筆者は個人情報保護法とりわけ児童の保護強化に関する米国州や英国の立法の実態をブログで紹介してきた。具体的には米国の州については、2024.4.2 ブログ「フロリダ州、オハイオ州およびウタ州等の未成年者のソーシャル・ メディア・ プラットフォーム利用にかかる厳格な規制州法立法とそれらを巡る憲法違反裁判等の最新動向」、英国については2024.4.6 ブログ「英国の個人情報保護機関である英国情報コミッショナーはSNS等オンライン利用にかかる子供のプライバシー保護強化のための具体的施策に関し2024 年から 2025 年の優先事項「児童規範戦略」 を発表」で取り上げた。
今回のブログは、コロラド州「2021年コロラド州プライバシー法(CPA)」の改正法案SB 41を可決した情報をローファーム(Husch Blackwell LLP)の解説記事および同州議会の法案上程者の解説を概観する。なお、Husch Blackwell LLP)解説が取り上げているとおり、法案” SB41”はコネチカット州の立法をモデルにしていることから、あえて今回のブログでは2023年6月に署名されたコネチカット州のSB 3についても併せ解説を試みる。
Ⅰ.コロラド州の児童データプライバシー法案(SB41)
著者はHusch Blackwell LLPのassociate (注1)弁護士Shelby E.Dolen(シャビー・.E.ドーレン)氏である。
Shelby E.Dolen 氏
5月8日の州議会閉会に先立って、コロラド州議会は児童のデータプライバシーの保護を追加する「2021年コロラド州包括プライバシー法(CPA)」の一部改正法案SB 41を可決した。 コロラド州知事ジャレッド・ポリスの署名が成立すれば、2025年10月1日に発効することになる。この法案は、未成年者(18歳未満)にオンラインサービス、製品、機能を提供する事業体に新たな義務を課すことになる。 この法案は、2023年6月に署名されたコネチカット州のSB 3をモデルとしている。
以下の記事では、SB 41 に基づく義務の概要と、SB 41 (注2)とコネチカット州の SB 3 の主な違いについて説明する。
(1) 広い法適用性
この法案の要件は、CPA が現在カバーしているよりも多くの企業に適用される。これは、収益と処理基準額の要件が同じではないためである。 CPA に基づく子供のプライバシーに関する規定は、未成年者 (18 歳未満) であることを実際に知っているかについては意図的に無視しているオンライン サービス、製品、または機能を提供するあらゆる事業体に適用される。
(2) 管理者の義務
(A)注意義務
管理者(controller)が未成年者であることを実際に知っている、または故意に無視している消費者にオンラインサービス、製品、または機能を提供する管理者は、オンラインサービス、製品または機能によって引き起こされる未成年者への危害のリスクの増大を回避するために合理的な注意を払う全体的な義務がある。法律に基づく「危害のリスクの高まり」とは、以下のような合理的に予見可能なリスクをもたらす方法で未成年者の個人データを処理することを意味する。
①未成年者に対する不当または欺瞞的な扱い、または不平等・差別的影響(disparate impact)
②未成年者に対する経済的、身体的、または風評被害
③セキュリティ侵害による未成年者の個人データの不正開示(unauthorized disclosure)
④未成年者の孤独や隔離、あるいは私的な事柄や関心事に対する身体的またはその他の侵害(その侵害が良識ある人にとって不快な場合)
(B) 禁止行為
管理者(controller)は、以下の目的で未成年者の個人データを処理するには、未成年者の同意、または13 歳未満未成年者の場合は未成年者の親または法的保護者の同意を取得する必要がある。
a.特定の処理: (i) ターゲットを絞った広告の目的。 (ii) 個人データの販売。 または (iii) 消費者に関して法的または同様に重大な影響をもたらす決定を促進するためのプロファイリング。
b.処理の目的: 収集時に開示された処理目的以外の処理目的、または開示された処理目的に合理的に必要であり、開示された処理目的と互換性のある処理目的。
