Last Updated:September 2,2021
筆者は,これまでカリフォルニア州やバージニア州の情報保護法の立法動向をフォローしてきたが、この問題についてはわが国でも多くのレポートがあることは言うまでもない。(注1)
他方、わが国では全州の立法の取組動向となると一転して正確、最新かつ詳細な情報は皆無である。そのような中で最近オハイオ州の法案が上程されたというニュースが手に入った。
今回のブログは、まず(1)7月12日に上程されたオハイオ州の法案(H.B.376)の内容をひととおり解析し、(2)各州の立法動向を調査している”International Association of Privacy Professionals(iapp)”の”US State Privacy Legislation Tracker Bills introduced 2021”および”National Conference of State Legislatures(NSCL)”にもとづき法案内容を比較しながら、各州がいかに適格な立法を目指しているかを読んでみたい。
なお、H.B.376の原文を読んでみると極めて難解である。(注2)一方、UniLaw 企業法務研究所代表 浅井敏雄氏がカリフォルニア州”California Consumer Privacy Act of 2018:CCPA”および"California Privacy Rights Act of 2020 ::CCRA"を私訳されている。補足説明を加えながらの解説であり貴重な文献である。
同時に法律の構成、内容、理解度、わかりやすさから見て、EUの「一般データ保護規則(GDPR) 」と比較されたい。従来のような米国のような個別・分野別立法に頼るだけでなく、モデル法としての連邦包括保護法の議論も中断したままである。
国民や事業者の保護法遵守の徹底を図るうえでこの点は見逃せない点であると思うし、今後でてくるであろう新たな州保護法案がどこまで大幅な見直しの上に出てくるかを期待したい。最後に、筆者なりにEUのGDPRを受けた加盟国のDPAの取組と米国のGLBAや規則の運用を含めた比較を行った。
また、参考までに、これらに関連し、iappやNSCLのレポートを調べるうえで重要となる全米各州の立法のトラッキングサイト”LegiScan”の無料利用者登録の手順と実際の使い方の解説を試みるものである。
言うまでもないが、今回の立法動向を正確に理解するうえで州議会の立法用語集の使い方にも言及した。この点は比較法ゼミの内容に該当するものであるが、折角の機会なので丁寧に説明することとした。
2回に分けて掲載する。
1.オハイオ州OPPA(H.B.376)の概要
JD Supra, LLCレポート「Privacy Bill Essentials: Ohio Personal Privacy Act」を抜粋、仮訳する。
オハイオ州では新しいデータ保護およびプライバシー法案(H.B. 376)が最近で上程された。オハイオ個人プライバシー法(Enact Ohio Personal Privacy Act:OPPA)は、カリフォルニア州、バージニア州、コロラド州での最近の立法に似ているが、3つ法律のうち、この法案はバージニア「消費者データ保護法(Consumer Data Protection Act )」に最もよく似ている。制定された場合、OPPAは州民のデータ保護権利をあらたに確立し、オハイオ州の消費者の個人データを収集する州内外の企業に複数の具体的義務を課すことになる。
(1)誰に適用されるのか?
OPPAは、オハイオ州で事業を行う企業、または州内の消費者を対象とする企業に適用され、次のいずれかに適用される。
①州で2,500万ドル(約27億5,000万円)を超える年間総収入がある企業。
②暦年中に100,000人以上の消費者の個人データを管理または処理する企業。
または、
③ 総収入の50%以上を個人データの販売から得て、暦年中に25,000人以上のオハイオ州の消費者の個人データを処理または管理する企業。
一方、OPPAは以下には適用されない。
①全米連邦等の公的機関または州の下部機関。(注3)
②グラム・リーチ・ブライリー法のタイトルVに準拠する金融機関または金融機関の関連会社。
③高等教育機関。
④企業間取引(いわゆるBtoB)。
⑤オハイオ州改正法令集(Ohio Revised Code)(注4)の第3905.49節で定義されている保険会社または独立した保険代理店。
⑥保険関連の犯罪または詐欺を検出または防止するために設立された非営利団体。
⑦オハイオ州改正法令集(Ohio Revised Code)の第3937.09節および第3937.05節に記載されている諮問機関または格付け機関。
(2)どのような種類の情報をカバーするか?
OPPAは、個人または世帯の関連でオハイオ州に居住する消費者の「個人データ」を保護する。従業員、請負業者、求職者、役員、取締役、および事業主は、事業または雇用の立場で行動する場合は消費者とは見なされない。
個人データとは、「営利目的で企業が処理する特定または特定可能な消費者に関連する情報」と定義されている。この定義は、公的に利用可能なソースから処理されたデータ、および「仮名化(pseudonymize))、匿名化(anonymize )、または集約されたデータ」を除く。
(3)それは消費者にどのような権利を生み出すか?
