筆者の手元に6月18日付け”Steptoe & Johnson LLP”の解説記事「2021年7月9日、商業・娯楽・小売業・飲食業における生体認証情報の収集と使用に関するニューヨーク市の新しい法律が施行される」が届いた。しかし、新法の内容の解説としては”Nixon Peabody International LLP”の「Biometric Data Restrictions: New York City Today, New York State Tomorrow?」がより詳しい内容である。
したがって、今回のブログは後者の内容を中心に仮訳、補足しながら、解説を試みる。
なお、筆者は2017年8月19日付ブログ「米国で生体認証情報プライバシー法を採択した第三番目の州であるワシントン州の立法内容の検証する 」で詳しく論じている。本ブログと併せて読まれたい。
〇ニューヨーク市行政法典(New York City Administrative Code)(2021年ニューヨーク市行政法第3号:ニューヨーク市行政法典第22-1201条~22-1205条)の制定経緯と施行予定
顔認識等生体認証技術の使用は、小売店や娯楽施設など、さまざまな公共の生活で急速に成長している。このテクノロジーの使用の増加に伴い、その使用によって取得された情報が、それを所有する人々によってどのように保存、共有、および使用されるかについての懸念が高まっている。このような懸念に対処する州の法律立法はこれまでに限定されてはいるが(イリノイ州(筆者注1)、テキサス州(筆者注2)、ワシントン州(筆者注3)には現在そのような法律がある)、ニューヨーク市行政法典(New York City Administrative Code)(2021年ニューヨーク市行政法第3号:ニューヨーク市行政法典第22-1201条~22-1205条)(以下「NYC法」という)にこのほど新たに追加された。
NYC法は2021年7月9日に発効し、ニューヨーク州議会の両院で同様の法律が提案された。
ニューヨーク市内で事業を行い、そのような技術を使用する企業は、NYC法の要求要件に精通することが不可欠であり、ニューヨーク州の他の場所でそのような技術を使用する企業も、それほど遠くない将来に同様の法律の規制対象となる可能性があることに注意することを勧奨する。
以下に示すのは、NYC法の適用範囲と条件についての簡単な要約である。
(1) NYC法はどの事業に適用されるか?
NYC法は、ニューヨーク市内で運営されている「商業施設(commercial establishments)」と呼ばれる場所、つまり娯楽施設、小売店、または飲食店に適用される。「娯楽の場(place of entertainment)」とは、劇場、スタジアム、アリーナ、競馬場、美術館、遊園地、展望台、またはその他のアトラクション、パフォーマンス、コンサート、展示、運動競技やコンテストが開催されるの場所など、個人または公的に所有および運営される娯楽施設のことである。
また「小売店(retail store)」とは、消費者商品が販売、陳列、または販売のために提供される施設、または小売店で消費者にサービスが提供される施設である。
さらに「飲食店(food and drink establishment)」とは、敷地内外、または手押し車、スタンド、車両の内外で消費または使用するために、一般の人々に飲食物を提供または販売する施設をいう。
(2) NYC法の適用対象となる生体認証情報の種類とは何か?
NYC法は、「生体認証情報(biometric identifier information)」に関係する。これは、商業施設によって、または商業施設に代わって、単独でまたは組み合わせて、個人を特定する、または特定を支援するために使用される(i)網膜(a retina)または虹彩スキャン(iris scan)、(ii)指紋または声紋(voiceprint)、(iii)手または顔の形状のスキャン、またはその他の識別特性に限られない生理学的または生物学的特性をいう。
(3) 誰の生体認証情報がNYC法の保護対象になるか?
NYC法には別段の記載がないため(たとえば、市の居住者にのみ適用されると記載されているなど)、住んでいる場所や居住地に関係なく、それらの情報が保持または使用される場所がニューヨーク市内で生体認証情報が収集されている個人に適用されると考えられる。
(4) NYC法はいかなる行為や遵守行為を要求しているか?
NYC法には2つの必要要件を定める。まず、第一に顧客の生体認証識別子情報を収集、保持、変換、保存、または共有する商業施設は、必要に応じてすべての顧客入口の近くに明確で目立つ標識を配置して、そのような収集、保持、変換、保存、または共有を開示する必要がある。この「通知要件」とは、消費者および労働者保護委員会が規定する形式および方法で、わかりやすい簡単な言語により顧客の生体認証識別子情報が必要に応じて収集、保持、変換、保存、または共有されている内容につき開示すべきである。「顧客」とは、商業施設からの商品またはサービスの購入者または借主、あるいは購入予定者または借主のことをいう。
第二に、NYC法は、価値のあるものと引き換えに販売、リース、取引、共有すること、またはその他の方法で生体識別情報の取引から利益を得る(「販売禁止」)行為を違法とした。販売禁止の文言は、関連会社間など、考慮なしに生体認証識別子情報の共有を許可しているように見える。ニューヨーク市外に所在し、ニューヨーク市内の事業体から無料で生体識別子情報を受け取る事業体がNYC法の対象となるかどうかは不明である(たとえば、NYC法は、許可されていれば、そのような譲渡を行うことができる。 NYC法に従ってそのような情報を保持するために、受信者による合意の対象となる必要がある)。
(5) NYC法を施行するための個人の行為としての法執行の権利はあるか?