c.合理的に必要な事項: オンライン サービス、製品、または機能を提供するために合理的に必要な時間を超えて処理するため。
d.地理位置情報データ: 以下の場合を除き、正確な地理位置情報データを収集する。(i) 管理者がオンライン サービス、製品、または機能を提供するために正確な地理位置情報データが合理的に必要である。 (ii) 管理者は、オンライン サービス、製品、または機能を提供するために必要な期間のみ、正確な地理位置情報データを収集および保持する。 (iii) 管理者は、管理者が正確な地理位置情報データを収集していることを示す信号を未成年者に提供し、その信号は収集期間中常に未成年者に利用可能であること。
e.大幅な延長使用: 未成年者によるオンライン サービス製品または機能の使用を大幅に増加、維持、または延長するためのシステム設計機能の使用する場合。
さらに、未成年者にオンライン サービス、製品、または機能を提供する管理者は、未成年者が使用できるいかなる種類のダイレクト・ メッセージング装置も、未成年者に接続されていない、未成年者に一方的な通信を送信することで、未成年者である成人の能力を制限するアクセス可能で使いやすい保護手段を提供することなく利用提供してはならない。 この制限は、メッセージが送信者と受信者のみに表示され、公開されない電子メールまたはダイレクト・ メッセージングの主要な機能または排他的な機能を備えたオンライン サービス、製品、または機能には適用されない。
(3)データ保護の影響評価(Data Protection Assessments)
他の州のプライバシー保護法で見てきたように、SB 41 に基づき管理者は、未成年者に危害を及ぼすリスクが高まるオンラインサービス、製品、または機能についてのデータ保護影響評価を準備する必要がある。 影響評価では以下に対処する必要がある。
a.処理される個人データのカテゴリー
b.処理目的
c.合理的に予見可能な危害のリスクの増大
管理者が別の適用法に準拠するためにデータ保護影響評価を実施する場合、評価の範囲が同様であれば、その評価は SB 41 に基づく要件を満たすことになる。州司法長官は、遵守状況を評価するために管理者のデータ保護影響評価を要求する権利を有する。 データ保護影響評価要件は、2025 年 10 月 1 日以降に作成または生成された処理アクティビティにのみ適用され、遡及的なものではない。
コロラド州法対コネチカット州法の比較
【地理位置情報データの取扱い上の違い】
SB 41 には、正確な地理位置情報データ要件に基づく興味深い例外が含まれている。 この法案では、管理者が未成年者の正確な地理位置情報データを収集していることを示す信号を提供するという要件は、スキー場の運営者によって、またはその指示の下で使用されるサービスやアプリケーションには適用されないと規定されている。これはコロラド州特有の免除規定であり、明らかに大規模な州産業を考慮したものである。
【反駁可能な推定と強制力】
全体として、司法長官または地方検事が提起するいかなる法執行措置においても、管理者が上記の義務を遵守した場合には、管理者が合理的な注意を払ったという反駁可能な推定が存在する。
2026 年 12 月 31 日まで、企業は司法長官または地方検事からの通知後、違反を是正するために 60 日の猶予が与えられる。 2026 年 12 月 31 日以降は、管理者等は法違反を治癒する権利は失効する。
2.コロラド州議会の未成年者のオンライン活動に対するデータ保護の追加改正法案(SB24-41)につき上程者の解説
解説SB24-041を仮訳する。なお、前述のShelby E.Dolen氏のblog内容と重複する部分が多いがあえて記載する。
【法案の概要】
(1)この法案は2021年「コロラド州プライバシー法」を改正し、未成年者のデータが処理され、未成年者に害を及ぼすリスクが高まった場合の保護を強化するものである。この法案は、その活動から得られる収益の量や額に関係なく、消費者の個人データを管理し(管理者)、コロラド州で事業を行うか、コロラド州住民を対象とした製品やサービスを提供するあらゆる事業体に適用される。
(2) 管理者が未成年者であることを知っている、または意図的に無視している消費者にオンライン サービス、製品、または機能を提供する管理者は、次のことを行う必要がある。