OPPAは、次の権利を含むさまざまな消費者の権利を新たに作り出す。
① 消費者に関して収集されている個人データを把握する。
②消費者に収集された消費者の個人データへのアクセス権を与える。
③個人データの削除を要求する権利を与える。
④消費者の個人データの販売を拒否またはオプトアウトする権利を与える。
(4)それは事業者にどのような義務を課すか?
OPPAは、対象となる事業者に対して、合理的にアクセス可能で、明確で、かつ目立つ方法で、以下を含むプライバシー・ポリシーを表示することを要求する。
① プライバシーおよびデータセキュリティに関する問い合わせのための事業者の連絡先を含む、事業者のIDおよび連絡先情報、および事業者が個人データを転送する可能性のある関連会社のID。
②ビジネス・プロセスにおける個人データのカテゴリー。
③個人データの各カテゴリの処理の目的。
④個人データを収集または販売する目的。
⑤個人データが収集されるソースのカテゴリー。
⑥事業者が個人データを開示する処理者のカテゴリー。
⑦事業者が個人データを販売するかどうか、事業者が個人データを販売する第三者のカテゴリー、および販売の目的。
⑧ 個人データに関する事業者のデータ保持実務慣行およびそのような保持の目的の説明。
⑨このポリシーに基づいて個人がどのように権利を行使できるか。
⑩ 事業者のデータ・セキュリティ実務慣行の一般的な説明。
⑪ プライバシー・ポリシーの発効日。
⑫ プライバシー・ポリシーに重要な変更を加えた場合、またはプライバシー・ポリシーと互換性のない目的で個人データを処理することを決定した場合に、企業が消費者に通知する方法の説明。
事業者のデータ・プライバシー慣行を反映するプライバシ・ーポリシーを維持しないことは、不公正で欺瞞的な実務慣行と見なされるが、消費者に私的な訴因(民亊告訴)を与える権利はない。
また可能であれば、改定実施の60日前に、企業のプライバシー・ポリシーに重大な変更があった場合は消費者に直接通知する必要がある。
(5)それはどのように実施されるか?
OPPAは、州司法長官事務局(AG)に調査権限と独占的な法執行権限を付与する。 AGが、企業がOPPAに違反する行為または慣行に従事している、または従事していると信じる合理的な理由がある場合、AGは、郡裁判所に訴訟を提起し、確認判決、差止命令による救済、罰則(3倍額損害賠償(treiple damages)を含む)(注5)、および弁護士費用を含む民事訴訟を求めることができる。ただし、そうする前に、AGは訴訟の開始前に企業に対し、30日間の是正(修正)期間を提供する必要がある。
同様の他州の制定法とは異なり、OPPAは、米国国立標準技術研究所(NIST)のプライバシー・フレームワーク(注6)に準拠する企業にセーフハーバーを提供する。
(6)法案OPPAはどこにあるか?
OPPAは、オハイオ州知事のリチャード・マケル・デワィン(Richard Michael „Mike“ DeWine)の支援を受けて2021年7月12日に上程されたが、発効日は含まれていない。
Richard Michael DeWine知事
2.各州の立法動向を検索・調査している”iapp”の”US State Privacy Legislation Tracker Bills introduced 2021”および”National Conference of State Legislatures(NSCL)”の内容の比較
個別ローファームのレポートは成立済の個別立法の解説を行っているが、各州の立法動向を調査・比較している”International Association of Privacy Professionals(iapp)”の”US State Privacy Legislation Tracker Bills introduced 2021”および”National Conference of State Legislatures(NSCL)”を具体的に比較してみた。
(1)iapp
”US Sate Privacy legistlation Tracker”(2021.5.26現在)が全州の上程された全法案をトラッキングしている。なお下記の各州の状況についてのグルーピング結果(特に②、③)は定義の説明がないがゆえに正確に見るとやや疑問がある。
①知事の署名により成立したのが4州
ネバダ(2019.10.1 施行)(注7)
カリフォルニア(2本:CCPA;CPRA)、バージニア(SB 1392)、コロラド(SB 190:2021.7.7に州知事が署名済)
②委員会等で審議中が5州(active bills)
コネチカット(SB 893 2021.6 .9 委員会で審議終了)、イリノイ(HB3910:House Rules Committeeで継続審議)(注7-2)、マサチューセッツ(Bill S.46 :Massachusetts Information Privacy Act: Referred to Joint Committee on Advanced Information Technology, the Internet and Cybersecurity)、ニューヨーク(3法案):
Assembly Bill(議会法案) 680(New York Privacy Act):Assembly Consumer Affairs and Protection Committee
A6042(Digital Fairness Act)
SB 567 Senate Consumer Affairs and Protection Committee
テキサスHouse Bill 3741 (Prior Session Legislation)委員会審議で中断
③上程されたが委員会等で継続審議や時間切れの州(failed bill)
アラバマ、アラスカ、アリゾナ、フロリダ(HB969:2法案)、ケンタッキー、メリーランド、ミネソタ(HB 1492;HF 36の2法案)、ミシシッピー(SB 2612)、ノースダコタ(HB 1330)、オクラホマ(HB 1602)、ユタ(SB 200 :無期休会)、ワシントン(HB 1433;SB5062の2法案)、ウェストバージニア(BS3159 :無期休会)
計21州
(2)iappのカルフォルニア(CCPA,CPRA)、バージニア、コロラドの3州の計4つの保護法の内容比較
2021.7 作成 著者はCathy Cosgrove & Sarah Rippy「Comparison of Comprehensive:Data Privacy Laws in Virginia,California and Colorado」である。全18頁にわたる比較資料(あくまで公式資料にあたることと注記されている)
Cathy Cosgrove 氏
Sarah Rippy 氏
