再び動き出す:米国議会、新しい包括的な連邦プライバシー法を再提出
超党派、両院で提案されている2024年の米国プライバシー権利法案により、米国議会は包括的な州のプライバシー法に優先する、初の全国的な個人データのプライバシーおよびセキュリティに関する法律の採択を目指しています。
2024年4月7日、議会は2024年米国プライバシー権法 (「APRA」) 案を提出しました。APRAは、統一された個人データのプライバシーとセキュリティの法的基準を作成することになります。この国家的なアプローチは、個人情報の処理を規制する現在の州のプライバシー法のつぎはぎから生じるコンプライアンスの課題を軽減します。特に、この法案にはデータ漏えい通知の規定が含まれておらず、州のデータ漏えい通知法に優先するものでもないということです。
対象となる事業体と対象となるデータ
APRAは、「対象データの収集、処理、保持、移転の目的と手段を決定するあらゆる事業体」であり、かつ、FTC(連邦取引委員会)法の対象となるか、通信事業者であるか、または非営利団体であると定義される「対象事業体」に適用されます。対象事業体には、政府機関およびそのサービスプロバイダー、特定の中小企業、特定の非営利団体は含まれません。「対象データ」には、個人またはデバイスを特定する情報、個人またはデバイスにリンクされている情報、または合理的にリンク可能な情報が含まれます。APRAは、匿名化されたデータ、公開されている情報、および従業員データには適用されません。
主な義務
APRA が採用された場合、次のことが行われます。
- 「必要性があり、つり合いが取れており、限定的」でない限り、対象事業体が対象データを処理することを禁止します。
- 機微データの移転と生体認証データの処理には「積極的で明示的な同意」を要求します。
- 対象事業体および「サービス プロバイダー」に対して、脆弱性の評価と、保存、廃棄、トレーニング、インシデント対応の手順を含む、合理的なデータセキュリティプラクティスを採用することを義務付けます。
- 特定の大規模な対象事業体に対して、プライバシー担当者および/またはセキュリティ担当者の任命を義務付けます。
AIアルゴリズム
APRAはAIに限定的に対応しており、AIアルゴリズムから生じる潜在的な危害を特定し軽減するために、影響評価と設計評価を実施することを対象事業体に義務付けています。住宅や医療へのアクセスなど、対象となるアルゴリズムに依存する「重要な決定」については、通知とオプトアウトの機会が必要となります。
執行
APRAはその規定を実施するためにFTCの支局を設立することになり、違反はFTC法に基づく不正または欺罔行為となります。州司法長官もAPRAを執行することができます。APRAは、個人が訴訟提起できる権利を創設し、未成年者が関与する、または重大なプライバシー侵害を引き起こす特定の申し立てに関する仲裁合意を禁止します。
連邦法の優先
APRAは、同じ要件を対象とする州のプライバシー法に優先しますが、従業員、学生、および医療のプライバシーに関する州のデータ漏えい通知法および州のプライバシー法に明示的に優先するものではありません。APRAは、GLBA (Gramm-Leach-Bliley Act)やHIPAA (Health Insurance Portability and Accountability Act)など、データのプライバシーと保護に関する特定の連邦法に優先するものではありません。
その範囲と影響を考慮して、事業体はAPRAを慎重に検討し、将来の影響と適用可能性についての法整備を監視する必要があります。
本アラートは、米国の個人情報保護に関する重要なトピックであり、その事業において米国で個人情報を取り扱う日本企業にも影響を与える可能性があると考えられることから紹介する次第です。詳細は、Jones Day Alert “Here We Go Again: U.S. Congress Reintroduces New Comprehensive Federal Privacy Law”(オリジナル英語版)をご参照ください。
ジョーンズ・デイの出版物は、特定の事実関係又は状況に関して法的助言を提供するものではありません。本書に記載された内容は、一般的な情報の提供のみを目的とするものであり、ジョーンズ・デイの事前の書面による承諾を得た場合を除き、他の出版物又は法的手続きにおいて引用し又は参照することはできません。出版物の転載許可は、www.jonesday.comの“Contact Us”(お問い合わせ)フォームをご利用ください。本書の配信、および受領により弁護士と依頼人の関係が成立するものではありません。本書に記載の見解は執筆担当者の個人的見解であり、当事務所の見解を反映したものではありません。