icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

個人情報保護・プライバシー 2023年の振り返りと2024年の展望 ~米国編~

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

 本ニュースレターでは、4回にわたり、日本、米国、欧州中国を含むアジアという各主要地域について、昨年の個人情報保護・データプライバシーに関する動き(法令改正・当局ガイダンス、当局による執行事例やデータインシデント、生成AIその他注目を集めたトピック)を振り返ると共に、本年の展望をご紹介しています。

1. 法令改正・当局ガイダンス

1. 州レベルでの包括的個人情報保護法

 近年、個人情報保護に関する州法の制定が相次いでいますが、その動きが益々活発になっています。2023年においては、過去最多の8つの州で包括的な個人情報保護法が制定され、更に2024年に入ってすぐにニュージャージー州においてニュージャージー州データプライバシー法(New Jersey Data Privacy Act)が制定されました。これまで制定された州レベルの包括的な個人情報保護法は以下の通りです。

法令 制定年 施行日
カリフォルニア州 California Consumer Privacy Act of 2018(CCPA) 2018年 2020年1月1日
カリフォルニア州 California Privacy Rights Act of 2020(CPRA) 2020年 2023年1月1日
バージニア州 Virginia Consumer Data Protection Act 2021年 2023年1月1日
コロラド州 Colorado Privacy Act 2021年 2023年7月1日
ユタ州 Utah Consumer Privacy Act 2022年 2023年12月31日
コネチカット州 Connecticut Data Privacy Act 2022年 2023年7月1日
オレゴン州 Oregon Consumer Privacy Act (OCPA) 2023年 2024年7月1日
モンタナ州 Montana Consumer Data Privacy Act 2023年 2024年10月1日
テキサス州 Texas Data Privacy and Security Act (TDPSA) 2023年 2024年7月1日
アイオワ州 Iowa Consumer Privacy Act 2023年 2025年1月1日
デラウェア州 The Delaware Personal Data Privacy Act 2023年 2025年1月1日
テネシー州 Tennessee Information Protection Act 2023年 2025年7月1日
インディアナ州 Indiana Consumer Data Protection Act 2023年 2025年7月1日
フロリダ州 The Florida Digital Bill of Rights 2023年 2024年7月1日
ニュージャージー州 New Jersey Data Privacy Act 2024年 2025年1月15日

*水色ハイライトは2023年以降制定された州法です。

 これらの州法はいずれも包括的な個人情報保護を定めるものであり、米国で初の包括的な個人情報保護に関する州法となったカリフォルニア州のCCPA・CPRAと類似している一方、適用対象となる者や保護される個人情報の範囲は州によって若干異なります。例えば、多くの州法では取り扱う個人情報の量や年間の売上高によって適用対象が決められるのに対して、テキサス州のTDPSAでは大要、テキサス州で事業を行い個人情報を取り扱う場合、米国の中小企業庁が定める「small business」の例外に該当しない限りTDPSAの適用があるものとされています※1。また、オレゴン州のOCPAは、センシティブデータの範囲に、トランスジェンダー又はノンバイナリーであること、犯罪の被害者であることを含め※2、広範な定義としています。なお、現在CCPA・CPRA以外のどの州の個人情報保護法でも、消費者に私的訴権は与えられていません。

2. 子供のデータ保護

 2023年には、子供のデータ保護を強化する動きも見られました。カリフォルニア州では2022年9月15日に年齢適正デザインコード法(California Age-Appropriate Design Code Act、以下「CAADCA」といいます。)が制定されました。CAADCAは、消費者の個人情報を取り扱い、子供がアクセスする可能性が高い製品、サービス、機能を提供する事業者に対し、プライバシーに関する情報を、アクセスする可能性が高い子供の年齢に適した明確な言葉を使用して提供する義務を課したり、子供のプロファイリングを原則として禁止したりするなど、子供のデータ保護を強化しています。カリフォルニア州に続き、2023年には、イリノイ州※3、ミネソタ州※4、ニュージャージー州※5などの州で子供のデータ保護に関する法案が議会に提出されましたが、いずれも成立には至っていません。また、CAADCAについては2024年7月1日に施行予定でしたが、オンライン事業者の業界団体が表現の自由を侵害し違憲であるとして提訴し、一審の裁判所は施行の差し止めを認めました。カリフォルニア州司法長官はこの判断に対して2023年10月に控訴し、現在は控訴審で審理が行われています。

