逵本麻佑子 Mayuko Tsujimoto
パートナー(NO&T NY LLP)
ニューヨーク
NO&T U.S. Law Update 米国最新法律情報
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
2022年3月24日、ユタ州消費者プライバシー法(the Utah Consumer Privacy Act(以下、「UCPA」といいます。))が州知事により署名され、2023年12月31日に施行される予定です。UCPAは、カリフォルニア州消費者プライバシー法(the California Consumer Privacy Act※1(以下、「CCPA」といいます。))、バージニア州消費者データ保護法(the Virginia Consumer Data Protection Act(以下、「CDPA」といいます。))及びコロラド州プライバシー法(the Colorado Privacy Act(以下、「CPA」といいます。))に続く、米国で4番目の包括的な個人情報保護法といわれています。UCPAの規定の多くはCCPA、CDPA及びCPAと同様の内容となっていますが、UCPA特有の規定も存在します。そこで、本ニュースレターでは、UCPAの概要及びCCPA・CDPA・CPAとの相違点を紹介します。
UCPAは、以下の①、②及び③の要件を満たす者に適用されます※2。
UCPAでは、単独で又は第三者と共同して、個人データの処理の目的及び方法を決定している者を管理者(controller)と定義し※5、個人データの処理に関して一定の義務を課していますが、上記①、②及び③の要件を満たした管理者がUCPA上の管理者としての義務を負うことになります。
UCPAは、消費者(consumer)について、個人又は世帯として活動しているユタ州住民である個人と定義しており、CDPAやCPAと同様、ビジネス又は雇用の場面で活動している者は明示的に除外されています※6。
UCPAによって保護される個人データ(personal data)は、識別された若しくは識別可能な個人とリンクされた又は合理的にリンク可能な情報を意味すると定義されています※7。そして、個人データは非識別化されたデータ(deidentified data)※8、集合データ(aggregated data)※9及び公開情報(publicly available information)を含まないとされています。ここでいう公開情報とは、①政府機関(governmental entity)の記録から適法に入手した情報、②消費者又は広く頒布されたメディアにより適法に一般大衆に入手可能な状態にされた情報であると合理的に信じた情報、及び③消費者が特定の聴衆に情報を限定していない場合において、消費者によって情報を開示された者から取得した情報を意味すると定義されています※10。
UCPAでは、消費者の権利として、主に、管理者に対して以下の事項を要求できる権利が規定されています※11。
消費者から上記権利を行使された場合、管理者は、原則として45日以内に対応する必要がありますが、消費者の請求の複雑さや数を考慮して、合理的に必要な場合には、1回に限り、さらに45日延長することが可能とされています※12。
UCPAは、管理者に対して、個人データの処理に関する以下の義務を課しています※13。
UCPAは、管理者のために個人データを処理する者を処理者(processor)と定義し※17、処理者に対しても、個人データの処理に関する以下の義務を課しています※18。
ユタ州法務長官は、UCPAに違反した管理者又は処理者に対する民事罰を求めて提訴する権限を有しています※20。UCPAの違反に対しては30日間の是正期間が原則として設けられます※21。民事罰は、(i)消費者に生じた実損害(actual damages)及び(ii)違反1件につき最大7,500米ドルとされています※22。なお、私的訴権については明示的に否定されています※23。
CCPAの事業者の要件では、個人情報の取扱量がCCPAの定める一定の基準に達していない場合であっても、一定の事業規模※24があれば、事業者に該当するとされています。しかし、UCPAでは、CDPA及びCPAと同様に、CCPAのような一定の事業規模のみを理由に適用する旨の規定はなく、一定の個人データの取扱量がある場合にのみ適用されることになり、また、UCPAでは一定の個人データの取扱量があったとしても、一定の事業規模がなければ適用されない建付とされています。また、CCPAでは、CCPAの要件を満たす事業者を支配し又は当該事業者により支配される者で、当該事業者とブランドを共通にする主体についても、CCPA上の「事業者」に該当するとされていますので、日系企業の米国子会社がCCPA上の「事業者」の要件を満たせば、日本の親会社もCCPAの適用を受ける可能性があります。一方、UCPAでは、CDPA及びCPAと同様に、このようなグループ会社にもその適用を拡大する規定はありません。
したがって、上記の点を踏まえれば、UCPAの適用を受ける事業者の範囲は、CCPAと比較すると限定的と考えられます。
CCPAでは、BtoB情報や雇用関連情報については、CCPAの適用を一部除外する旨が規定されており、CPRAによって、少なくとも2023年1月1日まではこれらの個人情報についてCCPAの一部が適用されません。一方で、UCPAは、CDPA及びCPAと同様、ビジネス又は雇用の場面で活動する者は消費者から除外されていますので、これらの場面では、時限性なく適用されないことになります。
