ニューヨーク州におけるデータ侵害通知とデータセキュリティの要求に関する大幅な法改正
2019年7月25日、ニューヨーク州において、データ侵害通知法及びデータセキュリティの要求について大幅な改正を加える、ハッキング禁止及び電子データセキュリティ改善に関する法律(the Stop Hacks and Improve Electronic Data Security Act、以下「SHIELD法」という。)が成立しました。
今回の主な改正項目は、個人情報の定義の拡大、データ侵害の定義の拡大、規制の適用地域の拡大、及び、データセキュリティの要求の新設となっています。まず、今回の改正で、個人情報に、生体情報、パスワード又は秘密の質問とその答えと紐づけられたユーザーネーム及び電子メールアドレス、口座番号、クレジットカード番号及びデビットカード番号が追加されました。また、データ侵害には、電子データの不正取得に加え、電子データへの不正アクセスも含まれることとなりました。さらに、ニューヨーク州の居住者に関する個人情報を所有し、又はその取扱いの同意を得ているあらゆる個人又は企業にまで、データ侵害通知を行う義務が課せらることとなりました。さらに、企業は従業員のトレーニングなどのデータセキュリティプログラムを導入することが求められることになりました。
データ侵害通知に係る改正は2019年10月23日に施行され、データセキュリティの要請に係る改正は2020年3月21日に施行される予定です。この改正にともない、企業は、収集した個人情報の検討及びSHIELD法が求めるデータセキュリティ体制の構築のため、自社の情報セキュリティプログラムを見直すことが必要とされています。
本コメンタリーは、米国で事業活動をする日本企業にとって有用な情報ですので、紹介する次第です。詳細は、Jones Day Alert “New York Passes SHIELD Act Amending Data Breach Notification Law”(オリジナル(英語)版)をご参照下さい。
ジョーンズ・デイの出版物は、特定の事実関係又は状況に関して法的助言を提供するものではありません。本書に記載された内容は、一般的な情報の提供のみを目的とするものであり、ジョーンズ・デイの事前の書面による承諾を得た場合を除き、他の出版物又は法的手続きにおいて引用し又は参照することはできません。出版物の転載許可は、www.jonesday.comの“Contact Us”(お問い合わせ)フォームをご利用ください。本書の配信、および受領により弁護士と依頼人の関係が成立するものではありません。本書に記載の見解は執筆担当者の個人的見解であり、当事務所の見解を反映したものではありません。