icon-angleicon-facebookicon-hatebuicon-instagramicon-lineicon-linked_inicon-pinteresticon-twittericon-youtubelogo-not
People 弁護士等紹介

多岐にわたる分野の専門的知識と実績を持つ弁護士が機動的にチームを組み、質の高いアドバイスや実務的サポートを行っています。

Publications 著書/論文

当事務所の弁護士等が執筆したニュースレター、論文・記事、書籍等のご紹介です。多様化・複雑化する法律や法改正の最新動向に関して、実務的な知識・経験や専門性を活かした情報発信を行っています。

Seminars 講演/セミナー

当事務所では、オンライン配信を含め、様々な形態でのセミナーの開催や講演活動を積極的に行っています。多岐にわたる分野・テーマの最新の企業法務の実務について解説しています。

Who We Are 事務所紹介

長島・大野・常松法律事務所は、国内外での豊富な経験・実績を有する日本有数の総合法律事務所です。 企業が直面する様々な法律問題に対処するため、複数の弁護士が協力して質の高いサービスを提供することを基本理念としています。

SCROLL
TOP
Publications 著書/論文
ニュースレター

ニュージャージー州データプライバシー法

NO&T U.S. Law Update 米国最新法律情報

NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター

※本ニュースレターは情報提供目的で作成されており、法的助言ではありませんのでご留意ください。また、本ニュースレターは発行日(作成日)時点の情報に基づいており、その時点後の情報は反映されておりません。特に、速報の場合には、その性格上、現状の解釈・慣行と異なる場合がありますので、ご留意ください。

はじめに

 2024年1月16日にニュージャージー州データプライバシー法(New Jersey Data Privacy Act、以下「NJDPA」といいます。)※1が制定され、2025年1月15日に施行されます。近年、米国では包括的な個人情報保護法を制定する州が相次いでおり、NJDPAは今年最初に制定された包括的な個人情報保護に関する州法です。全体として、NJDPAは他の州の個人情報保護法と同じ枠組みを採用していますが、企業が遵守すべき義務を確認する上で注意すべきいくつかの相違点があります。

 本ニュースレターでは、NJDPAの概要と、日本企業がNJDPAを遵守するための留意点について解説します。

NJDPAの概要

1. 適用範囲

(1) 適用される者の範囲

 NJDPAは、以下の①及び②を満たす者に適用されます。

  1. ニュージャージー州において事業を行っている又はニュージャージー州住民向けの製品若しくはサービスの提供を行っていること
  2. 1月1日から12月31日までの間に、(i)10万人以上の消費者の個人データ(支払取引を完了するためだけに処理される個人データを除く。)を支配(control)若しくは処理(process)※2していること、又は(ii)25,000人以上の消費者の個人データを支配若しくは処理し、その個人データの販売※3から収益を得る若しくは商品若しくはサービスの価格のディスカウントを受ける事業体であること※4
  3.  NJDPAでは、単独又は他者と共同して、個人データ処理の目的及び方法を決定している者を管理者(controller)と定義し、また、管理者の為に個人データを処理する者を処理者(processor)と定義していますが※5、上記①及び②の要件を満たす管理者のみがNJDPA上の管理者としての義務を行うことになります。

    (2) 消費者(consumer)の範囲

     NJDPAは、消費者について、個人又は世帯として活動しているニュージャージー州住民である者と定義しており、商業又は雇用の場面で活動している者は明示的に除外されています※6

    (3) 個人データ(personal data)の範囲

     NJDPAによって保護される個人データは、特定された又は特定可能な者と結合された又は合理的に結合可能な全ての情報を意味すると定義されています。そして、個人データは非特定化されたデータ(de-identified data)及び公開情報(publicly available information)を含まないとされています。ここでいう公開情報とは、①連邦政府、州政府、地方政府若しくは広く頒布されたメディアの記録を通じて適法に入手可能な情報、及び②消費者によって適法に一般大衆に入手可能な状態に置かれ特定の読者に限定したものではない情報であると信じるにつき管理者が合理的な根拠を有する情報を意味すると定義されています※7

