〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階

東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)

東京メトロ 南北線:溜池山王駅 7番出口(地下直結)

東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分

東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)

特集記事
Special Topics

2023.08.03

アメリカのデータプライバシー法制の近時の動向と実務対応

2018年に、カリフォルニア州においてアメリカで初となる包括的な個人情報保護法であるカリフォルニア州消費者プライバシー法(CCPA)が成立して以降、各州で包括的な個人情報保護法の制定が検討されるようになったが、本年(2023年)は、以下のとおり各州で相次いで包括的な個人情報保護法が成立・施行されており、新法ラッシュの様相を呈している。

2023年1月 : カリフォルニア州プライバシー権法(CPRA。旧法(CCPA)の改正法)、バージニア州消費者データ保護法が施行。
2023年3月 : 改正CCPAの施行規則が成立・発効。アイオワ州消費者データ保護法が成立。
2023年5月 : インディアナ州消費者データ保護法テネシー州情報保護法モンタナ州消費者データプライバシー法が成立。
2023年6月 : テキサス州データプライバシー及び安全法が成立。
2023年7月 : 改正CCPAの執行開始、コネチカット州個人データプライバシー法及びコロラド州プライバシー法が施行。
2023年12月 : ユタ州消費者プライバシー法が施行。

他方で、連邦レベルでも包括的な個人情報保護法の制定を検討する動きが見られ、2022年7月には、米国データプライバシー保護法(ADPPA)の法案が初めて委員会で可決されるなど、連邦法の制定に関する動向が注目されている。
本記事では、初めに従来のアメリカの個人情報保護法制の概要について簡潔に触れた後(後記1)、近時のアメリカにおける動向(後記2)について説明し、最後に将来の見通しを踏まえた実務対応のポイントについて述べる(後記3)。

1. 従来のアメリカの個人情報保護法制の概要

従来、アメリカでは、個人情報保護は原則として業界の自主規制(Industry Self-Regulation)に委ねられており、FTC法5条(a)(1)後段が禁止する「不公正・欺瞞的な行為又は慣行(Unfair or Deceptive Acts or Practices)」に該当する場合を除き、規制の必要な分野についてのみ個別に立法を行う手法(Sectoral Approach)が採用されてきた。かかる手法は、EUが、GDPRのような包括的な個人情報保護法を制定することによって個人情報全般の取扱いを規制する手法(Omnibus Approach)を採用しているのと対照的である。
したがって、従来、事業者は個別法(連邦法及び州法)の適用があるかを検討する必要があった。
代表的な個別法を簡潔に紹介すると、以下のとおりである。

(1)連邦法

ア    プライバシー法(Privacy Act)

  • 連邦政府機関による個人情報の取扱いを規制する法律であり、公的機関を対象とする。

イ    公正信用報告法(Fair Credit Reporting Act, FCRA)

  • 個人情報の収集、利用、開示を規制した米国初のプライバシー法とされる。
  • 消費者報告機関(第三者に消費者報告を提供する目的で、消費者の信用情報又は消費者に関するその他の情報を収集又は評価する業務に定期的に従事する者)を規制対象とする。

ウ   金融サービス近代化法(Gramm-Leach-Bliley Act, GLBA)

  • 金融機関による個人情報の処理を規制する法律である。
  • 情報の収集と開示を規制する金融プライバシー規則(Financial Privacy Rule)、個人情報保護のためのセキュリティプログラムを規定するセーフガード規則(Safeguards Rule)、Pretexting(偽計を用いて個人情報にアクセスすること)を規制するプリテキスティング規則(Pretexting Provisions)の3つのセクションからなる。

エ 児童オンライン・プライバシー保護法(Children’s Online Privacy Protection Act, COPPA)

  • ウェブサイト上での児童(13歳未満)の情報の取扱いを規制する法律である。
  • 児童向けのウェブサイト又はオンラインサービスの運営者、又は児童から個人情報を収集していることを実際に知っているウェブサイト又はオンラインサービスの運営者を規制対象とする。
  • 上記ウェブサイト又はオンラインサービスの運営者は、①収集する情報・利用方法・開示方法等について通知する義務、②児童からの個人情報の収集・使用・開示について検証可能な親の同意を取得する義務、③親が児童から収集された個人情報を確認し、今後の使用・管理を拒否する合理的手段を提供する義務等を負う。

オ 電話による消費者保護法(Telephone Consumer Protections Act, TCPA)

  • 電話勧誘を規制する法律である。
  • テレマーケティングコールを望まない者のリスト(National Do Not Call Registry)へのコールや自動ダイヤリングシステムによるコールを原則として禁止する。

カ 連邦スパム規制法(CAN-SPAM Act)

  • 商用メール(商業的な製品やサービスの広告や宣伝を主な目的とする電子メールメッセージ)を規制する法律である。
  • 何人も、商用メールの送信について、①虚偽又は誤解を招くようなヘッダー情報(発信元のドメイン名やメールアドレス等)を使用しない義務、②詐欺的な件名を使用しない義務、③メッセージが広告であることを明示する義務、④受信者に送信者の所在地を知らせる義務、⑤受信者に今後のメール受信を拒否(オプトアウト)する方法を伝える義務等を負う。

(2)州法

ア   イリノイ州生体認証情報プライバシー法(Illinois Biometric Information Privacy Act)

  • 2008年に成立した、アメリカ初となる生体認証情報の取扱規制法である。その後、テキサス州、ワシントン州、ニューヨーク市、ポートランド市などで同種の法律が成立したが、イリノイ州法が最も厳格であるとされている。
  • 「生体認証情報(Biometric information)」とは、「その取得、変換、保存、共有の方法を問わず、個人を識別するために使用される個人の生体識別子に基づくあらゆる情報」をいう。
  • 「生体識別子(Biometric identifier)」とは、「網膜又は虹彩スキャン、指紋、声紋、手又は顔の形状のスキャン」をいう。
  • 民間団体(private entity)は、①生体認証情報又は生体識別子を永久に破棄するための保存スケジュール及びガイドラインを定めた書面のポリシーを作成し、一般に公開する義務、②生体認証情報又は生体識別子を取得するにあたり、これら情報又は識別子を取得する旨、利用目的、保存期間を書面で通知し、同意を取得する義務、③生体認証情報又は生体識別子の販売等によって利益を得ない義務、④生体認証情報又は生体識別子を開示しない義務、⑤安全管理措置を講じる義務等を負う。

イ    ネバダ州プライバシー法(Nevada Privacy Law)

  • 2017年に成立したインターネットプライバシーに関する法律であり、「運営者(operator)」及び「データブローカー」に対して適用される。
  • 「運営者」とは「(a)商業目的でウェブサイト又はオンラインサービスを所有又は運営し、(b)ネバダ州に居住しウェブサイト又はオンラインサービスを利用又は訪問する消費者から、対象情報を収集・維持し、かつ、(c)その活動を意図的にネバダ州に向け、ネバダ州又はその居住者と何らかの取引を行い、本州で活動を行う特権を意図的に利用し、又は、合衆国憲法の要件を満たす程度のネバダ州との十分な関連性を有するその他活動に従事する者」をいい、「データブローカー」とは「直接の関係を持たないネバダ州に居住する消費者に関する対象情報を事業者又は他のデータブローカーから購入し、当該対象情報を販売することを主たる業務とする者」をいう。
  • 「対象情報」とは、「ウェブサイト又はオンラインサービスを通じて運営者が収集し、運営者又はデータブローカーがアクセス可能な形式で維持する、消費者に関する個人を識別可能な情報のうち、以下の項目のいずれか1つ又は複数」をいう。
    ①氏名、②自宅又はその他の物理的住所、③電子メールアドレス、④電話番号、⑤社会保障番号、⑥特定の人物と物理的又はオンラインで連絡を取ることができる識別子、⑦運営者のウェブサイト又はオンラインサービスを通じて本人から収集され、運営者又はデータブローカーによって管理される、個人を特定できる形式の識別子と組み合わされた、本人に関するその他の情報
  • 「運営者」は、①(a)収集する対象情報の類型・対象情報を共有する可能性のある第三者の類型、(b)消費者が自身の対象情報を確認し、変更を求める方法(もしあれば)、(c)消費者が運営者のインターネットウェブサイト又はオンラインサービスを利用する際に、第三者が、個々の消費者のオンライン活動に関する対象情報を、長期的かつ異なるインターネットウェブサイト又はオンラインサービスにわたって収集することができるか否か等について通知する義務、②消費者にデータ販売についてオプトアウトの機会を与え、消費者のオプトアウトに応じる義務等を負う。

ウ    メイン州プライバシー法(Maine Privacy Law)

  • 2019年に成立したインターネットプライバシーに関する法律。
  • 「ブロードバンドインターネットアクセスサービス」を提供する者(「プロバイダ」と定義される)による顧客の個人情報の取扱いを規制する法律。
  • 「ブロードバンドインターネットアクセスサービス」とは、「有線または無線による大衆向けリテールサービスで、すべての(または実質的にすべての)インターネットエンドポイントとデータを送受信するもの(ダイヤルアップインターネットアクセスサービスを除く)」をいう。
  • プロバイダは、顧客の同意がある場合を除き、原則として、顧客の個人情報について、使用、開示、販売またはアクセスを許可しない義務を負う。

2.近時の動向‐包括的な個人情報保護法制定の流れ

前述のとおり、アメリカでは、州レベルでも連邦レベルでも、包括的な個人情報保護法を制定する流れとなっているが、現状では、各州における立法が進んでいる一方、連邦レベルでの立法の実現にはまだ年月を要するように思われる。以下、州法と連邦法に分けて説明する。