主な比較項目について概要を説明のうえ、特徴点をあげる。なお、3州+ネバダ州法、GDPR,Uniform Law Commission 統一法委員会のUPDPA(Uniform Personal Data Protection Act (UPDPA)につき消費者の権利を詳細に比較したレポートもある。
(ⅰ)適用となる事業者の規模(scope)
取扱う年間個人顧客数や年間総売上高(CCRA)を定め、一定規模以下の事業者は適応除外とする。
(ⅱ)適用の例外機関
バージニア州やコロラド州は以下の点でほぼ同じ 内容である。
:State government entities, nonprofits,institutions of higher education,
financial institutions or data subject to Title V of Gramm-Leach-Bliley Act,covered entities or business associates subject to the Health Insurance Portability and Accountability Act and the Health Information Technology for Economic Clinical Health Act(注8)
(ⅲ)消費者の権利
以下の項目はほぼ共通しているが、CPRAは見直された方だけにより厳格内容を有している。
・Right to Know whether a controller is processing the consumer’s personal data.
・Right to Access personal data processed by a controller.
・Right to Correct.
・Right to Delete.
・Right to Data Portability.
・Right to Opt Out of targeted advertising, the sale of personal data or profiling
CPRAの項目
・Right to Know what PersonalInformation is Being Collected and
・Right to Access personal information.Section 1798.110.
・Right to Know what Personal Information is Sold or Shared and to Whom. Section 1798.115.
・Right to Correct. Section 1798.106.
・Right to Delete. Section 1798.105, subject to certain exceptions.
・Right to Data Portability.Section 1798.130(a)(3)(B)(iii).
・Right to Opt Out of Sale or Sharing.Section 1798.120. Definition of sharing includes “cross-context behavioral advertising,” a separately
defined term.
・Right to Limit Use and Disclosure of Sensitive Personal Information.
Section 1798.121.
(ⅳ)事業者controller の責務
・Data Minimization.
・Purpose Limitation.
・Reasonable Data Security
・Sensitive Data
・Privacy Notice Required.
・No Discrimination
・Required disclosure of sale
コロラド州はDuty of Purpose Specification、Duty to avoid secondary use.
バージニア州やコロラド州はRequired disclosure of saleを入れている。
(ⅴ)処理者の任務/サービス・プロバイダー/第三者および契約上の要求(ROLE OF PROCESSOR/SERVICE PROVIDER/THIRD PARTY AND CONTRACTUAL REQUIREMENTS)
・Role of Processors
・Service Provider and Third Party. definition
なお、コロラド州はProcessor Obligationsにつき、規定が細かい。
*******************************************************************************************:
(注1)3州の包括保護立法内容についてはiappの個別の解説もある。
(注2)各州法の規定内容の理解のむずかしさの最大の理由は、①立法の背景、②基本的考え、③総論規定、④各論が項目が整理されていないことであろう。このような点がローファームやiapp等の解説が利用される理由であろう。
(1)ネバダ州 Nevada Privacy of Information Collected on the Internet from Consumers Act (NPICICA),ただし、内容がいわゆる包括法ではないためか(?)各解説ではあえて同州は除かれていることが多い。しかし、筆者が専門解説の内容を読む限り実質的な差はないと思う。
(2-1)カリフォルニア州CCPA
CIVIL CODE - CIV
DIVISION 3. OBLIGATIONS [1427 - 3273.16] ( Heading of Division 3 amended by Stats. 1988, Ch. 160, Sec. 14. )
PART 4. OBLIGATIONS ARISING FROM PARTICULAR TRANSACTIONS [1738 - 3273.16] ( Part 4 enacted 1872. )
TITLE 1.81.5. California Consumer Privacy Act of 2018 [1798.100 - 1798.199.100]
(2-2)カリフォルニア州CPRA
・ CPRA は、カリフォルニア州民法典(Civil Code)中の独立の編(Title)"Title 1.81.5 - CALIFORNIA PRIVACY RIGHTS ACT OF 2020"である。従って、CPRA の条文中における"this title"とは CPRA 自体を指す。そこで、訳注ではこれを「CPRA」と訳出した。
(3)バージニア州Consumer Data Protection Act(CDPA).
