逵本麻佑子 Mayuko Tsujimoto
パートナー(NO&T NY LLP)
ニューヨーク
NO&T Data Protection Legal Update 個人情報保護・データプライバシーニュースレター
本ニュースレターでは、5回にわけて国・地域別に同テーマをご紹介していますので、以下もご参照ください。
No.50(2025年1月)「個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ~日本編~」
No.52(2025年1月)「個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ~欧州編~」
No.53(2025年2月)「個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ~東南アジア・インド編~」
No.54(2025年2月)「個人情報保護・プライバシー 2024年の振り返りと2025年の展望 ~東アジア編~」
本ニュースレターでは、5回にわたり、日本、米国、欧州、東南アジア・インド、東アジアという各主要地域について、昨年の個人情報保護・データプライバシーに関する動き(法令改正・当局ガイダンス、当局による執行事例、生成AIやクラウドサービスその他注目を集めたトピック)を振り返ると共に、本年の展望をご紹介しています。
2024年も州レベルでの包括的な個人情報保護法の制定が相次ぎ行われました。2024年に7つの州が包括的な個人情報保護法を新たに制定したことにより、現在米国で包括的な個人情報保護法が制定されている州は20州に上ります。また、バイオメトリック情報及び健康データを対象とした限定的な個人情報保護法の法案が提出された州も見られます。これまで制定された州レベルの包括的な個人情報保護法は以下のとおりです。
| 州 | 法令 | 制定年 | 施行日 |
|---|---|---|---|
| カリフォルニア州 | California Consumer Privacy Act of 2018(CCPA) | 2018年 | 2020年1月1日 |
| カリフォルニア州 | California Privacy Rights Act of 2020 (CPRA) | 2020年 | 2023年1月1日 |
| バージニア州 | Virginia Consumer Data Protection Act | 2021年 | 2023年1月1日 |
| コロラド州 | Colorado Privacy Act | 2021年 | 2023年7月1日 |
| ユタ州 | Utah Consumer Privacy Act | 2022年 | 2023年12月31日 |
| コネチカット州 | Connecticut Data Privacy Act | 2022年 | 2023年7月1日 |
| オレゴン州 | Oregon Consumer Privacy Act (OCPA) | 2023年 | 2024年7月1日 |
| モンタナ州 | Montana Consumer Data Privacy Act | 2023年 | 2024年10月1日 |
| テキサス州 | Texas Data Privacy and Security Act (TDPSA) | 2023年 | 2024年7月1日 |
| アイオワ州 | Iowa Consumer Privacy Act | 2023年 | 2025年1月1日 |
| デラウェア州 | The Delaware Personal Data Privacy Act | 2023年 | 2025年1月1日 |
| テネシー州 | Tennessee Information Protection Act | 2023年 | 2025年7月1日 |
| インディアナ州 | Indiana Consumer Data Protection Act | 2023年 | 2026年1月1日 |
| フロリダ州 | The Florida Digital Bill of Rights | 2023年 | 2024年7月1日 |
| ニュージャージー州 | New Jersey Data Privacy Act | 2024年 | 2025年1月15日 |
| ニューハンプシャー州 | New Hampshire Senate Bill 255 | 2024年 | 2025年1月1日 |
| ケンタッキー州 | Kentucky Consumer Data Protection Act | 2024年 | 2026年1月1日 |
| ネブラスカ州 | Nebraska Data Privacy Act | 2024年 | 2025年1月1日 |
| メリーランド州 | Maryland Online Data Privacy Act | 2024年 | 2025年10月1日 |