また、UCPAにおける個人データは、CCPAにおける個人情報並びにCDPA及びCPAの個人データと同様、いずれも公開情報をその定義から除外していますが、公開情報の定義の内容には差異があります。すなわち、CCPAでは、公開情報とは、連邦政府、州政府又は地方政府の記録から適法に入手可能な情報を意味すると定義されていますが、UCPAにおける公開情報は、CDPAと同様に、これらの情報に加えて、「広く頒布されたメディア」(widely distributed media)を通じて一般大衆に適法に入手可能となった情報も含まれます。これに加えて、UCPAでは、消費者が特定の聴衆に情報を限定していない場合において、消費者によって情報を公表された者から取得した情報も公開情報に含まれるため、UCPAにおける個人データの範囲はより限定的です。また、UCPAでは、CPAで規定されていたような、消費者による一律のオプトアウト(いわゆるユニバーサル・オプトアウト)を認める規定もありません。加えて、個人データの販売(sale)の適用範囲について、UCPAはCDPA及びCPAと同様に一定の除外規定を設けていますが、消費者が個人データを管理者に提供した状況を考慮し、目的が消費者の合理的な期待と一致する場合、管理者による第三者への個人データの開示は販売(sale)には該当しないとしており、その除外規定の適用範囲がより広範となっています※25。
CDPA及びCPAにおいては、センシティブ・データの処理について消費者の同意を求める必要がある旨が規定されています。一方で、UCPAにおいては、センシティブ・データの処理の際には、消費者に対する明確な通知及びオプトアウトの機会の提供が求められていますが、消費者の同意までは求められておりません。CCPAにおいても、CPRAによって、事業者がセンシティブ個人情報を収集する場合は、収集するセンシティブ個人情報のカテゴリー、利用目的等を消費者に提供しなければならず、消費者は、事業者に対して、センシティブ個人情報の利用を一定の場面に限定することを求めることができることとされていますが、消費者の同意が求められていないという点でUCPAと類似しています。このため、UCPA及びCCPAにおいては、センシティブ・データの処理に関しては、CDPA及びCPAより事業者にとって緩やかな規制になっているといえます※26。
CCPAでは、一定の場合に消費者は事業者に対してクラスアクションを提起することができる旨が規定されています。一方で、UCPAでは、上記の通り、CDPA及びCPAと同様に明文で私的訴権を与えるものではない旨が明記されています。
執行については、UCPAでは上記の通り、是正期間は30日間とされています。CCPAについてはCPRAの制定により是正期間がなくなった一方、CDPAでは30日間の是正期間が定められており、CPAでは、是正期間は60日間とされています※27。
上記の通り、UCPAは、CCPA、CDPA及びCPAと同様の包括的な個人情報保護に関する州法です。UCPAは、管理者の範囲、センシティブ・データの処理、販売(sale)の範囲等、CCPA、CDPA及びCPAと比して規制範囲が一部限定的な傾向がありますが、UCPAの効力発生日である2023年12月31日に向けて、適用の可能性がある企業は、CCPA、CDPA及びCPAへの対応と同様に現在の個人情報保護に関する実務を見直す必要があると思われます。また、マサチューセッツ州においてもマサチューセッツ州情報プライバシー法(the Massachusetts Information Privacy Act)が上院において審議されている等、他の州でも個人情報保護関連法の立法が検討されている状況ですので、引き続き米国における個人情報保護法制の動向については注視する必要があります。
※1
2020年11月3日に成立したカリフォルニア州プライバシー権法(the California Privacy Rights Act(以下、「CPRA」といいます。))は、CCPAの改正及び追加的規制を定めており、2023年1月1日付で施行される予定です。
※2
Utah Code 13-61-102.(1)
※3
個人データの収集、使用、保管、開示、分析、削除又は修正を含む、個人データの操作(operation)又は個人データに対して行われる一連の操作を意味します(Utah Code 13-61-101.(25))。
※4
UCPAでは、管理者が第三者との間で個人データを金銭的対価と交換することを販売(sale)と定義しています(Utah Code 13-61-101.(31)(a))。また、CDPA及びCPAと同様に一定の除外規定が設けられていますが(Utah Code 13-61-101.(31)(b))、UCPAでは特に消費者が個人データを管理者に提供した状況を考慮し、目的が消費者の合理的な期待と一致する場合、管理者による第三者への個人データの開示は販売(sale)には該当しないとされているなど(Utah Code 13-61-101.(31)(b)(iii))、より広範な除外規定が設けられています。
※5
Utah Code 13-61-101.(12)
※6
Utah Code 13-61-101.(10)
※7
Utah Code 13-61-101.(24)(a)
※8
識別された若しくは識別可能な個人にリンクできないデータを意味します(Utah Code 13-61-101.(14)(a))。当該非識別化されたデータ(deidentified data)に該当するためには、データを保有する管理者が、(i)当該データが個人と関連づけられないことを確実にするための合理的な措置を実施し、(ii)データを非識別化された様式で維持及び使用すること並びに再びデータを識別する試みをしないことを公にコミットし、かつ、(iii)情報の受領者に対して上記事項を遵守することを契約上義務付けることが必要となります(Utah Code 13-61-101.(14)(b))。
※9
消費者の団体又は類型に関する情報であって、(a)消費者個人の識別性が排除されており、かつ、(b)消費者にリンクしない又は合理的にリンク可能でない情報を意味します(Utah Code 13-61-101.(3))。
※10
Utah Code 13-61-101.(29)
※11
Utah Code 13-61-201.