州内の個人データを管理および処理するための法的フレームワークを確立した。この法案は、州内で事業を行い、(i)少なくとも100,000人の消費者の個人データを管理または処理するか、(ii)総収入の50%以上を個人データの販売から得て、少なくとも25,000人の消費者の個人データを管理または処理するすべての者に適用される。この法案は、データ管理者と処理者の責任とプライバシー保護基準の概要を示す。この法案は、州または地方自治体等公的機関には適用されず、連邦法に準拠する特定の種類のデータおよび情報の例外が含まれる。この法案は、個人データへのアクセス、修正、削除、コピーの取得、およびターゲットを絞った広告の目的での個人データの処理をオプトアウトする権利を消費者に付与する。この法案は、司法長官が法律違反を法執行する独占的な権限を持っていることを規定しており、消費者プライバシー基金はこの取り組みを支援するために設立された。この法案の施行日は2023年1月1日である。
(4)コロラド州:Colorado Privacy Act (CPA)
2021年7月8日、コロラド州は、コロラド州ジャレッドポリス知事が法案に署名した後、コロラドプライバシー法を正式に制定した(施行は2023年7月1日)。 法律を可決することで、コロラド州は、2018年のカリフォルニア州と今年初めのバージニア州に続いて、包括的なプライバシー法を制定する3番目の米国州になった。
(注3)全米連邦等の公的機関または州の下部機関が一律適用除外としている理由がいまいち理解できない。EUのGDPRでは実際2019年8月29日、ベルギーのNational Revenue Agency(国家歳入庁)が検査過程での個人情報の漏えい事件で、GDPR第32条に基づき技術面、組織面で十分な情報キュリテイ対策取らず個人情報を扱ったことを理由に情報保護委員会(Комисия за защита на личните данни)から260万ユーロ(約3億3800万円)の制裁金を命じられた例がある。
ブルガリア情報保護委員会のリリースを以下で仮訳して引用する。なお、漏えいした機微情報の範囲、被害者数が極めて多い点などが制裁金額の多さに影響していることは明らかである。
「国家歳入庁(NRA)が1か月以内に実施した検査の過程で、NRAはその活動を実施するにあたり、個人データ管理者として適切な技術的および組織的措置を実施していないことが判明した。
ブルガリア市民の名前、PIN、住所、電話番号、電子メールアドレス、その他の連絡先情報、個人の年次納税申告書のデータ、個人の支払所得に関するお問い合わせ、保険申告のデータ、健康保険料のデータ(ただし、医学的状態や市民の治療に関する情報は除く)、行政違反の発行された行為に関するデータ、ブルガリア郵便ADを介した税金と保険債務の支払いに関するデータ、および海外で支払われたVATの要求と払い戻しに関するデータ。
インターネット上で違法にアクセスおよび流布された情報には、4,104,786人の生存する個人、ブルガリア人および外国人、および1,959,598人の死亡者を含む合計6,074,140人の個人データが含まれていることが確認されている。(以下、略す)」
(注4)オハイオ州改正法令集(Ohio Revised Code)には、恒久的かつ一般的な性質を有するオハイオ州議会の現在のすべての法令が含まれており、条項、編、章、および節に統合されている。 しかし、議会総会の制定案の唯一の公式出版物は「オハイオ州の法律」である。オハイオ州改正法令集は単なる参照である。
オハイオ州改正法令集は公式に印刷されていないが、いくつかの非公式であるが認定された(オハイオ州務長官による)商業出版物がある。
(注5)一定の法令で認められているもので、3倍額損害賠償は、懲罰的損害賠償の対象となる被告に対する訴訟で陪審員が行った原告の実際の損害賠償額を決定の3倍額とする裁判官の決定である。懲罰的損害賠償は、被告の行為が悪意があった場合、または原告の権利を無謀に無視した場合に与えられる。懲罰的損害賠償は、特定の損失または傷害に対して原告を補償するのではなく、将来的に被告によるこのような不正行為を抑止するように設計されている。このような損害は、損害賠償を処罰しないことを補償するという規則の例外である。被告による不正行為があった場合、懲罰的損害賠償がしばしば与えられる。
(注6)NRI 藤井 秀之「【 解説】】NIST プライバシーフレームワークの概要と位置づけ」が詳しく解説している。
残念なことにNIST(National Institute of Standards and Technology)を「米国国立標準研究所」と訳されているは貴重なレポートだけに残念である。
(注7)ネバダ州のプライバシー法(Nevada Privacy of Information Collected on the Internet from Consumers Act (NPICICA) )
ネバダ州のプライバシー法は2019年5月29日に州知事により署名され、有名なCCPAの3か月前の2019年10月1日に施行された。法律の内容は非常に似ているが、「販売」の定義方法に大きな違いがある。ネバダ州の法律はより狭く、すべてのサービスプロバイダーを対象としているわけではなく、金融機関に対してより寛大である。CCPA法とネバダ州法はどちらも「企業は消費者のオプトアウト要求の正当性を検証するプロセスを考え出し、60日以内に要求に応答することを要求する」という点で類似しているが、カリフォルニア州と同様に、ネバダ州の法執行は司法長官の
(注8) 各国の適用例外規定に関し、GDPRは第9条で極めて限定した定めをおいている。
第9条 特別な種類の個人データの取扱い
Art. 9 GDPR Processing of special categories of personal data
- Processing of personal data revealing racial or ethnic origin, political opinions, religious
or philosophical beliefs, or trade union membership, and the processing of genetic data,
biometric data for the purpose of uniquely identifying a natural person, data concerning
health or data concerning a natural person’s sex life or sexual orientation shall be
prohibited.
- Paragraph 1 shall not apply if one of the following applies:
(a) the data subject has given explicit consent to the processing of those personal data for
one or more specified purposes, except where Union or Member State law provide that
the prohibition referred to in paragraph 1 may not be lifted by the data subject;
(b) processing is necessary for the purposes of carrying out the obligations and exercising
specific rights of the controller or of the data subject in the field of employment and
social security and social protection law in so far as it is authorised by Union or Member
State law or a collective agreement pursuant to Member State law providing for
appropriate safeguards for the fundamental rights and the interests of the data subject;
(c) processing is necessary to protect the vital interests of the data subject or of another
natural person where the data subject is physically or legally incapable of giving
consent;
(d) processing is carried out in the course of its legitimate activities with appropriate
safeguards by a foundation, association or any other not-for-profit body with a political,
philosophical, religious or trade union aim and on condition that the processing relates
solely to the members or to former members of the body or to persons who have
regular contact with it in connection with its purposes and that the personal data are
not disclosed outside that body without the consent of the data subjects;
(e) processing relates to personal data which are manifestly made public by the data
subject;
(f) processing is necessary for the establishment, exercise or defence of legal claims or
whenever courts are acting in their judicial capacity;
(g) processing is necessary for reasons of substantial public interest, on the basis of Union
or Member State law which shall be proportionate to the aim pursued, respect the
essence of the right to data protection and provide for suitable and specific measures to
safeguard the fundamental rights and the interests of the data subject;
(h) processing is necessary for the purposes of preventive or occupational medicine, for the
assessment of the working capacity of the employee, medical diagnosis, the provision of
health or social care or treatment or the management of health or social care systems
and services on the basis of Union or Member State law or pursuant to contract with a
health professional and subject to the conditions and safeguards referred to in
paragraph 3;
(i) processing is necessary for reasons of public interest in the area of public health, such as
protecting against serious cross-border threats to health or ensuring high standards of
quality and safety of health care and of medicinal products or medical devices, on the
basis of Union or Member State law which provides for suitable and specific measures
to safeguard the rights and freedoms of the data subject, in particular professional
secrecy;
(j) processing is necessary for archiving purposes in the public interest, scientific or
historical research purposes or statistical purposes in accordance with Article 89(1)
based on Union or Member State law which shall be proportionate to the aim pursued,
respect the essence of the right to data protection and provide for suitable and specific
measures to safeguard the fundamental rights and the interests of the data subject.
- Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies.
- Member States may maintain or introduce further conditions, including limitations, with
regard to the processing of genetic data, biometric data or data concerning health.
**********************************************************L**********************
Copyright © 2006-2021 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
