お客様にとってもっとも関心のある知財や独禁法・金融・労使関係などの最新の話題をお届けします。
御社の法務・経営戦略にお役立てください。
-
データ漏洩訴訟リスクを抑制するための州レベルの新たなセーフハーバー法
(25/10/17)
データ漏洩およびそれに伴う訴訟が増加していることは周知のとおりである。米国におけるデータ漏洩件数は、2019年の1,278件から2024年には3,158件へと、5年間で2倍以上に増加した(Identity Theft Resource Center, 2024 Data Breach Report 9 (Jan. 2025))。これらの漏洩に伴う被害額も増大しており、2024年には米国におけるデータ漏洩1件あたりの平均コストが過去最高の1,020万ドルに達した(IBM, Cost of a Data Breach Report 2025 (2025))。
このコスト増加の一因は、データ漏洩後に民間の原告が起こす訴訟にある。2024年だけでも、データ漏洩訴訟により、Googleの親会社であるAlphabetとの間で3億5,000万ドル、病院ネットワークを手掛けるLehigh Valley Health Networkとの間で6,500万ドル、遺伝子検査サービスを手掛ける23andMeとの間で3,000万ドルの和解が成立した(In Re Alphabet Inc. Sec. Litig., No. 18-CV-6245 (N.D. Cal. Sept. 30, 2024); Doe v. Lehigh Valley Health Network Inc., No. 23-CV-1149 (Penn. Commw. Ct. Nov. 15, 2024); In Re 23andMe Inc. Customer Data Sec. Breach Litig., Case No. 24-MD-3098 (N.D. Cal. Dec. 4, 2024))。
訴訟コストの増大は、裁判所が個人情報の盗難や詐欺といった被害を法的な損害として認める傾向が強まっていることや、州レベルの新たなデータプライバシー法の成立にも起因する。現在、19の州で包括的なデータプライバシー法が制定されており、カリフォルニア州のように、データ漏洩の被害者に一定の条件下で訴訟当事者としての地位を明示的に認めている州もある(IAPP, US State Comprehensive Privacy Laws Report (2024))。
こうしたデータ漏洩訴訟コストの増加を受けて、一部の州では、企業が事前に顧客データを保護するために一定の積極的措置を講じていた場合には、データ漏洩に対する責任を免除するという「セーフハーバー法」の導入が始まっている。これらのセーフハーバー法は、業界標準のサイバーセキュリティ対策を実施する組織にとって大きなプロテクションとなる可能性があるが、この制度は未だ発展の途上にあり、州ごとに要件が異なるため、実務担当者は各法の具体的要件を慎重に分析する必要がある。
→本文は英語で提供しています。詳細はこちらでお読みください。(英語)
New State-Level Safe Harbor Statutes Attempt to Curb Data Breach Litigation Risks
クイン・エマニュエル・アークハート・サリバン
外国法共同事業法律事務所
東京オフィス代表 ライアン・ゴールドスティン
この件につきましてのお問い合わせ先
マーケティング・ディレクター 外川智恵(とがわちえ)
chietogawa@quinnemanuel.com