| ミネソタ州 | Minnesota Consumer Data Privacy Act | 2024年 | 2025年7月31日 |
| ロードアイランド州 | Rhode Island Data Transparency and Privacy Protection Act | 2024年 | 2026年1月1日 |
*水色ハイライトは2024年以降制定された州法です。
2024年に新たに導入された州レベルでの包括的な個人情報保護法は、これまでに他の州で制定された個人情報保護法の内容を概ね踏襲するものとなっています。他の州の個人情報保護法と比較して特徴的な点としては、ネブラスカ州の個人情報保護法では、ネブラスカ州で事業を行うあるいはネブラスカ州民によって消費される製品又はサービスを提供している事業体を広く適用対象としつつ、連邦のSmall Business Act上のsmall businessは適用対象外としていること(テキサス州のTexas Data Privacy and Security Act (以下、「TDPSA」といいます。)と同様の規制)、また、ロードアイランド州の個人情報保護法では、一定数のロードアイランド州民の個人情報を処理するという一般的な適用要件の他に、インターネットサービスプロバイダ及び商用ウェブサイトに関して別途の適用要件及び義務を設けている点があります。なお、2024年に新たに導入された州レベルでの個人情報保護法において、消費者に私的訴権を付与するものはありません。
米国においては、連邦取引委員会(Federal Trade Commission、以下「FTC」といいます。)が、連邦取引委員会法(FTC法)に基づき、消費者のプライバシー保護に関する法執行権限を積極的に行使する傾向が継続しています。FTCは、2024年に、データブローカー企業による正確な位置情報の違法な収集、販売、使用の疑いに関して、4件の和解を行い、現在1件の訴訟を継続中です※1。
さらに、FTC及び司法省は、消費者の明示的な同意なく広告目的で健康情報の収集と販売を行った事例や、児童オンラインプライバシー保護法(Children’s Online Privacy Protection Act (COPPA))違反の事例を積極的に摘発しています。前者の例として、FTCは、オンラインカウンセリングサービスを提供するCerebralが、消費者の同意を得ることなく、健康情報を含む個人情報を第三者の広告事業者に提供していたとして、FTC法及びHealth Breach Notification Rule違反に基づいて摘発を行いました※2。また、後者の例として、司法省は、ショート動画の共有SNSアプリであるTikTokにおいて、13歳未満の児童が年齢制限を回避してアカウントを作成できる状態にし、さらに保護者の同意なく児童の個人情報を収集していたこと等を理由に、TikTok及びその親会社であるByteDanceを提訴しました※3。
データ漏洩に関する執行事例としては、FTCは、Marriott及びその子会社との間で、不適切な情報セキュリティシステムが原因で2014年から2018年にかけてデータ漏洩が複数回発生したとして、各顧客に対して個人情報の削除を要請する機会を与えること等を合意しました※4。また、Marriottらは、州の消費者保護法及び個人情報保護法等の違反に関して、49州及びワシントンD.C.に合計5,200万ドルの和解金を支払うことを合意しました※5。
テキサス州では2024年7月にTDPSAが発効し、プライバシー関連法の執行が強化されています。2024年6月、テキサス州司法長官は、プライバシー関連法の積極的な執行のためのチームを立ち上げ※6、また、データブローカーの登録を義務付けるテキサス州データブローカー法(Texas Data Broker Law)に基づく登録を怠っていることを指摘する書簡を100社以上に対して送付しました※7。また、テキサス州司法長官は、Facebookにアップロードされた全ての写真について顔認識ソフトウェアをユーザーの同意なく使用し、顔の形状の記録を取得していたことがテキサス州バイオメトリック情報収集・使用法(Texas Capture Or Use Of Biometric Identifier Act)に違反するとして、2022年にMetaを提訴していましたが、当該訴訟に関して、Metaは、2024年7月、単独の州のプライバシー法関連訴訟の和解額としては史上最高額の14億ドルを支払うことに合意しました※8。この他にも、テキサス州司法長官は、運転データを違法に収集・販売していたとしてGeneral Motorsを2024年8月に提訴し※9、また、児童のプライバシーを脅かす方法でプラットフォームを運営しているとして2024年10月にTikTokを提訴しました※10。
