スキップしてメイン コンテンツに移動

コロラド州司法長官府が公開した同州プライバシー法の他州法との比較および同規則第3次草案の第3版の重要ポイントやUOOM、GPCの独自概念を検証

 2023年1月27日、コロラド州司法長官(Phil Weiser)府(以下、Colorado AGという)は、2022年12月21日に公開された修正された規則案(第2次草案)に対するパブリックコメントに基づいて、コロラド州プライバシー法(以下、ColoPAという)の規則草案(第3次草案)の第3版を発表した。2023年2月1日の規則制定公聴会で、Colorado AGは、利害関係者のフィードバックを取り入れ、規制に明確さと柔軟性を追加し、他の管轄区域のプライバシー制度との相互運用性を高めることを目的としていることを強調した。

Phil Weiser 氏

 本ブログは、まず(1) ColoPA規則第3次草案の変更点からの重要なポイントと最近の公聴会からの洞察内容、(2)コロラド州プライバシー法や同規則の独自な点につき関係blogを概観する。

Ⅰ.コロラド州プライバシー法や同規則の独自な点

 2022.11.17付けで掲載されたDIDOMI社の解説から抜粋、仮訳する。

1.ColoPA  とグローバル・ プライバシー・ コントロール

 ColoPA  は 2021 年 7 月 8 日に署名され、施行日は 2023 年 7 月 1 日である。コロラド州の消費者保護法の一部である ColoPA  は、コロラド州の住民の個人データを扱う対象企業に法的義務を課している。

  ColoPA の大まかな概要が策定されてから 1 年以上が経過したが、企業は多くの詳細について明確化を求めてきた。Colorado AGは、ColoPA  の規則作成に取り組んでおり、2022年10 月 10 日に提案された規則草案を公開した。

 ColoPA は、米国の他の州のプライバシー法と内容はかなり重複しているが、カリフォルニア州、バージニア州、ユタ州などの州で採用されている規制アプローチからはいくつかの点で大きく異なる。

 ColoPA  の独自の規定の中には、後記Ⅲ.で述べるユニバーサル・オプトアウト・メカニズム (以下、UOOMという) を遵守するよう企業に要求するこの種の法律としては初めての規定がある。つまり規則草案では、UOOM はコロラド州の消費者に各企業に個別のオプトアウト要求を行うのではなく、個人データ処理をオプトアウトする権利を複数の企業に伝えるための「単一の単純な技術的メカニズム」を提供することを目的としていると説明している。

  規則草案では、①UOOM の技術仕様、②通知と選択に関する規定、および③デフォルト設定について詳しく説明している。しかし、UOOM の条項で言及されていない用語である Global Privacy Control (以下、GPCという) が最も重要である可能性がある。 以下で、GPCにつき詳しく解説する。

  GPCは、ユーザーがアクセスするすべての Web サイトにユーザーのプライバシー設定を伝えるブラウザ・ツールである。GPC をインストールしてオンにすると、ユーザーのデータを販売したり共有したりしないように企業に指示するユニバーサル・オプトアウト・ シグナルが送信される。インターネット検索エンジンであるBrave、Firefox、DuckDuckGoAbinePrivacy Badgeなど、GPC 信号を送信するためのいくつかのブラウザーとブラウザー拡張機能が装備されており、さらに多くの GPC ツールが開発中である。

 ColoPA では企業が GPC を使用する必要はないが、最終的にColoPA UOOM 要件を満たす唯一のテクノロジーである。草案の行間を読むと、Colorado AG は、GPC シグナルを認識して尊重する準備をする必要があることを企業に効果的に伝えている。

  ColoPA の対象となるすべての事業は、UOOM 規則の対象となる。UOOM を通じて消費者のオプトアウトを許可するための CPA 発効日は、2024 年 7 月 1 日である。

 2.GPC オプトアウト後の再同意

  EUの一般データ保護規則 (GDPR) と米国の州のプライバシー法との主な違いは、GDPR ではオプトインの同意が必要であるのに対し、米国の法律では消費者にデータ処理のオプトアウトの負担を課していることである。

  しかし、2021 年 7 月にカリフォルニア州だけでなくコロラド州でも GPC シグナルに移行したことは、企業は GPC を正当な「販売禁止」要求として尊重する必要があると述べたものであり、米国のプライバシー モデルがヨーロッパのモデルに移行している可能性があることを意味する。

 「オプトアウト後の再同意」の概念は、CPA の規則草案に記載されている。Colorado AGによると 以下のとおり。

  「管理者が、消費者がその目的での処理をオプトアウトした後、オプトアウトの目的で個人データを処理するための同意を積極的に取得したい場合は、管理者はそのウェブサイトまたはアプリケーションで、消費者から同意を得る。」

 ユニバーサル オプトアウト後に有効な同意を得るには、リンクまたはメカニズムは次のことを行う必要がある。

①同じ Web ページまたはアプリの他のリンクと同様のルック、フィール、およびサイズを持っていること。

②Web ページまたはアプリでのユーザー エクスペリエンスを「低下または妨害する」ポップアップ ウィンドウ、バナー、またはその他のインタラクティブな表示でもって表示しないこと 。

③CPA のその他すべての有効な同意要件を満たす こと。

 ColoPA  規則 7.03 では、消費者の同意は、次の要素が満たされている場合にのみ有効であると規定されている。

①これは、明確な肯定的な行動を通じて取得される(一般条件の受諾または事前にチェックされたボックスの使用は、「明確な肯定的な行動」を構成するものではない)。

②それは自由に与えられる (管理者は、サービスを提供するために個人データが必要でない限り、同意の提供を拒否したという理由で消費者へのサービスを拒否することはできない)。

③具体的であること(特定のデータ処理目的ごとに同意を与える必要がある。1 つの目的に同意しても、他の目的に同意することにはならない)。

④消費者に通知されること(同意要求では、管理者の身元、同意が必要な理由、処理の目的、処理されるデータのカテゴリー、およびデータにアクセスできる関係者のリストを開示する必要がある)

 さらに、消費者への同意の要求は、ColoPA   規則 7.04 に準拠する必要がある。この規則では、管理者(controllers)は「合理的な消費者が簡単に見つけられる」「他の利用規約とは別の明確な」「単純なメカニズム」を提供する必要があると述べている。

Ⅱ.ColoPAの規則第3次草案LexBlog解説の要旨

 Lexblog「Colorado Attorney General’s Office Releases Third Version of Draft Rules for Colorado Privacy Act: Key Takeaways」を要約、仮訳した。

(1)プライバシー通知の内容

 規則6.03(A)(1) 第3次草案は、管理者がプライバシー通知で処理慣行の「包括的な説明」を開示しなければならないという要件を明確にし、この基準は、以前に起草された「個人データ」だけでなく、「個人データの各カテゴリ」が特定の処理目的でどのように使用されるかについて有意義な理解を提供することであると指定している。

 この変更により、第3次草案の開示規則は、「カリフォルニア州消費者プライバシー法(以下、CCPAという」の最終提案規則で要求される規則内容よりも詳細になる。具体的にいうと、CCPAの最終提案規則では、対象となる企業が収集する個人情報のカテゴリー、個人情報の各カテゴリーが販売または共有されているかどうか(クロス・コンテキスト行動広告(注)の目的)、および個人情報の各カテゴリが企業の「収集時の通知」に保持される期間をリストする必要があるが、CCPAの最終提案規則では、処理目的をより一般的に特定でき、特定のカテゴリの個人情報にリンクさせる必要はないとする。

 規則6.04(B) 第3次草案では、管理者(controllers)は、「実質的または重要な」変更ではなく、プライバシー通知に「重大な」変更があった場合にのみ、コロラド州の居住者に通知する必要がある。さらに、同草案は「重要な」変更の定義を緩和する。以前の草案では、個人データを共有した関連会社、処理者、または第三者の身元が変更された場合、管理者は消費者に通知する必要があった(ColoPAはプライバシー通知でそのレベルの詳細を要求していないが)。

(2)公開されている定義(規則2.02) ColoPAの下では、「公開されている情報」は個人データの定義から除外されているため、法律の範囲外である。第1次草案では、「非公開の個人データと密接に組み合わされた」公開情報は、依然として公開されている情報と見なすことができる。以前の草案では、そのようなデータを公開情報の定義から明確に除外していた。

(3)消費者の個人データの権利。 2023年2月1日、コロラド州司法長官府は、第3次草案に関する公聴会で、他の包括的な州のプライバシー法が同様の消費者の権利を提供し、コロラド州司法長官府がColoPAの規則がそれらの体制と相互運用可能であることを目指していることを認めた。

①オプトアウトする権利(規則4.03)

・オプトアウト要求の対象となる個人データの処理を停止しうる期限: 第3次草案は、15日以内にオプトアウト要求を尊重するという以前の要件を削除し、「過度の遅延なし(without undue delay)」、つまりビジネスの規模と複雑さ、およびオプトアウトの運用の負担を考慮した状況テストの全体に置き換えた。

・プロファイリングの決定のオプトアウト:第3次草案では、管理者は、コロラド州の居住者が法的または同様に重要な決定をもたらすプロファイリングのための個人データの処理をオプトアウトする権利を行使するための明確で目立つ方法を提供する必要があるとする。これと対照的に、カリフォルニア州(CPPA)は、自動化された意思決定をオプトアウトする権利に関する規則をまだ発行していない。

②削除する権利(規則4.06(a) 第3次草案は、管理者が処理者および関連会社に削除要求を通知するという要件を削除した(ただし、この変更は、処理者が保持する削除要求の対象となる個人データを処理者が確実に削除することを管理者に免除させるものではない)。

(4)ユニバーサル・オプトアウト・メカニズム(UOOM) 2023年2月1日の公聴会で、コロラド州司法長官府は、相互運用性と柔軟性と技術仕様のバランスをとるために、第3次草案を改訂したと説明した。一般からの何人かの発言者は、定義されたスケジュールでリストを更新することを含め、公式に認められたUOOMのリストを生成するためのより定義されたパラメータを提供するルールの必要性を主張した。

 後記Ⅲ.で詳しく解説する。

①規則5.03(A) 第3次草案は、UOOMを開発または提供する者は、オプトアウト要求を容易にするUOOMの機能を消費者に開示する際に、コロラド州またはColoPAを調整または参照する必要がないことを明確にした。たとえば、UOOMが消費者に「州法の下で利用可能なすべてのオプトアウト権」を行使することを許可している開示は、開示が他の州の開示規則に準拠している限り十分である。

②規則5.05(B) 第3次草案はまた、管理者が他の管轄区域の認証要件に準拠するために必要な場合、UOOMを処理するために要求者から追加の個人データを要求できることを明確にした。以前の草案では、管理者がオプトアウトの信憑性と正当性を評価するために「厳密に必要」ではない個人データを要求することを禁止していた。

(5)規則案の次のステップ

 第3次草案に関するパブリックコメントは、2023年2月3日午後5時までに締め切られ、その後、最終規則で検討される。コロラド州司法長官府は、1年2023年7月1日までにUOOMの技術仕様に関する規則を最終決定する任務を負っている。なお、ColoPAの発効日と施行日も2023年7月1日に始まる。

Ⅲ.ユニバーサル・ オプトアウト・ メカニズム (UOOM)

Odia Kagan氏「The Colorado Privacy Act - What the Draft Rules Say About Data Portability and Authentication」から該当部を抜粋、仮訳する。

(1)消費者は、ユーザーが選択したユニバーサル・ オプトアウト・ メカニズム (UOOM) を通じて、ターゲティング広告または個人データの販売の目的で、技術的かつ規則で定めるところにより消費者に関する個人データの処理をオプトアウトする権利を行使することができる。

(2)UOOM は、「すべての目的」または「特定の目的」、あるいはその両方のためのものである。

(3)規則には、準拠する UOOM を設計するための要件が​​含まれる。

(4)ブラウザやオペレーティング システムなどのデバイスにプリインストールされていないが、プライバシー保護ツールとして、または特にユーザーがオプトアウトする権利を行使するように設計されたツールとして目立つように販売されているツールを採用するという消費者の決定による個人データの処理は、UOOM を使用する消費者の積極的で、自由に与えられた、明確な選択と見なされる。

〇UOOMに関する義務

①UOOM を処理する場合、消費者がコロラド州の居住者であることを確認するため、またはメカニズムが個人データの処理をオプトアウトするための正当な要求を表していると判断するために厳密に必要な範囲を超えて、追加の個人データの収集を要求することはできない。

②プラットフォーム、デバイス、またはオフラインでの UOOM の消費者の使用の認識を拡大する場合にのみ、追加の個人データを提供するオプションを消費者に提供できる。たとえば、UOOM またはシグナルを個人データのオフライン販売に適用したり、消費者のオプトアウト選択をデバイス間でリンクしたりできるように、電話番号または電子メール アドレスを提供するオプションを消費者に与えることができる。

③消費者による UOOM の使用を認識する条件として、消費者にログインまたはその他の方法で「認証」を要求することはできない。

④消費者のオプトアウト設定信号を処理した場合、目立つ方法で表示しうる

 (カリフォルニア州CPRA ではこれは必須である)。

〇UOOMは2024 年 7 月 1 日以降施行:

①UOOM を通じてオプトアウト要求を受け取った場合、規則上はメカニズムで示されているように関連付けられているブラウザまたはデバイス、および既知の場合は消費者向けに対象を絞った広告、個人データの販売、またはその両方を目的とした個人データの処理をオプトアウトするための有効な要求などを処理する必要がある。

②UOOM を使用して有効なオプトアウト要求を受け取った後、規則上ブラウザ、デバイス、または消費者がオプトアウトを上書きするまで、ブラウザ、デバイス、および消費者がオプトアウトの権利を行使したものとして扱い続ける必要がある。

〇オプトアウト後のオプトイン:

 消費者が以前に UOOM をオプトインへの同意として使用した後、UOOM シグナルがないと解釈することはできない。

 コロラド州の法務局は、規則の基準を満たすと認められた UOOM の公開リストを維持するものとする。最初のリストは 2024 年 4 月 1 日までに公開され、定期的に更新される。

************************************************************************

(注) 「クロスコンテキスト行動ターゲティング広告」とは、ビジネス、明確にブランド化されたWeb サイト、アプリケーション、またはサービス以外のビジネス、明確にブランド化された Web サイト、アプリケーションを横断した消費者の活動から得られた消費者の個人情報に基づいて、消費者に広告をターゲティングすることまたは消費者が意図的にやり取りするサービスを意味する。

********************************************************************

Copyright © 2006-2023 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...