アイオワ州プライバシー法の成立

2. IDPAの概要

1. 適用範囲

(1) 適用される者の範囲

IDPAは、以下の①及び②を満たす者に適用されます※4。

• ① アイオワ州において事業を行っている又はアイオワ州住民向けの製品若しくはサービスの提供を行っていること
• ② 1月1日から12月31日までの間に、(i)10万人以上の消費者の個人データを支配（control）若しくは処理（process）※5していること、又は(ii)25,000人以上の消費者の個人データを支配若しくは処理しており総収入の50％超が個人データの販売（sale of personal data）※6によるものであること

IDPAでは、単独又は第三者と共同して、個人データの処理の目的及び方法を決定している者を管理者（controller）と定義し、また、管理者のために個人データを処理する者を処理者（processor）と定義し、それぞれ個人データの取り扱いに関して一定の義務を課していますが※7、上記①及び②の要件を満たした管理者及び処理者がIDPA上の義務を負うことになります。

(2) 消費者（consumer）の範囲

IDPAは、消費者（consumer）について、個人又は世帯として活動しているアイオワ州住民である自然人と定義しており、ビジネス又は雇用の場面で活動している自然人は明示的に除外されています※8。

(3) 個人データ（personal data）の範囲

IDPAによって保護される個人データ（personal data）は、特定された又は特定可能な自然人と結合された又は合理的に結合可能な全ての情報を意味すると定義されています。そして、個人データは匿名化されたデータ（de-identified data）、集合データ（aggregated data）※9及び公開情報（publicly available information）を含まないとされています。ここでいう公開情報とは、①連邦政府、州政府若しくは地方政府の記録を通じて適法に入手可能な情報、又は、②広く頒布されたメディア、消費者若しくは消費者から開示を受けた者（ただし、消費者が情報を特定の読者に制限した場合を除きます。）によって、一般大衆に適法に入手可能な状態に置かれた情報であると信じるにつき合理的な根拠を有する情報を意味すると定義されています※10。

2. 消費者の権利

　IDPAでは、消費者の権利として、主に、管理者に対して以下の事項を要求できる権利が規定されています※11。

• 管理者が消費者の個人データを処理しているか否かを確認し、当該個人データへのアクセスを提供する
• 消費者に関する提供された個人データを削除する
• （処理が自動的な方法により行われている場合）データの移動が可能な形式で、かつ消費者による他の管理者へのデータの移動が障害なく可能となるよう、技術的に実務上可能な限り即時利用可能な形で、消費者が管理者に対して既に提供した個人データのコピーを提供する
• 個人データの販売からのオプトアウトを認める

　消費者から上記権利を行使された場合、管理者は、原則として90日以内に対応する必要がありますが、消費者の請求の複雑さや数を考慮して、合理的に必要な場合には、1回に限り、さらに45日延長することが可能とされています※12。

3. 管理者の義務

　IDPAは、管理者に対して、個人データの取り扱いに関する以下の義務を課しています※13。

• 消費者に対して、合理的にアクセス可能かつ明瞭であり、消費者に配慮した方法で、プライバシー・ノーティス（管理者が処理する個人データのカテゴリー、個人データを処理する目的、消費者の権利の行使方法、個人データを第三者と共有する場合は、当該個人データ及び第三者のカテゴリーが記載されます。）を提供すること
• 消費者がIDPA上の権利を行使するための安全かつ信頼できる方法を確立すること
• 個人データの機密性、完全性及び可用性を保護するため、合理的な運営上、技術上及び物理上のデータ・セキュリティ・プラクティスを確立、実施及び維持すること
• 消費者への通知及びオプトアウトの機会の付与なく、センシティブ・データ※14を処理しないこと
• 消費者によるIDPA上の権利行使を理由とする差別をしてはならず、その他消費者に対する違法な差別を禁じる連邦法又は州法に違反した態様での個人データの処理をしないこと
• 個人データを販売又はターゲティング広告のために個人データを処理する場合、その旨及び消費者がオプトアウト権を行使する方法を分かりやすく開示すること

4. 処理者に関する義務

　IDPAは、処理者による個人データの処理に関する以下の義務を課しています※15。

• 処理者は、管理者が自らの義務を果たせるよう、処理の性質及び処理者が取得した情報の性質に鑑み、実務的に合理的な範囲で、適切な技術的及び組織的な措置を講じること
• 管理者及び処理者の間で以下の内容を処理者の義務として規定する契約を締結すること
  • 個人データを処理する各担当者が秘密保持義務を負うことを確保すること
  • 契約終了時に、管理者の指示に従い、処理者が受領した個人データを返還又は削除すること
  • 管理者が合理的に要請した場合、処理者が法令を遵守していることを示すために必要な情報を開示すること
  • 処理者がその業務を再委託する場合、書面による契約において再委託先に処理者と同様の義務を課すこと

5. IDPAに違反した場合の制裁

　アイオワ州法務長官は、IDPAに違反した管理者又は処理者に対して通知を行い、当該違反者が90日以内に違反を治癒しなければ、当該違反者に対する違反行為の差止め及び民事罰を求めて、提訴することができるとされています※16。民事罰は、違反1件につき最大7,500ドルとされ※17、アイオワ州法務長官は、弁護士費用を含む合理的な費用も請求できるとされています。なお、私的訴権については明示的に否定されています※18。

