インサイト

Global Legal Update

Global Legal Update Vol. 84 | 2022年10月号

ジョーンズ・デイでは、世界各国に広がる40以上のオフィスが、現地の法令や判例等の最新情報をAlert/Commentary等としてお伝えしています。その中から日系企業に特に関心が高いと思われるものを以下でご紹介します。なお、英文部分の各リンクからAlert/Commentary等の原文をご覧頂けます。

サイバーセキュリティ・プライバシー・データ保護

欧州委員会、デジタル製品に新たなサイバーセキュリティの要件を課す法案を公表
European Commission Proposes Legislation Imposing New Cybersecurity Requirements on Digital Products

2022年9月15日、欧州委員会はEU市場に流通するハードウェア及びソフトウェア製品のライフサイクル全体に適用される単一のサイバーセキュリティ規則を導入するEU初の法律「サイバーレジリエンス法(Cyber Resilience Act)」の法案を公表しました。

この法案は、デジタル製品を購入又は使用するEUの企業及び消費者を脆弱なサイバーセキュリティ機能から生じるリスクから保護することを目的としています。この規則は、機器やネットワークに接続された「デジタル要素を持つ製品」に適用され、既存のEUサイバーセキュリティの枠組み(NIS1指令(まもなくNIS2指令に置き換わります)、サイバーセキュリティ法)を補完することになります。

サイバーレジリエンス法を簡潔に説明すると以下のとおりになります。

  • デジタル要素を含む製品の設計、開発、製造、配送、保守について、サイバー脅威から保護するための必須要求事項を定めています。
  • 製造者の義務を定めています。デジタル製品を市場に流通させる前に、製造者は関連するすべてのサイバーセキュリティリスクを文書化し、脆弱性とインシデントを報告すること、想定される製品のライフサイクル又は5年間にわたり効果的な脆弱性対応プロセスを提供すること、当該製品の使用に関する指示を提供しセキュリティ更新を発行すること、製品に悪用された脆弱性を24時間以内に欧州連合サイバーセキュリティ機関(ENISA)に通知することが義務付けられることになります。
  • 市場に流通させる製品に関して、輸入業者と販売業者のサイバーセキュリティの義務を定めています。
  • サイバーセキュリティ要件への準拠を実証するために設計された適合性評価プロセスを定めています。非重要製品については、自己評価が義務付けられています。重要製品(例えば、ID管理システムソフトウェア、ブラウザ、パスワードマネージャー、VPN、ネットワーク管理システム、ネットワークトラフィック監視システム、MDMソフトウェア、ネットワークインターフェース、ファイアーウォール、サーバ用OS、PKIインフラ、マイクロプロセッサ、スマートカード)については、第三者機関による適合性評価が求められています。
  • 監視とエンフォースメントに関する規則を定めています。各加盟国は、規制の執行に責任をもつ市場監視当局を任命しなければなりません。違反した場合、当局は事業者(つまり、製造者、正規代理店、輸入業者、販売業者又は規則で定められた義務を負うその他の自然人又は法人)に対し、是正措置、製品の流通制限、又は撤退を命じることができます。また当局は罰金(最高1500万ユーロ又は事業者の世界総売上高の2.5%まで)を課すことができるようになる予定です。

本提案は、今後欧州議会と欧州理事会で審議されます。採択された場合、製造者、通知機関(ノーティファイドエンティティ)、及び加盟国は新しい要件に適用するために2年の期間が与えられることになります(ただし、脆弱性とインシデントの報告義務については1年後にのみ適用されます)。

カリフォルニア州で初めて年齢適正デザインコード法(Age-Appropriate Design Code Law)を採択
California Is First State to Adopt Age-Appropriate Design Code Law Alert

2022年9月15日、カリフォルニア州知事ギャビン・ニューサムはカリフォルニア州年齢適正デザインコード法に署名し、同法が成立しました。これは、児童が利用するオンラインサービスの提供を具体的に規制する初の州のプライバシー法で、連邦児童オンラインプライバシー保護法(COPPA)が求める以上の義務を課しています。同法は2024年7月1日に施行されるため、企業が遵守体制を整えるまで2年もありません。

同法は、近々施行されるカリフォルニア州プライバシー権法(California Privacy Rights Act)の対象となる事業者のうち、児童が「アクセスする可能性がある」オンラインサービス、製品、機能を提供する企業又は児童がアクセスすることが分かっている事業者に対して適用されます。ここでいう「児童」とは18歳未満の個人をいいます。企業のオンラインサービス、製品又は機能が児童によって「アクセスされる可能性がある」かどうかは、COPPAの定義にある「児童向け」かどうかを含む多くの要素を評価することで判断されます。同法は、COPPAよりも広く、オンライン製品、サービス、機能に相当数の児童がアクセスしている、あるいは日常的にアクセスする可能性がある場合には、対象事業者の知見に関係なく適用されます。

同法の重要な要件は以下のとおりです。

  • 対象事業者が(i)児童に著しく有害な方法で児童の個人情報を利用すること、(ii)児童をデフォルトでプロファイリングすること、(iii)オンライン製品、サービス、又は機能を提供するために必要でないにもかかわらず、児童の個人情報を収集、販売、共有、保持すること、(iv)当初、情報収集をした目的以外の目的で児童の個人情報を利用すること、又は(v)合理的に予想される以上の個人情報の提供をするように児童を誤解させたり、促すこと、は禁止されています。
  • プライバシーポリシー、利用規約、行動規範は児童の年齢に適した明確な表現を用いて、目立つように表示されなければなりません。対象事業者はこれらのポリシー及び利用規約を実施しなければなりません。
  • 親や他の消費者が児童を追跡・監視できる製品やサービスには、児童が追跡・監視されているときにそれを児童に示す明白なシグナルが含まれていなければなりません。また対象事業者は児童の正確なジオロケーションをデフォルトで収集、共有、販売してはなりません。
  • 企業は2024年7月1日までにデータ保護影響評価(DPIA)を完了し、2年ごとに見直しを行い、関連文書を保管しなければなりません。DPIAは要請があれば、カリフォルニア州司法長官(CA AG)に提供しなければなりません。

同法は、児童の権利、コンピューターサイエンス、健康などの分野に精通したメンバーで構成されるワーキンググループを設立しています。ワーキンググループは、対象事業者が指針を得るために参考にできる、同法を実施するためのベストプラクティスについての報告書を議会のために作成する予定です。

同法は、CA AGのみによって執行されます。CA AGは差止命令と、過失による違反の場合には児童一人当たり2500ドル、故意による違反の場合には児童一人当たり7500ドルを上限とする民事罰の適用を求めることができます。同法は私訴権を規定していませんが、他の州法で認められている場合、これらの要件に対する違反に対して個人が補償的損害賠償を求める能力を制限したり、限定することはありません。

政府規制

米国バイデン政権の大統領令がCFIUSによる国家安全保障審査の焦点を定める
New Biden Executive Order Aims to Set Focus of Future CFIUS National Security Reviews

2022年9月15日、バイデン大統領はCFIUSが国家安全保障審査において考慮すべき要素を「具体化かつ拡大化する」大統領令を公布しました。本大統領令は正式なCFIUSの手続や管轄範囲を変更するものではありませんが、大統領はCFIUSの手続において、勧告に基づき取引を阻止する権限を有する唯一の存在であることから、バイデン大統領自身によるこの指針はCFIUSの日々の審査の運用についてほぼ確実に影響を与えることになるでしょう。本大統領令によれば、CFIUSは審査対象となる取引について以下の事項を考慮するものとされており、今後米国への投資を検討する者は、これらの事項に注意し、対処することが必要となります。

  • サプライ・チェーンの強靭性及び安全保障への影響
  • 米国の安全保障に影響を及ぼす分野における米国の技術面におけるリーダーシップへの影響
  • 「主要産業における有害な技術移転」を容易にし、その他国家安全保障に有害なものとなるおそれを示す産業における投資の傾向
  • 国家安全保障に損害をもたらす、又はサイバー攻撃等の悪意のあるサイバー活動を容易にする恐れのあるサイバーセキュリティ・リスク
  • 機微情報を保存するデータベース等の保護及び完全性、米国人の機微情報の不正使用へのリスク