※12
Utah Code 13-61-203.(2)
※13
Utah Code 13-61-302.
※14
15 U.S.C. Sec. 6501以下参照。
※15
UCPAでは、センシティブ・データ(sensitive data)について、①人種若しくは民族起源、宗教的信仰、性的指向、国籍若しくは在留資格、既往歴、精神若しくは身体の健康状態、若しくは医療従事者による治療若しくは診断に係る情報を明らかにする情報、②個人を一意的に識別することを目的として処理される場合の、遺伝的データ又はバイオメトリックデータ及び③特定位置情報(半径1,750フィート以下の範囲で正確な個人の特定位置を直接特定する技術から得られた情報(GPSレベルの緯度及び経度座標を含む。))を意味すると定義されています(Utah Code 13-61-101.(32)及び同(33))。日本法上は、国籍は要配慮個人情報に該当せず、一般的な個人情報と同じ取扱いとされていますが、UCPAでは上記の通り国籍もセンシティブ・データの対象に含まれておりますので、国籍に関する情報の取扱いには留意が必要となります。また、CCPAと同様に、特定位置情報がセンシティブ・データとして特別な取扱いが求められる点も日本法と異なりますので、この点の留意も必要となります。
※16
もっとも、(i)消費者がターゲット広告からオプトアウトした場合及び(ii)ロイヤルティプログラム、リワードプログラム、プレミアムプログラム、割引プログラム又はクラブカードプログラムへの消費者の自発的な参加に関連するものである場合には、管理者は、異なる価格、レート、水準、品質又は選択による消費者への商品又はサービスの提供(無償又は割引価格での商品又はサービスの提供を含む。)を行うことが可能とされています(Utah Code 13-61-302.(4)(b))。また、(a)管理者が消費者に対して商品、サービス又は機能を提供するために、消費者の個人データ又はその処理が合理的に必要である場合であって、かつ(b)(i)消費者が自らの個人データを管理者に提供しなかった場合又は(ii)消費者が管理者に対して自らの個人データの処理を許諾しなかった場合には、管理者は消費者に対して商品、サービス又は機能を提供しなくても良いとされています(Utah Code 13-61-302.(5))。
※17
Utah Code 13-61-101.(26)
※18
Utah Code 13-61-301.
※19
Utah Code 13-61-301.(2)
※20
Utah Code 13-61-402.(3)(c)及び(d)
※21
Utah Code 13-61-402.(3)(a)、(b)及び(c)
※22
Utah Code 13-61-402.(3)(d)
※23
Utah Code 13-61-305.
※24
年間総売上高(CPRAでは、ある年の1月1日時点において、前年1年間の総売上高)が2,500万米ドル超
※25
Utah Code 13-61-101(31)(b)(iii)
※26
「同意」(consent)についてCPA及びCDPAは、消費者に関する個人データの処理のための、消費者の自由な意思で与えられた、具体的な、知識のある、かつ、疑いのない合意を示す明確な積極的行為を意味すると定義していますが、特に、CPAにおいては、(i)個人データの処理に関する事項の他、関連しない事項を含む一般的若しくは広範な利用規約又は同様の文書による同意や、(ii)ユーザーの自律性、意思決定、選択を阻害する実質的な効果を持つように設計又は操作されたインターフェース(いわゆる「ダーク・パターン」)等を通じて取得された合意については明示的に「同意」から除外されており、厳格な取扱いがされています。
※27
もっとも、CPAの当該是正期間は2025年1月1日以降廃止されることとされています。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
鈴木明美、松宮優貴(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
(2024年11月)
長谷川良和
若江悠
福原あゆみ
(2024年12月)
前川陽一
(2024年12月)
前川陽一
大久保涼、小川聖史、逵本麻佑子、佐藤恭平(共著)
大久保涼、逵本麻佑子、小山田柚香、内海裕也(共著)
深水大輔、豊田紗織、角田美咲(共著)
大久保涼、逵本麻佑子、小山田柚香(共著)
大久保涼、小川聖史、逵本麻佑子、佐藤恭平(共著)
大久保涼、逵本麻佑子、小山田柚香、内海裕也(共著)
深水大輔、豊田紗織、角田美咲(共著)
大久保涼、逵本麻佑子、小山田柚香(共著)