(3)サービス、製品、または機能によって未成年者に危害が及ぶリスクが高まることを避けるために、合理的な注意を払う。
また未成年者に害を及ぼすリスクが高まる場合は、サービス、製品、または機能のデータ保護評価を実施および必要に応じて確認し、評価に関する文書を指定期間保管すべきである。
(4)未成年者、または 13 歳未満の未成年者の場合は未成年者の親または法的保護者の同意がない限り、管理者は未成年者の以下のとおり個人データを処理することを禁止される。
①ターゲットを絞った広告、未成年者の個人データの販売、または未成年者の個人データのプロファイリングのため。
②未成年者の個人データの収集時に開示された目的、または開示された処理目的に合理的に必要な目的以外の処理目的のため。 または
③サービス、製品、または機能を提供するために合理的に必要な期間を超えて行うこと。
(5)管理者は次のことも禁止される。
①システム設計機能を使用して、未成年によるサービス、製品、または機能の使用を大幅に増加、維持、または延長する。 または
②特定の状況を除き、未成年者の正確な地理位置情報を収集する。
(6)司法長官と地方検事は、管理者に違反を通知し、管理者に違反を是正する時間を与えるなど、「コロラド州プライバシー法」で認められているのと同じ方法で法案の要件を執行する権限を与えられる。
Ⅱ.コネチカット州はデータプライバシー法(CTDPA)を改正
Wilmer Cutler Pickering Hale and Dorr LLPの解説「Connecticut Legislature Passes Privacy Bill Addressing Health Data and Child Online Safety」を仮訳する。
なお、コネチカット州司法長官のデータ保護法(Connecticut Data Privacy Act (CTDPA)(2022年5月10日成立)の解説およびFuture of Privacy Forumの解説も併読されたい。
Kirk J. Nahra (PARTNER)
Ali A. Jessani (SENIOR ASSOCIATE)
Samuel Kane (ASSOCIATE)
2023年6 月 2 日、コネチカット州議会は「上院法案 3 (以下、「SB 3」という)」を可決した。この法案には、消費者の健康データと子供のオンライン保護に関連する新たな要件を課す条項が含まれた。 この法案は署名のためにネッド・ラモント州知事の机上に移される。 法律に署名されれば、SB 3 の消費者健康データ条項は、コネチカット州データプライバシー法 (CTDPA) の関連部分を修正することになる。
これらの新しい規定は CTDPA の修正として含まれているため、影響を受ける企業にとって、消費者の健康データに関連する新しい規定は CTDPA の残りの部分と同じ 2023 年 7 月 1 日に施行する。
SB 3 の最も注目すべき条項は、消費者の健康データと子供のオンライン安全に関するものである。 消費者健康データ条項は、とりわけ、企業が消費者の同意を得ることなく消費者健康データを販売または処理することを禁止する。 SB 3 の消費者健康データ規定は、最近制定されたワシントン州 「マイヘルス マイデータ法(My Health My Data Act)」(注3)よりも範囲が狭いものの、健康データの保護強化に対する連邦レベルおよび州レベルの議会および規制当局の間での関心の高まりを反映している。 一方、SB 3の児童オンライン安全規定は、同様に現在進行中の連邦および州の立法努力を反映しており、企業による児童の正確な位置情報データの処理や児童の個人データの使用能力を制限する、ターゲットを絞った広告の目的制約など、オンラインプラットフォームでの児童データの処理に制限を設けることになる。
