アメリカの個人データ保護に関する法規制の現状
近年データ駆動型ビジネスの成功に関わるニュースが、マスメディアのみならずソーシャルメディアまでを賑わせています。データ活用をすることにより、業務効率を向上させるだけではなく、これまでの産業構造やビジネスを一変する可能性を秘めています。インターネットを通して世界中のデータをすべて入手できれば、世界を制覇できるではないかと考える企業は少なくありません。しかしデータ戦略を自社のビジネスに取り入れ成功のビジネスモデルを模索している企業は、各国で次々成立した個人データ保護規制の対応に忙殺されているのが現実。各国の法制度・法文化は異なっており、個人データ保護のテーマに関わる規制の論点も同様。今回触れるアメリカでは「個人情報保護法」またはEUのGDPRに相当するような包括した連邦法は定められていませんが、特定分野ごとや州ごとに個人データの取扱いが数多く規定されています。以下、アメリカの個人データ保護に関する法規制について俯瞰していきます。
連邦法
連邦レベルで特定分野における個人データの取扱いに関する法令は以下の通り挙げられます。
- 公的部門
公的部門に関しまして、1794年プライバシー法[i](The Privacy Act of 1794)はアメリカ公民の個人を識別できる情報(Personally identifiable information)の収集、保管、利用及び共有について規定しています。ただし、このプライバシー法の対象となるのは連邦機関のみで、商業における消費者個人データの取扱いには影響がありません。
- 民間部門
【グラム・リーチ・ブライリー法ii(The Gramm Leach Bliley Act, GLBA)】
個人の財務情報に関するプライバシーやセキュリティの保護を目的とし、銀行・保険会社・その他金融機関に対し、特定のプライバシー基準やセキュリティ基準を定めた規則です。対象となる金融機関は、「消費者」または「顧客」である自然人に関する「非公開個人情報」(Non-Public Personal Information (NPI))に関わる、セキュリティ規制の準拠、利用及び非関連第三者への開示、プライバシー通知などが要求されます。
【公正信用報告法iii(The Fair Credit Reporting Act, FCRA)】
信用調査機関、病歴調査事務所、入居審査機関などの消費者報告機関(Consumer Report Agency)が消費者の信用力、信用に対する評価、与信枠、特性、一般的な評判、人格特性、生活状況等個人信用情報といった個人の信用情報が含まれた消費者レポート(Consumer Report)への利用については、与信、雇用及び保険の加入資格を評価する場合などに制限されるという具合に、特定目的でしか利用できないことを規定する連邦法です。
【医療保険の携行性と責任に関する法律iv(The Health Insurance Portability and Accountability Act, HIPAA)】
医療分野の個人情報取扱いについては、1996年に制定されたこの連邦法においてプライバシールールとセキュリティルールを定めています。個人識別可能な健康情報は、保護対象健康情報(protected health information, PHI)と呼ばれ、保健計画、ヘルスケア提供者、保険医療クリアリングハウス(電子カルテ情報を受け取り、医療請求書を保険会社に電子的に提出仲介業者)等を対象に、PHI利用と開示についてのプライバシールールと、電子化されたPHI保持及び転送についてのセキュリティルールが規定しています。
【電話消費者保護法v(The Telephone Consumer Protection Act, TCPA)】
消費者を電話勧誘(テレマーケティング)から保護するため、消費者に対して自動ダイヤル、自動メッセージおよび自動ファクスなど、コンタクトセンターから消費者の電話また携帯への電話やメッセージについて規制をしています。
【家族の教育権利及びプライバシー法vi(The Family Educational Rights and Privacy Act, FERPA)】
学生の教育記録及びプライバシーを保護する連邦法。学生である本人または保護者の許諾がない限り、教育記録および個人情報の開示は禁止されている。
【児童オンラインプライバシー保護法vii(The Children's Online Privacy Protection Act, COPPA)】
オンラインサービス事業者で、13歳未満の児童の識別可能な個人情報の収集、利用、開示について規則を定めました。近年、個人情報の範囲はスクリーンネーム、メールアドレス、チャットネーム等まで拡げています。YouTubeの子ども向けチャンネル動画の視聴者に、視聴者の保護者の同意を求める通知などを表示せずにcookieを使い、個人情報を収集していたことが記憶に新しいです。
***************************
州法
特定分野にプライバシー保護を進めると同時に、カルフォルニア州をはじめ、ニューヨーク州など10を超える州では個人情報保護の州法策定の動きが広がりつつあります。以下では、施行済の州法と検討されている州法を取り上げます。
- 施行済
【カルフォルニア州消費者プライバシー法(2020年1月1日に施行)viii(California Consumer Privacy Act, CCPA)】
米国では現在一番包括的にインターネット上の個人情報を中心とした保護するプライバシー法です。個人情報(Personal Information)を、州民または世帯について識別し、関連し、記載し、結び付け、直接または間接的に合理的にたどることができるあらゆる情報を指すと広く定義しています。
州民には新たな消費者権利として、企業が本人の個人情報の開示、削除及び第三者への売却停止権利(オプトアウト権利)である。企業には新たな収集、売却または開示した個人情報のカテゴリー、情報源、個人情報を共有する第三者、個人情報の収集・売却目的、個人情報を売却した第三者のカテゴリー、オプトアウト方法の説明などが求められています。
しかし、医療分野及び金融分野での個人情報に関しましては、前述のとおりすでに厳格な連邦法が存在しているため、HIPAAとGLBAが適用されます。
2020年11月3日に、CCPAを改正し消費者の権利をより強化する提議「消費者プライバシー権法」(Consumer Privacy Right Act, CPRA)、いわゆる「Proposition 24」は、賛成多数で可決されました。CPRAは2023年1月1日から実施予定とされる。CPRAでは個人情報の範囲を「センシティブな個人情報」まで広げ、消費者に本人の個人情報を修正するや共有を制限するなどの権利を付与しました。