(1)州法

現在までに成立している包括的な個人情報保護法を比較すると、カリフォルニア州法(CCPA)が独自の内容を定めているが、その他の州法については大差ないといって差支えない。各州法の概要については、後掲の各リンクに纏めているが、各州法の異同について簡潔に纏めたものが下表である。

凡例
CA:カリフォルニア州、VA:バージニア州、CO:コロラド州、UT:ユタ州、CT:コネチカット州、IA:アイオワ州、IN:インディアナ州、TN:テネシー州、MT:モンタナ州、TX:テキサス州

カリフォルニア州法とその他の州法との間には、大きく以下の4つの相違点がある。

①保護の対象となる「消費者」の範囲の違い

カリフォルニア州以外の州法では、「消費者」の定義について、「個人上又は家計上の文脈で活動する者」又は「商業的又は雇用的な文脈で行動する自然人を含まない」といった限定を加えている。これは、従業員等の個人データやB to B の文脈で得た取引先担当者の個人データの取扱いについて規制対象から除外することを意味する。これに対し、カリフォルニア州法では「消費者」の定義に上記のような限定がないため、あらゆる個人に関するデータが規制対象となる。

②消費者の私的訴権の有無

カリフォルニア州法では、消費者が一定の場合に事業者に対して損害賠償や差止等を求める訴訟(クラスアクションを含む)を直接提起することが認められているのに対し、カリフォルニア州以外の州法では、かかる消費者の私的訴権は与えられていない。

③機微情報の取得規制の有無

カリフォルニア州以外の州法では、機微情報の取得について同意取得又はオプトアウトの機会提供の義務が定められているのに対し、カリフォルニア州法では、機微情報の取得に関する規制は定められていない。もっとも、カリフォルニア州法では、消費者に機微情報の処理の制限請求権が認められており、機微情報取得後の事業者の取扱いに制約を加えることでバランスを取っているものと思われる。

④データ保護アセスメント義務の有無

カリフォルニア州以外の多くの州法では、事業者が一定のデータ処理活動(ターゲット広告を目的としたデータ処理、個人データの販売等)を行う場合に、データ保護アセスメントを実施し、文書化する義務を負う旨を規定している。これに対し、カリフォルニア州法は現時点ではかかる義務を規定していないが、今後データ保護アセスメントに関する規則が制定される可能性があることに注意する必要がある。
データ保護アセスメントの具体的な手順等については、現時点で、コロラド州がプライバシー法規則において定めを置いている。現時点までにデータ保護アセスメントの義務を定めている州法は、いずれも、「他の法令を遵守する目的でデータ保護アセスメントを実施した場合、本州法が定めるデータ保護アセスメントと範囲および効果において合理的に同等であれば、本州法のデータ保護アセスメント義務も遵守したものとみなす」旨の規定を置いているため、コロラド州の規則は実務対応上の参考になる。
コロラド州のプライバシー法規則は、データ保護アセスメントにおいて、①個人データの処理に関連する消費者の権利に対するリスクを特定・説明し、②当該リスクに対処し、相殺するために検討され、講じられた措置を文書化し、③個人データの処理による利益を熟慮し、④個人データの処理による利益が、リスク(講じられた保護措置により相殺されたもの)を上回ることを示さなくてはならないと定めている(規則8.02 A)。データ保護アセスメントは「同等の一連の処理業務」(comparable set of processing operations)ごとに行うことができるとされており(法§6-1-1309(5))、その実施にあたっては、全ての内部関係者及び必要な場合には外部の関係者を関与させなければならない(規則8.03 A)

