水越政輝 Masaki Mizukoshi
パートナー
東京
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
本ニュースレターでは、4回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。
No.21(2023年1月)「2022年の振り返りと2023年の展望 ~日本編~」
No.24(2023年2月)「2022年の振り返りと2023年の展望 ~欧州編~」
No.25(2023年2月)「2022年の振り返りと2023年の展望 ~アジア編~」
カリフォルニア州消費者プライバシー法(California Consumer Privacy Act of 2018、以下「CCPA」といいます。)の制定以降、米国では、州レベルでの個人情報保護法を制定する動きが活発化していますが、2022年には、ユタ州においてユタ州消費者プライバシー法(Utah Consumer Privacy Act、以下「UCPA」といいます。)が、コネチカット州においてコネチカット州データプライバシー法(Connecticut Data Privacy Act、以下「CTDPA」といいます。)が、それぞれ制定されました。これまで制定された州レベルの包括的な個人情報保護法は以下のとおりです。
州 | 法令 | 制定年 | 施行日 |
---|---|---|---|
カリフォルニア州 | CCPA | 2018年 | 2020年1月1日 |
カリフォルニア州プライバシー権法 (California Privacy Rights Act of 2020) |
2020年 | 2023年1月1日 | |
バージニア州 |
バージニア州消費者データ保護法 (Virginia Consumer Data Protection Act) |
2021年 | 2023年1月1日 |
コロラド州 |
コロラド州プライバシー法 (Colorado Privacy Act) |
2021年 | 2023年7月1日 |
ユタ州 | UCPA | 2022年 | 2023年12月31日 |
コネチカット州 | CTDPA | 2022年 | 2023年7月1日 |
これらの州法は、類似する規律も多い一方、当該州法の適用を受ける事業者の範囲や保護対象となる個人情報の範囲などの点で差異も存在するため※1、米国において広く事業を展開する企業は、このような州法が新たに制定される都度、自社又はグループ企業がその適用を受けるか、いかなる規制を遵守する必要があるか(従前の実務や運用を変更する必要があるか)、検討する必要があります。
カリフォルニア州においては、CCPAの改正及び追加的規制を定めるカリフォルニア州プライバシー権法(California Privacy Rights Act of 2020、以下「CPRA」といいます。)が、2023年1月1日から施行されており、2023年7月1日より執行される予定です※2。2022年には、CPRAによる改正点や規律の明確化を含んだ規則(Regulations)のドラフト及び修正ドラフトが公表され、パブリックコメントにかけられました。2023年7月1日のCPRAの執行までには規則も制定されることが見込まれます。
また、CCPAの下では、いわゆるBtoB情報や雇用関連情報について多くの規制の適用が除外されていましたが、カリフォルニア州においてこの適用除外の期間を延長する法案が採択されなかったため、2023年1月1日以降は、これらの情報についても一般的な消費者(consumer)の情報と同様の規制が及ぶことになります。したがって、既にCCPAの対応を行っている企業においても、自社が取り扱う取引先の担当者情報や従業員情報を確認し、プライバシーポリシーをアップデートしたり、従業員等からのCPRAに基づく権利行使に備える必要があります。また、取引先の担当者情報や従業員情報以外の個人情報を取り扱わないような企業(典型的には、BtoBビジネスを営む企業)においても、この機会にCPRAへの対応の要否を真摯に検討する必要があります。
2022年9月14日、カリフォルニア州において、カリフォルニア州年齢適正デザインコード法(California Age-Appropriate Design Code Act)が制定されました。同法は18歳未満の児童がアクセスする可能性のあるオンラインサービス、製品又は機能を提供する事業者に適用され、連邦レベルで既に制定されている児童オンラインプライバシー保護法(Children’s Online Privacy Protection Act)よりも広範な義務を事業者に課すものです。同法は、2024年7月1日に施行される予定です。
米国においては、従来、連邦取引委員会(FTC)が、連邦取引委員会法(FTC法)等に基づき、消費者プライバシー保護に関する法執行権限を積極的に行使してきました。2022年には、児童オンラインプライバシー保護法(COPPA)違反を理由としてゲーム会社が5億2000万米ドルの支払いに合意した事例のほか、数百万米ドルの金銭の支払いを条件に和解がなされた事例も複数見られ、米国における消費者プライバシー分野に関するコンプライアンスリスクの大きさを示すものといえます。
CCPAに関する具体的な調査や執行事例は原則として公表されませんが、カリフォルニア州司法長官室(Office of the Attorney General、以下「OAG」といいます。)は、事案を抽象化した形で、OAGがCCPA違反の疑いがあると通知した事例と、それに対して被通知者が採った措置の例をOAGのウェブサイトで公表しています。これらの情報は、カリフォルニア州の当局がどのような事例に注目して執行しているのか、それに対して企業はどのように対応しているのかを把握するのに有用であると思われます。2022年8月24日には、新たに13件の事例が公表されましたが、CCPAの要求に従ったプライバシーポリシーを作成していない事例、CCPA上消費者に認められる権利を十分に認めていない事例、販売(sale)に基づく規律を遵守していない事例が散見されます※3。