 連邦レベルでも、2023年12月に、連邦取引委員会(FTC)は既存のChildren’s Online Privacy Protection Rule(児童オンラインプラバシー保護法(Children’s Online Privacy Protection Act)(COPPA)の施行規則)の改正案を発表しました。改正案においては、既存の規則にて要求されている子供の個人情報の収集等に対する同意に加えて、第三者への開示にも別途の親の同意を必要とするなど、子供のプライバシー保護を強化するものとなっています。

2. 当局による執行事例

1. FTCによる執行事例

 米国においては、FTCが、連邦取引委員会法(FTC法)に基づき、消費者プライバシー保護に関する法執行権限を積極的に行使する傾向が継続しています。2023年には、FTCは消費者プライバシー保護に関して8社を提訴しました。また、COPPA違反を理由としてFTCが摘発を行った件も複数あり、Microsoftが2,000万ドルの支払いに合意したほか、Amazonは2,500万ドルの支払いと、Alexaによって入手した子供の情報が18ヶ月以上更新されていない場合にこれを削除すること、自社のプライバシーポリシーの更新を子供であるユーザーの親に告知することに合意しました。加えて、FTC法における不公正又は詐欺的な行為の禁止に違反したことを理由に、データブローカーのX-Mode Socialに対して、正確な位置情報の販売やライセンス供与を全面的に禁じた事例もありました。

2. 州当局による執行

 2023年10月に、ニューヨーク州司法長官がニューヨーク州一般企業法(General Business Law)及び連邦法である医療保険の携行性と責任に関する法律(Health Insurance Portability and Accountability Act)違反を理由として在宅医療会社を調査していた件に関して、当該在宅医療会社は35万ドルの支払い及び会社の情報セキュリティプログラムの強化と従業員や患者の個人情報及び健康情報をより適切に保護するための強化措置を実施することに合意しました※6。また、不十分なデータセキュリティに起因する情報漏えいを起こした資金調達ソフトウェア会社のBlackbaudに対して、49州及びワシントンD.C.が摘発を行った結果、Blackbaudが合計4,950万ドルを支払い、データセキュリティの強化、外部機関によるコンプライアンス評価の実施等に合意した事例もありました※7

 すでに個人情報保護法を施行した州は、各州法の執行を強化することが予想されます。カリフォルニア州は、2023年にCCPA・CPRAの執行担当人員を増員し、活発に摘発を行っており※8、今後も州による法執行は増加するものと考えられます。

3. 注目を集めたトピック

1. AIに関する米国大統領令

 2023年10月に米国のバイデン大統領は、「AIの安全、安心、信頼できる開発と利用に関する大統領令」(Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence、以下「AI大統領令」といいます。)を交布しました※9。AI大統領令は、安全かつ責任あるAIの開発と利用を促進する目的の下、連邦政府機関に対してのみ法的拘束力を有するものですが、今後、関係省庁においてAI大統領令に従った措置が講じられることによって、AIの開発者及び利用者に重大な影響を及ぼすことが想定されます※10

 プライバシーの保護に関しては、連邦政府がプライバシー拡大技術(Privacy Enhancing Technology)の開発などを支援することが強調され、主に政府におけるAIの利用に伴うプライバシーリスクの軽減措置をとることが求められています。

