icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

ユタ州プライバシー法の成立

NO&T U.S. Law Update 米国最新法律情報

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

はじめに

 2022年3月24日、ユタ州消費者プライバシー法(the Utah Consumer Privacy Act(以下、「UCPA」といいます。))が州知事により署名され、2023年12月31日に施行される予定です。UCPAは、カリフォルニア州消費者プライバシー法(the California Consumer Privacy Act※1(以下、「CCPA」といいます。))、バージニア州消費者データ保護法(the Virginia Consumer Data Protection Act(以下、「CDPA」といいます。))及びコロラド州プライバシー法(the Colorado Privacy Act(以下、「CPA」といいます。))に続く、米国で4番目の包括的な個人情報保護法といわれています。UCPAの規定の多くはCCPA、CDPA及びCPAと同様の内容となっていますが、UCPA特有の規定も存在します。そこで、本ニュースレターでは、UCPAの概要及びCCPA・CDPA・CPAとの相違点を紹介します。

UCPAの概要

1. 適用範囲

(1) 適用される者の範囲

 UCPAは、以下の①、②及び③の要件を満たす者に適用されます※2

  • ① ユタ州において事業を行っている又はユタ州住民に向けた商品若しくはサービスの生産を行っている者、かつ
  • ② 年間2,500万米ドル以上の収益(revenue)がある者、かつ
  • ③ (i)1年間で、10万人以上の消費者の個人データを管理若しくは処理(process)※3している者、又は(ii)個人データの販売(sale)※4によって総収益(gross revenue)の50%超を上げ、かつ、2万5千人以上の消費者の個人データを管理し若しくは処理する者

 UCPAでは、単独で又は第三者と共同して、個人データの処理の目的及び方法を決定している者を管理者(controller)と定義し※5、個人データの処理に関して一定の義務を課していますが、上記①、②及び③の要件を満たした管理者がUCPA上の管理者としての義務を負うことになります。

(2) 消費者(consumer)の範囲

 UCPAは、消費者(consumer)について、個人又は世帯として活動しているユタ州住民である個人と定義しており、CDPAやCPAと同様、ビジネス又は雇用の場面で活動している者は明示的に除外されています※6

(3) 個人データ(personal data)の範囲

 UCPAによって保護される個人データ(personal data)は、識別された若しくは識別可能な個人とリンクされた又は合理的にリンク可能な情報を意味すると定義されています※7。そして、個人データは非識別化されたデータ(deidentified data)※8、集合データ(aggregated data)※9及び公開情報(publicly available information)を含まないとされています。ここでいう公開情報とは、①政府機関(governmental entity)の記録から適法に入手した情報、②消費者又は広く頒布されたメディアにより適法に一般大衆に入手可能な状態にされた情報であると合理的に信じた情報、及び③消費者が特定の聴衆に情報を限定していない場合において、消費者によって情報を開示された者から取得した情報を意味すると定義されています※10

2. 消費者の権利

 UCPAでは、消費者の権利として、主に、管理者に対して以下の事項を要求できる権利が規定されています※11

  • 管理者が消費者の個人データを処理しているか否か確認する、及び当該個人データへのアクセスを提供する
  • 消費者が管理者に提供した個人データを削除する
  • (a)技術的に可能な範囲においてポータブルな形で、(b)実務上可能な限り即時利用可能な形式で、かつ(c)自動化された手段で処理が行われる場合、消費者による他の管理者へのデータの移動が障害なく可能となるような形式で、消費者が以前管理者に提供した個人データのコピーを管理者から取得する
  • ターゲティング広告又は個人データの販売を目的とする個人データの処理からのオプトアウト

 消費者から上記権利を行使された場合、管理者は、原則として45日以内に対応する必要がありますが、消費者の請求の複雑さや数を考慮して、合理的に必要な場合には、1回に限り、さらに45日延長することが可能とされています※12

3. 管理者の義務

 UCPAは、管理者に対して、個人データの処理に関する以下の義務を課しています※13

  • 消費者に対して、合理的にアクセス可能で、明確な、以下の内容を含むプライバシー・ノーティスを提供すること

    • 管理者が処理する個人データのカテゴリー
    • 当該カテゴリーの個人データを処理する目的
    • 消費者の権利の行使方法
    • 個人データを第三者に共有する場合には、当該個人データ及び第三者のカテゴリー
  • 個人データを第三者に販売し、又はターゲティング広告のために個人データを処理する場合、消費者がオプトアウト権を行使する方法を明確かつ目立つ方法で開示すること
  • (i)個人データの機密性及び完全性を保護するため、及び(ii)個人データの処理に関し、合理的に予測可能な消費者を害するリスクを低減するために設計された、合理的な管理上、技術上及び物理上のデータ・セキュリティ・プラクティスを確立し、実施し、維持すること
  • 管理者の事業の規模、範囲及び種類を考慮し、問題となる個人データの量及び性質に適したデータ・セキュリティ・プラクティスを用いること
  • 消費者に明確な通知を行い、処理からのオプトアウトの機会を最初に提供することなく、また、子ども(13歳未満)と分かっている者に係る個人データの処理の場合は連邦児童オンライン・プライバシー保護法(the Federal Children’s Online Privacy Protection Act※14)並びに同法の施行規則及び免除規定に従うことなく、センシティブ・データ※15の処理をしないこと
  • 消費者が権利行使をしたことをもって、当該消費者に対して(i)商品若しくはサービスを提供することを拒絶すること、(ii)商品若しくはサービスについて異なる価格やレートを請求すること又は(iii)異なる水準の品質の商品若しくはサービスを提供することを内容とする差別的な取扱いをしてはならないこと※16

4. 処理者の義務及びデータ処理契約の締結義務

  UCPAは、管理者のために個人データを処理する者を処理者(processor)と定義し※17、処理者に対しても、個人データの処理に関する以下の義務を課しています※18

  • 管理者の指示を遵守し、管理者が自らの義務(個人データの処理のセキュリティに関する義務及びセキュリティ・システムの侵害の際の通知に関する義務を含む。)を果たせるよう、処理の性質及び処理者が取得可能な情報の性質に鑑み、実務的に合理的に可能な範囲で、適切な技術的及び組織的な措置を実施することにより管理者を支援すること
  • 個人データの処理に際して、管理者及び処理者の間で契約(以下、「データ処理契約」といいます。)を締結すること※19。データ処理契約においては、以下を内容とすることが求められます。

    • 処理者が従うこととなる処理の指示、処理の性質及び目的、処理の対象となるデータの類型、処理の期間並びに当事者の権利義務を明確に定めるものであること
    • 処理者に対して、個人データを処理する各担当者が、当該個人データに関する機密保持義務に服することを確実にすること
    • 処理者が下請(再委託)を用いる場合、当該下請の起用は、当該下請に対して、処理者が当該個人データに関して負うものと同等の義務を負わせる内容の書面による契約に基づくものであること

5. UCPAに違反した場合の制裁

 ユタ州法務長官は、UCPAに違反した管理者又は処理者に対する民事罰を求めて提訴する権限を有しています※20。UCPAの違反に対しては30日間の是正期間が原則として設けられます※21。民事罰は、(i)消費者に生じた実損害(actual damages)及び(ii)違反1件につき最大7,500米ドルとされています※22。なお、私的訴権については明示的に否定されています※23

CCPA・CDPA・CPAとの比較

1. 事業者の範囲

 CCPAの事業者の要件では、個人情報の取扱量がCCPAの定める一定の基準に達していない場合であっても、一定の事業規模※24があれば、事業者に該当するとされています。しかし、UCPAでは、CDPA及びCPAと同様に、CCPAのような一定の事業規模のみを理由に適用する旨の規定はなく、一定の個人データの取扱量がある場合にのみ適用されることになり、また、UCPAでは一定の個人データの取扱量があったとしても、一定の事業規模がなければ適用されない建付とされています。また、CCPAでは、CCPAの要件を満たす事業者を支配し又は当該事業者により支配される者で、当該事業者とブランドを共通にする主体についても、CCPA上の「事業者」に該当するとされていますので、日系企業の米国子会社がCCPA上の「事業者」の要件を満たせば、日本の親会社もCCPAの適用を受ける可能性があります。一方、UCPAでは、CDPA及びCPAと同様に、このようなグループ会社にもその適用を拡大する規定はありません。

 したがって、上記の点を踏まえれば、UCPAの適用を受ける事業者の範囲は、CCPAと比較すると限定的と考えられます。

2. 保護される個人データの範囲

 CCPAでは、BtoB情報や雇用関連情報については、CCPAの適用を一部除外する旨が規定されており、CPRAによって、少なくとも2023年1月1日まではこれらの個人情報についてCCPAの一部が適用されません。一方で、UCPAは、CDPA及びCPAと同様、ビジネス又は雇用の場面で活動する者は消費者から除外されていますので、これらの場面では、時限性なく適用されないことになります。