データ保護アセスメントには、最低限以下の情報を含む必要がある(規則8.04 A)。

  1. 処理活動の簡単な要約
  2. 処理される個人データのカテゴリー。機微データ(既知の児童の個人データを含む)を含むか否か
  3. 処理活動の文脈(管理者と個人データが処理される消費者との関係、及び消費者の合理的な期待を含む)
  4. 処理活動の性質および実施要素(operational elements)
    本号の記載に関する詳細度および具体性のレベルを決定するにあたっては、処理される個人データの種類・量・機密性、要素が処理活動によるリスクレベルに与える影響、および関連する固有の関係を考慮するものとする。
    実施要素(operational elements)には、以下のものが含まれる:
    (a)個人データのソース、(b)使用される技術又は処理者、(c)個人データの受領者(第三者、関連会社、個人データにアクセスできる処理者を含む)の名称又は種類、個人データが受領者に提供される処理目的、及び、管理者が受領者を評価する際に使用する受領者のカテゴリー別のコンプライアンス・プロセス、(d)処理の実施の詳細(個人データの収集・使用・保管・保存・共有のための計画されたプロセスを含む)、(e)処理される個人データの特定の種類
  5. 処理活動の主な目的、及び、処理によって管理者・消費者・その他の利害関係者および公衆に直接的に又は間接的にもたらされる得るその他の利益
  6. 処理活動によってこれに関連してもたらされる消費者の権利へのリスクの原因及び性質
  7. 管理者が特定した消費者の権利へのリスクを軽減するために管理者が採用する対策および保護措置
  8. 処理による利益がリスク(保護措置により軽減されたもの)をどのように上回るかの説明
  9. 管理者がプロファイリング目的で個人データを処理する場合で、プロファイリングが消費者を害する合理的に予見可能なリスクがある場合には、別途データ保護評価を実施し、文書化しなければならない。
  10. 管理者が同意なく機微データを処理する場合、個人データおよび機微データに関する推測が移転されず、かつ、個人データ処理活動から24時間以内に削除されることを保証するために実施されるプロセスの詳細
  11. データ保護アセスメントに関与した内部関係者及び外部関係者
  12. データ保護アセスメントに関連して実施された内部監査または外部監査(監査人の氏名、レビュープロセスに関与した個人の名前と役職、監査プロセスの詳細を含む)
  13. データ保護アセスメントがレビューされ承認された日付、レビュー及び承認の責任者の氏名、役職、及び署名

管理者は、データ保護アセスメントの対象となるデータ処理活動を実施する前にデータ保護アセスメントの実施及び文書化を行う必要があり、実施後も適宜見直し及び更新を行わなければならない(規則8.05 B)。

現在までに成立している包括的な個人情報保護法(州法)の異同は上記のとおりであるが、各州法の概要については、以下の各リンクを参照されたい。

カリフォルニア州(2020年11月改正法成立、2023年1月施行)
バージニア州(2021年3月成立、2023年1月施行)
コロラド州(2021年7月成立、2023年7月施行)
ユタ州(2022年3月成立、2023年12月施行)
コネチカット州(2022年5月成立、2023年7月施行)
アイオワ州(2023年3月成立、2025年1月施行)
インディアナ州(2023年5月成立、2026年1月施行)
テネシー州(2023年5月成立、2024年7月施行)
モンタナ州(2023年5月成立、2024年10月施行)
テキサス州(2023年6月成立、2024年7月施行)

(2)連邦法

連邦レベルでは、2019年頃から、包括的な連邦個人情報保護法案が議会に提案されるようになった。現時点までに最も法案成立に近づいたものとしては、2022年7月に、米国下院のエネルギー・商業委員会において下院本会議に送付することが決議された米国データプライバシー保護法(ADPPA)がある。ADPPAは、以下を主な特徴とする法案であった。

① 一定の要件を満たす者を大規模データ保有者(Large Data Holder)と定義し、義務を加重する
② 機微対象データ(Sensitive Covered Data)の定義あり(改正CCPAよりも広い)
③ 対象事業者の忠実義務(Duty of Loyalty)を規定
④ FTC、州、個人の三者による執行を規定(私的訴権が認められている)
⑤ 連邦法が州法に優先する

ADPPAは、委員会で初めて可決された包括的な連邦個人情報保護法案として成立が期待されたが、2022年度の連邦議会において審議されなかった。現在、米国下院のエネルギー・商業委員会においてADPPAの大幅な修正作業が行われており、修正案が間もなく発表されるとされている。もっとも、2022年11月の中間選挙により下院で共和党が過半数の議席を獲得したことにより2023年度より連邦議会が「ねじれ議会」となったため、連邦法が早期に成立する見込みは低く、成立までに数年を要するという声もある。

3. 実務対応のポイント

以上のとおり、州レベル及び連邦レベルのいずれにおいても包括的な個人情報保護法を制定しようとする動きが見られるものの、連邦法が早期に成立する見込みは低いことから、当面は各州による独自の立法が進むと思われる。もっとも各州の個人情報保護法の内容は、既存の州法(カリフォルニア州以外)と大きく変わらないことが予想される。アメリカで事業を行う日本企業としては、各州における立法状況を注視し、各州法が自社に適用される場合には対応を行う必要がある。特に、適用される州法の下でデータ保護アセスメント義務を負う場合、業務上相当の負担となるため、注意する必要があろう。場合によっては、事業によって得られるメリットとアセスメント義務による業務上の負担を考慮し、機微個人データを取り扱わないなど、データ保護アセスメント義務を負わないように事業スキームを構築することも検討すべきと思われる。

お問い合わせ

外国の個人情報の保護に関する制度、グループ企業内でのグローバルな情報管理体制の構築、中国個人情報保護法・GDPR・CCPAをはじめとする世界各国の個人情報保護法対応につきまして、以下からお気軽にお問い合わせ下さい。
お問い合わせ(担当:辻晃平中井杏