コネチカットのデータプライバシー法 – CTDPA | CookieFirst ブログ
コネチカットに独自のプライバシー法がまもなく誕生|Connecticut Data Privacy Act – CTDPA
データ・プライバシーは、まさに21世紀的な課題であり、時代の変遷とともにその重要性も増しています。日々、新しい技術やデジタルツールによって、消費者のプライバシーやデータセキュリティに新たなリスクが生じるようになっています。
しかし同時に、これらのリスクに対する社会の認識も高まっており、より良い保護を求める声も高まっています。これに対し、世界中の法律家や規制当局が行動を起こし、企業が消費者のデータをどのように収集し、使用し、保護するかについて新たな規則や規制を課し始めています。
個人情報保護法の現状
オンライン・プライバシーをサポートし、消費者のデータ利用を規制するための取り組みは、これまで長く、混乱したものでした。これまでのところ、主にパッチワークのような手段で管理されており、地理的・政治的に異なる地域をカバーし、それぞれ固有のガイドラインが設定されています。EUの市民を保護するGDPRや、タイやシンガポールの人々を対象とするPDPA など、これから発表される人気の高い規制の類は、すでにご存知でしょう。
しかし、米国は、このようなポリシーの策定において、いくつかの異なる規制体系を持つユニークな立場にあります。EUやシンガポールなどの地域とは異なり、米国には消費者情報の保護に関する広範で包括的なガイドラインが存在しません。この問題に触れた国内法はいくつかあるものの、米国ではこの責任を各州に委ねているのがほとんどです。
その結果、まとまりのないアプローチが見られ、実施されたガイドラインの中で最も顕著なのは4つの州です。
コネチカットは最近、独自のデータプライバシー法を制定した全米で5番目の州になりました。2023年7月に施行されるコネチカットのデータプライバシー法(CTDPA)は、カリフォルニア(CCPA)、バージニア(CDPA)、コロラド(CPA)、ユタに続いて、この問題に関する州全体の方針を制定するものである。
CTDPAの背景について
コネチカットのデータプライバシー法は、同州の広範なプライバシー保護の枠組みを確立することを目的に制定されました。これは、この問題に関する長年の努力と議論の結果であり、今年の初めから議会で審議されてきました。
法案の支持者は、この法案は米国で最も強力なプライバシー保護の一つであると挙げています。コネティカット州のネッド・ラモント知事は2022年5月10日に署名し、この法律を正式に制定しました。2023年7月1日に施行される予定なので、この法律の適用を受ける人は14カ月しか準備期間がないことになります。
CTDPAの対象となる項目とその特徴
CTDPAの適用範囲は、バージニア州やコロラド州のものと非常によく似た枠組みですが、若干の差異があります。
コネティカット州内で事業を行う、または同州民を対象とした製品・サービスを製造する事業者で、以下の条件に該当するものが対象となります。
- 10万人以上の個人情報を管理または処理している(ただし、決済処理のみを目的として管理または処理される個人情報は除きます)。
- 25,000人以上の国民の個人情報を管理または処理し、組織の総収入の25%以上を個人データの販売から得ている。
上記の基準を満たしている者は、これらの規定の対象となります。
収集および使用の制限
CCPAや他の州の規制と同様に、CTDPAでは、データ管理者は、個人情報の収集を、その処理理由との関連で合理的に必要なものだけに制限することが要求されています。つまり、組織は消費者から取得するデータの量を最小限に抑え、必要なものだけを使用し、業務に関係のない個人情報を求めないことが要求されます。
データセキュリティ
CTDPA は、データ管理者が、収集したデータの完全性を保護するために、管理的、物理的、 技術的に妥当な範囲のデータセキュリティ慣行を確立し、維持することを求めています。
CTDPAと同意の要件
コネチカットの新法は、コロラド州やバージニア州のものと同様に、データ管理者がユーザーの同意なしに機密データを処理することを禁じている。この中で、消費者の同意は、簡潔かつ十分な情報を与えられたものと定義され、ダークパターンのようなものを使って取得することはできません。また、データ管理者は、消費者がこの同意を与えたときと同じように簡単に取り消すことができる適切な仕組みを導入することが求められています。
無差別化
CTDPAは、ユーザーが法律に規定された権利の行使を選択した場合、データ管理者がそれを差別の根拠として使用することを禁止しています。つまり、消費者が個人情報の利用に同意しない場合、それを要求する事業者は、結果として異なる品質の商品やサービスを提供することができなくなります。
透明性
このような法案が数多くあるように、コネチカットの新しいプライバシー法は、データ管理者に対し、ユーザーとのやりとりの際に、合理的にアクセス可能で意味のあるプライバシー通知を提供することを求めています。
これらが含まれている必要があります:
- 処理する個人情報の種類
- 個人情報が処理される目的
- 消費者がプライバシーの権利を行使する方法
- 収集した個人情報を共有する第三者がいる場合、その種類
- 消費者が詳細について問い合わせることができる積極的なインターネット上の連絡手段。
消費者要望への対応
データ管理者は、消費者からの要請を受けた後、不必要な遅滞なく、45日以内に対応することが義務付けられています。これは、合理的に必要と判断される場合には、さらに45日間延長することができます。
CTDPAとデータ処理契約
CTDPAは、他の多くの法律と同様に、データ管理者と処理者の間で、消費者データの共同利用を管理するための契約上の合意を要求しています。これらの契約には、情報が処理される条件、実行される処理の種類、処理の目的および期間、さらに各当事者の権利と義務が明確に記載されていなければなりません。
データ保護に関する評価
管理者は、処理活動がユーザーに危害を及ぼすリスクが高まると考えられる状況において、データ保護査定を実施し、記録することが要求されます。
この管轄に該当する処理活動は以下の通りです:
- ターゲティング広告を目的としたユーザー情報の処理
- 個人情報の販売
- ユーザーに大きな損害を与える相応のリスクがあるプロファイリングを目的とした個人情報の処理
- 機密情報の処理
CTDPAが意味するもの
このように、CTDPAは、あらゆる組織に多くの影響を与える、広範囲に及ぶ法律です。この法律は2023年7月1日に施行されるため、これらの新しい基準への準拠が間もなく求められます。
つまり、コネチカットのデータ管理者は、今こそ、ユーザー情報を保護し、CTDPAに規定された原則を遵守するために必要な措置を講じるべき時なのです。
これを怠ると、故意の違反1件につき最高5,000ドルの罰金や、その他の救済措置など、非常に高額な罰則が課される可能性があります。
この新しい法律は、全米で高く評価されているデータプライバシー部門を擁するコネチカット州司法長官事務所が独占的に執行することになっています。また、この法律が対象とするデータセキュリティの新たな脅威を積極的に調査する常設の作業部会も導入される予定です。
コネティカット州でビジネスを行う場合、CTDPAを遵守するために必要な手順を踏んでいることを必ず確認してください。
– CookieFirst ブログより引用
