2023年1月27日、コロラド州司法長官(Phil Weiser)府(以下、Colorado AGという)は、2022年12月21日に公開された修正された規則案(第2次草案)に対するパブリックコメントに基づいて、コロラド州プライバシー法(以下、ColoPAという)の規則草案(第3次草案)の第3版を発表した。2023年2月1日の規則制定公聴会で、Colorado AGは、利害関係者のフィードバックを取り入れ、規制に明確さと柔軟性を追加し、他の管轄区域のプライバシー制度との相互運用性を高めることを目的としていることを強調した。
Phil Weiser 氏
本ブログは、まず(1) ColoPA規則第3次草案の変更点からの重要なポイントと最近の公聴会からの洞察内容、(2)コロラド州プライバシー法や同規則の独自な点につき関係blogを概観する。
Ⅰ.コロラド州プライバシー法や同規則の独自な点
2022.11.17付けで掲載されたDIDOMI社の解説から抜粋、仮訳する。
1.ColoPA とグローバル・ プライバシー・ コントロール
ColoPA は 2021 年 7 月 8 日に署名され、施行日は 2023 年 7 月 1 日である。コロラド州の消費者保護法の一部である ColoPA は、コロラド州の住民の個人データを扱う対象企業に法的義務を課している。
ColoPA の大まかな概要が策定されてから 1 年以上が経過したが、企業は多くの詳細について明確化を求めてきた。Colorado AGは、ColoPA の規則作成に取り組んでおり、2022年10 月 10 日に提案された規則草案を公開した。
ColoPA は、米国の他の州のプライバシー法と内容はかなり重複しているが、カリフォルニア州、バージニア州、ユタ州などの州で採用されている規制アプローチからはいくつかの点で大きく異なる。
ColoPA の独自の規定の中には、後記Ⅲ.で述べるユニバーサル・オプトアウト・メカニズム (以下、UOOMという) を遵守するよう企業に要求するこの種の法律としては初めての規定がある。つまり規則草案では、UOOM はコロラド州の消費者に各企業に個別のオプトアウト要求を行うのではなく、個人データ処理をオプトアウトする権利を複数の企業に伝えるための「単一の単純な技術的メカニズム」を提供することを目的としていると説明している。
規則草案では、①UOOM の技術仕様、②通知と選択に関する規定、および③デフォルト設定について詳しく説明している。しかし、UOOM の条項で言及されていない用語である Global Privacy Control (以下、GPCという) が最も重要である可能性がある。 以下で、GPCにつき詳しく解説する。
GPCは、ユーザーがアクセスするすべての Web サイトにユーザーのプライバシー設定を伝えるブラウザ・ツールである。GPC をインストールしてオンにすると、ユーザーのデータを販売したり共有したりしないように企業に指示するユニバーサル・オプトアウト・ シグナルが送信される。インターネット検索エンジンであるBrave、Firefox、DuckDuckGo、Abine、Privacy Badgeなど、GPC 信号を送信するためのいくつかのブラウザーとブラウザー拡張機能が装備されており、さらに多くの GPC ツールが開発中である。
ColoPA では企業が GPC を使用する必要はないが、最終的にColoPA UOOM 要件を満たす唯一のテクノロジーである。草案の行間を読むと、Colorado AG は、GPC シグナルを認識して尊重する準備をする必要があることを企業に効果的に伝えている。
ColoPA の対象となるすべての事業は、UOOM 規則の対象となる。UOOM を通じて消費者のオプトアウトを許可するための CPA 発効日は、2024 年 7 月 1 日である。
2.GPC オプトアウト後の再同意
EUの一般データ保護規則 (GDPR) と米国の州のプライバシー法との主な違いは、GDPR ではオプトインの同意が必要であるのに対し、米国の法律では消費者にデータ処理のオプトアウトの負担を課していることである。
しかし、2021 年 7 月にカリフォルニア州だけでなくコロラド州でも GPC シグナルに移行したことは、企業は GPC を正当な「販売禁止」要求として尊重する必要があると述べたものであり、米国のプライバシー モデルがヨーロッパのモデルに移行している可能性があることを意味する。
「オプトアウト後の再同意」の概念は、CPA の規則草案に記載されている。Colorado AGによると 以下のとおり。
「管理者が、消費者がその目的での処理をオプトアウトした後、オプトアウトの目的で個人データを処理するための同意を積極的に取得したい場合は、管理者はそのウェブサイトまたはアプリケーションで、消費者から同意を得る。」
ユニバーサル オプトアウト後に有効な同意を得るには、リンクまたはメカニズムは次のことを行う必要がある。
①同じ Web ページまたはアプリの他のリンクと同様のルック、フィール、およびサイズを持っていること。
②Web ページまたはアプリでのユーザー エクスペリエンスを「低下または妨害する」ポップアップ ウィンドウ、バナー、またはその他のインタラクティブな表示でもって表示しないこと 。
③CPA のその他すべての有効な同意要件を満たす こと。
ColoPA 規則 7.03 では、消費者の同意は、次の要素が満たされている場合にのみ有効であると規定されている。
①これは、明確な肯定的な行動を通じて取得される(一般条件の受諾または事前にチェックされたボックスの使用は、「明確な肯定的な行動」を構成するものではない)。
②それは自由に与えられる (管理者は、サービスを提供するために個人データが必要でない限り、同意の提供を拒否したという理由で消費者へのサービスを拒否することはできない)。
③具体的であること(特定のデータ処理目的ごとに同意を与える必要がある。1 つの目的に同意しても、他の目的に同意することにはならない)。
④消費者に通知されること(同意要求では、管理者の身元、同意が必要な理由、処理の目的、処理されるデータのカテゴリー、およびデータにアクセスできる関係者のリストを開示する必要がある)
さらに、消費者への同意の要求は、ColoPA 規則 7.04 に準拠する必要がある。この規則では、管理者(controllers)は「合理的な消費者が簡単に見つけられる」「他の利用規約とは別の明確な」「単純なメカニズム」を提供する必要があると述べている。
Ⅱ.ColoPAの規則第3次草案LexBlog解説の要旨
(1)プライバシー通知の内容
規則6.03(A)(1) 第3次草案は、管理者がプライバシー通知で処理慣行の「包括的な説明」を開示しなければならないという要件を明確にし、この基準は、以前に起草された「個人データ」だけでなく、「個人データの各カテゴリ」が特定の処理目的でどのように使用されるかについて有意義な理解を提供することであると指定している。
この変更により、第3次草案の開示規則は、「カリフォルニア州消費者プライバシー法(以下、CCPAという」の最終提案規則で要求される規則内容よりも詳細になる。具体的にいうと、CCPAの最終提案規則では、対象となる企業が収集する個人情報のカテゴリー、個人情報の各カテゴリーが販売または共有されているかどうか(クロス・コンテキスト行動広告(注)の目的)、および個人情報の各カテゴリが企業の「収集時の通知」に保持される期間をリストする必要があるが、CCPAの最終提案規則では、処理目的をより一般的に特定でき、特定のカテゴリの個人情報にリンクさせる必要はないとする。
規則6.04(B) 第3次草案では、管理者(controllers)は、「実質的または重要な」変更ではなく、プライバシー通知に「重大な」変更があった場合にのみ、コロラド州の居住者に通知する必要がある。さらに、同草案は「重要な」変更の定義を緩和する。以前の草案では、個人データを共有した関連会社、処理者、または第三者の身元が変更された場合、管理者は消費者に通知する必要があった(ColoPAはプライバシー通知でそのレベルの詳細を要求していないが)。
(2)公開されている定義(規則2.02) ColoPAの下では、「公開されている情報」は個人データの定義から除外されているため、法律の範囲外である。第1次草案では、「非公開の個人データと密接に組み合わされた」公開情報は、依然として公開されている情報と見なすことができる。以前の草案では、そのようなデータを公開情報の定義から明確に除外していた。
(3)消費者の個人データの権利。 2023年2月1日、コロラド州司法長官府は、第3次草案に関する公聴会で、他の包括的な州のプライバシー法が同様の消費者の権利を提供し、コロラド州司法長官府がColoPAの規則がそれらの体制と相互運用可能であることを目指していることを認めた。
①オプトアウトする権利(規則4.03)
・オプトアウト要求の対象となる個人データの処理を停止しうる期限: 第3次草案は、15日以内にオプトアウト要求を尊重するという以前の要件を削除し、「過度の遅延なし(without undue delay)」、つまりビジネスの規模と複雑さ、およびオプトアウトの運用の負担を考慮した状況テストの全体に置き換えた。
・プロファイリングの決定のオプトアウト:第3次草案では、管理者は、コロラド州の居住者が法的または同様に重要な決定をもたらすプロファイリングのための個人データの処理をオプトアウトする権利を行使するための明確で目立つ方法を提供する必要があるとする。これと対照的に、カリフォルニア州(CPPA)は、自動化された意思決定をオプトアウトする権利に関する規則をまだ発行していない。
②削除する権利(規則4.06(a) 第3次草案は、管理者が処理者および関連会社に削除要求を通知するという要件を削除した(ただし、この変更は、処理者が保持する削除要求の対象となる個人データを処理者が確実に削除することを管理者に免除させるものではない)。
(4)ユニバーサル・オプトアウト・メカニズム(UOOM) 2023年2月1日の公聴会で、コロラド州司法長官府は、相互運用性と柔軟性と技術仕様のバランスをとるために、第3次草案を改訂したと説明した。一般からの何人かの発言者は、定義されたスケジュールでリストを更新することを含め、公式に認められたUOOMのリストを生成するためのより定義されたパラメータを提供するルールの必要性を主張した。
後記Ⅲ.で詳しく解説する。