ある。集団訴訟弁護士にとって肥沃な新しい実務分野であることが証明される可能性があるもの(1人の個人が利用できる損害賠償額が少なく、法的費用を回収する権利と組み合わされている場合)では、NYC法は被害者が苦しんでいる人を規定しています法律に違反することにより、違反当事者に対して彼または彼女自身に代わって訴訟を起こす可能性がある。
通知要件に違反したとして商業施設に対して訴訟を起こす少なくとも30日前に、被害者はそのような人の主張を記載した書面による通知を商業施設に提出しなければならない。 30日以内に、商業施設が違反を是正し、被害者に違反が是正され、それ以上の違反は発生しないという明示的な書面による声明を提供した場合、そのような違反について商業施設に対して訴訟を起こすことはできない。
商業施設が引き続き通知要件の細分化に違反している場合、被害者はそのような施設に対して訴訟を起こすことができる。販売禁止の違反を主張する訴訟については、事前の書面による通知は必要ない。
また、勝訴した当事者は、通知要件の違反および販売禁止の過失違反ごとに500ドルの損害賠償、販売禁止の意図的または無謀な違反ごとに5,000ドルの損害賠償、および違反に関しては合理的な弁護士費用、専門家に証人費用およびその他の訴訟費用を含む費用を回収することができる。
さらに、裁判所は、差し止めによる救済および適切とみなされるその他の救済を与える場合がありうる。
(6) 適用上の例外はあるか?
ある。
第一に、NYC法は、政府機関、従業員、または代理人による生体認証ID情報の収集、保存、共有、または使用には適用されない。
第二に、通知要件義務は、銀行、信託会社、国法銀行、貯蓄銀行、連邦相互貯蓄銀行、貯蓄貸付組合(savings and loan association)、連邦貯蓄貸付組合(federal savings and loan association)、連邦相互貯蓄貸付組合( mutual federal savings and loan association),信用組合、連邦信用組合、外国銀行の支店、公的年金基金、退職金制度、証券ブローカー、証券ディーラーまたは証券会社として定義されている金融機関には適用されない。「金融機関」という用語には、顧客への商品やサービスの小売販売を主な事業とし、クレジットカードの発行や自動車などのディーラーなど、顧客への店内融資などの限定的な金融サービスを提供する商業施設は含まれない。ただし、販売禁止は金融機関にも適用されるので留意されたい。
第三に、次の場合において、通知要件は写真またはビデオ録画を通じて収集された生体識別情報には適用されない。(i)収集された画像またはビデオが、以下に基づいて個人を識別する、または識別を支援するソフトウェアまたはアプリケーションによって生理学的または生物学的特性が分析されない場合。、および(ii)画像またはビデオは、法執行機関以外の第三者と共有、販売、またはリースされていない場合。この例外により、たとえば、通知要件に準拠する必要なしに、店舗内のセキュリティカメラを継続して使用できる(前記(4)の2つの要求要件が満たされていることを前提とする)。
************************************************************************************************
(筆者注1) イリノイ州法
(740 ILCS 14/) Biometric Information Privacy Act.
(筆者注2) テキサス州法
BUSINESS AND COMMERCE CODE
TITLE 11. PERSONAL IDENTITY INFORMATION
SUBTITLE A. IDENTIFYING INFORMATION
CHAPTER 503. BIOMETRIC IDENTIFIERS
(筆者注3)ワシントン州法
Chapter 19.375 RCW
BIOMETRIC IDENTIFIERS
************************************************************************:
【DONATE(ご寄付)のお願い】
本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。
◆みずほ銀行 船橋支店(店番号 282)
◆普通預金 1631308
◆アシダ マサル
◆メールアドレス:mashida9.jp@gmail.com
【本ブログのブログとしての特性】
1.100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。
2.本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。
このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。
3.上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。
このような経験を踏まえデータの入手日から最短で1~2日以内にアップすることが可能となった。
なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。
本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。
4.他にない本ブログの特性:すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。
その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。
他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。
5.内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。
【有料会員制の検討】
関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。
Civilian Watchdog in Japan & Financial and Social System of Information Security 代表
********************************************************************************************************
Copyright © 2006-2021 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます