3月6日、ワシントン州の「プライバシー保護法案(SB 5376)(以下「WPA」という)」は、賛成46、反対 1の投票でワシントン議会上院を通過した(2人の議員は退席、棄権)。その通過に先立って、上院は、法律のいくつかのより厄介な規定から企業にとって重要な救済を提供するであろう重要な法案改訂と明確化をふまえ採択した。
テクノロジー業界からの支援およびこのような上院議会でのほぼ全会一致の支援にもかかわらず、”SB 5367”は、現在の立法会議である4月17日の期限までにワシントン議会を通過できなかったために消滅した。ワシントン州政府の完全な民主的統制に照らして確かなことだと多くの人が考えているこの法案は、顔認識(facial recognition)に関する保護義務の強化を含む消費者のプライバシーの向上を目的とした大幅な改正が下院で提案された後、先に進めなくなった。
このような書き出しのブログ「ワシントン州のプライバシー保護法が上院をクリア」および「ワシントン州議会はプライバシー法の制定に失敗 」という2つのブログを読んで筆者はより本格的なブログを探した。しかし、5本位のブログを見出したが、その内容は一長一短であったため、筆者独自にそれらを統合した独自の原稿を作成すべく挑戦を試みた。
いずれにしても、(1)法案の検討推移(下院での審議の渋滞理由)、(2)法案の詳細情報、(3)GDPRとの比較、(4)カリフォルニア州やイリノイ州など他州の既存および最近時に出されている法案との比較など検討課題をすべて網羅してはいないとは思えるが、筆者が今後取組みたいと考えている米国の州立法の研究の一環として取りまとめてみた。
1.法案の概要
(1)WPAの下での事業者の義務
WPAはGDPRから管理者および処理者のて定義を借用し、これらの各役割の義務を識別する。すなわち 「管理者」は個人データの処理の目的と手段を決定し、また「処理者」は管理者に代わって個人データを収集、使用、保存、開示、分析、削除、または修正すると定める。
同法案が可決、署名、成立した場合、WPAは管理者に対して以下のことを確認すべき要求を円滑に進めるよう要求することになる。
① 消費者の個人データが処理されているかどうかを確認し、そのような個人データへの主体のアクセス権を提供する。
② 不正確な消費者の個人データを修正する。
③ 例外が適用されない場合は、消費者の個人データを削除する。
④ 個人データの処理目的を制限する。
⑤ 機種やOSに関係なく、どのパソコンでも読める文書閲覧ファイル・フォーマットで消費者に彼らの個人データを提供する。
(3) WPAは顔認識技術の特定の用途に追加の制限を課す。
顔認識サービスを提供する処理者は、個人または消費者グループを違法に差別するために、管理者がそのようなサービスを使用することを契約上禁止する必要がある。さらに、管理者は、一般に公開されている施設内に顔認識技術を展開する前に、消費者の「同意」を得なければならない。管理者がこれらの施設内に目立つ通知を投稿した場合、「同意」が暗示したとされる可能性がある。
(4)WPAの適用範囲と実施
WPAは、ワシントンで事業を営む企業、またはワシントンの居住者を対象とした製品またはサービスを生産する企業で以下のいずれかの条件に合う企業に適用される。
① 少なくとも10万人のワシントンの消費者の個人データを処理または管理する企業。
② 総収入の50パーセントを個人データの販売から得る企業で、少なくとも25,000人のワシントンの消費者の個人データを処理または管理する企業。
そこにいう「個人データ」とは、識別されていないデータおよび連邦、州、または地方自治体の記録から公的に入手可能な情報を除いて、識別された、または識別可能な自然人に関するあらゆる情報を意味する。そして、カリフォルニア州の消費者個人データ保護法(「CCPA」)と同様に、WPAの下の「消費者」には、州の居住者である自然人が含まれる。しかし、CCPAとは異なり、WPAは商業的または雇用的状況で行動する自然人を明確に除外する。
(5) 公訴権と罰金額
WPAは個人消費者のために私的な公訴権を認めるのではなく、州司法長官に影響を受けたワシントン州民の名義で訴訟を起こす権利を与える。 この法律に違反した企業は、違反を矯正するために30日間の猶予期間を与え、また1違反ごとに2500ドル(約278,000円)の民事罰、または意図的であると判明した1違反ごとに7,500ドル(約833,000円)の民事罰が科せられる。
2.州議会上院での法案修正の概要
改訂された法案は、消費者の権利とリスク評価(risk assessments)の両方の想定される要件に重要な制限と明確化を課している。要するに、「業務目的」のために処理されたデータは削除の対象から除外され、そのような処理活動は推定上許容される。 重要な点は、修正された法案は依然として私的な公訴権を認めておらず、州司法長官に違反の疑いがあることを通知し、企業に法執行措置をとる前に是正を命じる機会を与えることを要求している。
(1) 削除要求の例外となる「ビジネス目的」の定義
ワシントン州プライバシー法案が最初に提案された段階では、消費者の権利とGDPRに含まれるものと同様の例外を規定していた。しかし、 改訂された法案では、データが特定のビジネス目的で処理される場合、事業者に対する「削除」要件に追加の例外が導入されている。主にCCPA(筆者注1)から内容を借りて、同法案は次のように「ビジネス目的」を定義する。
「ビジネス目的」とは、個人データの処理が合理的に必要かつ個人データが収集された業務目的を達成するために比例している必要がある場合を除き、コントローラーまたはそのプロセッサの業務上の目的またはその他の通知目的での個人データが収集された状況と互換性のある処理済みまたはその他の運用目的のため個人データの処理を意味する。 その「ビジネス目的」とは次のとおりである。
(a)広告インプレッション(ad imipressions) (筆者注2) のカウント、広告インプレッションのポジショニングおよび品質の検証、ならびにこの仕様および他の規格への準拠の監査を含むがこれらに限定されない、消費者との現在のやり取りおよび同時トランザクション(concurrent transactions)に関連する監査を行う場合。
(b)セキュリティ・インシデントを検出し、悪意のある、詐欺的、詐欺的、または違法な活動から保護し、その活動の責任者を起訴する場合。
(c)既存の機能または意図された機能を損なうエラーを識別して修復する場合。
(d)個人データが他の第三者に開示されず、消費者に関するプロファイルを作成したり、その他の方法で現在のやりとり以外で個人の消費者の経験を変更したりするために使用されない場合で、同じ特性付けの一部として表示される広告の状況に応じたカスタマイズ化時に限定されない。
(e)アカウントの保守または提供、顧客サービスの提供、注文および取引の処理または履行、顧客情報の確認、支払いの処理、または資金提供する場合。
(f)技術開発のための内部調査を実施する場合。
(g)消費者の身元を認証する場合。
(2) 事業者(ビジネス)がデータを保持し処理するというビジネス目的を持っている場合の継続処理および削除義務
改訂された法案は様々な状況下で消費者データを削除する義務から事業者を免除することになろう。例えば、当該処理が「同意」を必要とし、消費者が「同意」を撤回する場合、その事業にその目的があるのであれば、事業はそのデータを処理し続けることができる。 同様に、消費者が処理に異議を唱えた場合、「(A)管理者、個人データを処理している消費者または処理が必要な公衆のために個人データを処理するビジネス上の目的がない場合、 または(B)ターゲット広告向けの処理として処理につき事業者はデータを削除しなければならない。
(3) 事業者によるリスク・アセスメントの重要性
事業者が事業目的でデータを処理しているかどうかは、リスクアセスメントが実施されるときの処理の許容性の評価において重要な役割を果たすであろう。 ワシントン州プライバシー法の下では、企業は、評価が以前に実施されていなかった処理活動、および処理活動が「消費者に対するリスクを大幅に増大させる」ように変化した場合に、リスク評価を実施しなければならない。この評価は、「消費者に対するプライバシーへの危害の潜在的なリスクが大きく、管理者の利益を上回る」と判断した場合、消費者の同意がある場合、または免除(契約を履行するための処理など)の場合にのみ許可される。。消費者の重大な利益を保護するため、またはセキュリティ・インシデントを検出して対応するために、消費者が適用されます。 改訂法案の下では、事業目的の処理は、以下の場合を除き、推定上許容される。
①この処理には、人種または民族の血統、宗教的信条、精神的または身体的健康状態または診断結果、性生活または性的指向、遺伝またはバイオメトリックデータ、または子供に関するデータを明らかにする個人データとして定義される機密データが含まれる。
② 適切な管理上および技術上の保護手段を使用しても、処理のリスクを軽減することはできない.場合
(4) プロファイリング の開示義務
最初に提案された法案では、処理が消費者との契約の実行に必要で、法律の下で許容される場合または消費者の同意に基づく場合を除き、プロファイリングに基づいて消費者に関する重要な決定を下すことができないとされていた。 さらに、当初の法案では、企業がデータの取得と同時に、またはデータを取得する前に、プロファイリングに関する開示を行うことを義務付けていた。GDPRと同様に、当初の法案では、そのような通知に「関連するロジック、およびプロファイリングの重要性と想定される結果に関する意味のある情報」を含めることが義務付けられていた。
(4) 2019年3月19日時点でのワシントン州法案の動向と見通し
Baker & Hostetler LLPのアソシエイト弁護士 Shea M. Leitchの見解 Blog
Shea M. Leitch
上院での立法の道筋が下院でのその潜在的な成功に関する何らかの見識を提供する場合、ワシントン州「プライバシー法は通過への迅速なルートをたどるかもしれない。もともと2019年1月18日に上程された法案は2ヶ月以内に上院でほぼ全会一致の承認を得た。 上院がより遅く、より審議的な組織になるように設計されていることを考えると、立法が可決したスピードは、立法府が有意義なプライバシー法を可決するよう動機付けられていることを示していう。 ワシントン州知事であり、2020年大統領候補であるJay Insleeもまた、より堅固なプライバシー法の支持を表明している。 全国地で同様の法律が制定されていることを受けて、すべての兆候がワシントンのプライバシー保護法の円滑な航海を示している。
3.ワシントン州法案(WPA)とCCPAの主な相違点
ワシントン州が州によって義務付けられた消費者のプライバシー保護を強化する動きの背景には、2020年1月1日に施行される2018年のカリフォルニア州消費者プライバシー法(CCPA)の成立を受けて行われた。(筆者注3)
(1) CCPAは収集および共有された個人情報、およびその個人情報に関する消費者の権利の通知義務、 特に、CCPAには、従業員や取引先を含む、消費者という用語の幅広い、一見したところ包括的な定義が含まれている。
(2) WPAとは異なり、CCPAには、最近導入された法律( SB 561 )の下で拡大される可能性のあるデータ主体による私的な公訴権が含まれており、違反の疑いの通知を受けた企業の30日間の矯正期間も削除されている。
なお、この2点に関し詳しくはブログ「CCPA Update: CA AG Backs Bill to Expand Private Right of Action and Remove Cure Period 」を参照されたい。
***********************************************
(筆者注1) わが国でもカリフォルニア州「消費者データ保護法CCPA」の詳しい解説は多い。たとえば、 影島 広泰 弁護士「2018年6月成立、米国カリフォルニア州消費者プライバシー法の概要と日本企業に求められる対応」、石川 智也弁護士「カリフォルニア州消費者プライバシー法制定と日本企業の実務対応」、等である。
(筆者注2) アド・インプレッションは1回の広告呼び出しの成功を意味する。 Webページに1回ロードされる広告は1回のアド・インプレッションです。 これは、インプレッションという言葉が使用されるとき(CPMを計算するときを含む)のほとんどの時間を意味しますが、Webページ自体が読み込まれるときを指すページ・インプレッションと区別することが重要であり、たとえば、1つのWebページに3つの広告がある場合、ページ全体が正常に読み込まれると、1ページのインプレッションとして3つのアド・インプレッションとしてカウントされる。
(筆者注3) 余談であるが、筆者が以前からメール交換しているかるフォルニア州の司法長官ハビア・べセラ(Xavier Becerra)氏から4月19日付で以下の興味深いメールが届いた。
その内容は以下のとおりで仮訳するが、司法長官から直接5ドルの寄付を要請されるとは想像できなかった。
「わがチーム各位
それはWatergateのような匂いがする。
ホワイトハウスがミューラー・レポートを政治的に偏ったさせる努力と今朝のウィリアム・バー連邦司法長官による複雑な行動の一方で、トランプはかつら(rug)の下でミューラーの調査結果を一掃するために可能なすべてのことを行っています。
しかし大統領は法廷に隠れることはできません。
バーが報告を発表してから数時間後に、連邦裁判所はカリフォルニアにトランプに対するもう一つの勝利を与えました。 私たちの移民保護と公安法を支持しました。これは私たちのコミュニティ、公共の安全、そして州の権利にとって大きな勝利です。
私はこの管理を説明責任とし、私たちの価値観を守るために全力を尽くしています。あなたが私と一緒にいることを示すために、今すぐ5ドルを寄付しませんか。
トランプ政権が疑わしい卑劣な態度で私たちをそらすことを試みる間、事実は大統領が法廷でカリフォルニア州に負けているということです - 今日のように少なくとも32回です。
法の支配を守り、私たちの価値を守るために、私たちはこの政権を他のどの州よりも訴えています。そして私たちの戦いはまだ終わっていません。
トランプ大統領に説明責任を持たせるために戦い続けるために、今5ドルをチップしてください。
それで、ホワイトハウスがアメリカの人々をそらすことを試みる間、カリフォルニアがこの大統領を説明責任にしていることを思い出してください。そして私たちは勝っています。
ありがとうございます。
べセラ」
***************************************************
Copyright © 2006-2019 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
※コメント投稿者のブログIDはブログ作成者のみに通知されます