    2. 消費者の権利

     NJDPAでは、消費者の権利として、主に管理者に対して以下の事項を要求できる権利が規定されています※8

    • 管理者が消費者の個人データを処理しているか否かを確認し、当該個人データへのアクセスを提供する(ただし、データのアクセスにおいて管理者の営業秘密にアクセスすることはできない。)
    • 個人データの情報の性質及び情報の処理目的を考慮した上で、個人データの不正確性を修正する
    • 消費者の個人データを削除する
    • データの移動が可能な形式で、かつ消費者による他の管理者へのデータの移転が障害なく可能となるよう、技術的に実務上可能な限り即時利用可能な形で、消費者が管理者に対して既に提供した個人データのコピーを提供する(ただし、このような移転において管理者の営業秘密が開示されることとなる場合に管理者にデータの提供を求めることはできない。)
    • ターゲティング広告、販売、プロファイリング及び消費者に関する法的又は類似的影響をもたらす行為のための個人データの処理からのオプトアウトを認める

    3. 管理者の義務

     NJDPAでは、管理者に対して、個人データに関して大要以下の義務を課しています※9

    • 消費者に対して、合理的にアクセス可能、明瞭かつ意味のある方法で、プライバシー・ノーティス(管理者が処理する個人データのカテゴリー、個人データを処理する目的、個人データを開示する第三者のカテゴリー、消費者の権利の行使方法、個人データを第三者と共有する場合は、当該個人データのカテゴリー、重要な変更を通知するプロセス、管理者への連絡用のメールアドレス等が記載されます。)を提供すること
    • 消費者の個人データの処理目的との関連性において、データ収集を適切かつ合理的に必要な限度に限定すること
    • 消費者の同意無く、消費者の個人データの処理目的に対して合理的に必要でなく、又は当個人データの処理目的と両立しない目的で個人データを処理しないこと
    • 個人データの機密性、完全性、及びアクセス可能性を保護するためのデータ・セキュリティ・プラクティスを確立して実施し、保管中及び使用中の個人データを不正取得から保護すること
    • 消費者の同意無く、消費者に関するセンシティブ・データ※10を処理しないこと、又は児童に関する個人データを処理する場合は児童オンラインプライバシー保護法(Children’s Online Privacy Protection Act)に従って当該データを処理すること
    • 消費者に対する違法な差別を禁じる連邦法又は州法に違反した態様での個人データの処理をしないこと
    • NJDPAに基づく消費者の同意を消費者が容易に撤回できる仕組みを設置し、当該同意が撤回された場合、15日以内かつ実務上可能な限り速やかにデータ処理を停止すること
    • 管理者が、消費者が13歳以上17歳未満であることを実際に知っている、若しくは故意に無視している場合、消費者の同意なしに、ターゲティング広告、販売、プロファイリング及び類似的影響をもたらす行為を目的として消費者の個人データを処理しないこと
    • 個人データの処理目的を明示すること
    • 消費者に危害を及ぼすリスクが高まるデータ処理に際してデータ保護アセスメントを実施し、文書化すること※11

    4. 処理者の義務

     NJDPAは、処理者による個人データの処理に関して、大要以下の義務を含む複数の義務を課しています※12

    • 管理者と以下の内容を含む契約を締結し、管理者の指示を遵守し、管理者がNJDPAに基づく義務を果たすために管理者を支援すること

      • 処理に関するインストラクション(処理の性質や目的を含む)
      • 処理の対象となる個人データの種類及び処理の期間
      • 管理者の指示に従い、処理者が受領した個人データを返還又は削除すること
      • 処理者が法令を遵守していることを示すために必要な情報を開示すること
      • 管理者による合理的なアセスメントと検査を受け入れ、それに協力すること
    • 個人データを処理する各人が、データに関して守秘義務を負うことを保証すること
    • 管理者と共にセキュリティを確保するための技術的・組織的措置を実施すること

    5. NJDPAに違反した場合の制裁

     NJDPAはニュージャージー州法務長官に執行権限を付与しています。NJDPAの施行日から18ヶ月の間は、管理者にNJDPAの違反があった場合、消費者局(Division of Consumer Affairs)から違反通知が出され、管理者に30日間の治癒期間が与えられます。なお、消費者の私的訴権は明示的に排除されています。

    NJDPAの留意点

    1. 適用対象事業者の範囲

     これまで制定された個人情報保護に関する他の州法においては、適用対象となる事業者について、個人情報の販売から一定の収益を得るか、又は総収益が一定の額以上である等の収益に関する条件を設けているものが多いですが、NJDPAではこのような収益に関する条件はありません。

