個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ～米国編～

1. 法令改正・当局ガイダンス

1. 州レベルでの包括的個人情報保護法

　近年、個人情報保護に関する州法の制定が相次いでいますが、その動きが益々活発になっています。2023年においては、過去最多の8つの州で包括的な個人情報保護法が制定され、更に2024年に入ってすぐにニュージャージー州においてニュージャージー州データプライバシー法（New Jersey Data Privacy Act）が制定されました。これまで制定された州レベルの包括的な個人情報保護法は以下の通りです。

＊水色ハイライトは2023年以降制定された州法です。

　これらの州法はいずれも包括的な個人情報保護を定めるものであり、米国で初の包括的な個人情報保護に関する州法となったカリフォルニア州のCCPA・CPRAと類似している一方、適用対象となる者や保護される個人情報の範囲は州によって若干異なります。例えば、多くの州法では取り扱う個人情報の量や年間の売上高によって適用対象が決められるのに対して、テキサス州のTDPSAでは大要、テキサス州で事業を行い個人情報を取り扱う場合、米国の中小企業庁が定める「small business」の例外に該当しない限りTDPSAの適用があるものとされています※1。また、オレゴン州のOCPAは、センシティブデータの範囲に、トランスジェンダー又はノンバイナリーであること、犯罪の被害者であることを含め※2、広範な定義としています。なお、現在CCPA・CPRA以外のどの州の個人情報保護法でも、消費者に私的訴権は与えられていません。

2. 子供のデータ保護

　2023年には、子供のデータ保護を強化する動きも見られました。カリフォルニア州では2022年9月15日に年齢適正デザインコード法（California Age-Appropriate Design Code Act、以下「CAADCA」といいます。）が制定されました。CAADCAは、消費者の個人情報を取り扱い、子供がアクセスする可能性が高い製品、サービス、機能を提供する事業者に対し、プライバシーに関する情報を、アクセスする可能性が高い子供の年齢に適した明確な言葉を使用して提供する義務を課したり、子供のプロファイリングを原則として禁止したりするなど、子供のデータ保護を強化しています。カリフォルニア州に続き、2023年には、イリノイ州※3、ミネソタ州※4、ニュージャージー州※5などの州で子供のデータ保護に関する法案が議会に提出されましたが、いずれも成立には至っていません。また、CAADCAについては2024年7月1日に施行予定でしたが、オンライン事業者の業界団体が表現の自由を侵害し違憲であるとして提訴し、一審の裁判所は施行の差し止めを認めました。カリフォルニア州司法長官はこの判断に対して2023年10月に控訴し、現在は控訴審で審理が行われています。

　連邦レベルでも、2023年12月に、連邦取引委員会（FTC）は既存のChildren’s Online Privacy Protection Rule（児童オンラインプラバシー保護法（Children’s Online Privacy Protection Act）（COPPA）の施行規則）の改正案を発表しました。改正案においては、既存の規則にて要求されている子供の個人情報の収集等に対する同意に加えて、第三者への開示にも別途の親の同意を必要とするなど、子供のプライバシー保護を強化するものとなっています。

2. 当局による執行事例

1. FTCによる執行事例

　米国においては、FTCが、連邦取引委員会法（FTC法）に基づき、消費者プライバシー保護に関する法執行権限を積極的に行使する傾向が継続しています。2023年には、FTCは消費者プライバシー保護に関して8社を提訴しました。また、COPPA違反を理由としてFTCが摘発を行った件も複数あり、Microsoftが2,000万ドルの支払いに合意したほか、Amazonは2,500万ドルの支払いと、Alexaによって入手した子供の情報が18ヶ月以上更新されていない場合にこれを削除すること、自社のプライバシーポリシーの更新を子供であるユーザーの親に告知することに合意しました。加えて、FTC法における不公正又は詐欺的な行為の禁止に違反したことを理由に、データブローカーのX-Mode Socialに対して、正確な位置情報の販売やライセンス供与を全面的に禁じた事例もありました。

2. 州当局による執行

　2023年10月に、ニューヨーク州司法長官がニューヨーク州一般企業法（General Business Law）及び連邦法である医療保険の携行性と責任に関する法律（Health Insurance Portability and Accountability Act）違反を理由として在宅医療会社を調査していた件に関して、当該在宅医療会社は35万ドルの支払い及び会社の情報セキュリティプログラムの強化と従業員や患者の個人情報及び健康情報をより適切に保護するための強化措置を実施することに合意しました※6。また、不十分なデータセキュリティに起因する情報漏えいを起こした資金調達ソフトウェア会社のBlackbaudに対して、49州及びワシントンD.C.が摘発を行った結果、Blackbaudが合計4,950万ドルを支払い、データセキュリティの強化、外部機関によるコンプライアンス評価の実施等に合意した事例もありました※7。

　すでに個人情報保護法を施行した州は、各州法の執行を強化することが予想されます。カリフォルニア州は、2023年にCCPA・CPRAの執行担当人員を増員し、活発に摘発を行っており※8、今後も州による法執行は増加するものと考えられます。

3. 注目を集めたトピック

1. AIに関する米国大統領令

　2023年10月に米国のバイデン大統領は、「AIの安全、安心、信頼できる開発と利用に関する大統領令」（Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence、以下「AI大統領令」といいます。）を交布しました※9。AI大統領令は、安全かつ責任あるAIの開発と利用を促進する目的の下、連邦政府機関に対してのみ法的拘束力を有するものですが、今後、関係省庁においてAI大統領令に従った措置が講じられることによって、AIの開発者及び利用者に重大な影響を及ぼすことが想定されます※10。

　プライバシーの保護に関しては、連邦政府がプライバシー拡大技術（Privacy Enhancing Technology）の開発などを支援することが強調され、主に政府におけるAIの利用に伴うプライバシーリスクの軽減措置をとることが求められています。

　また、AI大統領令では、生成 AIが作成したコンテンツの識別能力を高めるためにデジタルコンテンツ認証（digital content authentication）及び生成コンテンツのラベリング等に関するガイダンスを策定することを関係省庁に求めています。加えて、生成 AIについて、差別的あるいは誤解を招くような出力結果に対するテストと保護措置をとることに関するガイダンスなど、連邦政府による生成AIの利用について一定のガイダンスを作成することが規定されています。

2. EUから米国への個人データの移転

　EUから米国に個人データを移転させるために米国が設けたEU-U.S. Privacy Shieldが、2020年に欧州司法裁判所により無効と判断された後、2022年10月7日に米国の信号諜報活動に対する保護措置を強化する大統領令（Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities）が発せられました。2023年7月10日に欧州委員会は、当該大統領令に基づく枠組みに関する十分性認定を採択し、新たにEU-U.S. Data Privacy Framework（「DPF」）が設けられました※11。これにより、DPFの下で自己認証を行った米国企業に対しては、GDPRの適用を受ける個人データを、他の移転方法（GDPRに基づく標準契約条項（SCC）又は拘束力のある企業規則など）に拠らずに移転することが可能となりました※12。SCCに拠らずに個人データを移転できるため、DPFに参加する事業者に個人データを移転する企業は、SCCに依拠した個人データの移転の際に必要とされていた移転影響評価（transfer impact assessment）を実施する必要がなくなりました。

　2020年のEU-U.S. Privacy ShieldとDPFの主な違いは透明性の重視です。DPFの加入条件として、参加企業は自社のプライバシーポリシーと第三者サービスプロバイダーとの契約を公開することが義務づけられます。さらに、参加企業はデータ主体と米国企業との間の紛争に関する仲裁プロセスをプライバシーポリシーに規定する必要があります。DPFは、個人データがEUから米国に移転される際に、データ主体に対してより大きな保護と透明性を提供するものですが、EU-U.S. Privacy Shieldと同様に、DPFが欧州司法裁判所における司法判断に服する可能性は否定できません。

4. 2024年の展望

1. 連邦プライバシー法

　2022年6月3日に公表された米国連邦データプライバシー保護案（American Data Privacy and Protection Act）に関する審議は延期され、今期の第118連邦議会はデータ保護とAmerican Data Privacy and Protection Actを最優先事項と発表したものの、現状それ以上の動きは無く、法案成立への期待は低い状況といえます。これを踏まえると、2023年と同様、州による個人情報保護法の制定が引き続き増加するものと考えられます。

2. FTCによるデータ管理法の強化

　FTCは2023年10月27日にGramm Leach Bliley法のセーフガードルールの追加改正を最終決定し、2024年5月に当該改正が施行されます。この改正により、対象となる非銀行金融機関（自動車ディーラー、住宅ローンブローカー、クレジットカードを発行する小売業者などを含む「non-banking financial institution」）は、「notification event」（暗号化されていない顧客情報が不正に取得され、少なくとも500人の顧客に影響を与えるもの）を発見後30日以内にFTCに報告することが義務づけられます※13。