①規則5.03(A) 第3次草案は、UOOMを開発または提供する者は、オプトアウト要求を容易にするUOOMの機能を消費者に開示する際に、コロラド州またはColoPAを調整または参照する必要がないことを明確にした。たとえば、UOOMが消費者に「州法の下で利用可能なすべてのオプトアウト権」を行使することを許可している開示は、開示が他の州の開示規則に準拠している限り十分である。
②規則5.05(B) 第3次草案はまた、管理者が他の管轄区域の認証要件に準拠するために必要な場合、UOOMを処理するために要求者から追加の個人データを要求できることを明確にした。以前の草案では、管理者がオプトアウトの信憑性と正当性を評価するために「厳密に必要」ではない個人データを要求することを禁止していた。
(5)規則案の次のステップ
第3次草案に関するパブリックコメントは、2023年2月3日午後5時までに締め切られ、その後、最終規則で検討される。コロラド州司法長官府は、1年2023年7月1日までにUOOMの技術仕様に関する規則を最終決定する任務を負っている。なお、ColoPAの発効日と施行日も2023年7月1日に始まる。
Ⅲ.ユニバーサル・ オプトアウト・ メカニズム (UOOM)
Odia Kagan氏「The Colorado Privacy Act - What the Draft Rules Say About Data Portability and Authentication」から該当部を抜粋、仮訳する。
(1)消費者は、ユーザーが選択したユニバーサル・ オプトアウト・ メカニズム (UOOM) を通じて、ターゲティング広告または個人データの販売の目的で、技術的かつ規則で定めるところにより消費者に関する個人データの処理をオプトアウトする権利を行使することができる。
(2)UOOM は、「すべての目的」または「特定の目的」、あるいはその両方のためのものである。
(3)規則には、準拠する UOOM を設計するための要件が含まれる。
(4)ブラウザやオペレーティング システムなどのデバイスにプリインストールされていないが、プライバシー保護ツールとして、または特にユーザーがオプトアウトする権利を行使するように設計されたツールとして目立つように販売されているツールを採用するという消費者の決定による個人データの処理は、UOOM を使用する消費者の積極的で、自由に与えられた、明確な選択と見なされる。
〇UOOMに関する義務
①UOOM を処理する場合、消費者がコロラド州の居住者であることを確認するため、またはメカニズムが個人データの処理をオプトアウトするための正当な要求を表していると判断するために厳密に必要な範囲を超えて、追加の個人データの収集を要求することはできない。
②プラットフォーム、デバイス、またはオフラインでの UOOM の消費者の使用の認識を拡大する場合にのみ、追加の個人データを提供するオプションを消費者に提供できる。たとえば、UOOM またはシグナルを個人データのオフライン販売に適用したり、消費者のオプトアウト選択をデバイス間でリンクしたりできるように、電話番号または電子メール アドレスを提供するオプションを消費者に与えることができる。
③消費者による UOOM の使用を認識する条件として、消費者にログインまたはその他の方法で「認証」を要求することはできない。
④消費者のオプトアウト設定信号を処理した場合、目立つ方法で表示しうる
(カリフォルニア州CPRA ではこれは必須である)。
〇UOOMは2024 年 7 月 1 日以降施行:
①UOOM を通じてオプトアウト要求を受け取った場合、規則上はメカニズムで示されているように関連付けられているブラウザまたはデバイス、および既知の場合は消費者向けに対象を絞った広告、個人データの販売、またはその両方を目的とした個人データの処理をオプトアウトするための有効な要求などを処理する必要がある。
②UOOM を使用して有効なオプトアウト要求を受け取った後、規則上ブラウザ、デバイス、または消費者がオプトアウトを上書きするまで、ブラウザ、デバイス、および消費者がオプトアウトの権利を行使したものとして扱い続ける必要がある。
〇オプトアウト後のオプトイン:
消費者が以前に UOOM をオプトインへの同意として使用した後、UOOM シグナルがないと解釈することはできない。
コロラド州の法務局は、規則の基準を満たすと認められた UOOM の公開リストを維持するものとする。最初のリストは 2024 年 4 月 1 日までに公開され、定期的に更新される。
************************************************************************
(注) 「クロスコンテキスト行動ターゲティング広告」とは、ビジネス、明確にブランド化されたWeb サイト、アプリケーション、またはサービス以外のビジネス、明確にブランド化された Web サイト、アプリケーションを横断した消費者の活動から得られた消費者の個人情報に基づいて、消費者に広告をターゲティングすることまたは消費者が意図的にやり取りするサービスを意味する。
********************************************************************
Copyright © 2006-2023 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.