 また、UCPAにおける個人データは、CCPAにおける個人情報並びにCDPA及びCPAの個人データと同様、いずれも公開情報をその定義から除外していますが、公開情報の定義の内容には差異があります。すなわち、CCPAでは、公開情報とは、連邦政府、州政府又は地方政府の記録から適法に入手可能な情報を意味すると定義されていますが、UCPAにおける公開情報は、CDPAと同様に、これらの情報に加えて、「広く頒布されたメディア」(widely distributed media)を通じて一般大衆に適法に入手可能となった情報も含まれます。これに加えて、UCPAでは、消費者が特定の聴衆に情報を限定していない場合において、消費者によって情報を公表された者から取得した情報も公開情報に含まれるため、UCPAにおける個人データの範囲はより限定的です。また、UCPAでは、CPAで規定されていたような、消費者による一律のオプトアウト(いわゆるユニバーサル・オプトアウト)を認める規定もありません。加えて、個人データの販売(sale)の適用範囲について、UCPAはCDPA及びCPAと同様に一定の除外規定を設けていますが、消費者が個人データを管理者に提供した状況を考慮し、目的が消費者の合理的な期待と一致する場合、管理者による第三者への個人データの開示は販売(sale)には該当しないとしており、その除外規定の適用範囲がより広範となっています※25

3. センシティブ・データの処理

 CDPA及びCPAにおいては、センシティブ・データの処理について消費者の同意を求める必要がある旨が規定されています。一方で、UCPAにおいては、センシティブ・データの処理の際には、消費者に対する明確な通知及びオプトアウトの機会の提供が求められていますが、消費者の同意までは求められておりません。CCPAにおいても、CPRAによって、事業者がセンシティブ個人情報を収集する場合は、収集するセンシティブ個人情報のカテゴリー、利用目的等を消費者に提供しなければならず、消費者は、事業者に対して、センシティブ個人情報の利用を一定の場面に限定することを求めることができることとされていますが、消費者の同意が求められていないという点でUCPAと類似しています。このため、UCPA及びCCPAにおいては、センシティブ・データの処理に関しては、CDPA及びCPAより事業者にとって緩やかな規制になっているといえます※26

4. エンフォースメント

 CCPAでは、一定の場合に消費者は事業者に対してクラスアクションを提起することができる旨が規定されています。一方で、UCPAでは、上記の通り、CDPA及びCPAと同様に明文で私的訴権を与えるものではない旨が明記されています。

 執行については、UCPAでは上記の通り、是正期間は30日間とされています。CCPAについてはCPRAの制定により是正期間がなくなった一方、CDPAでは30日間の是正期間が定められており、CPAでは、是正期間は60日間とされています※27

今後に向けて

 上記の通り、UCPAは、CCPA、CDPA及びCPAと同様の包括的な個人情報保護に関する州法です。UCPAは、管理者の範囲、センシティブ・データの処理、販売(sale)の範囲等、CCPA、CDPA及びCPAと比して規制範囲が一部限定的な傾向がありますが、UCPAの効力発生日である2023年12月31日に向けて、適用の可能性がある企業は、CCPA、CDPA及びCPAへの対応と同様に現在の個人情報保護に関する実務を見直す必要があると思われます。また、マサチューセッツ州においてもマサチューセッツ州情報プライバシー法(the Massachusetts Information Privacy Act)が上院において審議されている等、他の州でも個人情報保護関連法の立法が検討されている状況ですので、引き続き米国における個人情報保護法制の動向については注視する必要があります。

脚注一覧

※1
2020年11月3日に成立したカリフォルニア州プライバシー権法(the California Privacy Rights Act(以下、「CPRA」といいます。))は、CCPAの改正及び追加的規制を定めており、2023年1月1日付で施行される予定です。

※2
Utah Code 13-61-102.(1)

※3
個人データの収集、使用、保管、開示、分析、削除又は修正を含む、個人データの操作(operation)又は個人データに対して行われる一連の操作を意味します(Utah Code 13-61-101.(25))。

※4
UCPAでは、管理者が第三者との間で個人データを金銭的対価と交換することを販売(sale)と定義しています(Utah Code 13-61-101.(31)(a))。また、CDPA及びCPAと同様に一定の除外規定が設けられていますが(Utah Code 13-61-101.(31)(b))、UCPAでは特に消費者が個人データを管理者に提供した状況を考慮し、目的が消費者の合理的な期待と一致する場合、管理者による第三者への個人データの開示は販売(sale)には該当しないとされているなど(Utah Code 13-61-101.(31)(b)(iii))、より広範な除外規定が設けられています。

※5
Utah Code 13-61-101.(12)

※6
Utah Code 13-61-101.(10)

