓迎だが、実効性のある強制力が必要だ。虚偽の名目や強圧的な方法でデータを収集したなら、罰金だけでなく刑事訴追まで受けるべきだ。

    • 完全に同意。「隠すことはない」と言う人たちは、プライバシー保護とそれを担保する法律がないとき、自分にどれほど大きな被害が及び得るのか分かっていないように思う。あるいは自己保存本能がないのかもしれない。
    • 金持ちなら罰金を払って終わりにするだけではないかと思う。大企業が毎年こういうことで数十億ドルの罰金を科されても、まったく気にしていないという話をよく聞く。
      追記:今になってようやく頭が情報を処理したが、刑事訴追なら多少は抑止力がありそうだ。もちろん、違法なことをする人など誰もいないだろうけど ;)
    • 強圧の線引きがどこなのか気になる。
      決済画面で「私たちはあなたの位置データを販売します」と大きく表示する製品は可能なのだろうか? 単にその製品が欲しいという理由だけでも強圧になるのだろうか?
  • 良い出発点だ。2024年に「ある企業が48州にあるPlanned Parenthood約600カ所への訪問を追跡し、そのデータを米国最大規模の反中絶広告キャンペーンの一つに提供していたという調査結果が出た」と報じられていた - https://www.politico.com/news/2024/02/13/planned-parenthood-...

  • 例えば、Delawareで設立された会社がVirginiaで収集された位置データを販売するが、その会社がVirginiaで営業していない場合はどうなるのだろうか?
    逆にus-east-1はVirginiaにあり、決済処理サーバーがどれほど多く動いているのかも分からない。

    • 州境をまたぐ訴訟でいつも起きることと同じだ。どこか一つの管轄に訴訟が行くか、多様性管轄の要件を満たせば連邦裁判所に行く。
    • Delawareの会社がVirginiaに何の拠点も持たないなら、Virginia州にできることはない。
      ただしus-east-1がVirginiaにあるという点は、事案をかなり複雑にする可能性が高く、裁判所が整理すべき問題に見える。
    • 販売者はたいてい、遵守するかどうかを判断する可能性が高い。遵守しようとするなら、収集データセットからVirginiaのデータをすべて除外し、下流の利用者がそのデータセットによってVirginia住民に影響を与えた場合は免責するよう契約で求めるだろう。
  • 数年前、NYTimesが自動車保険会社がこうしたデータをどう使っているかを取り上げていた。急ブレーキ、夜間運転、時速80マイル超での運転などを追跡していたという内容だった。

    • 余談だが、なぜ時速80マイルが任意の基準として選ばれたのか気になる。
      Utahの田舎には制限速度80マイルの区間があり、一応違法と推定される速度法規もある。多くのUtahの運転者は定期的に80マイルを超えており、合法的にそうしている場合もあると思う。基準にするには奇妙な数字だ。
    • その通り。ユーザーの同意も認知もなく、私的で個人的なデータを利益のためにやり取りしているのだ。
    • そういうデータは保険プログラムの一部として、同意のもとで、しかもかなり明示的に収集されるものではないのか?
  • 広告を買う分野で働く立場からすると、こういう法律は本当に良い。こうしたデータポイントは、そもそも販売対象であるべきではない。
    人々を守ることを善意だけに委ねないようにしてくれる。正しい方向への一歩だ。

  • この記事は4月の記事で、禁止は7月1日に発効した。

  • これが実際にデータの「販売」を標的にし、データブローカーやさまざまな悪意ある行為者に厳しい制限を課すものなら、全面的に賛成だ。
    逆にCaliforniaの法律のように、あらゆるデータ利用を「データ販売」と呼びながら、業界の悪質な行為者に実質的に価値ある規制を課せず、話を濁すだけなら残念だ。言葉の意味を明確で一貫したものに保つことにも価値がある。Googleが自社のGoogle Mapsデータを活用してより良いおすすめを提供するのは問題ないが、AT&Tが個人識別しやすい集計位置データを第三者に販売するのは大問題だ。後者は禁止しつつ、前者には手を触れない明確な道になってほしい。

  • こういう法律を作る手間をかけるのに、なぜすべての共有ではなく販売だけを禁止するのか気になる。

    • 良い質問で、私も気になる。911サービスと通信会社、そして法執行機関の召喚状で要求されるデータが思い浮かぶ。
      通信会社のような第三者の商業主体が必要に応じて収集し共有はするが、おそらく販売はしないという理屈なのかもしれない。だが興味深い抜け穴も生まれる。共有契約を結んだうえで、別のメカニズムで本来受け取る料金を回収できる。Provider AがProvider Bにデータを売りたく、Bも買いたいが法的に売れないなら、AがBとの別の無関係な契約に費用をこっそり入れておき、ウィンクと握手とうなずきで、「関係」上、位置データを「無料」で共有すればよい。双方とも費用が別契約に入っていることは分かっているが、項目別の費用はAだけが知っており、Bは別パッケージの価格と友好的な位置データ共有が全体費用に見合うかを計算するだけだ。公平に言えば、お金が絡む前は、情報の利用や意図において人々はそれほど悪意的ではない傾向がある。常にではないが、平均的にはそうだ。
    • 運転者のリスクを保険料に反映するのにデータが非常に有用だからだ。当然、危険な運転者はより高い料率を払うべきだ。
  • 人々の正確な位置データの販売が、かつて普通のビジネスモデルのように扱われていたこと自体、正直言ってあり得ない。
    すでに大規模なデータ収穫が起きたことは分かっている。こうした法律は後追いで追いつくための最低限の措置にすぎない。こういう会社を存在できないほど処罰する法律まで作れればよいが、期待はしにくい。

  • IPアドレスのおおよその位置も「位置データ」なので興味深かったが、法律は正確な位置データと言っており、デバイスから報告されるデータに限定しているようだ。

    • モバイル設定で構成できる正確な位置データの定義に入る可能性が高い。位置共有時にオンにできる、より細かいオプションだ。
    • 座標なら何でも該当しそうだ。「Ross Dress for Lessの向かいの道路を渡ったところにあるカエデの木の後ろ」みたいな言い方でなければ。