逵本麻佑子 Mayuko Tsujimoto
パートナー(NO&T NY LLP)
ニューヨーク
NO&T U.S. Law Update 米国最新法律情報
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
2022年6月3日、米国連邦データプライバシー保護法(the American Data Privacy and Protection Act)の法案(以下、「本法案」といいます。)が連邦議会超党派議員により公表されました。本法案は、長年におよぶ連邦議会の超党派による議論の上立案された連邦法上のデータプライバシー保護に係る法案であり、2022年6月23日に連邦議会下院におけるエネルギー・商業委員会(U.S. House Committee on Energy and Commerce)の審議に付されました※1。米国においては、カリフォルニア州消費者プライバシー法(the California Consumer Privacy Act※2(以下、「CCPA」といいます。))、バージニア州消費者データ保護法(the Virginia Consumer Data Protection Act(以下、「CDPA」といいます。))、コロラド州プライバシー法(the Colorado Privacy Act(以下、「CPA」といいます。))及びユタ州消費者プライバシー法(the Utah Consumer Privacy Act(以下、「UCPA」といいます。))のように、一部の州において個別の個人情報保護法が制定されてきましたが、本法案は、連邦法として初めてとなる包括的な個人情報保護法の法案です。本法案の規定は、これらの州法の規定と同様の規律を含む一方、連邦法特有の規定も多分に含み、また、本法案はこれらの州法に原則として優先して適用される(州法はpreemptされる)こととされています。本法案が法として成立した場合、実務に与える影響は大きいものと考えられ、本ニュースレターでは、本法案の概要及び従前の州法との主な相違点を紹介します※3。
対象エンティティ
本法案は以下a.又はb.に該当する者を対象エンティティ(covered entity)と定義し※4、対象データ(covered data)(定義につき下記(3)をご参照ください。)の処理に関して一定の義務を課しています。
大規模データ保有者
本法案は、次のa.及びb.記載の要件に該当する対象エンティティを大規模データ保有者(large data holder)と定義し※9、対象データの処理に関して追加の義務(詳細については下記3.以下をご参照ください。)を課しています。
小規模対象エンティティ
一方で、本法案は、対象エンティティのうち、次の要件に該当する小規模のものについては、一部の義務※12の適用を除外しています※13。
直近の3年間(対象エンティティが3年以上存続していない場合においては、対象エンティティが存続した期間)において、次のa.、b.及びc.の要件を満たすこと。
本法案は、保護の対象となる個人(individual)について、米国に居住する自然人と幅広く定義しています※14。
本法案によって保護される対象データ(covered data)は、単体で又はその他の情報と合わせて、(i)個人若しくは(ii)所定のデバイスを識別する情報、又は、上記(i)若しくは(ii)とリンクされた若しくは合理的にリンク可能な情報をいい、派生データ(derived data)※15及び一意の識別子(unique identifiers)※16を含むと定義されています※17。そして、対象データは、非識別化されたデータ(de-identified data)※18、従業員データ(employee data)※19、公開情報(publicly available information)、又は複数の独立した公開情報(個人に関するセンシティブ対象データを明らかにするものを除く。)の情報源のみから作成された推論(inferences)を含まないとされています。ここでいう公開情報とは、対象エンティティが以下の①、②、③、④又は⑤の情報源から適法に公共に提供されていると信じるにつき合理的な理由がある情報と定義されています※20。
本法案では、個人の権利として、主に以下の権利が規定されています※21。
上記権利を行使された場合、対象エンティティは、原則として60日以内に対応する必要がありますが、対象エンティティが大規模データ保有者に該当する場合は45日以内に対応する必要がある一方で、小規模対象エンティティに該当する場合は、90日以内に対応することで足りることとされています※22。