※7
Utah Code 13-61-101.(24)(a)

※8
識別された若しくは識別可能な個人にリンクできないデータを意味します(Utah Code 13-61-101.(14)(a))。当該非識別化されたデータ(deidentified data)に該当するためには、データを保有する管理者が、(i)当該データが個人と関連づけられないことを確実にするための合理的な措置を実施し、(ii)データを非識別化された様式で維持及び使用すること並びに再びデータを識別する試みをしないことを公にコミットし、かつ、(iii)情報の受領者に対して上記事項を遵守することを契約上義務付けることが必要となります(Utah Code 13-61-101.(14)(b))。

※9
消費者の団体又は類型に関する情報であって、(a)消費者個人の識別性が排除されており、かつ、(b)消費者にリンクしない又は合理的にリンク可能でない情報を意味します(Utah Code 13-61-101.(3))。

※10
Utah Code 13-61-101.(29)

※11
Utah Code 13-61-201.

※12
Utah Code 13-61-203.(2)

※13
Utah Code 13-61-302.

※14
15 U.S.C. Sec. 6501以下参照。

※15
UCPAでは、センシティブ・データ(sensitive data)について、①人種若しくは民族起源、宗教的信仰、性的指向、国籍若しくは在留資格、既往歴、精神若しくは身体の健康状態、若しくは医療従事者による治療若しくは診断に係る情報を明らかにする情報、②個人を一意的に識別することを目的として処理される場合の、遺伝的データ又はバイオメトリックデータ及び③特定位置情報(半径1,750フィート以下の範囲で正確な個人の特定位置を直接特定する技術から得られた情報(GPSレベルの緯度及び経度座標を含む。))を意味すると定義されています(Utah Code 13-61-101.(32)及び同(33))。日本法上は、国籍は要配慮個人情報に該当せず、一般的な個人情報と同じ取扱いとされていますが、UCPAでは上記の通り国籍もセンシティブ・データの対象に含まれておりますので、国籍に関する情報の取扱いには留意が必要となります。また、CCPAと同様に、特定位置情報がセンシティブ・データとして特別な取扱いが求められる点も日本法と異なりますので、この点の留意も必要となります。

※16
もっとも、(i)消費者がターゲット広告からオプトアウトした場合及び(ii)ロイヤルティプログラム、リワードプログラム、プレミアムプログラム、割引プログラム又はクラブカードプログラムへの消費者の自発的な参加に関連するものである場合には、管理者は、異なる価格、レート、水準、品質又は選択による消費者への商品又はサービスの提供(無償又は割引価格での商品又はサービスの提供を含む。)を行うことが可能とされています(Utah Code 13-61-302.(4)(b))。また、(a)管理者が消費者に対して商品、サービス又は機能を提供するために、消費者の個人データ又はその処理が合理的に必要である場合であって、かつ(b)(i)消費者が自らの個人データを管理者に提供しなかった場合又は(ii)消費者が管理者に対して自らの個人データの処理を許諾しなかった場合には、管理者は消費者に対して商品、サービス又は機能を提供しなくても良いとされています(Utah Code 13-61-302.(5))。

※17
Utah Code 13-61-101.(26)

※18
Utah Code 13-61-301.

※19
Utah Code 13-61-301.(2)

※20
Utah Code 13-61-402.(3)(c)及び(d)

※21
Utah Code 13-61-402.(3)(a)、(b)及び(c)

※22
Utah Code 13-61-402.(3)(d)

※23
Utah Code 13-61-305.

※24
年間総売上高(CPRAでは、ある年の1月1日時点において、前年1年間の総売上高)が2,500万米ドル超

※25
Utah Code 13-61-101(31)(b)(iii)

※26
「同意」(consent)についてCPA及びCDPAは、消費者に関する個人データの処理のための、消費者の自由な意思で与えられた、具体的な、知識のある、かつ、疑いのない合意を示す明確な積極的行為を意味すると定義していますが、特に、CPAにおいては、(i)個人データの処理に関する事項の他、関連しない事項を含む一般的若しくは広範な利用規約又は同様の文書による同意や、(ii)ユーザーの自律性、意思決定、選択を阻害する実質的な効果を持つように設計又は操作されたインターフェース(いわゆる「ダーク・パターン」)等を通じて取得された合意については明示的に「同意」から除外されており、厳格な取扱いがされています。

※27
もっとも、CPAの当該是正期間は2025年1月1日以降廃止されることとされています。

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

海外業務に関連する著書/論文

南北アメリカに関連する著書/論文

米国に関連する著書/論文

決定 業務分野を選択
決定