カリフォルニア州は、DoorDashがマーケティング協同組合への参加に際して、消費者に対して通知やオプトアウトの機会の提供を行うことなく、協同組合の他のメンバーに対して消費者の個人情報を提供していた行為がCCPA及びカリフォルニア州オンラインプライバシー保護法(California Online Privacy Protection Act(CalOPPA))に違反するとして、同社を提訴し、2024年2月にDoorDashが37万5,000ドルを支払うことで和解に至りました。この和解はCCPAに基づく和解としては2例目となります※11。
その他の州では、不十分なデータセキュリティに起因する情報漏洩を起こしたバイオテック会社のEnzo Biochemに対して、ニューヨーク州、コネチカット州及びニュージャージー州が摘発を行った結果、Enzo Biochemが合計450万ドルを支払い、データセキュリティの強化に合意した事例もありました※12。
近年、AIに関する規制を求める声が高まっており、特に、ユーザーの個人情報が、明示的な同意なく、また情報が収集されている本人の認識なしに、AI開発のために収集・利用されることが懸念されています。また、AIによる決定は、意思決定に用いられたデータに内在するバイアスを反映している可能性があり、年齢、性別、人種等に基づく差別への懸念も指摘されています。
2024年末時点で、連邦レベルではAIを包括的に規制する法律は存在しませんが、州レベルでは一部の州でAIを規制する法律制定の動きがありました。2024年5月、コロラド州は全米で初めて包括的なAI規制法(Colorado Artificial Intelligence Act)を制定し、リスクの高いAIシステムの開発者及び導入者に対して、アルゴリズムによる差別を避けるための合理的な注意義務を課しました※13。カリフォルニア州では、プライバシーや透明性、選挙関連規制との関係でAI規制を行う法律が複数成立した一方で、州議会がAIモデルの開発者らに安全プロトコルの実装等を義務づけるAI安全法案(Safe and Secure Innovation for Frontier Artificial Intelligence Models Act)を可決したものの、ニューサム州知事が拒否権を行使し法案成立には至りませんでした。
2024年4月7日に超党派により新たな米国連邦データプライバシー保護法案(The American Privacy Rights Act)が公表されましたが、その後同法案について特に進展はなく、前身の法案(American Data Privacy and Protection Act)と同様に法案成立への期待は低い状況が続いています※14。他方で、2024年と同様、2025年も、州による個人情報保護法の制定や改正の動きは引き続き継続するものと見込まれます。
FTCによる規則制定や執行権限の拡大に積極的であったリナ・カーン氏がFTC委員長から退任予定であり、トランプ大統領は次期委員長としてアンドリュー・ファーガソン委員を指名すると発表しています。もっとも、第一次トランプ政権下でFTCは、4年間に多くのプライバシー法関連の訴訟を提起しており、FacebookやEquifaxに対する高額の制裁金事例等、プライバシー法の執行を積極的に行っていたことから、第二次政権の下でもFTCは引き続きプライバシー・データセキュリティ分野に高い関心を有するものと思われます。他方で、トランプ大統領は、バイデン前大統領が出したAI大統領令(The Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence)を大統領就任後直ちに破棄する予定であると発言する等、AI規制に関しては慎重な立場をとっており、FTCをはじめとした執行機関への影響も注視する必要があります。
州レベルでは、上記のとおり各州の司法長官はプライバシー関連法の執行に積極的な姿勢を示しており、今後、包括的個人情報保護法の制定が進むことに伴い、各州でのプライバシー関連法の執行がより活発化することが予想されます。
※5
同上
本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。
川合正倫、鹿はせる、艾蘇(共著)
長谷川良和、今野由紀子(共著)
森大樹、早川健、関口朋宏、灘本宥也(共著)
(2025年1月)
澤山啓伍
中村洸介
川合正倫、鹿はせる、艾蘇(共著)
長谷川良和、今野由紀子(共著)
洞口信一郎
大久保涼、佐藤恭平(共著)
(2025年1月)
逵本麻佑子(インタビュー)
(2025年1月)
伊佐次亮介(コメント)
逵本麻佑子、水越政輝、内海裕也、木原慧人アンドリュー(共著)
大久保涼、佐藤恭平(共著)
(2025年1月)
逵本麻佑子(インタビュー)
(2025年1月)
伊佐次亮介(コメント)
逵本麻佑子、水越政輝、内海裕也、木原慧人アンドリュー(共著)
