Aシュリー・ルメイとディラン・ブレイクリーはもう十分だった。妻と夫は、安全を確保し、病院でのルメイの夜間勤務中に夫婦の 4 人の娘を見守るために、自宅用に 2 台の屋内 Amazon Ring セキュリティ カメラを購入しました。

これは家族にとって特に重要でした。なぜなら、中二の娘が発作に苦しんでいるからです。そのため、家庭で医療上の緊急事態が発生した場合にすぐに通知できることが最も重要なことでした。

残念ながら、カメラはルメイさんとブレイクリーさんの自宅を監視することを可能にしましたが、2019年12月4日にカメラを侵害し、フィードのライブストリーミングを開始した犯罪者グループにも同じ機能を提供しました。また、カメラの双方向トーク機能を使用して、「Tiptoe Through the Tulips」という曲を家庭内に流し込みました。

夫婦の娘の一人がその音楽を聞き、騒音を調査しに行きました。カメラを持った部屋に入ると音楽が止まり、「こんにちは」という男性の声が聞こえた。その後、その声は少女に対して人種差別的な中傷を叫び始め、少女はブレイクリーに何が起こったのかを伝えるために部屋を出て行った。その後、彼はカメラを無効にしました。

ルメイとブレイクリーは、他のリングのカメラでも同様の事例が発生したことを知り、リングが問題に対処するのをこれ以上待たないと決めました。代わりに、彼らは別のカップルに加わりました。Amazon が個人情報を無許可の第三者に共有し、製品の適切な保護を怠ったと主張。

「Ring は、ユーザーに 2 要素認証の実装を要求しません。不明な IP アドレスからログインしているユーザーが正当なユーザーであるかどうかを再確認しません。」と提出書類には記載されています。 「ログインしているユーザーの数を確認する方法はユーザーに提供されていません。ブルート フォース エントリ、つまりハッカーがアカウントのロックを解除する正しいパスワードにたどり着くまで、文字と数字の組み合わせの無限ループを試みるメカニズムからの保護はありません。これらの基本的な予防措置は、豊富なオンライン サービス全体で共通かつ例外的なセキュリティ対策ですが、Ring は自社のサービスにはそれらを利用していません。」

この訴訟は、に関するあらゆる種類の違反を主張して提起された最初の訴訟の1つでした。(CCPA)。この法律は2020年1月1日に施行されましたが、新型コロナウイルス感染症（COVID-19）のため、カリフォルニア州司法長官は2020年7月1日まで施行を開始せず、最終規制は2020年8月14日に承認されました。

CCPA の下では、個人データが侵害された場合、個人には私的訴訟の権利 (訴訟を起こす根拠) のみが与えられます。その他の訴訟は、カリフォルニア州司法長官事務所が提起する必要があります。しかし、ルメイ氏やブレイクリー氏が起こしたような訴訟は、正式に施行が始まる前であっても、個人がCCPAに基づいて請求を求めることを示している。

「さらに、消費者が私的訴訟の権利をCCPAの他の違反（リング事件のような通知の不履行など）にまで拡張しようとするケースも見られる」と、ACA コンプライアンス グループのディレクター、Alex Scheinman より。同社の一般データ保護規則 (GDPR) データ処理レビューとデータ プライバシーを監督しています。 「消費者が訴訟を起こす立場にあるかどうかも含め、これらの訴訟の結果はまだ判明していませんが、消費者がこの求償制度を利用していることは明らかであり、今後も利用し続ける可能性が高いです。」

CCPA の基本

CCPA はカリフォルニア州議会を通過し、2018 年に当時のジェリー ブラウン知事によって署名されて法律として成立しました。この法律はカリフォルニアの消費者に新たなプライバシー権を確保するもので、この種の法律としては米国初のものです。

法律に基づき、カリフォルニア州民は、企業が自分たちに関して収集する個人情報と、それがどのように使用および共有されるかについて知る権利を有します。例外を除いて、収集した個人情報を削除する権利を有します。個人情報の販売をオプトアウトする権利を有します。 CCPA の権利を行使するために無差別の権利を有します。

「法制度において初めて、アメリカ人は、少なくともカリフォルニア州では、自分の情報を販売する企業に対し、やめろと言う権利を有する」とカリフォルニア州司法長官ザビエル・ベセラは米上院商務科学運輸委員会での証言で述べた。

