筆者の手元に、Squire Patton Boggs (US) LLPの弁護士レポート「イリノイ州生体情報プライバシー法(Biometric Information Privacy Act (740 ILCS 14/)「BIPA」(2008年10月3日施行)の適用範囲に関する解釈決定があった」旨の情報が入った。簡単にいうと被告たる大学は実質的に金融機関であるというものである。
わが国では、イリノイ州生体情報プライバシー法(BIPA)に関する特徴につき、「生体特定要素」に「顔の形状」が含まれるとして、顔データの収集につき事前の同意を必要とし、第三者への生体データの販売を制限している。BIPAはティサス州やワシントン州の生体情報規制法と異なり、私人が訴訟を提起する権利を付与していることで有名であり、これをもとに何百ものクラス・アクションが提起されているという解説例がある。
また、BIPAは米国の州で最も厳しく、民間企業が顔写真や指紋、手のひら、目、声といった生体認証データを保存するには、同意書を得る必要がある。
これらの関係で2021.3.1のCNET Japan記事は「Facebookが顔認識技術をめぐってイリノイ州で提訴されていた件で、James Donato判事は米国時間2月26日、和解案を承認した。和解の条件は、Facebookが許可を得ずに生体認証情報を生成し保存したとされるユーザーに対し、6億5000万ドル(約910億円)を支払うというもので、同判事によるとプライバシー関連訴訟で最大級の和解金額になる」と紹介している。
今回のブログは、(1)パウエル事件の詳細、(2)その背景にあるBIPAの規定内容、(3)はたして金融機関のプライバシー管理の根拠と金融制度改革法である「1999 年連邦グラム・リーチ・ブライリー法(federal Gramm-Leach-Bliley Act of 1999)」の第 V 編(注1)( 注2)における「金融機関」の定義を定めるFTCガイダンスの内容から見たパウエル決定の問題点等につき、筆者なりに試論を試みるものである。
1.Squire Patton Boggs (US) LLPの弁護士レポートの仮訳
(1)金融機関適用裁判の要旨
ほぼ4年間、われら事務所の弁護士は、裁判所が許可する限り、イリノイ州生体情報プライバシー法(BIPA)の外延の境界を拡大するための執拗な探求を続けてきた。この期間中、多くの被告はBIPAクラス請求の却下の調達に苦労してきた。
しかし、1つの特定の防御は、生体認証プライバシー・クラス・アクションに従事する企業にとって非常に堅牢なツールに発展した。すなわちBIPAの「金融機関」適用免除規定である。その名前が示すことに反して、この事業体レベルのカーブアウトの利点は、従来の銀行や金融機関をはるかに超えたさまざまな事業体にまで及ぶ。イリノイ州北部地区の連邦地方裁判所が発行した最近のBIPAに関する決定は、適用免除の範囲が拡大していることを示しており、生体認証プライバシーのクラス・アクションの出現が増え続けているときに、被告がBIPAの主張に対して、そして完全な敗北に対して防御するためのいくつかの重要なポイントを提供するものといえる。
(2)パウエル事件の裁判所決定の内容
2022年11月4日、イリノイ州東部地区連邦地方裁判所は、教育用生体認証プライバシー事件である(原告)パウエル対(被告)デポール大学(DePaul Univ)、No. 21-C-3001、2022 U.S. Dist. LEXIS 201296(ND Ill. Nov. 4, 2022)を、関係する被告たる大学が金融機関であり、イリノイ州生体認証情報プライバシー法(BIPA)の遵守を明確に適用免除している(注3)という直感的でない結論に基づいて却下した。