SB 3 はコネチカット州プライバシー法において重要な岐路に達している。 上で述べたように、2022 年 5 月に制定された包括的なプライバシー法である “CTDPA” は2023年 7 月 1 日に施行され、SB 3 によって追加された消費者の健康データに関する規定が含まれることになる。したがって、SB 3 は、すでに消費者健康データの遵守に向けて取り組んでいる企業にさらなるコンプライアンス義務を課すCTDPA の要件を遵守させる。実際、コネチカット州司法長官は2024年1月、CTDPAがコネチカット州の消費者向けに創設する新たなプライバシー権に関するFAQガイダンスを発表5/16⑲しており、同庁がコンプライアンスの取り組みに細心の注意を払っていることを示唆している可能性がある。
この投稿では、SB 3 からの重要なポイントを強調し、その主要な規定を要約する。
【SB3の重要なポイント】
CTDPA の対象となる企業は、SB 3 の可決によって生じる主要な問題として以下の点に注意する必要がある。
(1)消費者健康データの販売および処理の制限: SB 3 は CTDPA を修正し、消費者健康データに特有の新しい規定を追加し、消費者健康データを含むように CTDPA の「機密データ」の定義を修正する。 これらの改正の結果、企業は消費者の健康データを販売または処理する前に消費者の同意を得るという新たな義務を負うことになる。
(2)児童のオンラインデータの処理に関する制限: SB 3 は、未成年であることがわかっている消費者にオンライン サービス、製品、または機能を提供する管理者に一連の要件を課す。これらの要件には、1)ターゲットを絞った広告、個人データの販売、および特定の種類のプロファイリングを目的とした未成年者の正確な位置情報データの処理の禁止が含まれる。2) システム設計機能を使用して、未成年者によるオンライン サービスの利用を「大幅に増やす」こと。 3)これらの規定の対象となる管理者は、さらに、未成年者の個人データの処理に関するデータ保護評価を実施することが求められる。
(3)発効日: 企業は、特に消費者健康データ規定の発効日に注意する必要がある。 これらの条項は、CTDPA の残りの条項とともに 2023 年 7 月 1 日に発効する。
児童のオンライン安全規定のほとんどは、2024 年 10 月 1 日まで発効しない (ソーシャル メディア プラットフォームに特に適用される第 7 条を除く)。 しかし、これらの規定によって課せられる実質的な要件を考慮すると、企業はこれらの規定に基づく対応するコンプライアンス義務を、遅かれ早かれ早く評価し始める必要がある。
(4)法施行権限: SB 3 は、消費者の健康データまたは子供のオンライン安全規定のいずれについても、私的訴訟の権利を創設しない。 代わりに、コネチカット州司法長官や検事は、これらの条項に対して(CTDPA と同様に)独占的な執行権限を持つ。
【注目すべき条項の概要】
コネチカット州データプライバシー法の医療データ改正 (第 1 条から第 6 条)
SB 3 の第1条から第6 条は、コネチカット州データプライバシー法 (CTDPA) を改正する。 これらの修正は、CTDPA とともに 2023 年 7 月 1 日に施行し、主な修正内容は次のとおり。
(1)消費者健康データの定義: 「消費者健康データ」を「管理者が消費者の身体的または精神的健康状態または診断を特定するために使用する個人データ」と定義する。これには、性別を肯定する健康データや生殖または性的健康データに関するデータが含まれるが、これらに限定されない。
(2)消費者健康データ管理者の定義: 「消費者健康データ管理者」を「単独で、または他の管理者と共同して、消費者の健康データを処理する目的と手段を決定する管理者」と定義する。
(3)機密データとしての消費者の健康データ: CTDPA の「機密データ」の定義を修正し、消費者の健康データを含める。 その結果、消費者の健康データは、管理者が機密データを処理する前に消費者の同意を得るという CTDPA の要件の対象となる。
(4)消費者健康データの処理に関する要件: 以下を含む、消費者健康データに特有の要件を概説する新しい条項 (第 2条) を追加する。 (ⅰ) 契約上または法定の機密保持義務に従う場合を除き、従業員または請負業者への消費者健康データの提供を禁止する。 (ⅱ) 「消費者の消費者の健康データに関する特定、追跡、消費者からのデータの収集、または消費者への通知の送信を目的とした精神(mental)、生殖(reproductive)、性の健康施設の近くでのジオフェンス(注4)の使用を禁止する。 (ⅲ) 消費者の同意なしに消費者の健康データを販売することを禁止する。
(5)適用免除: 第 2 条には独自の免除条項が含まれており、特に1)州および州の政治・行政機関、2) 高等教育機関、3) 特定の全米証券業協会、4) 金融機関の情報保護法Gramm-Leach-Bliley Act (GLBA) の対象となる金融機関及びデータ主体、5) 1996年HIPAA(Health Insurance Portability and Accountability Act of 1996;医療保険の携行性と責任に関する法律)でカバーされる医療事業者や外部委託先の事業提携者。
(6)ソーシャルメディアアカウントの削除と非公開 (第7条)
ソーシャル メディア アカウントの非公開または削除に対する未成年者のリクエスト: ソーシャル メディア プラットフォームに対して、ソーシャル メディア アカウントの非公開 (つまり、一般公開から削除) または削除を求める未成年者のリクエストに従うことを義務付ける。 これらの規定は、2024 年 7 月 1 日に発効する。
(7)子供のオンライン上の安全性 (第 8 条から第13条)
第 8 条から第 13 条は、以下に概説するように、「管理者が未成年者であることを実際に知っているか、意図的に無視している消費者」にオンライン サービス、製品、または機能を提供する管理者に要件を課す。 これらの規定は、2024 年 10 月 1 日に発効する。
①相当な注意(思慮分別のある一般人が払うレベルの注意(Reasonable Care):
オンライン サービス、製品、または機能によって未成年者に危害が及ぶリスクが高まるのを避けるために、相当な注意を払う必要がある。
②広告、販売、またはプロファイリングのための児童データの使用:
ターゲットを絞った広告、個人データの販売、または法的または重要な影響をもつ類似の行為を生み出す「完全に自動化された意思決定を促進するためのプロファイリング」を目的として、未成年者の個人データを (同意なしに) 処理することは禁止される。
③必然性の制限(Necessity Limitation):
関連するオンライン サービス、製品、または機能を提供するためにそのような処理が必要な場合を除き、同意の例外を条件として、未成年者の個人データを処理することは禁止される。
④期間の制限(Duration Limitation:):
同意の例外を除き、関連するオンライン サービス、製品、または機能を提供するために必要な期間を超えて未成年者の個人データを処理することは禁止される。
⑤使用を延長するためのシステム設計の使用:
「未成年者によるオンライン サービス、製品、または機能の使用を大幅に増加、維持、または延長するためのシステム設計機能」の使用を禁止する。
➅正確な位置情報データ:
指定された要件 (関連する機能を提供する必要性、時間制限、未成年者への通知を含む) が満たされない限り、未成年者の正確な位置情報データを (同意なしに) 収集することは禁止される。
⑦ダイレクト・メッセージング:
未成年者が使用するダイレクト メッセージング装置に制限を設ける。これには、未成年者に迷惑な通信を送信する成人の能力に対する制限も含まれる。
⑧データ保護影響評価: 未成年者の個人データの処理に関するデータ保護影響評価を実施する必要がある。
⑨適用免除: さまざまな事業体および情報タイプが免除される。これには、次のものが含まれる。
1)州および州の政治機関の下部機関、2) NPO団体、3) 高等教育機関、4)特定の全米証券業協会、5) 金融機関の情報保護法Gramm-Leach-Bliley Act (GLBA) の対象となる金融機関及びデータ主体、5) 1996年HIPAA(Health Insurance Portability and Accountability Act of 1996;医療保険の携行性と責任に関する法律)でカバーされる医療事業者、公正取引報告法(Fair Credit Reporting Act (FCRA)の対象機関、家族の教育の権利とプライバシーに関する法律( Family Educational Rights and Privacy Act(FERPA)に準拠する個人データ、および特定の雇用関連データ。
⑩法執行権: 私的訴訟の権利は履行できない。 むしろ、排他的な執行権限は州司法長官のみにある。
⑪対象企業等への違反是正救済期間: 2024 年 10 月 1 日から 2025 年 12 月 31 日まで、州司法長官は、企業が「そのような違反容疑を是正する可能性がある」と判断した場合、これらの規定に違反したとされる企業に対して 30 日間の救済期間を付与しなければならない。 2026 年 1 月 1 日以降、州司法長官 は多要素枠組みに基づいて治癒期間を付与するかどうかを決定する裁量権を有する。
**********************************************
(注1) アソシエイト弁護士とは、パートナー弁護士の業務を補助する勤務弁護士のことである。アソシエイトとはもともと仲間や一緒に働く人という意味の単語であり、その意味の通り、パートナーとして法律事務所の経営には関与していないものの、その法律事務所の看板を背負って、パートナー弁護士と一緒に働いている弁護士をいう。
(注2)コロラド州改正法案原文
(注3) ワシントン州の新たな健康データ保護法制定の背景
岩崎元太「ワシントン州新法、My Health My Data Act制定〜シアトルの知恵ノート」から一部抜粋。
米国では従来、1996年に制定された連邦「医療保険の携行性と責任に関する法律(HIPAA)」が国民の健康データ保護を主に担ってきた。HIPAAは医療従事者や保険会社による健康データの取り扱いを想定しており、実際に医療機関や保険会社のみが保護義務を負っていた。しかし昨今では、アップル社のアップルウォッチが測定する心拍数、スマートフォン向けの万歩計や月経管理のアプリが収集するデータも立派な健康データと言え、非医療機関の関与が高まる傾向が見られる。新法では、当時に想定していなかったアプリ、ウェブサイト、ゲーム、装着式のスマートデバイス等を中心に健康データ保護義務を課している。
【新法の概要】
本法は、個人の健康データ保護を目的とし、規制対象事業主(regulated entity)に対して適用されます。規制対象事業主とは一般的に、(1)ワシントン州で事業を行っている/ワシントン州の消費者に対して製品やサービスを生産または提供している、かつ(2)単独または共同で個人の健康データの収集、処理、共有をしている/販売の目的と手段を決めている事業主を指す。
一方で、健康データの定義については、消費者に紐付けられている、もしくは消費者と紐付けることが合理的に可能な、過去、現在、未来の身体的または精神的健康状態を特定できる個人情報とされている。これには手術歴や服用中の医薬品情報が挙げられるであろう。そのほか、フィットネス系ゲームでプレー前に自身の体重や身長を入力することも含まれ、健康データの提供先となるそのゲーム会社は、本法における規制対象事業主となる。(以下、略す)
(注4)「 ジオフェンス」とは、仮想的な境界線で囲まれたエリアのことを指す。
仮想的な境界線で囲んだエリアにWi-FiやGPSなどの位置情報データを使用した移動体(スマートフォンを持っているユーザーやドライブレコーダーを車載した車など)が出入りすることをトリガーとして、何らかのイベントを発生させることができる仕組みをいう。
取得したいイベントに応じて、機器や機能を連携する開発が必要となるが、この技術を用いることで、顧客の行動を調査したり、最適なタイミングで情報を提供することが可能になる。
位置情報とは、スマートフォンのGPSやWi-Fi、Bluetooth、通信基地局などで特定した位置の情報のことを指すが、位置情報からユーザーの行動履歴をたどることで、どの範囲が生活圏か、働いているのかなど、個人を特定しない範囲でのユーザーの特性を推測できる。
(「ジオフェンスとは?」ZENRIN DataCom解説から抜粋)
************************************************************:
Copyright © 2006-2024 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.