セフォラ第三者クッキー訴訟、2023年を前に警鐘を鳴らす | CookieFirst ブログ | 株式会社クローバーテック

セフォラ第三者クッキー訴訟、2023年を前に警鐘を鳴らす | CookieFirst ブログ

2023年は、データプライバシーにとって大きな年になりそうです。ユタ州消費者プライバシー法(UCPA)、コネチカット州データプライバシー法(CTDPA)、コロラド州プライバシー法(CPA)など、この問題に関して長い間待ち望まれていたいくつかの新しい州法がようやく施行されるだけでなく、この国で最も著名な消費者プライバシー法の1つであるCCPAが新しい形へ進化することになるのです。

CCPAとCPRAについて

2018年6月にユーザーのデータ保護における政府の役割について前例を作ったカリフォルニア州は、消費者プライバシー法(CCPA)を手直しして新しいタイトル、CPRA(カリフォルニア・プライバシー権法)に改名するアップデートを進めることを決定しました。
この新たな変更は、5年近く前の法律を、今日のテクノロジーとリスクのニーズに合わせてより強化することを目的としており、2020年に正式に承認されました。

新しい変化

CCPAの関連法であるカリフォルニア州プライバシー権法(CPRA)は2023年1月1日に施行され、それに伴い企業にとって多くの新しい変化がもたらされることになります。

キュアピリオドか??

CCPAをよくご存知の方は、現行法の下では、企業は罰金を科される前に違反行為を修正するための30日間の猶予を与えられていることをご存知でしょう。この「治癒期間/キュアピリオド」は、企業が新しい法律に適応し、秩序を保つための時間を確保するために、もともとCCPAの法律に組み込まれていたものです。

しかし、CPRAの施行が目前に迫った今、この治癒期間は廃止され、猶予期間はカリフォルニア州司法長官と新設される消費者プライバシー保護局の判断に委ねられることになりそうです。この機関は、企業に対して法定損害賠償を求める訴訟を起こす権限を持ち、既定の治癒期間がないため、法律を遵守するために必要な措置を取らない企業には、高額な罰金を科すことになるかもしれません。

既存の状況は、将来のコンプライアンスに問題をもたらす可能性が。セフォラの第三者クッキー事例

CPRAがCCPAにもたらそうとしている変更は重要ですが、企業がそれを遵守できるかどうかという問題は、依然として不確実なままです。実際、企業が現行のガイドラインを遵守できていない例はいくつもありますし、より新しい、より厳しいガイドラインを遵守するのは難しいでしょう。

この問題を最近思い起こさせたのは、セフォラの最近のCCPA和解案です。セフォラは、個人情報の販売に関する開示義務、「個人情報を売らない」ボタンの設置、グローバル・プライバシー・コントロール(GPC)信号の遵守など、法律のいくつかの条項に違反しているとして司法長官と数カ月にわたって争ってきましたが、このたび和解に至ったのです。

現在の法律では、企業は違反があった場合、罰金を科される前に30日間の猶予が与えられています。セフォラにはこの猶予が与えられていましたが、状況を改善するための十分な措置を講じることができませんでした。今年の8月24日、カリフォルニア州司法省は同社に対して120万ドルの制裁金を科すと発表しました。

セフォラの和解が注目されるのは、単にその額が大きいということでも、CCPA違反に対する初の公的罰金ということでもありません。ここで最も重要なのは、消費者プライバシーに関する規制を遵守する企業の現在の能力(またはその欠如)を再認識させるものであることです。30日間の猶予期間があったにもかかわらず、この美容大手はコンプライアンスを徹底できず、結果的に高額の罰金を支払うことを余儀なくされたのです。

セフォラだけではない

データプライバシー規制の遵守不足で問題になった大手企業は、セフォラだけではありません。

Snap Inc.は最近、Snapchatアプリでレンズとフィルター機能を有効にした際にユーザーの生体情報を収集、保有、開示したとして、集団訴訟を解決し、訴訟参加者に3500万ドルを支払うことに同意しました。

英国の情報コミッショナー事務局(ICO)もTikTokに意向通知を出し、親の同意なしに13歳未満の児童のデータを違法に処理したとして、スーパープラットフォームに対して2700万ポンドの罰金を課す可能性がある計画を示している。

つまり、コンプライアンス体制を整えるための時間が与えられても、世界の大企業の中には、データプライバシー規制が定めるガイドラインを遵守できない企業があるということです。
さて、CPRAのより厳しいガイドラインがすでに施行されていたとしたらどうでしょう。無限のリソースを持つように見えるセフォラがCCPAの基準を満たすことができなかったとしたら、他のどれだけの企業がCPRAの基準を満たすのに苦労するでしょうか。

その答えは、残念ながら、おそらくかなりの数に上るでしょう。そして、そのような企業には、救済措置がないため、罰金を科される可能性があります。

セフォラは、皆への警告

セフォラの和解は、あらゆる規模の企業にとって、消費者プライバシーに真剣に取り組む必要があること、そしてそれは、関連するすべての規制に準拠していることを確認することを含むことを思い起こさせるものである。

CCPAは現在、米国で施行されている最大のデータプライバシー法です。しかし、2023年1月1日からは、すべてが変わることになります。カリフォルニア州プライバシー権法(CPRA)が施行され、それに伴い、企業はデータ・プライバシーを常に把握する責任が新たに生じます。

CookieFirstブログより引用

一覧へ戻る

関連する記事