パウエル決定では、原告たる学生がイリノイ州裁判所で被告(大学)に対して「暫定のクラス・アクション(putative class action)」(注4)を起こし、遠隔学習者が学生の生体認証データ(とりわけ顔認識および検出データを含む)を学生に開示せずにキャプチャ、保存、および配布することにより、BIPAに違反したと主張した。 同意を得るか、データをどのように破棄するかを通知する義務があると主張した。
これに対し、被告は、イリノイ州北部地区の連邦地方裁判所に訴訟を取り下げ、連邦民事訴訟規則12(b)(6)に基づく請求を述べなかったとして訴訟を却下するように動いた。被告は、1999年のグラム・リーチ・ブライリー法(GLBA)の第Ⅴ編の対象となる金融機関であり、その結果、BIPAから免除されているため、この却下は適切であると主張した。
2008年に制定されたイリノイ州BIPAは、民間団体による生体認証識別子の収集、使用、保護、取り扱い、保管、保持、および破壊行為を制限し、私的訴訟権を規定し、さらにイリノイ州の住民が民間団体に対して訴訟を起こすことを可能にするとともに法違反に対し損害賠償を認める。
BIPA の下では、生体認証情報を収集する民間団体は、「書面によるポリシーを作成し、一般に公開して、生体認証識別子および生体認証情報を収集または取得する当初の目的が失われた場合に、満足しているかまたは個人が民間団体と最後にやり取りしてから 3 年以内のいずれか早い方において生体認証識別子および生体認証情報を永久に破棄するための保持スケジュールとガイドラインを確立する必要」がある。
BIPAは、民間企業が最初に、その人の生体認証識別子、およびそのような情報を収集および保存する目的と長さを収集、取得、購入、取引を通じて受け取る、またはその他の方法で取得することを書面で通知し、次にその人のインフォームド書面による同意を得ることを要求する。ただし、BIPAは、GLBAのタイトルVおよびその報告基準にすでに適用されている金融機関またはその関連会社をその範囲から明確に免除している。GLBAの定義では、金融機関とは、「その事業が金融活動に従事している機関」である。
この場合、裁判所は、被告が「連邦学生援助プログラムに参加し、消費者に直接融資を提供している」ため、そのような機関であると認定した。その結果、裁判所は、被告はBIPAの遵守を免除されるべきであると判断した。
その決定に到達するために、裁判所はこの問題に関する規制当局と司法当局を徹底的に検討した。具体的には、裁判所は連邦取引委員会(FTC)に依拠し、「消費者への資金貸付に著しく関与している」大学をGLBAの第V編の対象となる金融機関と見なしていると指摘した。
その後、裁判所は、2020年に発行された連邦教育省(DOE)の公的ガイダンスを検討し、DOEは「GLBAは金融機関に情報プライバシー保護を要求し、FTCは要件の執行権限を持ち、高等教育機関は...GLBA傘下の金融機関である」とした。
裁判所はさらに、「金融活動に著しく関与している」大学を金融機関と見なす消費者金融保護局(CFPB)のプライバシー・ルールに依存した。(注5)
最後に、裁判所は、この訴訟と同様の状況に関する5つの以前の判決を検討し、そのすべてが、「学生ローンの作成や管理などの財務活動に大きく関与している」高等教育機関に適用されるBIPA適用免除を検討した。
これらの分析的根拠により、裁判所は訴訟の事実に目を向け、司法通知の下で、他の公開されている文書の中でもとりわけ、被告のDOEとの参加契約を取りました。文書は、被告が連邦学生援助プログラムに参加し、学生への直接ローンを管理していることを明らかにしました。GLBAの定義では、これらの機能は被告を金融機関であると認定し、同裁判所は訴訟を却下した。
(3)このパウエル決定の分析と持ち帰り課題
今回のBIPAの金融機関としての適用免除は、従来の金融機関の範囲をはるかに超えている。