消費者のこれらの権利に加えて、CCPA は企業に対し、プライバシー慣行を説明する通知をカリフォルニア州民に提供することも求めています。これは、新型コロナウイルス感染症との戦いにおいて極めて重要となっています。

「…生活の多くをオンラインに移したパンデミックと闘う中、企業は私たち、子供たち、私たちの習慣についてこれまで以上に知っています」とベセラ氏は説明した。 「そのデータは今日の金です。そして、金と同様に、私たちの個人情報の採掘、使用、販売が殺到しています。アメリカ人は、データを誰が持っているか、何が収集されたか、削除できるかどうか、そして下流販売をどのようにオプトアウトできるかを理解できる強力なツールを必要としています。」

ただし、CCPA は一般に比較される法律、つまり欧州連合の GDPR ほど広範囲ではありません。

「CCPA を GDPR に似たオムニバス データ保護法と呼ぶ人もいます」と、国際プライバシー専門家協会 (IAPP) のリサーチ ディレクターであるケイトリン フェネシー氏は言います。 「CCPA は、個人データの販売にかなり重点を置いています。プライバシーの専門家がよく知っている公正な情報慣行の完全なスイートを提供しているわけではありません。」

たとえば、GDPR は組織が誰かのデータを処理する法的根拠を必要とするという要件を前提としているとフェネシー氏は述べています。しかしCCPAは、企業が個人のデータを処理することが合法かどうかについては言及していない。代わりに、消費者が自分の情報を販売するかどうかを制御できるようにすることに重点を置いています。

CCPA 違反に対する罰則は依然として厳しく、違反ごとに最大 2,500 ドル、または意図的な法律違反ごとに最大 7,500 ドルの民事罰金が科せられます。カリフォルニア州の人口（2019 年時点で約 3,950 万人）を考慮すると、違反を犯した組織にとってこれらの費用は急速に膨れ上がる可能性があります。

この法律はまだ非常に新しいものではありますが、プライバシーの専門家は、米国の他の州が同様の法案を提案して可決するかどうか、また法廷でどのような展開が起こるかを注意深く監視しています。

「主にデータ侵害または販売のオプトアウトなしと収集通知の欠如に関する CCPA 違反の申し立ての間には、多くの関連性があることが確認されています」とフェネシー氏は言います。 「しかし、原告はそれをカリフォルニア州の不当競争法に関連する訴因と組み合わせて、私的訴訟の権利を規定するためにこれら 2 つの事柄を関連付けようとしていることが非常に多い。私たちはその法理論が機能するか、定着するかどうかを待っている。」

これは、ルメイ氏とブレイクリー氏の法務チームが集団訴訟で使用しているアプローチであり、現在カリフォルニアの裁判所で訴訟が進んでいます。

「本書に記載されているように、[Ring] はセキュリティと安全性を強化すると自社の製品とサービスを宣伝していましたが、実際にはハッキングに対して非常に脆弱で、原告と集団参加者の安全とセキュリティを悪化させる製品とサービスを提供していました。」訴状によれば、Amazon が自社の製品を虚偽宣伝したため、カリフォルニア州の不当競争法に違反したとされています。

AG フォーカス

施行期限に先立って、カリフォルニア州司法長官事務所は、CCPAの最終規制を策定するために関係者と大規模な協議を行った。これには、7 回の公開フォーラム、300 通を超える手紙、4 回の公聴会、および 1,000 件を超えるパブリックコメントが提出された公開コメント期間が含まれます。

この情報を検討した後、司法長官は2020 年 8 月 14 日に最終決定されるまでの CCPA 規制の 4 つの条項。

「カリフォルニア州では、プライバシーは譲れない権利です。カリフォルニア州民は、自分の個人データを誰が所有し、どのように使用するかを管理する必要があります」とベセラ氏は声明で述べた。 「これらの規則が完成したことで、カリフォルニア州はデータプライバシーの保護と推進に向けて着工し、国を先導します。これらの規則は、カリフォルニア州消費者プライバシー法の施行方法について、消費者と企業の両方に同様に指針を与えます。歴史的な規模のパンデミックに直面している今、個人データのセキュリティに留意することが特に重要です。」

最初に撤回された条項は、消費者からの同意を得ていない限り、企業が消費者の個人情報を情報収集時に開示した目的とは大きく異なる目的で使用することを禁止する法律の条項（第 999.305 条）に関するものでした。

もう一つの撤回された条項では、事業者によるデータ収集のオプトアウト方法が消費者にとって簡単で、最小限の手順で済むことを要求するとともに、オフラインで消費者とやりとりする企業に対し、データ収集をオプトアウトできることについてオフラインで通知することを義務付ける条項もあった。さらに、司法長官は、消費者に代わって行動する権限を与えられているという証拠を提出しない認定代理人からの要請を企業が拒否できるとする要件を撤回した。

司法長官事務所は、なぜこれらの変更が行われたのか説明していないため、フェネシーのようなプライバシー専門家はこの決定について熟考している。

「それは、彼らが法律の条文を正確に守らなかったという単純なことかもしれませんが、AG はそれを擁護できるかどうかを確認したかったのです。つまり、規制のすべてを擁護する権限があるということです。」と彼女は付け加えました。

CCPA に基づき、カリフォルニア州司法長官は、法律に違反している組織に通知し、それらの誤りを修正して準拠するまで 30 日間の猶予を与えることが求められています。 IAPP主催のパネルディスカッションで、同氏の事務所は法的に可能となり次第、7月1日以降に書簡を送付したとカリフォルニア州司法省副司法長官を監督するステイシー・シェッサー氏が述べた。

「私たちがこの法律を施行していることに驚きましたが、司法長官は7月1日から施行を開始するとかなり前向きだったと思います。」とシェッサー氏は述べ、もし組織が準拠するための措置を講じなければ、司法長官は調査を開始したり、組織に対して訴訟を起こしたりする可能性があると付け加えた。

これらの通知を受け取った組織は、準拠するための措置を講じ、準拠するために講じた措置を司法長官に通知する必要があると、Cooley LLPのパートナーであり、プライバシーおよび市民的自由監視委員会のメンバーであるTravis LeBlanc氏はパネルで述べた。司法長官が捜査を開始すれば、当初の問題に限定されないため、これらの措置を講じることは非常に重要であると同氏は付け加えた。

「彼らはより広範な消費者保護問題、そしてカリフォルニア州内の他のプライバシー法違反について検討を始めることができる」とルブラン氏は語った。

これまでのところ、司法長官事務所は、オンラインで事業を行っており、カリフォルニア州民がCCPAに基づく権利を行使するための行動や選択肢をオンラインで利用できるようにする必要がある企業に執行措置を集中させてきたとシェサー氏は述べた。

「CCPA の中心的な側面であり、CCPA がカリフォルニア州民に与える最も強力な権利の 1 つは、個人情報の販売をオプトアウトする権利と、企業が個人情報を販売する場合、ホームページに明確かつ目立つように掲載される『販売禁止』リンクを表示するという要件です」とシェッサー氏は述べた。 「それがこの法律の本当にユニークな側面であり、この法律に明確に規定されている側面であることを考慮すると、情報を販売していてそのようなつながりを持たない企業は、できるだけ早くこの問題を解決する必要があると考えるのが適切でしょう。」

司法長官事務所がその執行の先頭に立っている一方で、CCPAはまた、データ侵害などで暗号化も編集もされていない個人情報が漏洩した場合、カリフォルニア州民が企業に対して訴訟を起こすことも認めている。

この私的訴訟権に基づいて、カリフォルニア州民は、差し止め命令または確認命令による救済、および裁判所が適切と判断するその他の救済と併せて、事件ごとに 100 ドルから 750 ドルの損害賠償または実際の損害のいずれか大きい方の回復を求める訴訟を起こすことができます。

法定損害賠償を査定する際、裁判所は違反の数を含む多くの状況を考慮します。被告の違法行為の故意。不正行為の性質、深刻さ、持続性、および期間の長さ。 CCPAによると、被告の資産、負債、純資産。

私権訴訟はこの責任の 1 つの領域に焦点を当てることを目的としていますが、プライバシーと法律の専門家は、リング事件を含め、これを拡張する多数の訴訟が提起されているのを見てきました。

