カリフォルニア州の個人情報保護監督機関は、アルツハイマー病患者のデータを販売したとして、テキサス州のデータブローカー企業に対し4万5000ドルの罰金を科し、カリフォルニア州住民の個人情報販売を禁止した。カリフォルニア州Privacy (CPPA)によると、テキサス州企業リッケンバッカー・データLLC(商号:データマスターズ)は、重篤な健康状態にある人々の氏名、住所、電話番号、メールアドレスを購入し転売していた。
CPPAがDatamasters社に対して下した最終命令によれば、同社はアルツハイマー病患者435,245名の住所を収録したデータベースを保持していた。しかし問題はそれだけにとどまらなかった。さらに2,317,141名の視覚障害者および133,142名の依存症患者の記録も入手可能だった。また膀胱制御障害を持つ857,449名の記録も販売していた。
データマスターズが扱っていたのは健康関連データだけではない。同社は民族性に関連する情報も販売しており、2000万人以上の名前を含むいわゆる「ヒスパニック系リスト」や、年齢に基づく「高齢者リスト」、経済的脆弱性を示す指標なども含まれていた。例えば、高金利の住宅ローンを保有する人々の記録を販売していた。
また、購入者が他の顧客特性や行動に関するデータ(例えばリベラル派と保守派の傾向など)を必要とする場合、自動車嗜好、金融活動、メディア利用、政治的所属、非営利活動にまたがる3,370の「消費者予測モデル」により、それらも提供可能です。
データマスターズは、全国消費者データベースからの記録の完全購入を提供しており、同社が主張するところでは1億1400万世帯と2億3100万個人をカバーしている。顧客はサブスクリプションベースの更新も購入できる。
カリフォルニア州の規制当局は、同州の「削除法」に基づきデータブローカーとして登録する義務を同社が怠っていたことを発見した後、Datamastersの調査を開始した。同法では2025年1月31日以降、データブローカーの登録が義務付けられている。
同社は当初、カリフォルニア州で事業を展開しておらず、同州住民のデータを保有していないと主張していた。しかし、規制当局がウェブサイト上で204,218件のカリフォルニア州学生記録を記載したExcelスプレッドシートを発見したことで、この主張は崩れた。
データマスターズ社は当初、カリフォルニア州民のデータを削除するために全国データベースをスクリーニングしていないと述べた。弁護士を雇った後、同社は主張を変え、実際にはカリフォルニア州民をデータセットから除外したと主張した。しかし、この説明はカリフォルニア州個人情報保護法(CPPA)当局を納得させるには至らなかった。
規制当局は、データマスターズ社がカリフォルニア州のプライバシー法に準拠しようと試みたことは認めたが、
「削除法への準拠を確保するための十分な文書化された方針と手順が欠如していた。」
データマスターズ社に科された罰金は、同社が州のデータブローカー登録簿に登録していなかった点も考慮されている。登録していないデータブローカーは1日あたり200ドルの罰金対象となり、消費者データの削除を怠った場合は消費者1人あたり1日200ドルの罰金が科される。
2028年1月1日より、カリフォルニア州に登録されたデータブローカーは、3年ごとに独立した第三者によるコンプライアンス監査を受けることも義務付けられる。
なぜ超機密性の高い顧客データを販売することがそれほど危険なのか
「歴史は、ある種のリストが危険になり得ることを教えてくれる」
CPPAの執行責任者であるマイケル・マッコは指摘した。
研究によれば、 アルツハイマー病患者は 特に金銭的搾取を受けやすいことがわかっています。 詐欺師がこうしたリストを狙っていないと思うなら、考え直すべきでしょう 。過去には犯罪者が少なくとも3社のデータブローカーからデータを入手していたことが判明しています。データマスターズ社が詐欺師に故意にデータを販売した証拠はありませんが、データブローカーのリストを購入するのは容易なようです。
また、博士号を持っていなくても、こうした記録(同社が全国民について保持していることを思い出してほしい)の多くが、現在の米国の政治情勢において特に機微を帯びている可能性がある理由は明らかだ。
ここにはより広範なプライバシー問題も存在する。多くのアメリカ人は連邦の医療保険の携行性と説明責任に関する法律(HIPAA)が自身の健康データを保護すると考えているかもしれないが、これは医療提供者にのみ適用される。驚くべきことに、データブローカーはその適用範囲外に置かれている。
では、自分自身を守るために何ができるでしょうか?
最初に参照すべきは、お住まいの州のデータ保護法です。カリフォルニア州では本年、削除法(Delete Act)に基づきデータ要求・オプトアウト・プラットフォーム(DROP)制度を導入しました。これはカリフォルニア州住民が登録されている全データブローカーに対し、自身に関するデータの削除を要求できるオプトアウト方式の制度です。
もしあなたが、機密データを真剣に扱う州に住んでいないなら、選択肢は限られます。引っ越すことも考えられます——例えば、プライバシー保護がかなり強固なヨーロッパへ。
データプライバシーについて単に報告するだけでなく、お客様の個人情報を削除するお手伝いをいたします
サイバーセキュリティのリスクは、ヘッドラインを超えて広がってはならない。と Malwarebytes Personal Data Removerを使用すると、スキャンして個人情報を公開しているサイトを特定し、その機密データをインターネットから削除することができます。