パウエル判決からの重要なポイントは、民間企業は、たとえその事業がこの言葉の伝統的な意味での金融機関の事業でなくても、金融機関の免除に基づくBIPAの要件の遵守を免除される可能性があるということである。BIPAの免除規定は非常に広範であり、高等教育機関でさえ、連邦学生援助プログラムに参加し、学生へのローンを管理する場合、BIPAの遵守から免除されるといえる。
より広い観点から、GLBAのプライバシー関連要件(一般に金融プライバシー規則として知られている)の対象となる事業体は、BIPAクラス訴訟における完全な防御として免除を利用する権利がある。この問題に関して、裁判所は、BIPAの文脈で適用される「金融機関」の適切な定義は、この用語のコモンローの意味とは対照的に、GLBAが規制する事業体を説明するためにGLBAに記載されているものであると一致しているとする。
GLBAに基づく金融機関の定義は非常に広く、貸付、交換、譲渡、他者への投資、金銭や証券の保護などの金融活動に従事している機関を網羅しているため、これはBIPAによる責任追及の増加に直面している金融、投資、または経済アドバイザリーサービスとりわけ、証券の引受、取引、または市場の作成等を提供する被告にとって重要な問題である。
金融機関免除に基づく却下を求める申立てが、十分なケース固有の証拠によって裏付けられていることを確認する
そうは言っても、BIPA訴訟に巻き込まれた被告は、GLBA規制対象事業体であるという理由だけでクラス・アクションから適用免除を調達することはできない。代わりに、被告はこの免除を行使する資格を明確に確立できなければならない。この作業は、裁判官が動議の判決を下す際に考慮できる証拠の範囲が縮小されるため早期の却下申立ての追求に関連して特に重要である。
パウエル判決文に示されているように、この決定は大学は、GLBAコンプライアンスを必要とする連邦学生援助プログラムへの参加を示す司法的に目立つ文書を添付することにより、免除の申し立てを支持した。裁判所は、この証拠がGLBAの意味の範囲内で金融機関としての大学の地位を確立し、その結果、GLBAに対して提起されたBIPA請求の却下が必要になったと判断したといえる。
そのため、金融機関免除の下での金融機関としての地位に基づいてBIPA訴訟の却下を求める者は、訴訟の最終的な終了を求める申し立てで有利な結果が得られる可能性を最大化するため、BIPAの金融機関免除が被告が従事する特定の活動に特に適用されると裁判所が結論付けるのに十分な証拠で申し立てが適切に裏付けられていることを確認する必要がある。
2.パウエル決定の問題点と課題に関する筆者の持論
筆者は改めて適用除外規定に問題だけでなく、教育機関のGLBAやFTCのコンプライアンス・ガイドの内容を検証した。
(1) GLBAにおける「金融機関」の意義
GLBAにおける「金融機関」とは?から抜粋、仮訳する。
GLBA は、「金融機関」を、金融商品またはサービス (ローン、金融または投資のアドバイス、保険など) を個々の消費者または顧客に提供することに「大きく関与している」企業と定義している。
GLBA は、これらの組織とその「関連会社」の両方に適用される。これは、金融機関から消費者の財務情報を受け取る任意の事業者として定義される。
以下のあらゆる形態と規模の幅広いビジネスがこのカテゴリに該当する。
・銀行
・銀行以外の住宅ローンの貸し手
・ローン・ブローカー
・一部の金融または投資アドバイザー
・債権回収業者
・納税申告書作成者
・不動産決済代行業者および鑑定士
・単純な金融機関や、顧客や消費者から NPI を直接収集する機関に加えて、金
融機関から消費者の財務情報を受け取る事業者も、金融プライバシー規則 (GLBA の 3 部構成のセクション) に基づく制限に直面する可能性がある。
(2) 米国連邦取引委員会 (FTC)の説明
「グラム・リーチ・ブライリー法の消費者財務情報のプライバシー規則を遵守する方法」から以下、抜粋、仮訳する。
あなたは「金融機関」か?