IAPP のパネルディスカッションで、パーキンス・コール社のプライバシーとセキュリティ担当パートナー、アドテクプライバシーおよびデータ管理の共同議長であるドミニク・シェルトン・ライプツィヒ氏は、2020 年 7 月の時点で、私的訴訟権を利用して提起された訴訟が 55 件あることを認識していると述べた。ただし、CCPA への違反を明示的に主張しているのはそのうちの 3 分の 1 に過ぎません。残りは、不正競争やその他のカリフォルニア州法違反の主張と並んで CCPA についても言及しています。

将来の影響

CCPA の規定の多くは、データ収集とその慣行を知るカリフォルニア住民の権利に焦点を当てていますが、セキュリティの要件もあります。

最終規制では、カリフォルニア州民のデータを収集する企業に対し、「不正な身元確認活動を検出し、消費者の個人情報への不正アクセスや削除を防ぐための合理的なセキュリティ対策」を実施するよう義務付けています。

さらに、消費者が企業のパスワードで保護されたアカウントを持っている場合、企業は既存の認証手法を使用して消費者の身元を確認できます。

「企業が、パスワードで保護されたアカウント上での、またはパスワードで保護されたアカウントからの詐欺的または悪意のある活動の疑いがある場合、企業は、消費者の要求が本物であり、要求を行った消費者が企業が情報を収集した人物であるとさらなる検証手順で判断されるまで、消費者の知りたい要求または削除要求に応じてはなりません。」

認証とアカウント保護に重点が置かれていることで、組織はより高度な認証方法の使用を模索するようになっています、と Nok Nok Labs, Inc. の製品担当副社長であり、FIDO Alliance の UAF テクノロジー ワーキング グループの共同議長である Rolf Lindemann 氏は述べています。

FIDO Alliance は、パスワードへの依存を減らす認証標準に焦点を当てたオープンな業界団体です。パスワードへの依存を軽減するための、オープンでスケーラブルで相互運用可能な認証方法の技術仕様を開発します。これらの仕様の採用を確実にするために業界認証プログラムを運営します。正式な標準化のために、認定された標準開発組織に技術仕様を提出します。

「ユーザー名とパスワード、それらがセキュリティのベスト プラクティスであるとは言えません」とリンデマン氏は言います。 「ここでのニュアンスは、企業がユーザー アカウントを保護するために最先端のテクノロジーに移行するもう 1 つの推進力があるということです。」

これは金融業界ですでに起こっており、銀行は顧客に口座にログインするために多要素認証方法を使用するよう求めています。また、認証に生体認証を使用することへの関心も高まっているとリンデマン氏は付け加えています。FIDO は、ユーザーのデータが認証に使用しているデバイスにのみアップロードされるエコシステムの構築に貢献したためです。ユーザーのデータはそのデバイスを超えて転送されず、追加のセキュリティ層が追加されます。

「そもそも FIDO を設計したとき、データ プライバシーは大きな懸念事項であり、私たちにとって重要な要素でした」とリンデマン氏は言います。 「FIDO を使用する場合、サーバー側に生体認証データを保存する必要がないことを確認しました。すでにユーザーから収集したデータを超えてユーザーを追跡する必要はありません。別のスーパー Cookie を追加するわけではありません。」

消費者がプライバシーをますます重視するようになり、新しい法律や規制が採用されるにつれ、組織はコンプライアンスと信頼を確保するために、より安全な認証方法を採用するという大きなプレッシャーにさらされることになる、とリンデマン氏は言います。

カリフォルニア州に続いて、ネバダ州とメイン州も包括的なプライバシー法を採択しました。コネチカット州、ルイジアナ州、マサチューセッツ州、ノースダコタ州、テキサス州は、プライバシー保護に関する包括的な法案を作成するための特別委員会を設置した。米国の他の 16 の州ではプライバシー法が制定されています。

連邦レベルでは、ロジャー・ウィッカー米上院商務科学運輸委員会委員長（共和党、ミシシッピ州）が導入したSAFE DATA法（S. 4626）など、アメリカ国民のプライバシー保護を強化する法案可決に向けた議会の関心も高まっている。

この法案は、組織が収集したデータにアクセス、修正、削除、転送する権利など、CCPAがカリフォルニア州民に対して行っているのと同じ権利の一部を規定するものとなる。また、企業はデータの収集、処理、保存を最小限に抑える必要があります。データセキュリティ責任者を雇用し、プライバシー責任者を任命する。プライバシーへの影響評価を定期的に実施します。