     また、NJDPAは他州の個人情報保護法と比較して適応除外の範囲が狭くなっています。NJDPAには、医療保険の携行性と責任に関する法律(Health Insurance Portability and Accountability Act)、Gramm-Leach-Bliley法、公正信用報告法(Fair Credit Reporting Act)などの連邦法の適用を受ける場合にNJDPAの適用を受けないものとする規定は含まれている一方※13、家庭教育権とプライバシー法(Family Educational Rights and Privacy Act)の対象となる教育データの管理者や、NPO及び高等教育機関が処理するデータなど、他州の個人情報保護法においては比較的典型的な適用除外は含まれていません。

    2. データ保護アセスメント義務

     NJPDAは、上記で述べたとおり「消費者に危害を及ばすリスクが高まるデータ処理」を行う前に、管理者がデータ保護アセスメントを行うことを義務づけています。データ保護アセスメントは、個人データの処理による管理者、消費者、その他のステークホルダー及び公衆の利益と、リスクを減少するために管理者が採用するセーフガードによって緩和される、処理に関連する消費者の権利に対する潜在的なリスクを特定・衡量するものとされています。データ保護アセスメントは、消費者局の要求があった場合同局に開示するものとされています※14

    3. センシティブ・データ

     上記で述べたとおり、管理者は、消費者の同意無く、消費者に関するセンシティブ・データを処理しないものとされています。NJDPAに特徴的な点として、カリフォルニア州消費者プライバシー法(California Consumer Privacy Act)と同様、NJDPAは、消費者のアカウント番号、アカウントログイン番号、金融口座番号、又はクレジットカード番号若しくはデビットカード番号と、消費者の金融口座へのアクセスのために必要なセキュリティコード、アクセスコード、又はパスワードとの組み合わせを含む金融情報をセンシティブ・データとして扱っています。

    今後に向けて

     NJDPAは米国で13番目の包括的な個人情報保護に関する州法です。NJDPAの施行は2025年1月15日となっており、ニュージャージー州で事業を行っている、又はニュージャージー州住民向けに製品若しくはサービスを提供している事業者で一定数の個人データを取り扱う事業者は、それまでに、NJDPAの適用を受けることとなるかを分析し、適用を受ける場合にはNJDPA上の管理者又は処理者としての義務を遵守できるような体制を整える必要があります。連邦政府によるデータプライバシー法の導入が遅れている中、各州が独自の個人情報保護法を採用するケースが増えており、2024年にはさらに多くの州がこれを採用すると予想されます。米国で事業を展開する企業は、各州の立法動向を注視し、州の個人情報保護法の適用の有無を分析することが重要です。

    脚注一覧

    ※2
    個人データの収集、使用、保管、開示、分析、削除又は修正等の個人データに対する、手動又は自動的な方法による、作業又は一連の作業を意味します(NJDPA § 2)。

    ※3
    大要、管理者から第三者に対する、金銭その他の対価のための個人データの共有、開示又は移転を意味し、管理者のために個人データを処理する処理者への個人データの開示や、消費者から求められた製品又はサービスの提供のための第三者への個人情報の開示、管理者の関連会社への個人データの開示又は移転などは個人データの販売から除外されています。

    ※4
    NJDPA § 2

    ※5
    NJDPA § 1

    ※6
    同上

    ※7
    同上

    ※8
    NJDPA § 7

    ※9
    NJDPA § 3, 9

    ※10
    人種、民族、宗教的信条、精神又は身体の健康の状況、治療又は診断、金融情報(口座番号等)、遺伝子データ、児童から収集した個人データ、正確な位置情報などが含まれます。

    ※11
    当該リスクの高いデータ処理として、ターゲティング広告や一定のプロファイリングのための個人データの処理、個人データの販売、センシティブ・データの処理が含まれるとされています(NJDPA § 9(c))。

    ※12
    NJDPA § 13

    ※13
    NJDPA Preamble § 10

    ※14
    NJDPA § 9b.

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。


全文ダウンロード(PDF)

Legal Lounge
会員登録のご案内

ホットなトピックスやウェビナーのアーカイブはこちらよりご覧いただけます。
最新情報をリリースしましたらすぐにメールでお届けします。

会員登録はこちら

弁護士等

個人情報保護・プライバシーに関連する著書/論文

海外業務に関連する著書/論文

南北アメリカに関連する著書/論文

米国に関連する著書/論文

決定 業務分野を選択
決定