逵本麻佑子 Mayuko Tsujimoto
パートナー(NO&T NY LLP)
ニューヨーク
NO&T U.S. Law Update 米国最新法律情報
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
2024年1月16日にニュージャージー州データプライバシー法(New Jersey Data Privacy Act、以下「NJDPA」といいます。)※1が制定され、2025年1月15日に施行されます。近年、米国では包括的な個人情報保護法を制定する州が相次いでおり、NJDPAは今年最初に制定された包括的な個人情報保護に関する州法です。全体として、NJDPAは他の州の個人情報保護法と同じ枠組みを採用していますが、企業が遵守すべき義務を確認する上で注意すべきいくつかの相違点があります。
本ニュースレターでは、NJDPAの概要と、日本企業がNJDPAを遵守するための留意点について解説します。
NJDPAは、以下の①及び②を満たす者に適用されます。
NJDPAでは、単独又は他者と共同して、個人データ処理の目的及び方法を決定している者を管理者(controller)と定義し、また、管理者の為に個人データを処理する者を処理者(processor)と定義していますが※5、上記①及び②の要件を満たす管理者のみがNJDPA上の管理者としての義務を行うことになります。
NJDPAは、消費者について、個人又は世帯として活動しているニュージャージー州住民である者と定義しており、商業又は雇用の場面で活動している者は明示的に除外されています※6。
NJDPAによって保護される個人データは、特定された又は特定可能な者と結合された又は合理的に結合可能な全ての情報を意味すると定義されています。そして、個人データは非特定化されたデータ(de-identified data)及び公開情報(publicly available information)を含まないとされています。ここでいう公開情報とは、①連邦政府、州政府、地方政府若しくは広く頒布されたメディアの記録を通じて適法に入手可能な情報、及び②消費者によって適法に一般大衆に入手可能な状態に置かれ特定の読者に限定したものではない情報であると信じるにつき管理者が合理的な根拠を有する情報を意味すると定義されています※7。
NJDPAでは、消費者の権利として、主に管理者に対して以下の事項を要求できる権利が規定されています※8。
NJDPAでは、管理者に対して、個人データに関して大要以下の義務を課しています※9。
NJDPAは、処理者による個人データの処理に関して、大要以下の義務を含む複数の義務を課しています※12。
NJDPAはニュージャージー州法務長官に執行権限を付与しています。NJDPAの施行日から18ヶ月の間は、管理者にNJDPAの違反があった場合、消費者局(Division of Consumer Affairs)から違反通知が出され、管理者に30日間の治癒期間が与えられます。なお、消費者の私的訴権は明示的に排除されています。
これまで制定された個人情報保護に関する他の州法においては、適用対象となる事業者について、個人情報の販売から一定の収益を得るか、又は総収益が一定の額以上である等の収益に関する条件を設けているものが多いですが、NJDPAではこのような収益に関する条件はありません。
また、NJDPAは他州の個人情報保護法と比較して適応除外の範囲が狭くなっています。NJDPAには、医療保険の携行性と責任に関する法律(Health Insurance Portability and Accountability Act)、Gramm-Leach-Bliley法、公正信用報告法(Fair Credit Reporting Act)などの連邦法の適用を受ける場合にNJDPAの適用を受けないものとする規定は含まれている一方※13、家庭教育権とプライバシー法(Family Educational Rights and Privacy Act)の対象となる教育データの管理者や、NPO及び高等教育機関が処理するデータなど、他州の個人情報保護法においては比較的典型的な適用除外は含まれていません。
NJPDAは、上記で述べたとおり「消費者に危害を及ばすリスクが高まるデータ処理」を行う前に、管理者がデータ保護アセスメントを行うことを義務づけています。データ保護アセスメントは、個人データの処理による管理者、消費者、その他のステークホルダー及び公衆の利益と、リスクを減少するために管理者が採用するセーフガードによって緩和される、処理に関連する消費者の権利に対する潜在的なリスクを特定・衡量するものとされています。データ保護アセスメントは、消費者局の要求があった場合同局に開示するものとされています※14。
上記で述べたとおり、管理者は、消費者の同意無く、消費者に関するセンシティブ・データを処理しないものとされています。NJDPAに特徴的な点として、カリフォルニア州消費者プライバシー法(California Consumer Privacy Act)と同様、NJDPAは、消費者のアカウント番号、アカウントログイン番号、金融口座番号、又はクレジットカード番号若しくはデビットカード番号と、消費者の金融口座へのアクセスのために必要なセキュリティコード、アクセスコード、又はパスワードとの組み合わせを含む金融情報をセンシティブ・データとして扱っています。
NJDPAは米国で13番目の包括的な個人情報保護に関する州法です。NJDPAの施行は2025年1月15日となっており、ニュージャージー州で事業を行っている、又はニュージャージー州住民向けに製品若しくはサービスを提供している事業者で一定数の個人データを取り扱う事業者は、それまでに、NJDPAの適用を受けることとなるかを分析し、適用を受ける場合にはNJDPA上の管理者又は処理者としての義務を遵守できるような体制を整える必要があります。連邦政府によるデータプライバシー法の導入が遅れている中、各州が独自の個人情報保護法を採用するケースが増えており、2024年にはさらに多くの州がこれを採用すると予想されます。米国で事業を展開する企業は、各州の立法動向を注視し、州の個人情報保護法の適用の有無を分析することが重要です。
※2
個人データの収集、使用、保管、開示、分析、削除又は修正等の個人データに対する、手動又は自動的な方法による、作業又は一連の作業を意味します(NJDPA § 2)。
※3
大要、管理者から第三者に対する、金銭その他の対価のための個人データの共有、開示又は移転を意味し、管理者のために個人データを処理する処理者への個人データの開示や、消費者から求められた製品又はサービスの提供のための第三者への個人情報の開示、管理者の関連会社への個人データの開示又は移転などは個人データの販売から除外されています。
※4
NJDPA § 2
※5
NJDPA § 1
※6
同上
※7
同上
※8
NJDPA § 7
※9
NJDPA § 3, 9
※10
人種、民族、宗教的信条、精神又は身体の健康の状況、治療又は診断、金融情報(口座番号等)、遺伝子データ、児童から収集した個人データ、正確な位置情報などが含まれます。
※11
当該リスクの高いデータ処理として、ターゲティング広告や一定のプロファイリングのための個人データの処理、個人データの販売、センシティブ・データの処理が含まれるとされています(NJDPA § 9(c))。
※12
NJDPA § 13
※13
NJDPA Preamble § 10
※14
NJDPA § 9b.
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
(2025年4月)
関口朋宏(共著)
殿村桂司、松﨑由晃(共著)
逵本麻佑子、内海裕也、木原慧人アンドリュー(共著)
(2025年3月)
関口朋宏(共著)
(2025年4月)
関口朋宏(共著)
殿村桂司、松﨑由晃(共著)
大久保涼、伊佐次亮介、小山田柚香(共著)
服部薫、塚本宏達、近藤亮作(共著)
殿村桂司、松﨑由晃(共著)
大久保涼、伊佐次亮介、小山田柚香(共著)
服部薫、塚本宏達、近藤亮作(共著)
(2025年4月)
伊佐次亮介
殿村桂司、松﨑由晃(共著)
大久保涼、伊佐次亮介、小山田柚香(共著)
服部薫、塚本宏達、近藤亮作(共著)
(2025年4月)
伊佐次亮介
