セフォラ第三者クッキー訴訟、2023年を前に警鐘を鳴らす | CookieFirst ブログ

キュアピリオドか？?

CCPAをよくご存知の方は、現行法の下では、企業は罰金を科される前に違反行為を修正するための30日間の猶予を与えられていることをご存知でしょう。この「治癒期間/キュアピリオド」は、企業が新しい法律に適応し、秩序を保つための時間を確保するために、もともとCCPAの法律に組み込まれていたものです。

しかし、CPRAの施行が目前に迫った今、この治癒期間は廃止され、猶予期間はカリフォルニア州司法長官と新設される消費者プライバシー保護局の判断に委ねられることになりそうです。この機関は、企業に対して法定損害賠償を求める訴訟を起こす権限を持ち、既定の治癒期間がないため、法律を遵守するために必要な措置を取らない企業には、高額な罰金を科すことになるかもしれません。

既存の状況は、将来のコンプライアンスに問題をもたらす可能性が。セフォラの第三者クッキー事例

CPRAがCCPAにもたらそうとしている変更は重要ですが、企業がそれを遵守できるかどうかという問題は、依然として不確実なままです。実際、企業が現行のガイドラインを遵守できていない例はいくつもありますし、より新しい、より厳しいガイドラインを遵守するのは難しいでしょう。

この問題を最近思い起こさせたのは、セフォラの最近のCCPA和解案です。セフォラは、個人情報の販売に関する開示義務、「個人情報を売らない」ボタンの設置、グローバル・プライバシー・コントロール（GPC）信号の遵守など、法律のいくつかの条項に違反しているとして司法長官と数カ月にわたって争ってきましたが、このたび和解に至ったのです。

現在の法律では、企業は違反があった場合、罰金を科される前に30日間の猶予が与えられています。セフォラにはこの猶予が与えられていましたが、状況を改善するための十分な措置を講じることができませんでした。今年の8月24日、カリフォルニア州司法省は同社に対して120万ドルの制裁金を科すと発表しました。

セフォラの和解が注目されるのは、単にその額が大きいということでも、CCPA違反に対する初の公的罰金ということでもありません。ここで最も重要なのは、消費者プライバシーに関する規制を遵守する企業の現在の能力（またはその欠如）を再認識させるものであることです。30日間の猶予期間があったにもかかわらず、この美容大手はコンプライアンスを徹底できず、結果的に高額の罰金を支払うことを余儀なくされたのです。

セフォラだけではない

データプライバシー規制の遵守不足で問題になった大手企業は、セフォラだけではありません。

Snap Inc.は最近、Snapchatアプリでレンズとフィルター機能を有効にした際にユーザーの生体情報を収集、保有、開示したとして、集団訴訟を解決し、訴訟参加者に3500万ドルを支払うことに同意しました。

英国の情報コミッショナー事務局（ICO）もTikTokに意向通知を出し、親の同意なしに13歳未満の児童のデータを違法に処理したとして、スーパープラットフォームに対して2700万ポンドの罰金を課す可能性がある計画を示している。

つまり、コンプライアンス体制を整えるための時間が与えられても、世界の大企業の中には、データプライバシー規制が定めるガイドラインを遵守できない企業があるということです。
さて、CPRAのより厳しいガイドラインがすでに施行されていたとしたらどうでしょう。無限のリソースを持つように見えるセフォラがCCPAの基準を満たすことができなかったとしたら、他のどれだけの企業がCPRAの基準を満たすのに苦労するでしょうか。

その答えは、残念ながら、おそらくかなりの数に上るでしょう。そして、そのような企業には、救済措置がないため、罰金を科される可能性があります。