また、2022年8月24日、OAGは、CCPA執行訴訟において、化粧品小売会社のSephoraと、Sephoraが120万米ドルの違約金を支払うこと、プライバシーポリシー等において個人情報を販売することを積極的に表明すること等を内容とする和解を行ったことを公表しました。これはCCPA執行訴訟における初の和解事例となります。
2022年6月3日、米国連邦データプライバシー保護法(American Data Privacy and Protection Act)の法案が連邦議会により公表されました。同法案は、連邦法として初めてとなる包括的な個人情報保護法の法案であり、長年の連邦議会の超党派による議論の上で立案されたという意味でも注目を集めました。同法案が成立した場合、日本企業に与える影響も大きいと考えられますが、2022年中の成立には至りませんでした※4。
欧州一般データ保護規則(General Data Protection Regulation(GDPR))上、EEA域外に個人データを適法に移転するための方法の1つとして、移転先の国が個人データの保護について十分な保護水準を確保していることが定められています。このような十分な保護水準の確保に関して、従前、米国への個人データの移転はEU-U.S. Privacy Shield(以下「プライバシーシールド」といいます。)に基づき行われていましたが、2020年7月16日、欧州司法裁判所は、米国のインテリジェンス活動に関する制度がEUのプライバシー保護水準を満たしていないこと等を理由として、プライバシーシールドを無効と判断したため(Schrems II事件判決)、EEAから米国に適法に個人データを移転するための新たな枠組みの構築に向けた動きが注目を集めていました※5。
このような状況において、2022年10月7日、米国の信号諜報活動に対する保護措置を強化する大統領令(Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities)が発せられました。これによりSchrems II事件判決において示された懸念について米国側での一定の対処がなされたことを受け、2022年12月13日、欧州委員会は、米国商務省(以下「DoC」といいます。)が策定しようとしているEU-U.S. Data Privacy Frameworkに関する十分性認定のドラフトを公表しました。このドラフトに基づく十分性認定が発効した場合には、米国の事業者が、個人データの処理に関する一定の義務(DPF原則)に準拠した個人データの処理を行う旨の自己認証を行った上でDoCに届出を行い、DoCが公表するリストに事業者の名前が掲載されることで、当該事業者に対しては、GDPRの適用を受ける個人データを適法に移転することができるようになります。
上記十分性認定のドラフトについては、欧州データ保護委員会(EDPB)の意見を受領するプロセスを経て、欧州委員会による採択等の手続を経ることになります。欧州委員会は2023年の半ばにEU-U.S. Data Privacy Frameworkに関する十分性認定の最終的な判断を行うことが見込まれます。この十分性認定に基づく枠組みを利用することにより、法的安定性の高い方法によりEUから米国への個人データの移転を実施することができると期待されます。ただし、活動家のMax Schrems氏らによりその適法性について争われ、「Schrems III事件」に発展する可能性も否定できず、当該十分性認定の採択後も引き続き注視していく必要があります。
連邦レベルのプライバシー法については、連邦法と州法との優先関係など、整理すべき重要な論点は少なくないと思われますが、上下両院の多数派が異なる「ねじれ議会」の下、連邦プライバシー法の制定に向けた動きは2023年も続くと予想され、今後も連邦議会の動向を注視する必要があります。
州レベルでは、上記の5州以外のいくつかの州においても個人情報保護法の制定に向けた動きがあるため、2023年も州レベルの新たな個人情報保護法が制定される可能性があります。また、ニュージャージー州においてカリフォルニア州年齢適正デザインコード法と類似した法案が提出されるなど、子どものプライバシー保護に焦点を当てた立法が続くことも見込まれます。既に包括的な個人情報保護法が制定されている州については、実際の運用や当局の執行動向に注目する必要があります。
※1
UCPAの概要については、NO&T U.S. Law Update~米国最新法律情報~No.77/個人情報保護・データプライバシーニュースレターNo.17「ユタ州プライバシー法の成立」をご参照ください。
※2
CPRAによるCCPAの主な改正点については、個人情報保護・データプライバシーニュースレターNo.1「カリフォルニア州プライバシー権法(California Privacy Rights Act of 2020)」をご参照ください。
※4
米国連邦データプライバシー保護法案の概要についてはNO&T U.S. Law Update~米国最新法律情報~No.80/個人情報保護・データプライバシーニュースレターNo.19「連邦プライバシー法案の公表」をご参照ください。
※5
詳細は個人情報保護・データプライバシーニュースレターNo.14「EUと米国による個人データ越境移転に関する枠組みの基本合意」をご参照ください。
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
中翔平
(2024年9月)
森大樹、早川健(共著)
長谷川良和
(2024年9月)
箕輪俊介、中翔平(共著)