2022.05.20
バージニア州がアメリカで2番目の包括的なデータ保護法(CDPA)を施行する州になる可能性大|CookieFirstブログ
バージニア州のデータ保護法可決の要約
カルフォルニア州に続き、他の州でも包括的なデータ保護法が施行されるか、長い間待ち望まれていたことがようやく実現した。バージニア州上院は2月3日、バージニア消費者データ保護法(CDPA)を可決したのである。似たような法律は1月29日にすでに下院からの可決が下されたため、2月11日の期限までに二つの投票を行うということは単に形式的な手続きになる可能性が高いということになる。投票後、法案は署名のためバージニア州知事に提出される。知事に署名されれば、バージニア州CDPAは、カリフォルニア州プライバシー権法(CPRA)と同じ2023年1月1日に発効することになる。
CDPAは、CPRA、カリフォルニア州消費者プライバシー法(CCPA)、一般データ保護規則(GDPR)の原則に基づいていますが、3つとも重要な点がCDPAは異なっています。以下に、CDPAの最も重要な条項がまとめてあります。本法案がバージニア州議会を通過する際には、引き続き最新情報をお伝えします。
バージニア州のデータ保護法(CDPA)の重要な条項8つ
-
適用範囲
CDPAはCDPAをベースに、適用可能性を閾値で判断しています。この法律は、バージニア州のビジネスを行う個人事業者及びバージニア州の居住者を対象とした製品並びにサービスを製造する個人に適用されます。それらの個人に対しては、1)1年以内に少なくとも10万人のバージニア州民の個人情報を管理または、処理し、個人情報の販売から総収入の50%以上を得ているものに適用されます。
-
例外事項
CDPAは、「包括的」なデータ保護法と言われていますが、(CCPAやCPRAと同じく)多くの例外規定が存在します。これらの例外の中には、CCPAや CPARと同様のものもありますが、場合によっては他の2つの法律よりも広い範囲で適用されるものあります。例えば、CDPAは、Gramm-Leach-Bliley法(GLBA)やHealth Information Portability and Accountability Act(HIPAA)の適用を受ける健康情報のみを除外するのではなく、「金融機関・・・GLBA “の対象、またはHIPAA “に該当する企業やビジネスパートナーには適用されない」。また、この法律は、次のような他のほとんどの連邦法の対象となる情報を除外しています。B. Family Education and Privacy Act、Fair Credit Reporting Act、Farm Credit Act、Children’s Online Privacy Protection Act (COPPA) および Driver’s Privacy Protection Actが適用される情報
-
コントローラ・プロセッサの区別
GDPRと同様に(「企業」と「サービスプロバイダー」を区別するCCPAとは対照的に)、CDPAは「管理者/処理者」という二分法を用いて、個人データの処理の目的や手段を決定する責任を負う企業と、それに代わって個人データの処理を行う企業を区別しています。一般データ保護規則(GDPR)と同様に、CDPAは、管理者と処理者の双方に特定の義務を課しています(双方が法律上の責任を負う可能性があります)。
-
パーソナルデータ(個人データ)の広範囲にわたる定義
他の3つのデータ保護法と同様に、CDPAは「個人データ」を広く定義しています。この用語は、「識別された、または識別可能な自然人に合理的に結び付けられるあらゆる情報」と定義されています。「個人データ」の定義には、一般に公開されている情報や非識別化データは明確に除外されています(また、法律では、企業が非識別化データをどのように扱うべきかについて具体的な基準が設けられています)。
-
「センシティブデータ」カテゴリの設置
CDPAは、「センシティブ情報」と呼ばれる別のカテゴリーを設けており、
1)人種や民族の出身、宗教的信条、心身の健康診断、性的指向や国籍、移民の有無に関する情報を提供する個人情報
2)遺伝子データや生体情報(自然人の特定を目的として使用)
3)児童から収集した個人情報
4)正確な地理位置情報と定義しています。データ管理者は、消費者の同意(子供に関するデータの場合はCOPPAに従って保護者の同意)を得た場合にのみ、センシティブなデータを処理することができます。
-
個人の権利
前述の3つの法律と同様に、CDPAは、バージニア州の住民に対して、法律によって保護される個人の権利を創出するものである。これらには、
1)アクセス権
2)変更権
3)消去権
4)データポータビリティ権
5)ターゲット広告、販売、マーケティングプロファイリングの目的で個人データを処理し、消費者に法的または類似の重大な影響を与える決定を促すことに対して反対する権利
が含まれます。 -
プライバシーに対する対応の格付け
GDPRやCPRAと同様に、CDPAも、特定の文脈でデータを処理する場合、企業に対してデータ保護レビューの実施を要求しています。特に、CDPAは、管理者が
1)ターゲット広告の目的で個人データを処理する場合
2)個人データを販売する場合
3)プロファイル作成のために個人データを処理する場合(特定の状況において)
4)機密データを処理する場合
5)消費者に害を及ぼすリスクが高まる処理活動を実行する場合データ保護の見直しを要求しています。
-
強制執行
CCPAと同様に、CDPAも司法長官による民事訴訟によって執行され、30日間の治癒期間が設けられています。CDPAの罰則は、管理者・処理者ともに1回の違反につき最高7,500ドルです。CCPAとは対照的に、CDPAは、セキュリティ事故の場合であっても、法的措置をとる私的権利を有していない。
— CookieFirstのブログより引用