ワシントン州議会はプライバシー法案を通過期限に間に合わなかったが、「漏えい通知法」の改正に関しては合意に達した

　ワシントン州議会の「プライバシー保護法案(SB 5376)(以下「WPA」という)」の審議は2019年4月に州議会委下院で行き詰まり、2020年の立法セッションの議論のため再び登場することはないであろう、という筆者ブログをさる4月23日に掲載した。 

　予想したとおり、同法案(WPA)は圧倒的支持により上院を通過したが、州議会の議員が予算に関連しない事項を検討するための2019年4月17日の期限前に下院で議決権を行使できなかった。この採決の遅れは、顔認識技術の規制や潜在的な法執行メカニズムなどの重要な問題についてのコンセンサスが得られなかったから生じたように思われる。

　さる5月8日、筆者の手もとにCovington & Burling LLP「ワシントン州議会の議員はプライバシー法案を通過期限に間に合わなかったが、「漏えい通知法」の改正に関しては合意に達した」というブログが届いた。また、5月9日には Hunton Andrews Kurth LLP「Washington Amends Data Breach Notification Law」が届いた。(後者のほうが内容は詳しい)

 　2019年5月7日に、ワシントン州知事ジェイ・ロバート・インスレー(Jay Robert Inslee) (筆者注1)は、ワシントン州の「データ漏洩通知法を改正する法案（ HB 1071 ）」に署名した。

Governor:Jay Inslee

　今回のブログは、これらブログをもとに今回可決した漏えい通知義務法の改正概要を仮訳し、紹介することとする。

１．ワシントン州議会の上下院での情報保護法及び漏えい通知義務法改正案の採決結果

　もし下院が法案を可決したならば、ワシントン州は重要なプライバシー法を制定した米国で2番目の州になったであろう。ＥＵの「一般データ保護規則 (GDPR)」をいくつかの点を反映したこの法案は、データ主体たる消費者のアクセス、修正、削除の権利を与え、対象となる事業につき、開示とリスク評価の義務を課すものである。

　ワシントン州の議員は同州のプライバシー保護法を可決については失敗したが、一方、彼らはワシントン州の漏えい通知義務を拡大する改正法案については合意に達した。上院(委員会：Senate Environment, Energy & Technology Committee)と下院(委員会：House Innovation, Technology & Economic Development Committee)は、4月後半にそれぞれの本会議で法案を可決した。(筆者注2)

　新しい要件には以下が含まれる。

(1) 「個人情報の定義」を拡大

　 HB 1071では、「個人情報」の定義を拡張した。ワシントンの違反通知法では、個人情報を、1)個人の社会保障番号、州民識別カード番号と組み合わせ姓名、2)個人の金融口座へのアクセスを許可するために必要なセキュリティコード、アクセスコード、またはパスワードと組み合わせた金融口座またはクレジットカードまたはデビットカード番号と定義した。

　さらに、HB 1071は、個人の姓名と組み合わせて妥協すると、定義に次のデータ要素を追加した。 

① 完全な生年月日 

② 個人に固有でありかつ電子記録の認証または署名に使用する秘密鍵 

③ 学生またはパスポートの識別番号

④ 健康保険証券番号または健康保険識別番号  

⑤ 消費者の病歴、精神的もしくは体調に関する情報、または医療専門家の消費者の医学的診断または治療に関する情報

⑥ 指紋、声紋、眼の網膜、虹彩などの個人の生物学的特性、または特定の個人を識別するために使用される他の固有の生物学的パターンまたは特性の自動測定によって生成されるバイオメトリック・データ

　また、拡張された個人情報の定義では、データが暗号化または編集されていない場合、あるいはデータによって個人が個人情報のなりすましを可能にする場合、消費者の名前なしでもこれらのデータ要素のいずれかまたはそれらの組み合わせを含む。 

　さらに、拡張された個人情報の定義には「個人の姓名なしで」「オンライン・アカウントへのアクセスを許可するパスワードまたはセキュリティの質問と回答と組み合わせたユーザー名または電子メールアドレス」も含まれるようになった。 

(2) 通知の方法 

　HB 1071は、漏えい内容がユーザー名またはパスワードを含む場合、事業体は電子メールで漏えい通知を提供することができると規定している。そのような通知は、「個人情報が侵害された人に、必要に応じてパスワードとセキュリティに関する質問または回答を即座に変更するか、またはオンラインアカウントを保護するためのその他の適切な措置を取るために通知しなければならない。

　HB1071では、違反が事業者によって提供されたアカウントのログイン認証情報を含む場合、事業者はそのEメールアドレス の通知を提供しないことが規定されている。

(3) 通知に関する追加された内容要件

　HB 1071は、わかった場合、漏えい通知の日付と漏えい発見の日付を含む影響を受ける個人への通知に、関連する個人情報の公開の時間枠を含めることを要求することにより、漏えい通知に必要なコンテンツを拡張する。 

　 さらに、州司法長官への通知（漏えい件数が500人以上のワシントン居住者に影響を与える場合）には、1)違反の影響を受ける個人情報の種類のリスト、2)漏えいされた時間枠（違反の日付を含む）3)違反が発見された日付、4)漏えいを封じ込めるために取られたステップの要約、および5)影響を受けた個人への通知の見本コピーを含む追加の内容を含まなければならない。 

(4) 漏えい通知時期の迅速化 

　HB1071は、該当する場合、影響を受ける個人および司法長官への通知のタイミング要件を45日以内から30日以内に厳格化した。

(5) 規制当局への最新通知義務を更新

　HB 1071は、法律に従って開示することが要求されている情報が通知期限内に不明である場合、該当する場合には、事業体は司法長官に最新の通知を提供しなければならないと規定した。  

２．改正法は、2020年3月1日から施行 

***************************************************

(筆者注1)ジェイ・ロバート・インスレー知事(68歳：民主党)は2020年の大統領選挙に出馬することを正式に表明した。

インズリー氏は1951年シアトル生まれ。5代目のワシントン州民で、イングラハム高校を優秀な成績で卒業し、ワシントン大学で経済学学士号を取得後、ウィラメット大学ロースクールを卒業。弁護士となり、弁護士事務所で市検事を務め、1989年に州議会に初当選。2012年に知事に当選し、2013年から現職。2020年の大統領選挙に民主党の指名獲得を目指して出馬表明したのは、現職の州知事ではインズリー氏が初めて。 

シアトル・タイムズは、「インズリー知事の大統領選に向けた選挙活動は、自身を売り込むのではなく、ワシントン州を売り込んでいる」「ワシントン州はすべてがすばらしい。ただ、あまり細かく見ないこと」と分析する記事を掲載。ワシントン州における銃規制の厳格化、最低賃金の引き上げ、連邦法を上回る保護を提供するとされる育児介護休業法の採用、死刑廃止法案の可決、移民の積極的な受け入れ、企業と労働者の両方からの高い評価などインズリー知事が挙げていることは事実であり、「それにインスリーがどれほど貢献したかは議論の余地がある」としながらも、予備選挙の投票者には高く評価される可能性が高いとしています。( 記事から引用)。

(筆者注2)米国の州議会の法案審議のワシントン州議会公式情報サイトで見ておこう。

　以下の動画サイトによる法案審議経緯などは連邦議会や他州と変わらない。

 

 

　なお、筆者の語学力から見て委員会の動画に加えてtranscriptionsがあるのは助かる。

****************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.