〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階
東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)
東京メトロ 南北線:溜池山王駅 7番出口(地下直結)
東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分
東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)
セミナー
事務所概要・アクセス
事務所概要・アクセス
2018年に、カリフォルニア州においてアメリカで初となる包括的な個人情報保護法であるカリフォルニア州消費者プライバシー法(CCPA)が成立して以降、各州で包括的な個人情報保護法の制定が検討されるようになったが、本年(2023年)は、以下のとおり各州で相次いで包括的な個人情報保護法が成立・施行されており、新法ラッシュの様相を呈している。
2023年1月 : カリフォルニア州プライバシー権法(CPRA。旧法(CCPA)の改正法)、バージニア州消費者データ保護法が施行。
2023年3月 : 改正CCPAの施行規則が成立・発効。アイオワ州消費者データ保護法が成立。
2023年5月 : インディアナ州消費者データ保護法、テネシー州情報保護法、モンタナ州消費者データプライバシー法が成立。
2023年6月 : テキサス州データプライバシー及び安全法が成立。
2023年7月 : 改正CCPAの執行開始、コネチカット州個人データプライバシー法及びコロラド州プライバシー法が施行。
2023年12月 : ユタ州消費者プライバシー法が施行。
他方で、連邦レベルでも包括的な個人情報保護法の制定を検討する動きが見られ、2022年7月には、米国データプライバシー保護法(ADPPA)の法案が初めて委員会で可決されるなど、連邦法の制定に関する動向が注目されている。
本記事では、初めに従来のアメリカの個人情報保護法制の概要について簡潔に触れた後(後記1)、近時のアメリカにおける動向(後記2)について説明し、最後に将来の見通しを踏まえた実務対応のポイントについて述べる(後記3)。
従来、アメリカでは、個人情報保護は原則として業界の自主規制(Industry Self-Regulation)に委ねられており、FTC法5条(a)(1)後段が禁止する「不公正・欺瞞的な行為又は慣行(Unfair or Deceptive Acts or Practices)」に該当する場合を除き、規制の必要な分野についてのみ個別に立法を行う手法(Sectoral Approach)が採用されてきた。かかる手法は、EUが、GDPRのような包括的な個人情報保護法を制定することによって個人情報全般の取扱いを規制する手法(Omnibus Approach)を採用しているのと対照的である。
したがって、従来、事業者は個別法(連邦法及び州法)の適用があるかを検討する必要があった。
代表的な個別法を簡潔に紹介すると、以下のとおりである。
前述のとおり、アメリカでは、州レベルでも連邦レベルでも、包括的な個人情報保護法を制定する流れとなっているが、現状では、各州における立法が進んでいる一方、連邦レベルでの立法の実現にはまだ年月を要するように思われる。以下、州法と連邦法に分けて説明する。
現在までに成立している包括的な個人情報保護法を比較すると、カリフォルニア州法(CCPA)が独自の内容を定めているが、その他の州法については大差ないといって差支えない。各州法の概要については、後掲の各リンクに纏めているが、各州法の異同について簡潔に纏めたものが下表である。
凡例
CA:カリフォルニア州、VA:バージニア州、CO:コロラド州、UT:ユタ州、CT:コネチカット州、IA:アイオワ州、IN:インディアナ州、TN:テネシー州、MT:モンタナ州、TX:テキサス州
カリフォルニア州法とその他の州法との間には、大きく以下の4つの相違点がある。
①保護の対象となる「消費者」の範囲の違い
カリフォルニア州以外の州法では、「消費者」の定義について、「個人上又は家計上の文脈で活動する者」又は「商業的又は雇用的な文脈で行動する自然人を含まない」といった限定を加えている。これは、従業員等の個人データやB to B の文脈で得た取引先担当者の個人データの取扱いについて規制対象から除外することを意味する。これに対し、カリフォルニア州法では「消費者」の定義に上記のような限定がないため、あらゆる個人に関するデータが規制対象となる。
②消費者の私的訴権の有無
カリフォルニア州法では、消費者が一定の場合に事業者に対して損害賠償や差止等を求める訴訟(クラスアクションを含む)を直接提起することが認められているのに対し、カリフォルニア州以外の州法では、かかる消費者の私的訴権は与えられていない。
③機微情報の取得規制の有無
カリフォルニア州以外の州法では、機微情報の取得について同意取得又はオプトアウトの機会提供の義務が定められているのに対し、カリフォルニア州法では、機微情報の取得に関する規制は定められていない。もっとも、カリフォルニア州法では、消費者に機微情報の処理の制限請求権が認められており、機微情報取得後の事業者の取扱いに制約を加えることでバランスを取っているものと思われる。
④データ保護アセスメント義務の有無