その他、2022年9月は以下の情報をAlert/Commentary としてお伝えしています。

事業再編・倒産

テキサス州連邦地方裁判所:破産手続における資産売却にかかるブレークアップ・フィーは、経営判断の原則と共益債権の基準の両方を満たすとの判断
Texas District Court: Bankruptcy Sale Break-Up Fee Satisfied Both Business Judgment Test and Administrative Expense Standard

サイバーセキュリティ・プライバシー・データ保護

カリフォルニア州司法長官、120万ドルのSephora社との和解でカリフォルニア州消費者プライバシー法(CPPA)執行における優先度を示唆
California Attorney General Signals CCPA Enforcement Priorities in $1.2 Million Sephora Settlement

連邦政府にソフトウェアを供給する組織に対する新しいセキュリティ規制
New Security Rules for Organizations Supplying Software to the Federal Government

エネルギー

メタン排出に対する課徴金:米国インフレ削減法という飴に隠された鞭
Methane Charges: The Inflation Reduction Act's Stick Hidden in the Carrots

フィナンシャル・マーケット

米国及び中国規制当局、中国本土及び香港を本拠とする監査法人の監査資料に対する米国当局(PCAOB)によるアクセス権限を認める合意書を締結
U.S. and Chinese Regulators Sign Agreement on Access to Audit Materials

カリフォルニア州が「デジタル金融資産法」を採択し、デジタル資産及び暗号通貨交換所に対する免許制を導入
California Moves to Regulate Digital Asset Exchanges and Cryptocurrency Companies

Lummis-Gillibrand 責任ある金融イノベーション法案に対する提言: 「デジタル資産」の定義及び消費者保護・サイバーセキュリティ確保の視点から
Digital Assets Defined: Consumer Protection and Cybersecurity Enter the Stage

米国証券取引委員会、上場会社に対し2023年度より適用される業績連動役員報酬の新開示ルールを採択
SEC Adopts Pay Versus Performance Disclosure Rules

訴訟・紛争解決

米連邦最高裁判所による仲裁機関における国際仲裁に対する合衆国法典第28編第1782条に基づくディスカバリの適用制限と残された問題
Questions Remain as Supreme Court Restricts § 1782 Discovery in Private International Arbitrations

政府規制

米国商務省がCHIPS法の実施戦略を発表
Commerce Releases CHIPS Act Strategy

米国消費者金融保護局の権限拡大が一部の議員から批判を受ける
CFPB's Expansion Efforts Draw Criticism From Lawmakers

調査・企業犯罪

米国司法省が企業犯罪取締指針の大改正を発表
DOJ Announces Major Changes to Corporate Criminal Enforcement Policies

ヘルスケア・ライフサイエンス

カリフォルニア州司法長官、医療アルゴリズムによるバイアスの可能性について斬新な調査を開始
California Attorney General Initiates Novel Investigation Into Potential Health Care Algorithm Bias

テレヘルス啓発週間:テレヘルスに関する洞察
Telehealth Awareness Week: Insights on Telehealth

労働・人事

食品業界における人手不足への対処と派遣労働者への依存の影響
Navigating Labor Shortages in the Food Industry and the Effects of Relying on Contingent Workers

一進一退の攻防が続く:全米労働関係委員会(NLRB)は再び共同使用者の基準の拡大を目指す
The Back-and-Forth Continues: NLRB Once Again Seeks to Broaden Its Joint-Employer Standard

プライベート・エクイティ

米国証券取引委員会が改正広告規制の遵守期限に向け審査事項に関するリストを公表
SEC Highlights Compliance With New Advertising Rule

ジョーンズ・デイの出版物は、特定の事実関係又は状況に関して法的助言を提供するものではありません。本書に記載された内容は、一般的な情報の提供のみを目的とするものであり、ジョーンズ・デイの事前の書面による承諾を得た場合を除き、他の出版物又は法的手続きにおいて引用し又は参照することはできません。出版物の転載許可は、www.jonesday.comの“Contact Us”(お問い合わせ)フォームをご利用ください。本書の配信、および受領により弁護士と依頼人の関係が成立するものではありません。本書に記載の見解は執筆担当者の個人的見解であり、当事務所の見解を反映したものではありません。