更に、上記の権利に加え、本法案では、個人の権利として、対象データの移転及びターゲティング広告からのオプト・アウトを求める権利が定められています※23。
本法案は、対象エンティティに対して、対象データの処理に関する以下の義務を課しています。
上記の適用を受ける対象エンティティは、上記のアセスメントをFTCに提出する義務を負い、更に、連邦議会の求めがある場合、連邦議会に対して提出することが求められています。
本法案は、所定の例外を除き、対象データに係る個人から直接収集したわけではない個人の対象データの処理又は移転を主な収入源としている対象エンティティを、第三者収集エンティティ(third-party collecting entity)と定義し※50、第三者収集エンティティに対して、自らが第三者収集エンティティである旨を個人に対して所定の方法で通知する義務を課し、また、5,000名以上の個人又は5,000個以上のデバイスに係る対象データを処理することとなった場合に、翌年の1月31日までにFTCに対して登録する義務を課しています※51。
本法案は、所定の内容を含む書面による契約に基づき対象データを対象エンティティから又は対象エンティティのために受領し、対象エンティティのために、かつ、その指示に基づき、対象データを収集、処理又は移転する対象エンティティを、サービス・プロバイダ(service provider)と定義し※52、サービス・プロバイダに対して、通常の対象エンティティの義務に加え、以下の義務を課しています※53。
更に、本法案は、所定の例外を除き、対象エンティティにより移転された対象データを収集し、処理し又は移転する者であり、かつ、当該データについてサービス・プロバイダに該当しない者を第三者(third party)と定義し※54、原則として通常の対象エンティティの義務を負うことを明記するほか、対象エンティティが公表した目的以外の目的(センシティブ対象データの場合は当該個人が積極的かつ明示的に同意した目的以外の目的)のために、対象データを処理しない義務を課しています※55。加えて、対象エンティティは(i)サービス・プロバイダの選任及び(ii)第三者への対象データへの移転を決定するに際しては、合理的な調査(due diligence)を実施する義務を負うこととされています※56。
法の違反は、連邦公正取引委員会法における不当又は詐欺的な行為又は慣行(unfair or deceptive act or practice)の防止に係る規定の違反に該当するものとみなされ※57、FTCは、同法に基づき差止命令等の規制権限※58を行使する権限を有するほか、法に違反した対象エンティティに対する民事救済(契約の取消若しくは変更、金銭の払戻し、損害賠償の支払い、公表等)を求めて提訴する権限を有することとされています※59。
また、FTCに加え、各州の司法長官(attorney general of a State)又は各州のプライバシー当局(State Privacy Authority)は、法又は法に基づく規則に違反した対象エンティティに対して、行為の差止め、法又は法に基づく規則の遵守の履行強制、損害賠償の請求、民事罰の請求、利益の返還請求その他の補償の請求、合理的に生じた弁護士費用及び訴訟費用の請求を求めて連邦裁判所に提訴する権限を有することとされています※60。
更に、本法案は、私的訴権についても明示的に認めています。施行日から4年後以降、法又は法に基づく規則の違反により損害を被った個人は、連邦裁判所に対して所定の損害賠償請求、差止命令請求、確認請求、合理的に生じた弁護士費用及び訴訟費用の請求訴訟を提起することが可能とされています※61。当該私的訴権については、請求が差止命令の請求の場合、又は、所定の小規模対象エンティティに対する請求の場合には、45日前の通知と是正期間が設けられています※62。また、私的訴権を行使する場合、本法案は、FTCと自らが居住する州の司法長官に、このような訴訟を提起する旨を事前に通知しなければならないとしており、これらの機関は、当該個人に代わり訴訟を提起するか否かを60日以内に判断しなければならないとしています※63。
CCPA、CDPA、CPA及びUCPAのような、従前の州法レベルにおいては、対象となる事業者に該当する要件として、いずれも個人情報の取扱量が一定の基準に達していること又は一定の事業規模があることが求められていました。一方で、本法案においては、このような個人情報の取扱量や事業規模を対象エンティティ該当性の要件とはしておらず、上記の通り、対象データを収集し、処理し又は移転する者である場合、対象エンティティとして法の適用の対象となり得る点で適用範囲が広範であると考えられます※64。また、本法案では、他の対象エンティティを支配する者等についても、本法案上の「対象エンティティ」に該当するとされていますので、日系企業の米国子会社が本法案上の「対象エンティティ」の要件を満たせば、日本の親会社も本法案の適用を受ける可能性があります※65。
また、従前の州法では、適用の対象となる事業者を区分し、区分毎に規制内容を変えるということは行われていませんでしたが、本法案は、大規模データ保有者又は小規模対象エンティティに該当する場合、個別の規制内容が異なる点でも特徴的です。特に大規模データ保有者に該当する場合には、上記の通り、所定の証明書の提出、プライバシー保護責任者の選任、プライバシー影響評価の実施といった追加的な義務を負うなど、従前の州法より負担の重い規制が設けられているという特徴があります。
従前の州法においては、保護される個人データ又は個人情報について、いずれも公開情報をその定義から除外しており、本法案も公開情報を対象データから除外していますが、公開情報の定義の内容には差異があります。すなわち、CCPAでは、公開情報とは、連邦政府、州政府又は地方政府の記録から適法に入手可能な情報を意味すると定義されていますが、本法案では、CDPA及びUCPAと同様に、これらの情報に加えて、「広く頒布されたメディア」(widely distributed media)を通じて一般大衆に適法に入手可能となった情報も含まれます。
更に、本法案は、CPAで規定されているのと同様、統一オプト・アウトメカニズムを用いたオプト・アウトを認める規定がある点で特徴的です。
本法案においては、センシティブ対象データに、従前の州法でセンシティブ・データに含まれていたような、個人の人種、民族起源、国籍、宗教的信条、労働組合の組合員であることの有無が含まれていません。一方で、一部の州法と同様に個人の特定位置情報はセンシティブ対象データに含まれています。
センシティブ・データの取扱いについて、一部の州法においては、消費者の同意までは求められていないケースもありますが、本法案は、CDPA及びCPAと同様に、センシティブ対象データの処理について個人の同意を必要としており、より対象データの保護に積極的な規制枠組みになっています※66。
従前の州法においては、CCPAにおいて私的訴権が認められている一方、CDPA、CPA及びUCPAでは私的訴権が明文で否定されていました。本法案は、CCPAと同様に一定の範囲で個人に私的訴権を認めており、CDPA、CPA及びUCPAより個人の保護が厚くなっています。
上記の他、本法案においては、対象エンティティに対して、具体的な内部規程の策定義務やプライバシー・ポリシーの作成及び公表義務を設けるなど、ガバナンス体制のあり方について様々な義務を課しています。従前の州法でも、所定のプライバシー・ノーティスを行う義務や、所定の安全管理措置を講じる義務等が事業者には課されていましたが、本法案においては、1名以上のプライバシー・オフィサー及び1名以上のデータ・セキュリティ・オフィサーを選任する義務が定められ、特に大規模データ保有者についてはこれらに加えてプライバシー保護責任者の選任等、州法レベルでは見受けられない様々なガバナンスへの規制が課されています。また、対象データについて、アルゴリズムを使用する一部の対象エンティティについては、一定のアセスメントの実施が義務付けられるなど、従前の州法では規定されていなかったAI技術に対する個人データの取扱いへの監督も強化されています。
本法案においては、いかなる州又は州の政治的下部組織も、所定の例外を除き、法又は法に基づき公表される規則、ルール若しくは要件によって管轄される事項について、法的な効力を有する法律、規制、ルール等を採用し、維持し、実施し、又は効力を継続してはならないとされており、原則として、法は州法に優先して適用されるものとされています※67。本法案は、例外として州法が法に優先する場合の類型を限定的に列挙していますが※68、具体的にどの範囲で州法が独自に適用されるかについては必ずしも明らかではなく、今後の動向を注視する必要があります。
本法案は、制定から180日後に施行されることとされていますが、具体的な制定見込み時期は明らかとなっていません。本法案は2022年6月に公表されましたが、今後控えている米国中間選挙の影響もあり、今期の国会において十分に審議する時間の確保が難しいほか、私的訴権や他の州法への優越に関する規定といった、議論を呼び得る条項が含まれていることに鑑みると、本法案について直ちに米国議会のコンセンサスが得られる見込みは低いとの見立てもあります。いずれにしても、本法案は上記の通り事業者に対して非常に広範かつ詳細な規制を課そうとするものであり、実務に重大な影響をもたらすため、今後の審議の過程を注視する必要があります。
※1
https://energycommerce.house.gov/newsroom/press-releases/pallone-opening-remarks-at-subcommittee-markup-of-bipartisan-bicameral
https://energycommerce.house.gov/sites/democrats.energycommerce.house.gov/files/documents/BILLS-117hr8152ih.pdf
※2
2020年11月3日に成立したカリフォルニア州プライバシー権法(the California Privacy Rights Act(以下、「CPRA」といいます。))は、CCPAの改正及び追加的規制を定めており、2023年1月1日付で施行される予定です。
※3
本ニュースレターにおいて紹介する本法案の内容は2022年8月19日時点のものを前提としており、今後の立法の過程で内容に変更があり得ます。
※4
Section 2(9)。なお、政府機関や政府のために対象データを取得、処理又は移転する者は除外されています。
※5
Section 2(19)において、対象データの分析、整理、構造化、保持、使用又はその他の取扱いを含む、対象データに対して行われるあらゆる操作又は一連の操作を意味すると定義されています。
※6
15 U.S.C. 41 et seq.
※7
連邦公正取引委員会法(the Federal Trade Commission Act)の適用を受ける者の範囲については、脚注64をご参照ください。
※8
47 U.S.C. 201-231
※9
Section 2(17)
※10
Section 2(12)において、「デバイス」とは、対象となるデータの送受信が可能な電子機器であって、個人が使用するために設計されたものと定義されています。
※11
センシティブ対象データの定義については、脚注28をご参照ください。
※12
対象データの移転請求に応じる義務(Section 203(a)(4))、データ・セキュリティ・プラクティスを確立する義務の一部(Section 208(b)(1)-(3) and (5)-(7))及びプライバシー・オフィサー/データ・セキュリティ・オフィサーの選任義務(Section 301(c))。
※13
Section 209(a)
※14
Section 2(16)
※15
Section 2(11)において、個人やデバイスに係る事実、証拠又はその他の情報源若しくはデータから、情報、データ、仮定又は結論を派生させることによって作成された対象データを意味すると定義されています。
※16
Section 2(35)において、個人、又は、1名以上の個人を識別し若しくは1名以上の個人とリンクされた若しくは合理的にリンク可能なデバイスに、合理的にリンク可能な識別子を意味し、デバイス識別子、インターネットプロトコルアドレス、クッキー、ビーコン、ピクセルタグ、モバイル広告識別子又は同様の技術、顧客番号、固有の仮名若しくはユーザーエイリアス、電話番号、その他の個人又はデバイスとリンクされ又は合理的にリンク可能な永続的又は確率的な識別子を含むとされています。
※17
Section 2(8)
※18
Section 2(10)において、非識別化されたデータ(de-identified data)とは、情報が集積されている場合であるか否かを問わず、個人を識別しない又は個人とリンクしない若しくは合理的にリンク可能ではない情報又はデバイスと定義されています。当該非識別化されたデータに該当するためには、対象エンティティが、(i)いかなる場合においても、当該データが、個人又はデバイスが再度識別される形で用いられないことを確実にするための合理的な措置を実施し、(ii)情報を再度識別する合理的な手法のない非識別化された様式で処理し移転すること及び再び個人又はデバイスの情報を識別する試みをしないことを公にコミットし、かつ、(iii)情報の受領者に対して上記事項を遵守することを契約上義務付けることが必要となります(Section 2(10))。
※19
Section 2(8)(C)において、大要、従業員候補者の情報、従業員の連絡先、緊急連絡先又はベネフィットの管理等(administering benefits)に必要な範囲で収集し、処理し又は移転する情報とされています。
※20
Section 2(23)。もっとも、同条において、公開情報には以下の情報は含まれないとされています。(i)わいせつ表現、(ii)複数の独立した公開情報(個人に関するセンシティブ対象データを明らかにするものを除く。)の情報源のみから作成された推論(inferences)、(iii)バイオメトリクス情報、(iv)対象データと組み合わされた公開情報、(v)遺伝子情報(genetic information)及び(vi)意に反すると知られているプライベート画像(known nonconsensual intimate images)。
※21
Section 203(a)
※22
Section 203(c)
※23
Section 204(b)、(c)
※24
今後ガイダンスが出される予定です(Section 101(c))。
※25
Section 101
※26
例えば、個人から具体的に求められた取引を開始し若しくは完了し、又は個人から具体的に求められた注文若しくはサービスを実行する場合や、セキュリティ事故の予防、特定、セキュリティ事故からの保護又はセキュリティ事故への対応等の目的を含む、12の例外となる目的が列挙されています(Section 101(b))。
※27
Section 102
※28
Section 2(24)において、以下に該当する対象データを指すものと定義されています。(i)ソーシャルセキュリティナンバー、パスポートナンバー、運転免許証ナンバー等の公に表示することが想定されていない政府が発行する識別子、(ii)個人の過去、現在又は将来の身体の健康状態、精神の健康状態、障害、治療若しくは診断に係る情報、(iii)金融口座番号、デビットカード番号、クレジットカード番号又は収入レベル若しくは銀行口座残高に関する情報、(iv)生体情報、(v)遺伝子情報、(vi)正確な地理的位置情報、(vii)ボイスメール、電子メール、テキスト、ダイレクトメッセージ、郵便物などの個人の私的なコミュニケーション、又はそのコミュニケーションの当事者を特定する情報、音声コミュニケーション、電話番号、通話元の電話番号、通話時間、通信当事者の位置情報などの音声コミュニケーションの送信に関するあらゆる情報(対象エンティティが発信者又は意図した受信者でない場合に限る。)、(viii)アカウント又はデバイスのログイン資格情報又はセキュリティ・アクセス・コード、(ix)個人の性的指向又は性的活動を、当該個人の合理的な期待に反する方法で特定する情報、(x)カレンダー情報、アドレス帳情報、電話若しくはテキストログ、写真、オーディオ録音、又は個人のデバイスで私的使用のために維持されるビデオ(これらの情報が別の場所にバックアップされているかどうかにかかわらない。)、(xi)個人の裸又は下着姿の私的領域を写した写真、フィルム、ビデオ録画、又はその他類似の媒体、(xii)放送テレビサービス、ケーブルサービス、衛星サービス又はストリーミングメディアサービスのプロバイダに個人が要求又は選択したビデオコンテンツ又はサービスを明らかにする情報、(xiii)17歳未満の個人の情報、(xiv)上記の類型のデータを特定する目的で収集され、処理され又は移転されたその他の対象データ。
※29
Section 103。今後ガイダンスが出される予定です(Section 103(c))。
※30
Section 104(a)。もっとも、対象エンティティが、個人による対象エンティティとの継続的な取引と引き換えに、割引又は無料の商品若しくはサービス又はその他の対価を提供するロイヤルティ・プログラムを提供することは禁止されないなど、所定の例外があります(104(b))。
※31
Section 202
※32
Section 202(e)
※33
Section 202(f)
※34
米国連邦データプライバシー保護法を指します。以下同様です。
※35
Section 204(b)、Section 210
※36
Section 205(b)
※37
Section 204(c)
※38
Section 205(a)
※39
Section 207(a)
※40
Section 2(2)
※41
Section 207(c)
※42
Section 208(a)
※43
Section 208(b)
※44
Section 301(c)
※45
Section 301(c)(3)
※46
Section 301(a)
※47
Section 301(b)
※48
Section 301(c)(3)
※49
Section 301(d)
※50
Section 2(32)
※51
Section 206
※52
Section 2(25)
※53
Section 302(a)
※54
Section 2(31)
※55
Section 302(d)
※56
Section 302(c)
※57
Section 401(c)(1)
※58
15 U.S.C. 45(b)
※59
15 U.S. Code § 57b。もっとも、懲罰的損害賠償の請求は認められていません(15 U.S. Code § 57b(b))。
※60
Section 402(a)
※61
Section 403(a)
※62
Section 403(c)
※63
Section 403(a)(3)(A)
※64
対象エンティティ該当性の要件としては、上記の通り、対象データを収集し、処理し又は移転する者であることの他に、連邦公正取引委員会法(the Federal Trade Commission Act)の適用を受ける者等の制限がありますが、同法は、本法案にも関係する不当又は詐欺的な行為又は慣行(unfair or deceptive act or practice)との関係では商取引(commerce)に従事する全ての者に適用されるとするFTCのマニュアルがあり(
https://www.federalreserve.gov/boarddocs/supmanual/cch/200806/ftca.pdf)、この点を前提とすると、対象エンティティの範囲は広範に及ぶ可能性があります。
※65
CDPA、CPA及びUCPAにおいてはこのようなグループ会社にもその適用を拡大する規定はありませんが、CCPAにおいては、同様にCCPAの要件を満たす事業者を支配し又は当該事業者により支配される者で、当該事業者とブランドを共通にする主体についても、CCPA上の「事業者」に該当するとされています。
※66
UCPAにおいては、センシティブ・データの処理の際には、消費者に対する明確な通知及びオプト・アウトの機会の提供が求められていますが、消費者の同意までは求められておりません。CCPAにおいても、CPRAによって、事業者がセンシティブ個人情報を収集する場合は、収集するセンシティブ個人情報のカテゴリー、利用目的等を消費者に提供しなければならず、消費者は、事業者に対して、センシティブ個人情報の利用を一定の場面に限定することを求めることができることとされていますが、消費者の同意が求められていないという点でUCPAと類似しています。
※67
Section 404(b)。
※68
所定の例外として、主に以下のものが列挙されています。(i)消費者保護法、(ii)市民権法、(iii)従業員、従業員情報、学生、又は学生情報のプライバシー権又はその他の保護について定めた法律、(iv)情報漏えい時の通知義務に関する法律、(v)契約法、不法行為法、(vi)詐欺等に関する刑事法、(vii)サイバー・ストーキング等に係る刑事・民事法、(viii)プライバシー又はセキュリティと無関係な公共安全に関する法律、(ix)刑事訴訟記録等に関する法律、(x)信用情報等の記録に関する法律、(xi)顔面認識テクノロジー等に関する法律、(xii)イリノイ州における生体情報プライバシー保護法(740 ILCS 14 et seq.)及び遺伝情報保護法(410 ILCS 513 et seq.)、(xiii)迷惑メール、電話勧誘等に関する法律、(xiv)保健記録等に関する法律、(xv)図書記録の秘密に関する法律、(xvi)カリフォルニア州民法Section 1798.150。情報漏えい時の通知義務に関しては多くの州で個別の法律が制定されているところ、上記の通り、これらの法律については依然各州法の定めが適用されるため、情報漏えいが生じた際には、引き続き州毎の個別の対応の検討が必要となります。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
新日本法規 (2024年11月)
犬飼貴之、丸田颯人(共著)
鈴木明美、松宮優貴(共著)
(2024年11月)
殿村桂司、水越政輝、武原宇宙、河野ひとみ(共著)
(2024年11月)
長谷川良和
若江悠
福原あゆみ
(2024年12月)
前川陽一
(2024年12月)
前川陽一
大久保涼、小川聖史、逵本麻佑子、佐藤恭平(共著)
大久保涼、逵本麻佑子、小山田柚香、内海裕也(共著)
深水大輔、豊田紗織、角田美咲(共著)
大久保涼、逵本麻佑子、小山田柚香(共著)
大久保涼、小川聖史、逵本麻佑子、佐藤恭平(共著)
大久保涼、逵本麻佑子、小山田柚香、内海裕也(共著)
深水大輔、豊田紗織、角田美咲(共著)
大久保涼、逵本麻佑子、小山田柚香(共著)