「データプライバシーに影響を与えた最大の新たな展開は、私たちの生活の多くの側面に影響を与えているため、何百万人ものアメリカ人が在宅勤務をするようになった新型コロナウイルス感染症のパンデミックです」とウィッカー氏は連邦レベルのデータプライバシー法の必要性について上院公聴会で述べた。 「ビデオ会議、食品配達アプリ、その他のオンライン サービスの利用が増加すると、プライバシー侵害の可能性が高まります。接触者の追跡や病気の蔓延の追跡のために大量のデータを収集する必要があるため、それが不適切に行われた場合には、同様にプライバシーの懸念が生じます。これらすべての理由とそれ以上の理由により、統一された全国的なプライバシー法の必要性がこれまで以上に高まっています。」

しかし、米国連邦レベルでのプライバシー法は、aで特定された問題のため、定期的に行き詰まっています。2020 年 6 月に発行された報告書。この報告書は、ウィッカー氏の以前の米国消費者データ プライバシー法 (USCDPA) 草案 (SAFE DATA 法にその規定が含まれている) と、米国上院議員マリア キャントウェル (ワシントン州民主党) によって導入された法律である消費者オンライン プライバシー権法 (COPRA) を検討しました。

「COPRAとUSCDPAは多くの点で類似していることが期待できるが、利害関係者は、ウィッカーとキャントウェルが最も離れている2つの条項、つまり先制権と私的訴訟権に関して、全か無かの両極端な立場を主張している」とブルッキングス氏は述べた。 「これらの主人公たちが自分たちの隅に留まる限り、広範なプライバシーに関する議論は凍結され、連邦法の制定は行き詰まるだろう。」

ミーガン・ゲイツはの上級編集者ですセキュリティ管理。彼女と連絡するには[email protected]。 Twitter で彼女をフォローしてください:

CPRA パス

カリフォルニア州消費者プライバシー法 (CCPA) の施行から 1 年も経たないうちに、90 万人以上のカリフォルニア州民が署名を加えて、2020 年 11 月の選挙の投票用紙に記載された 2020 年の (CPRA)。

カリフォルニア州民は、CCPA の一部の領域を明確にし、CCPA に基づくプライバシー保護を拡大することを目的としたこのイニシアチブを可決しました。これにより、範囲が EU の一般データ保護規則とより類似したものになります。この法律は 2023 年 1 月 1 日に発効しますが、一部の規定は直ちに発効します。

「消費者は、自らの権利を守るために企業と交渉する際に、より平等な立場に立つためのより強力な法律を必要としている」と投票イニシアチブは述べている。 「消費者は、広告にどのように使用されるか、個人情報の管理、修正、削除の方法など、個人情報の使用について明確な説明を受ける権利があるべきです。これには、個人情報の盗難を防ぐために企業による機密個​​人情報の使用を制限したり、個人情報の販売や共有をオプトアウトしたり、企業に個人情報の不正確な情報を修正するよう要求したりすることが含まれます。」

CPRA に基づき、カリフォルニア州民は初回通知義務を拡大する権利を有します。つまり、企業はデータ収集が行われる前にデータ収集についてカリフォルニア州民に通知する必要があります。そのデータを他の当事者と販売または共有できるかどうか。そのデータがどのくらいの期間保持されるか。
さらに、CPRA は、企業がデータ収集の目的を達成するために、またはデータ収集のコンテキストと互換性のある目的にのみ「必要かつ適切な」消費者に関するデータを保持すべきであることを明確にしています。

CPRA はまた、この取り組みによれば、「個人情報を不正または違法なアクセス、破壊、使用、改変、開示から保護する」ために「合理的なセキュリティ手順と実践を実施する」ことを企業に求めています。

さらに、CPRA は、他の規定の中でも特にカリフォルニア州司法長官に法律の執行を任せる現在のアプローチに代えて、CCPA を執行するカリフォルニア州プライバシー保護庁を設立します。
「多くの企業がまだCCPAの微妙なニュアンスに悩んでいるが、CPRAが11月に有権者からゴーサインが出れば、カリフォルニア内外の多くの企業にコンプライアンス問題と新たなポリシー、手順、プロセスの導入の波がさらに押し寄せるだろう」とロビンソン・アンド・コールLLPのアソシエイト、キャスリン・M・ラティガン氏は書いている。