3. CCPA・VCDPA・CPA・UCPA・CTDPAとの比較

1. 適用範囲

　IDPAの適用要件には収入規模要件が含まれておらず、上記のとおり、①10万人以上の消費者の個人データを処理等しているか、又は②25,000人以上の消費者の個人情報を処理等しており総収入の50％超を個人データの販売から得ていることで足りるとされています。この要件は、VCDPA、CPA及びCTDPAと概ね同様となっていますが、②については個人データの販売から得る収入の割合等の点で各州に差があり、VCDPAは50％超、CPAは個人データの販売から収入を得る場合に加えて個人データの販売により管理者が物品又はサービスの割引を受けている場合も対象となる一方、総収入に占める割合の要件はなく、CTDPAは25%超となっています※19。次に、CCPAは、大要、③年間25百万ドル超の総収入がある、④10万人以上の消費者又は世帯の個人情報を販売等している、又は⑤総収入の50％以上を個人情報の販売又は共有から得ている、のいずれかの要件を満たせば事業者に該当するとし※20、UCPAは概ね、上記③に該当し、かつ、①又は②に該当する場合に適用対象となるとしています※21。なお、CCPAでは一定のグループ会社やジョイントベンチャー等についても適用対象に該当することがあります。

2. 保護される個人データ・個人情報の範囲

　保護される個人データ・個人情報の範囲については、6州の間で大きな差異はなく、特定の個人に関連付けが可能なあらゆる情報が含まれます。ただし、個人データ・個人情報から除外される情報については、州ごとに差があります。匿名化されたデータ（de-identified data）及び公開情報（publicly available information）が除外されるのは6州とも共通ですが、UCPA及びIDPAには集合データも除外される旨の明示的な規定があります※22。

　また、公開情報については各州によって定義に若干の差があり、VCDPA、CPA及びCTDPAは、①政府の記録により適法にアクセス可能な情報、又は②消費者により一般大衆に適法に公開されたと管理者が合理的に信じた情報としています※23。IDPAは、①については共通ですが、②について、(i)消費者に加えて、(ii)広く頒布されたメディア及び(iii)消費者から個人データの開示を受けた者（ただし、消費者が開示を特定の読者に限定した場合を除きます。）が一般大衆に公開した情報も公開情報に含むとしています※24。これはCCPA及びUCPAと非常に類似していますが、CCPA及びUCPAは、①のほか、②について(i)消費者に加えて、(ii)広く頒布されたメディアが一般大衆に公開した情報を含むとしつつ、ただ、(iii)消費者から個人データの開示を受けた者（ただし、消費者が開示を特定の読者に限定した場合を除きます。）から管理者が得た情報については、一般大衆に公開されていることが要件となっておらず、IDPAと若干異なる定め方をしています※25。

3. 消費者の権利の範囲及び権利行使への対応期限

　消費者の権利として一般的に州法で認められているものとして、開示請求権（right to access）、訂正権（right to correct）、削除権（right to delete）、ポータビリティ権（right to portability）、オプトアウト権（right to opt out）が挙げられます。CCPA、VCDPA、CPA及びCTDPAはこれらの権利を全て認めていますが、IDPA及びUCPAは訂正権を認めていません。また、オプトアウト権については、その対象に関して州ごとに差があります。VCDPA、CPA及びCTDPAは、個人データの販売、個人データを用いたプロファイリング、及び個人データのターゲティング広告への利用からのオプトアウト権を認めていますが※26、CCPA、UCPA及びIDPAは、このうち販売※27及びターゲティング広告についてのみ規定しています※28。

　上記の消費者の権利の比較からしますと、IDPA及びUCPAについては、訂正権及びプロファイリングからのオプトアウト権を認めていない点で、消費者の権利が限定的であるといえます。

　なお、IDPAを除く5州では、消費者の権利行使があった場合、原則として45日以内に対応し、一定の場合に45日延長できるという定めとなっていますが、IDPAにおいては、原則として90日、一定の場合に45日の延長が可能となっており、管理者により長い対応期間が与えられています※29。

4. センシティブ・データの処理

　センシティブ・データとは、一般的に、人種、民族、宗教、遺伝子情報等一定の特別な配慮を要する個人データを指し、管理者にはその処理等に関して通常よりも厳しい要件が課されますが、センシティブ・データの範囲については、6州の間で若干の差があります。人種、民族、宗教、健康、性的指向、国籍、遺伝子又は生体認証情報は共通して含まれていますが、位置情報（precise geolocation）についてはCPAにおけるセンシティブ・データには含まれません※30。また、CCPAは、他の5州よりも多くの情報をセンシティブ・データとして列挙しており、労働組合のメンバーであること、SSN、パスポート番号、パスワードと組み合わされたアカウント情報、郵便・Eメール・テキストの内容等が含まれます※31。他方、子供の個人データについては、VCDPA、CPA、CTDPA及びIDPAにおいて、知れている子供（known child）（すなわち、子供だと分かっている場合）から収集した個人データがセンシティブ・データに含まれています。

　センシティブ・データを処理等する場合※32、個人データの処理等により得られる利益と消費者の権利へのリスクを比較して行うデータ処理等に係る影響評価（risk assessment又はimpact assessment）を定期的に行うことが義務づけられることがあります。6州のうち、かかる影響評価を義務づけているのは、CCPA、VCDPA、CPA及びCTDPAの4州であり※33、UCPA及びIDPAには影響評価に関する定めはありません。

4. 今後に向けて

　IDPAは米国で6番目の包括的な個人情報保護に関する州法です。IDPAの施行は2025年1月1日となっており、アイオワ州で事業を行っている、又はアイオワ州住民向けに製品若しくはサービスを提供している事業者は、それまでにIDPA上の管理者又は処理者としての義務を遵守できるような体制を整える必要があります。他方で、近年米国連邦法としてのプライバシー保護法の立法に向けた議論が活発になってきており、現時点の草案によれば、当該連邦法が成立した場合には原則として州法に優先して適用されることとなっています※34。したがって、当該法律が成立した場合には管理者又は処理者が遵守すべき義務の内容にも影響が生じる可能性がありますので、連邦レベルでの立法についても注視する必要があります。