Articles

Ad Law Access

データ・プライバシー・デーを迎えるにあたり、今日は、過去数年の動きとの関連で、米国のプライバシー法がどのような状況にあるかを把握する良い機会です。 GDPRとCCPAは、2年足らずの間に、最も包括的なプライバシー法として施行され、個人に自分の情報に関する広範な権利を与え、多くの説明責任を課し、当局に巨額の罰金を課す権限を与えました。

CCPAは、プライバシーに対する「アメリカ的アプローチ」を否定するのか、維持するのかという議論に火をつけました。 あるオブザーバーは、CCPAが「主に許可のないイノベーションと、具体的な被害に対する事後的な規制対応」という「アメリカのアプローチ」から逸脱していると批判しました。

この議論がすぐに、あるいは決定的に解決することはないでしょうが、連邦および州レベルで、米国のデータプライバシー法が拡大する可能性があることは明らかです。 ワシントン州やバージニア州など一部の州では、GDPRの影響を受けた包括的な法案が検討されていますが、各州は特定のデータ実務を扱う法律の検討や追加を続けており、米国のプライバシー法がさらに細分化され、企業がコンプライアンス上の課題を抱えることになる可能性があります。

包括的な州のプライバシー法に向けて

GDPRは、グローバルなプライバシー法に重要な影響を与えました。 アルゼンチン、ブラジル、マレーシア、ウルグアイなどが、GDPRをモデルとしたプライバシー法を採用しています。 CCPAは、アクセス権や削除権など、GDPRの要素をいくつか含んでいますが、大きな違いがあります。 (GDPRとCCPAのより詳細な比較については、こちらの比較表をご覧ください。) また、ワシントン州の議員は現在、データプライバシーと顔認識を管理する新しい規制であるWashington Privacy Act(SB 6281)を推進しています。 この法案は、GDPRを明示的に参照しており、次のように述べています。「欧州連合は最近、一般データ保護規則の成立と実施を通じてプライバシー法を更新し、欧州連合の住民に世界で最も強力なプライバシー保護を与えています。 ワシントン州の住民は、同じレベルの強固なプライバシー保護を享受する資格があります」と述べています(強調表示)。 バージニア州も同様に、消費者に自分のデータにアクセスし、データブローカーに売却されたかどうかを判断する権利を与えるプライバシー法案を検討しています(HB473)。 バージニア州の法案は、アクセス権、訂正権、消去権、今後の処理を拒否する権利など、GDPRの消費者の権利をおおむね追随するものとなっています。

相違点。

プライバシーに対する「アメリカ的なアプローチ」の他の側面が、包括的な法律を目指す動きに対抗しています。 EUでは、生体データは「特別なカテゴリーの個人データ」としてGDPRの対象となっており、企業は、明示的な同意を得るか、またはEU全加盟国に適用されるその他の厳格な合法的処理の根拠を満たさない限り、このデータを処理してはなりません。

米国では、バイオメトリック・プライバシーは(今のところ)州法の問題であり、バイオメトリック・データを扱った少数の施行令によって補完されています。 イリノイ州、ワシントン州、テキサス州の3つの州だけが、関連する法律を持っており、これらの法律の範囲と要件はかなり異なっています。 例えば、生体情報が漏洩した場合、データ漏洩通知義務が発生する可能性がありますが、その義務が発生するかどうかは州によって異なります。 また、重要な違いは執行能力にあり、イリノイ州のバイオメトリクス法には私的訴訟権がありますが、テキサス州とワシントン州の法律にはありません。 さらに、HIPAAやTitle VIIなどの法律が、状況に応じて追加の保護を提供している場合もあります。

米国とEU以外でも、ヨーロッパに追随する国が出てきています。

米国やEU以外の国では、ヨーロッパに倣って、バイオメトリックデータを管理する特定の法律を持っている国はほとんどなく、代わりに、インフォームドコンセントの要件やデータ対象者の権利を含む国内法の下にこのデータを含めています。 バイオメトリックデータに関して、このアプローチがどれほど保護的であるかについては疑問が残りますが、セクターやテリトリーに適用される法律を通じて、これらの疑問に対処している国はほとんどありません

The Implications: A Conversation

プライバシーに対するEUのアプローチが世界的に勝利を収めているように見える一方で、米国の政策立案者たちは、特定のデータ慣行に対処する、より対象を絞った要件を無視していません。 しかし、このような断片的なアプローチは、混乱、複雑さ、費用を引き起こす可能性があります。

連邦政府の個人情報保護法案を検討している議員は、個人情報を保護する包括的な連邦法に、米国のアプローチとEUのアプローチをどれだけ盛り込むか、また、先取特権や私的請求権を含めるかどうかを決めるチャンスがあります。

つまるところ、これはデータプライバシー法の始まりに過ぎません。 消費者のデータの権利、ガバナンスと説明責任の要件、および規制構造は、確実に進化し、拡大していくでしょう。 プライバシープログラムに将来性を持たせようとしている企業にとっては、時間をかけて自社のデータプラクティスを理解し、どのような種類の個人情報を収集・維持しているのか、それはどこにあるのか、なぜ、どのくらいの期間必要なのか、個人情報は侵害から十分に保護されているのか、といったことを理解することが、ビジネス戦略の選択肢を増やし、変化する法的状況に対応して企業リスクをより効率的に管理することにつながります。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です