プライバシー ・ルールは、銀行持株会社法のセクション 4(k) に記載されているように、「金融活動」に「大きく関与している」企業に適用される。あなたの活動は、あなたがプライバシー規則の下で「金融機関」であるかどうかを決定する。連邦準備制度理事会(FRB)によって確立された銀行持株会社法の条項および規則によると、「金融活動」には次のものが含まれる。
・貸付け(lending)、両替(exchanging)、送金(transferring)、他人への投資、または金銭や証券の保護。これらの活動には、貸し手、小切手換金業者(check cashers)(注6)、電信送金サービス、マネー・オーダー(注7)の売り手が提供するサービスが含まれる。
・金融、投資、または経済に関する助言サービスの提供。これらの活動には、与信カウンセラー(credit counselors )(注8)、ファイナンシャル プランナー、税理士、会計士、投資顧問が提供するサービスが含まれる。
・ローンの仲介(brokering loans)
・ローンの返済(servicing loans)(注9)
・債権回収(debt collecting)
・不動産決済サービスの提供。
・キャリアー・カウンセリング(金融サービス業界での就職を希望する個人宛て)。(注10)
これらの例は、金融活動に関するセクション 4(k) の規定と規制から引用されている
プライバシー ルールの下では、金融活動に「かなり関与している」機関のみが金融機関と見なされる。財務活動のすべての事実と状況を考慮して、そのような活動に「かなり関与」しているかどうかを判断する必要がある。FTC の「重大な関与」基準は、プライバシー ・ルールに該当する可能性のある特定の活動を除外することを目的としている。あなたが金融活動に「かなり関与している」かどうかを判断するには、2 つの要因が特に重要である。
まず、第一に正式な取り決めはあるか?顧客のために「タブを実行する」店主またはバーテンダーは、財務活動に大きく関与しているとは見なされない。しかし、独自のクレジット カードを発行して消費者に直接クレジットを提供する小売業者は対象となる。
第二に、企業はどのくらいの頻度で金融活動に従事しているか? 一部の消費者が一時的な取り置きプランを通じて支払いを行えるようにする小売業者は、金融活動に「大きく関与」していない。これと対照的に、定期的に消費者との間でお金をやり取りするビジネスは、金融活動に大きく関わっていることになる。
(3)金融機関はBIPAの適用除外となる一方で、金融機関としてのGLBAやFTCガイダンスなどに基づくプライバシー保護コンプライアンス義務が生じる点を忘れてはならない。
例えば、「FTC セーフガードルール: 事業者が知っておくべきこと」をチェックすべきである。内容を概観すべく一部抜粋のうえ、仮訳する。
連邦取引委員会の「顧客情報保護基準(略してセーフガード・ルール)」 の目的は、規則の対象となる事業体が顧客情報のセキュリティを保護するための保護手段を維持することを保証することである。セーフガード・ ルールは 2003 年に発効したが、パブリック コメントの後、FTC は 2021 年にルールを修正して、ルールが現在の技術と歩調を合わせられるようにした。元のセーフガード規則の柔軟性を維持しながら、改訂された規則は企業により具体的なガイダンスを提供する。これは、対象となるすべての企業が実装する必要がある主要なデータ セキュリティ原則を反映している。
セーフガード・ルールは、FTCの管轄下にあり、グラム・リーチ・ブライリー法第505条、15 U.S.C. § 6805に基づく別の規制当局の執行権限の対象とならない金融機関に適用される。第314.1(b)条によると、事業体は「本質的に金融的」な活動に従事している場合、または「1956年の銀行持株会社法のセクション4(k)に記載されている金融活動に付随する」場合は、12 U.S.C§1843(k)参照」
あなたのビジネスがセーフガードルールの対象となる金融機関であるかどうかをどうやって知るのか?
まず、ルールは、人々が会話でそのフレーズを使用する方法よりも広い方法で「金融機関」を定義していることを考慮すべきである。さらに、重要なのはあなたのビジネスが行う活動の種類であり、あなたや他の人があなたの会社をどのように分類するかではない。
あなたの会社がカバーされているかどうかを判断するのを助けるために、ルールの第314.2(h)条は、住宅ローンの貸し手、給料日貸し手、金融会社、住宅ローン・ブローカー、アカウント・サービサー、小切手換金業者、電信送金業者、債権回収機関、クレジット・カウンセラーなど、規則の下で金融機関である事業者の種類の13の例をリストしている。
SECに登録する必要のないファイナンシャル・アドバイザー、税務準備会社、非連邦保険の信用組合、および投資アドバイザー。セーフガード規則の2021年の改正により、金融機関の新しい例であるファインダーが追加された。これらは、買い手と売り手を結びつけ、当事者自身が交渉して取引を完了する企業である。
ルールの第314.2(h)条には、「金融機関」ではないビジネスの4つの例がリストされている。さらに、FTCは、「5,000人未満の消費者に関する顧客情報を維持する」規則の特定の規定を免除している。
ここにあなたのビジネスのためのもう一つの重要な考慮事項がある。あなたの会社が元の規則でカバーされていなかったとしても、あなたの事業運営はおそらく過去20年間で大きな変革を遂げた。業務が進化するにつれて、金融機関の定義を定期的に参照して、ビジネスを今すぐカバーできるかどうかを確認する必要がある。
セーフガード・ルールは企業に何をすることを要求しているか?
セーフガード・ルールは、対象となる金融機関に、顧客情報を保護するために設計された管理上、技術上、および物理的な保護手段を備えた情報セキュリティ・プログラムを開発、実装、および維持することを要求している。この規則では、顧客情報を「金融機関の顧客に関する非公開の個人情報を含む記録を、紙、電子、またはその他の形式を問わず、顧客または顧客の関連会社によって、またはお客様に代わって処理または維持されるもの」と定義している。(第314.2(l)条の「非公開個人情報」では、何が含まれているか、何が含まれていないかについて詳しく説明している。このルールは、顧客自身の顧客に関する情報、およびそのデータを提供した他の金融機関の顧客に関する情報を対象としている。
この情報セキュリティ・プログラムは、ビジネスの規模と複雑さ、活動の性質と範囲、および問題の情報の機密性に適したものでなければならない。あなたの会社のプログラムの目的は次のとおりである。
①顧客情報のセキュリティと機密性を確保するため。
②その情報のセキュリティまたは完全性に対する予想される脅威または危険から保護するため。
③顧客に重大な危害または不便をもたらす可能性のある情報への不正アクセスから保護するため。
**************************************************************
(注1) 1999年11月12日、 クリントン大統領は 「グラム・リーチ・ブライリー法」 (Gramm-LeachBliley Act [P.L.106-102, 113 STAT.1338]) に署名し、 「1933年銀行法」 (グラス・スティーガル法。Glass-Steagall Act [P.L. 73-66, 48 STAT. 162])の下で66年間継続してきた米国の金融制度は大転換を完了した。 グラム・リーチ・ブライリー法の成立により、 従来原則的に禁止されてきた銀行業務と証券業務の兼営が認められ、 米国の金融制度を長く制約してきた三つの規制 (預金金利規制、 地理的業務規制、 業務範囲規制) が全て自由化されたからである。
(注2) グラム・ リーチ ・ブライリー法 (GLBA) は、金融機関に適用される法律であり、消費者の財務データを保護するために設計されたプライバシーおよび情報セキュリティの規定が含まれている。この法律は、高等教育機関が個人を特定できる情報を含む学生の財務記録 (授業料の支払いや財政援助に関する記録など) を収集、保存、および使用する方法に適用される。GLBA 規制には、プライバシー規則 (16 CFR 313) とセーフガード規則 (16 CFR 314) の両方が含まれており、どちらも高等教育機関に対して連邦取引委員会 (FTC) によって施行されている。カレッジや大学は、Family Educational Rights and Privacy Act (FERPA) に準拠している場合、GLBA プライバシー規則に準拠していると見なされる。セーフガード規則は 2002 年に公布され、2003 年 5 月に遵守が義務付けられた。(解説を一部抜粋、仮訳した)
(注3) 金融機関の適用除外規定を具体的に引用、仮訳する。
(740 ILCS 14/) Biometric Information Privacy Act.
Sec. 25. Construction.
・・・・・・
(c) Nothing in this Act shall be deemed to apply in any manner to a financial institution or an affiliate of a financial institution that is subject to Title V of the federal Gramm-Leach-Bliley Act of 1999 and the rules promulgated thereunder.
この法律のいかなる内容も、1999 年連邦グラム・リーチ・ブライリー法の第 V 編およびそれに基づいて公布された規則の対象となる金融機関または金融機関の関連会社に、いかなる形であれ適用されるとは見なされないものとする。
(注4) 筆者ブログの(注3)で「暫定クラスアクション(putative class action)」の説明として、弁護士・ニューヨーク州弁護士 宇野 伸太郎氏の解説「クラスアクション承認基準を厳格化する米国連邦最高裁判決と日本への示唆」から一部抜粋した。
(注5) Squire Patton Boggs (US) LLPの弁護士レポートにある「金融活動に著しく関与している」大学を金融機関と見なす消費者金融保護局(CFPB)のプライバシー・ルールに依存したという以下の説明の根拠は具体的に見いだせなかった。
The Court additionally relied on the privacy rules of the Consumer Financial Protection Bureau (CFPB), which considers universities that are “significantly engaged in financial activities” to be financial institutions.
(注6) Cashier’s Check 銀行振出小切手。銀行で、この小切手を組んでもらう段階で、自分の口座からお金が引き出され、そのお金を銀行が担保する形である。そのため、不動産決済に利用できる等信用力がある。
(注7) Money orderは小切手と似ているがスーパーマーケットやコンビニエンス・ストアでお金を出して買うものである。受け取る側にとっては小切手だと振り出した人の口座にお金がなければ取り立て不能になる可能性があるのに対してマネーオーダーなら不渡りの心配がないので安心という利点がある。
類似のものにCasher's Checkがあるが、これは銀行で作ることが出来る小切手で作成の時点で口座からお金が引き落とされるのでやはり不渡りの心配がない。郵便局で作るPostal Money Orderも類似のもので送金小切手と訳される。
いずれも紛失すると再発行が不能なので注意されたい。
Money Orderが必要なら大手のスーパーマーケットやセブンイレブンの様なコンビニのレジでMoney Orderを作りたいと言えば作れる。料金はせいぜい1ドルぐらいである。
(注8) クレジット・カウンセラーは、信用度の向上、債務の返済、担保付きローンと無担保ローンの取得、および債務を処理するためのオプションのレイアウトに関するアドバイス、「債務管理計画」等を提供する。またクレジット・カウンセラーは、健全な消費習慣とお金の管理スキルを教えるための教材、コース、またはセミナーなども提供する。(CFPBの解説などから抜粋、仮訳した)
(注9) ローン・サービシングとは、企業 (住宅ローン銀行、サービシング会社など) が借り手から利息、元本、およびエスクローの支払いを回収するプロセスをいう。米国では、住宅ローンの大部分は、 Fannie Mae、Freddie Mac、またはGinnie Mae (連邦住宅局(FHA) によって保証されたローンまたは保証されたローンを購入する) による購入を通じて、政府または政府支援事業体 (GSE) によって支えられている。(Wikipediaから引用、仮訳した )
(注10) キャリア・カウンセリングは、人々が適切な専門職の道を見つけるのを助けるように設計されたサービスである。「キャリア・・・コーチ」または「ジョブ・コーチ」とも呼ばれるキャリア・カウンセラーは、さまざまな分野、背景、経験レベルの専門家にガイダンスを提供する。
キャリア・ カウンセラーのクライアントは、進行中の就職活動に関するアドバイス、中途の業界の変化に関する展望、または一般的な専門能力開発に関するガイダンスを求めることができる。キャリア カウンセラーの役割は、クライアントが自分の選択肢を理解し、挑戦的な職業上の決定を評価するのを助けることである。
また、キャリア・ カウンセラーは、リソースを提供し、テストを管理し、優れた仕事を確保するための戦術を推奨することで、専門家をサポートする。(Indeedの解説から一部抜粋、仮訳した)
*************************************************************************
Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます