ハクソク

世界を動かす技術を、日本語で。

削除法

106日前原文(privacy.ca.gov)

概要

  • DROPはカリフォルニア州住民が個人情報を制御できる新しいプラットフォーム
  • Delete Actにより、データブローカーへの一括削除依頼が可能
  • カリフォルニアは世界初のこの仕組みを提供
  • データブローカーの登録・監査義務を強化
  • 2026年から本格運用開始予定

DROPとDelete Actの概要

  • DROPはカリフォルニア州が提供する個人情報管理プラットフォーム
  • Delete ActはDROPの根拠法であり、住民がデータブローカーに対し個人情報の削除依頼を一括で提出できる仕組み
  • 個人情報の販売管理や削除申請を一元化するシステム
  • 500社以上のデータブローカーに一度の申請で削除依頼が可能
  • 世界で初めて消費者向けにこの機能を提供する州

Delete Actの意義

  • 消費者が自身のデータの削除権限を持つことを実現
  • Oregon, Texas, Vermontとともにデータブローカー登録を義務付ける4州の一つ
  • CalPrivacyがプラットフォーム運営と監督を担当

Delete Actの主な内容

  • 2018年:CCPA(California Consumer Privacy Act)で消費者のプライバシー権を確立
  • 2019年:AB 1202で州初のデータブローカー登録法施行
  • 2020年:CalPrivacyの設立
  • **2023年:Delete Act(SB 362)**成立、登録法を拡大
  • 2024年:CalPrivacyによるデータブローカー登録管理開始
  • 2025年:SB 361で登録時の追加開示義務を導入
  • 2026年:DROPの一般利用開始、8月1日より削除依頼処理が義務化

DROPの仕組みと利用方法

  • CalPrivacyが無料でアクセス可能なオンラインプラットフォームを提供
  • 消費者はDROP経由で削除依頼を提出可能
  • データブローカーは毎年登録し、削除依頼の処理や情報開示を義務付け
  • 監査や違反時の罰則・行政罰も規定

アクションと今後の流れ

  • DROPリクエストの提出、アップデート情報の購読が可能
  • CalPrivacyの公式サイトで詳細や登録方法を案内

まとめ

  • DROPとDelete Actでカリフォルニア州民の個人情報保護が大幅に強化
  • データブローカーの監督体制も厳格化
  • 2026年以降、消費者主導のデータ管理時代の到来

Hackerたちの意見

ページの下にDROPリクエストを送信するリンクがあるよ。これってもう使えるの?サインアップしたいんだけど、リンクをクリックすると無限リダイレクトになっちゃう。
まだ使えないみたいだよ。(https://consumer.drop.privacy.ca.gov/coming-soon.html) メールの更新情報を購読することはできるよ。(https://cppa.ca.gov/webapplications/apps/subscribe/)
タイムラインによると、DROPサービスは2026年8月1日までには始まる予定だって。
GPDR第17条の「忘れられる権利」にすごく似てるね。
その通りだね。ここで面白いのは、CalPrivacyがすべてのデータブローカーに一つのリクエストを送るメカニズムを構築する必要があるってことだね。
歴史を書き換える権利って感じだね。
> GPDR第17条の「忘れられる権利」にすごく似てるね。DROPは検索記録を検閲できるの? ヨーロッパにいる人には、カリフォルニアのCCPAとEUのGDPRを比べてみてほしいな。後者からインスパイアされていて、多くの問題を解決してるから。(スイスの国民投票制度は、カリフォルニアから学んで改善したものだよ。)
これを見るのが楽しみ!300以上のデータブローカーに対してCCPAの「データ削除」プロセスを完了するのは現実的じゃないからね。でも、これの二次的な影響がどうなるのか気になるな。例えば、家主のためにテナントを審査するサービスがあったとしたら、私のデータが全部削除されてたら、怪しいデータブローカーに記録がないからバックグラウンドチェックに通らなくなるかも。データが完全にないことで悪影響が出る未来が怖いな。
クレジットチェックと同じだよ。クレジットカードを持ってない人が賃貸のために家を借りられないって知ってる。
すべてのデータブローカーが怪しいわけじゃないよ。中にはすごく良いところもある。データブローカーは信用に値する人を評価して、信頼できる人には金利を下げたり、特別な貸付商品を作る手助けをしてるんだ。
カリフォルニアで作られたデータブローカーは、カリフォルニア以外の全世界をめちゃくちゃにできるんだな。
これはカリフォルニアの住民だけが使えるんだよね。
顧客データをどんな形でも再販する企業には、年次のISOプライバシー認証みたいなのが必要かもね。で、データを買う側(マーケティング会社や大手小売店)とデータを集める側(アプリに含まれる図書館からのテレメトリーデータを集めるやつとか、自動車メーカー、無線通信業者)を、認証されてないブローカーに関するプライバシー違反で民事責任を負わせるようにすればいいんじゃない? 企業の年収に基づいて上限なしの修正を設けると、倫理的で怪しい手法で大規模な被害を与えられる側に責任が集中するし、ルールを無視しないようにインセンティブを与えるやつも残せると思う。まだあんまり考えてないし、政策の専門家じゃないけど…ただのアイデアね。
> 顧客データをどんな形でも再販する企業には、年次のISOプライバシー認証みたいなのが必要かもね。 なんでこれが削除を要求するより良いの?
保証金や保険が必要だね。これがコストになると、実践も変わるはず。
もっと強力なものを期待したいな。特定の情報に対して通貨価値をつけるとか。私のSSNやフルネーム、軍のIDを保存するのに20ユニットかかるとするなら、フルネームと住所は15ユニットかな。もし私があなたに情報を提供することに同意したら、あなたも私がCEOの自宅住所を安全に、衛生的に保存できることに同意するべきだよ。私たちの契約の一部には、互いに削除するタイミングも決められてる。もちろん、お互いに信頼してるからね。
あのページによると、テキサスでもデータブローカーの登録が必要みたい。テキサス人としては、消費者を守るためにやってるとは思えないな。むしろ、市民を監視しながら、どれだけお金を稼げるかを知りたいだけって感じ。ナンバープレートや交通カメラから得られるテキサス人の移動情報や、どのビジネスを訪れるかをリアルタイムで知るために、最高のプレミアムを支払うブローカーを特定することで、業界のロビイストから現金の封筒を受け取る甘いキックバックを得ることができるんだ。
>テキサス州のナンバープレートや交通カメラからの旅行情報、どのビジネスを訪れるか。テキサス州はすでに州外の医療を求める女性を追跡するためにこれを行っています。どんな「立場」であっても(その議論について):これは間違ってる。携帯電話を捨てるだけじゃなく、テキサスも捨てることを考えてみて。私もネイティブ™として、もう10年近く前にそうしたから。今は国外脱出を考えてるけど、正直言ってもう年を取りすぎた気がするな =P ---- 退役したXeonユーザーとして、共通点が多いみたいだね。私のPOボックスはプロフィールに載せてるよ。
テキサス州には顔認識(および生体認証全般)に対する強力な法律があって、Facebookに対する大きな訴訟にも勝ったんだ。一般的にプライバシーに関する法律もかなり良いよ。今のところ、フロックカメラはまだ許可されてるけど、取り締まりの話も出てきてる。ALPRに関しても初めての制限がかかってるけど、私が望むほど厳しくはないかな。一般的に、データは犯罪を疑われている人に対してのみ保持されることができる。テキサス州の住民なら、データブローカーや他のデータ販売者からデータの削除(または修正)を要求する権利もあるし、保険や金融目的を含む多くの業界での個人データプロファイリングから永久にオプトアウトすることもできる。テキサス州はプライバシー法に関しては最高の州の一つだけど、もちろんもっと良くできる。フロックやALPRに対する一般的な禁止が見たいけど、他の州よりはずっとマシだね。
これは素晴らしい第一歩だけど、実際には 1. データブローカーから私の記録を買った人のリストを取得したい 2. 逆記録リンクを使って、誰がいつ、どこで、どのように私に参加したかを知りたい。500のデータベースから自分を削除するのはいいスタートだけど、もう何十年も遅れてる。そろそろ流れを変える時だね。
その通り。
これは政治リストにも適用されるの?政治的な電話やメッセージは「Do Not Call」から除外されてるから、政治的なスパムメッセージが大量に来るんだ(最近では「アダム・ミラー・フォー・コングレスOH-15」から、オハイオに住んだこともないのに)。これらの政治リストから自分を削除したいな。
それはあったけど、別の州からだった。最近、MAGA関連の組織からメッセージが来るようになったけど、私はMAGAからはかなり遠い存在なんだ。どうやって私の番号がこれらのリストに載るの?
>削除リクエストを提出する前に、カリフォルニア州の「居住者」であることを確認する必要があります。これは、2017年9月1日のカリフォルニア州規則集第18章第17014条に定義されています。確認は、州と契約した第三者ベンダー(SocureやLogin.govなど)の支援を受けて、カリフォルニア・アイデンティティ・ゲートウェイを通じて行われます。 -- https://consumer.drop.privacy.ca.gov/
いろいろな手続きや確認、バックアップコードを経て、結局「このauth.cdt.ca.govページは見つかりません」って、Chromeから真っ白なページが出てきた。まさか、政府のウェブサイトが壊れてるなんて。しかも、個人情報全部入力したばっかりなのに。ほんと、最悪だね。