CCPAの実施より3ヶ月早かったネバダ州のインターネットに関する法ix(An Act relating to Internet privacy, Senate Bill 220)では、対象事業者は消費者のため"指定されたリクエスト連絡先"を設定する義務を示しました。オプトアウトのリクエストに対しては60日または90日内で消費者に返信することも定められた。CCPAと異なり、オフラインで収集された消費者の個人情報はSenate Bill 2020の保護範囲対象外となっています。
もう1つの州ではオンラインデータの取り扱いを州法で規制しています。それはメイン州の"オンライン顧客情報プライバシー保護法x"(An Act to Protect the Privacy of Online Customer Information)である。前述の2つプライバシー法と一つ大きな違いは、メイン州のプライバシー法の対象はインターネットサービスプロバイダー(Internet Service Provider, ISP)、いわゆるインターネット接続業者のみとなっています。
1.1 検討中
ニューヨーク州で提案された"ニューヨークプライバシー法xi"(The New York Privacy Act, S5642)は州議会の承認を得られなかったが、メディアで"より厳格な"、"より大胆な"、"より抜本的な"という評価をされました。なぜなら、このポリシーでは個人情報も適用対象の範囲も拡大されました。また、個人データを有する企業は「データの受託者」(Data Fiduciary)という革新的な概念も紹介しました。S 5642は可決されたら、スコープはCCPAより広いともいわれています。
ハワイ州ではCCPAに類似の法案"ハワイ消費者プライバシー保護法xii"(The Hawaii Consumer Privacy Protection Act, SB 418)が提出され、2019年第一読会を通過しました。ただし、SB 418は現在世界中のウェブサイトが対象となっている、将来ハワイ州ベースのウェブサイトに限定するよう修正する可能性があるかもしれませんxiii。
その他CCPAに近い検討中のプライバシーポリシーは、"メリーランドオンライン消費者保護法xiv"(The Maryland Online Consumer Protection Act, SB613)、"マサチューセッツデータプライバシー法xv"(The Massachusetts Data Privacy Law, S-120)、"ノースダコタ州法案xvi"(The North Dakota Bill, HB 1485)なども挙げられます。
アメリカではカルフォルニア州をはじめ、上述した州の他、フロリダ州xvii、イリノイ州xviii、ワシントン州xixなどもそれぞれの個人情報保護に関する州法の制定に取り組んでいます。日本の法文化と異なり、アメリカ合衆国では、憲法に反しないかぎり、各州は自由に法律を制定することができる権限を有しています。しかし、一見して乱立している州ごとのプライバシーポリシーはビジネスに不便を招き、いつか包括的な連邦法の制定を後押しするかもしれません。
- - - - - - - - - - - - - - - - - - - - - - - - - -
*本記事の内容は記事公開時点での情報です。本記事は、当社の公式な見解や意見ではありません。本記事の利用により生じた一切の損害について責任を負いません。
i https://www.justice.gov/opcl/overview-privacy-act-1974-2015-edition
ii https://www.govinfo.gov/content/pkg/PLAW-106publ102/html/PLAW-106publ102.htm
iii https://www.ftc.gov/system/files/documents/statutes/fair-credit-reporting-act/545a_fair-credit-reporting-act-0918.pdf
iv https://www.hhs.gov/hipaa/for-professionals/regulatory-initiatives/index.html
v https://www.fcc.gov/sites/default/files/tcpa-rules.pdf
vi https://www.law.cornell.edu/uscode/text/20/1232g
vii https://uscode.house.gov/view.xhtml?req=granuleid%3AUSC-prelim-title15-section6501&edition=prelim
viii https://en.wikipedia.org/wiki/California_Consumer_Privacy_Act
ix https://www.leg.state.nv.us/App/NELIS/REL/80th2019/Bill/6365/Overview
x https://www.mainelegislature.org/legis/bills/bills_129th/billtexts/SP027501.asp
xi https://www.nysenate.gov/legislation/bills/2019/s5642#:~:text=Enacts%20the%20NY%20privacy%20act,new%20office%20of%20privacy%20and
xii https://www.capitol.hawaii.gov/Archives/measure_indiv_Archives.aspx?billtype=SB&billnumber=418&year=2019
xiii https://www.varonis.com/blog/us-privacy-laws/
xiv http://mgaleg.maryland.gov/mgawebsite/legislation/details/sb0613?ys=2019rs
xv https://malegislature.gov/Bills/191/SD341
xvi https://www.legis.nd.gov/assembly/66-2019/bill-actions/ba1485.html
xvii https://www.bytebacklaw.com/2020/01/analyzing-the-2020-florida-consumer-data-privacy-act/
xviii https://www.bytebacklaw.com/2020/01/analyzing-the-2020-illinois-data-transparency-and-privacy-act/
xix https://www.bytebacklaw.com/2020/01/2020-washington-privacy-act-released/