お客様にとってもっとも関心のある知財や独禁法・金融・労使関係などの最新の話題をお届けします。
御社の法務・経営戦略にお役立てください。
-
データ・プライバシーとサイバーセキュリティ最新情報
2024年の州プライバシー法の見通し
(24/07/26)
米国の連邦プライバシー法の制定は見送られ続けている一方で、州法によるプライバシー法の継ぎ合わせ、すなわちパッチワークは増加し続けている。そしてこのようなパッチワークには、包括的なプライバシー制度を定める法律と特定の種類の機微情報を対象とする適用範囲の限定された法律が含まれている。
2024年には、より多くの州が包括的なプライバシー規制を持つことになるであろう。新しい包括的な州のプライバシー法は、一般的に消費者にオプトアウト、異議申立、削除要求などの一連の権利を与える一方で、企業には包括的な要件を課すもので、フロリダ州、オレゴン州、テキサス州、モンタナ州において昨年成立し、2024年に施行されることになっている。さらに今年の第1四半期には、ニュージャージー州とニューハンプシャー州(署名待ちの州)で、包括的な州プライバシー法がすでに可決されている。フロリダ州、オレゴン州、テキサス州の新法は7月1日に施行され、モンタナ州の新法は10月1日、ニュージャージー州の新法は2025年1月に施行される。また、2024年3月初旬の時点で、少なくとも19の州において包括的なプライバシー制度に関する法律案が州議会で検討されている。
州の包括的プライバシー法は、2018年のカリフォルニア州消費者プライバシー法の成立から始まったトレンドの一環をなすものであり、2023年には、包括的プライバシー制度を成立させた州が5州から13州(フロリダ州の法律を含むが、世界全体の年間収益が10億ドルを超える特定の種類のデータ管理者のみに適用される)と2倍以上に増加し、強い勢いを見せた。その後、2024年1月に、ニュージャージー州知事はニュージャージー州の包括的な法律に署名した。そして、2024年1月18日に可決されたニューハンプシャー州の上院法案255が知事によって署名されれば、このような州法は15番目となる(フロリダ州法を含む)。
いくつかの州の法案は、カリフォルニア州のCCPA/CPRA体制の域を超えて、違反に対する私訴の権利を拡大するものであるが、今のところ可決されたものはない。カリフォルニア州は依然として、違反に対する私訴の権利を認める唯一の州である(具体的には、カリフォルニア州法はデータ侵害に対する違反を認めている)。
しかし、上述のような流れに鑑みると、それさえも変わる可能性がある。なぜなら、現在委員会で審議中あるいは議会によって提案されている、メイン州、マサチューセッツ州、ミネソタ州、ニューヨーク州、ウェストバージニア州の法律案は、消費者に独自の訴権を与える可能性があるためである。
2024年においても、各州の個人情報保護制度は様々な形で異なり続けるであろう。2024年に施行される法律や現在検討されている法律は、かなりの重複こそあるものの、そのパッチワークのような性質故に、それぞれの州のプライバシー法には多くの違いがあり続けることを示している。
例えば、本年施行されるオレゴン州の法律は、他の州法よりもさらに進んでおり、「派生」データ(これは主に消費者情報に起因するデータとして定義される)を明示的に含んでいる。また、オレゴン州の法律ではさらに「機微情報」の定義に「トランスジェンダーまたはノンバイナリーであること」と「犯罪被害者であること」を明示しているが、他の州法ではこれらの項目を明示していない。
新たな州法は、その適用範囲にも違いがあり、例えば、フロリダ州の狭域法は、年間世界売上高が10億ドルを超える企業にのみ適用され、その他にも、超大手「ビッグテック」企業のみを対象としたような制限もある。テキサス州法は適用範囲が広く、一定の小企業を除くすべての企業に適用される。
また、消費者にどのような権利が認められているかという点でも法律は異なっている:例えば、2023年12月31日に施行されたユタ州のデータ・プライバシー法は、消費者に個人データの誤りを訂正する権利を与えていない。しかし、他の1州、アイオワ州を除くすべての州では、同様の法律で訂正の権利が認められている。
カリフォルニア州以外の包括的な法律における私的訴権はまだ成立していないが、特定のデータタイプに関する他の州の新しいプライバシー法は、私的訴権を提供または拡大している。私的訴権を採用する州があるとしても、その数がどの程度になるかは未知数であるが、包括的な制度を超えて、特定の状況において私的訴権および/または法定損害賠償のための追加的で具体的な根拠を提供する新しい法律や法改正がいくつか成立している。そして、さまざまな管轄区域で既に苦情申立が行われているイリノイ州のバイオメトリクス情報プライバシー法(BIPA)やカリフォルニア州の医療情報守秘義務法(CMIA)など、この線に沿った他の既存の特定の州法に加えて、2024年のこれらの新しい法律や改正がそこに参入することになるだろう。
例えば、ワシントン州のマイヘルス・マイデータ法(MHMDA)は、3月31日に施行され、多くの事業体に対して同法違反がワシントン州消費者保護法(CPA)に基づく不公正または欺瞞的行為であることを定めることにより、健康データのプライバシー侵害に対する私的訴権を盛り込んでいる。また、MHMDAは、法定損害賠償額は規定していないものの、消費者は最高25,000ドルまでの損害賠償を受けることができる。
またニュージャージー州では、「ダニエル法」として知られる法律が2023年に改正され、法の執行官やその他の公務員、およびその近親者に関する個人情報の削除を義務付ける法律に違反した場合、1件につき1,000ドルの損害賠償の予定額を定めている。今年の第1四半期には、ある私企業がニュージャージー州で100件以上の訴訟を起こし、自社がその「譲受人」であると主張して、2万人以上の国家公務員についての法定損害賠償を求めている。
このような最近の動きや、これから起こるであろう動きを鑑みると、企業は本年、州のプライバシー法の動向を注視する必要がある。プライバシー法のランドスケープは急速に拡大し、進化しているのである。
クイン・エマニュエル・アークハート・サリバン
外国法共同事業法律事務所
東京オフィス代表 ライアン・ゴールドスティン
この件につきましてのお問い合わせ先
マーケティング・ディレクター 外川智恵(とがわちえ)
chietogawa@quinnemanuel.com
