アメリカ連邦政府のプライバシー法が州の法律に取って替わる?|Cookie Firstブログ | 株式会社クローバーテック

アメリカ連邦政府のプライバシー法が州の法律に取って替わる?|Cookie Firstブログ

アメリカ連邦政府のプライバシー法が州の法律に取って替わる?

世界各国が消費者データのプライバシーに関する法規制を導入し始める中、米国も同様に法規制を制定するかどうか、多くの質問が寄せられています。

カリフォルニア州のCCPA、コロラド州のCPA、バージニア州のCDPAなど、すでに多くの州が独自のプライバシー保護法を制定しています。これらのデータ保護法は、これらの州の住民のプライバシーを強化していますが、米国全体としてはどうでしょうか。

アメリカの連邦プライバシー法の歴史

米国では連邦データ保護法が制定されていないにもかかわらず、いくつかの州ではすでに規制が制定されています。一部の州では、市民とその個人データを幅広く保護するGDPRによって、対策に拍車がかかっています。

例えば、2018年には「カリフォルニア消費者プライバシー法」が成立されました。2020年にはカリフォルニア・プライバシー権法または提案24で、これらのデータ保護をさらに強化したのです。これらの法律は、EUを統治するGDPRほど包括的ではありませんが、国内では最も厳しい法律です。

カリフォルニアがこのトレンドを作ったところ、他の州もそれに続きました。コロラド州、バージニア州、ノースカロライナ州などは、住民のプライバシーを保護するために自ら行動しています。いずれは連邦政府のプライバシー保護法ができて、異なる州の法律が混在するのを解消することでしょう。

連邦データ保護法を導入することで、企業はコンプライアンス要件を把握することができ、また消費者は自分たちの権利について明確に理解することができるようになります。

データ収集やクッキーなどのツールに特化した法律は今回が初めてですが、米国市民のプライバシーを保護するための規制はすでに数多く存在しています。最も注目すべきは、1996年に制定された「医療保険の相互運用性と説明責任に関する法律」(HIPPA)で、医療および健康関連のデータを保護するものです。しかし、個人を特定できる情報の保存、収集、処理、使用方法について定めた連邦プライバシー法はまだ存在しません。

情報の透明性、そしてパーソナルデータのコントロール法|連邦プライバシー法

現在、米国議会で「情報透明性&個人データ管理法」が審議されています。これは、スザン・デルベイン議員(ワシントン州選出)によって提出されたもので、現在の各州主導の継ぎはぎのような規制に代わる、国家的なプライバシー法の枠組みを作ることを目的としています。

では、この法案は実際に何を定めているのでしょうか?

この法律案では、企業に対して、消費者のプライバシーポリシーを明確な言葉で作成するよう求めています。同様に、データ収集やクッキーのようなトラッカーに対して、ユーザーが簡単にオプトインやオプトアウトできる方法を提供することになります。これは、一般消費者が、自分が何に同意しているのか、どのようなデータが収集されるのか、そしてその情報を組織がどのように使用するつもりなのかを確実に理解できるようにするためのものです。

この法案のもう一つの狙いは、データが収集・処理された後に何が起こるのかの透明性を向上するためです。どのような情報を追跡し、どのように保存または処理し、どのように破棄するかを説明するプライバシーポリシーを持っている企業はすでに一般的です。

データを収集する企業は、処理する機密情報を安全に保つことが求められるため、セキュリティについても考慮しなければならない。法案では、この責任を第三者に転嫁することはできない。

この法案では、連邦取引委員会に規則を作成し、プライバシーのニーズに対応するために法律を調整する権限も与えることになっています。

これから起こる変化 – 連邦プライバシー法

連邦データ保護法の制定に向けた議論が進んでいるのは喜ばしいことですが、この法案の成立にはまだ多くの課題が残されています。

まず、この法律には両極端な部分が多く、政府関係者の意見も様々で、この意見の違いを解消するためには、長い議論が必要です。以下は、この法案を成立させるために必要な問題点です。

  • 規制対象組織が消費者のデータを悪用した場合、消費者は私的な訴権を持つことができるのか?
  • 個人情報への不正アクセスにつながるデータ侵害が発生した場合はどうなるのか?
  • この新しい法律は、米国の既存のデータ保護法にどのような影響を与えるのか。
  • 準拠のための最低基準はどのようなものになり、それはどのように実施されるのか?

現在のところ、この法案では、自分のデータが悪用された場合、個人は私的な訴訟を起こす権利を持たない。同様に、この法案は州の個人情報保護法を先取りしており、この法案の内容は州ごとの法律の詳細よりも優先的に適用されることになる。

カリフォルニア州やノースカロライナ州などでは、すでに広範なプライバシー法が制定されていますが、こうした広範な法律は、二次的なレベルで適用されることになりそうです。

しかし、現在の法律は、バイオメトリクス、盗聴、データ漏洩に関する州法を先取りするものではありません。このような状況では、特定の州を管轄する法律が優先されることになります。

執行に関しては、連邦取引委員会(FTC)が監督することになっています。連邦取引委員会には、ルール作りの権限があるが、そのためのツールやリソースの確保が懸念される。

この法案の予算は35万ドルで、FTCは新たに500人の職員を雇用する必要があるという。この新しいスタッフのうち、少なくとも50人は、この法律の適切な執行を確保するために、テクノロジーに関する専門知識を持つ必要があるでしょう。

しかし、連邦議会が連邦プライバシー法を監督・執行するための全く新しい機関を設立することを決定する可能性もないとは限らない。この場合も、非常に議論を呼ぶ可能性があるため、米国が法案を成立させるために克服しなければならないもう一つの課題である。

議会はすでにこの法案に取り組んでいたが、世界的なCOVID-19のパンデミックのため予定よりも遅れてしまいました。そのため、今後数ヶ月の間に優先的に取り組むことになることでしょう。

ここで重要なのは、たとえ法案が成立しなかったとしても、将来の新たな立法につながる重要な議論が始まるということだ。最終的には、GDPRなどEUで見られるような、米国で統一されたプライバシー法の制定につながるかもしれません。

-CookieFirst ブログ引用

一覧へ戻る

関連する記事