 また、AI大統領令では、生成 AIが作成したコンテンツの識別能力を高めるためにデジタルコンテンツ認証(digital content authentication)及び生成コンテンツのラベリング等に関するガイダンスを策定することを関係省庁に求めています。加えて、生成 AIについて、差別的あるいは誤解を招くような出力結果に対するテストと保護措置をとることに関するガイダンスなど、連邦政府による生成AIの利用について一定のガイダンスを作成することが規定されています。

2. EUから米国への個人データの移転

 EUから米国に個人データを移転させるために米国が設けたEU-U.S. Privacy Shieldが、2020年に欧州司法裁判所により無効と判断された後、2022年10月7日に米国の信号諜報活動に対する保護措置を強化する大統領令(Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities)が発せられました。2023年7月10日に欧州委員会は、当該大統領令に基づく枠組みに関する十分性認定を採択し、新たにEU-U.S. Data Privacy Framework(「DPF」)が設けられました※11。これにより、DPFの下で自己認証を行った米国企業に対しては、GDPRの適用を受ける個人データを、他の移転方法(GDPRに基づく標準契約条項(SCC)又は拘束力のある企業規則など)に拠らずに移転することが可能となりました※12。SCCに拠らずに個人データを移転できるため、DPFに参加する事業者に個人データを移転する企業は、SCCに依拠した個人データの移転の際に必要とされていた移転影響評価(transfer impact assessment)を実施する必要がなくなりました。

 2020年のEU-U.S. Privacy ShieldとDPFの主な違いは透明性の重視です。DPFの加入条件として、参加企業は自社のプライバシーポリシーと第三者サービスプロバイダーとの契約を公開することが義務づけられます。さらに、参加企業はデータ主体と米国企業との間の紛争に関する仲裁プロセスをプライバシーポリシーに規定する必要があります。DPFは、個人データがEUから米国に移転される際に、データ主体に対してより大きな保護と透明性を提供するものですが、EU-U.S. Privacy Shieldと同様に、DPFが欧州司法裁判所における司法判断に服する可能性は否定できません。

4. 2024年の展望

1. 連邦プライバシー法

 2022年6月3日に公表された米国連邦データプライバシー保護案(American Data Privacy and Protection Act)に関する審議は延期され、今期の第118連邦議会はデータ保護とAmerican Data Privacy and Protection Actを最優先事項と発表したものの、現状それ以上の動きは無く、法案成立への期待は低い状況といえます。これを踏まえると、2023年と同様、州による個人情報保護法の制定が引き続き増加するものと考えられます。

2. FTCによるデータ管理法の強化

 FTCは2023年10月27日にGramm Leach Bliley法のセーフガードルールの追加改正を最終決定し、2024年5月に当該改正が施行されます。この改正により、対象となる非銀行金融機関(自動車ディーラー、住宅ローンブローカー、クレジットカードを発行する小売業者などを含む「non-banking financial institution」)は、「notification event」(暗号化されていない顧客情報が不正に取得され、少なくとも500人の顧客に影響を与えるもの)を発見後30日以内にFTCに報告することが義務づけられます※13

脚注一覧

※1
TDPSA Section 541.002(a)

※2
OCPA Section 1(18)

※8
カリフォルニア州司法省のウェブサイトでは、プライバシー法関連の執行例が開示されています。https://oag.ca.gov/privacy/privacy-enforcement-actions

※10
詳細については、テクノロジー法ニュースレターNo.43・米国最新法律情報No.105(「AIに関する米国大統領令の公表と日本企業への影響」)をご参照ください。https://www.noandt.com/publications/publication20231122-1/

※12
詳細については、個人情報保護・データプライバシーニュースレターNo.34・米国最新法律情報No.96・欧州最新法律情報No.23(「EUから米国への個人データ越境移転枠組み(EU-U.S. Data Privacy Framework)に対する十分性認定」)をご参照ください。https://www.noandt.com/publications/publication20230818-1/

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

海外業務に関連する著書/論文

南北アメリカに関連する著書/論文

米国に関連する著書/論文

決定 業務分野を選択
決定