カリフォルニア州以外の多くの州法では、事業者が一定のデータ処理活動(ターゲット広告を目的としたデータ処理、個人データの販売等)を行う場合に、データ保護アセスメントを実施し、文書化する義務を負う旨を規定している。これに対し、カリフォルニア州法は現時点ではかかる義務を規定していないが、今後データ保護アセスメントに関する規則が制定される可能性があることに注意する必要がある。
データ保護アセスメントの具体的な手順等については、現時点で、コロラド州がプライバシー法規則において定めを置いている。現時点までにデータ保護アセスメントの義務を定めている州法は、いずれも、「他の法令を遵守する目的でデータ保護アセスメントを実施した場合、本州法が定めるデータ保護アセスメントと範囲および効果において合理的に同等であれば、本州法のデータ保護アセスメント義務も遵守したものとみなす」旨の規定を置いているため、コロラド州の規則は実務対応上の参考になる。
コロラド州のプライバシー法規則は、データ保護アセスメントにおいて、①個人データの処理に関連する消費者の権利に対するリスクを特定・説明し、②当該リスクに対処し、相殺するために検討され、講じられた措置を文書化し、③個人データの処理による利益を熟慮し、④個人データの処理による利益が、リスク(講じられた保護措置により相殺されたもの)を上回ることを示さなくてはならないと定めている(規則8.02 A)。データ保護アセスメントは「同等の一連の処理業務」(comparable set of processing operations)ごとに行うことができるとされており(法§6-1-1309(5))、その実施にあたっては、全ての内部関係者及び必要な場合には外部の関係者を関与させなければならない(規則8.03 A)
データ保護アセスメントには、最低限以下の情報を含む必要がある(規則8.04 A)。
管理者は、データ保護アセスメントの対象となるデータ処理活動を実施する前にデータ保護アセスメントの実施及び文書化を行う必要があり、実施後も適宜見直し及び更新を行わなければならない(規則8.05 B)。
現在までに成立している包括的な個人情報保護法(州法)の異同は上記のとおりであるが、各州法の概要については、以下の各リンクを参照されたい。
カリフォルニア州(2020年11月改正法成立、2023年1月施行)
バージニア州(2021年3月成立、2023年1月施行)
コロラド州(2021年7月成立、2023年7月施行)
ユタ州(2022年3月成立、2023年12月施行)
コネチカット州(2022年5月成立、2023年7月施行)
アイオワ州(2023年3月成立、2025年1月施行)
インディアナ州(2023年5月成立、2026年1月施行)
テネシー州(2023年5月成立、2024年7月施行)
モンタナ州(2023年5月成立、2024年10月施行)
テキサス州(2023年6月成立、2024年7月施行)
連邦レベルでは、2019年頃から、包括的な連邦個人情報保護法案が議会に提案されるようになった。現時点までに最も法案成立に近づいたものとしては、2022年7月に、米国下院のエネルギー・商業委員会において下院本会議に送付することが決議された米国データプライバシー保護法(ADPPA)がある。ADPPAは、以下を主な特徴とする法案であった。
① 一定の要件を満たす者を大規模データ保有者(Large Data Holder)と定義し、義務を加重する
② 機微対象データ(Sensitive Covered Data)の定義あり(改正CCPAよりも広い)
③ 対象事業者の忠実義務(Duty of Loyalty)を規定
④ FTC、州、個人の三者による執行を規定(私的訴権が認められている)
⑤ 連邦法が州法に優先する
ADPPAは、委員会で初めて可決された包括的な連邦個人情報保護法案として成立が期待されたが、2022年度の連邦議会において審議されなかった。現在、米国下院のエネルギー・商業委員会においてADPPAの大幅な修正作業が行われており、修正案が間もなく発表されるとされている。もっとも、2022年11月の中間選挙により下院で共和党が過半数の議席を獲得したことにより2023年度より連邦議会が「ねじれ議会」となったため、連邦法が早期に成立する見込みは低く、成立までに数年を要するという声もある。
以上のとおり、州レベル及び連邦レベルのいずれにおいても包括的な個人情報保護法を制定しようとする動きが見られるものの、連邦法が早期に成立する見込みは低いことから、当面は各州による独自の立法が進むと思われる。もっとも各州の個人情報保護法の内容は、既存の州法(カリフォルニア州以外)と大きく変わらないことが予想される。アメリカで事業を行う日本企業としては、各州における立法状況を注視し、各州法が自社に適用される場合には対応を行う必要がある。特に、適用される州法の下でデータ保護アセスメント義務を負う場合、業務上相当の負担となるため、注意する必要があろう。場合によっては、事業によって得られるメリットとアセスメント義務による業務上の負担を考慮し、機微個人データを取り扱わないなど、データ保護アセスメント義務を負わないように事業スキームを構築することも検討すべきと思われる。
外国の個人情報の保護に関する制度、グループ企業内でのグローバルな情報管理体制の構築、中国個人情報保護法・GDPR・CCPAをはじめとする世界各国の個人情報保護法対応につきまして、以下からお気軽にお問い合わせ下さい。
お問い合わせ(担当:辻晃平、中井杏)