ネバダ州個人データ保護法を修正 −個人情報販売につきオプトアウト権−


ネバダ州個人データ保護法を修正 −個人情報販売につきオプトアウト権−

ネバダ州の立法議会にて、消費者の指示があった場合には、一定範囲の個人データをWebサイトやオンラインサービスの運営者が販売するのを禁止する法案が通過し、5月29日に州知事の承諾が得られ、2019年10月1日に施行される運びとなった。
本法律は、カリフォルニア州消費者プライバシー法(CCPA)に類似のものであるが、以下のような特徴を持つものである。

  • CCPAと同様、運営者はプライバシーノーティスの義務があり、データ主体は個人情報販売につきオプトアウト権を有する。
  • CCPAと異なり、権利行使したデータ主体の差別禁止規定やデータ主体の忘れられる権利、データポータビリティ権はない
  • 施行日が2019年10月1日と早い
  • 違反のリスクとして、州司法長官が地裁に裁判を提起できる(業務停止命令、1違反5000ドル以下の民事罰)

但し、「販売」の定義につき、金銭的対価をもって個人情報を交換するものとなっており、CCPAより狭い(CCPAの「販売」は金銭又は「価値ある対価」)となっている)ことから、ネバダ法の個人情報販売オプトアウト権の対象は、GAFAやアドテク事業者等に限られるのではないかと思われる。

アメリカにおいてはカリフォルニア、ネバダの他の様々な州において、個人データ保護法案が議会で議論されるとともに、米国連邦法の制定も検討されている。今後も各州法や連邦法の動向につき注視が必要である。

概要は以下の通りである。

  • ネバダ州法(Nevada Revised Statutes CHAPTER603A「SECURITY AND PRIVACY OF PERSONAL INFORMATION」)(「NRS603A」)を修正したもの。
  • 元々NRS603Aには、事業者のセキュリティ措置、データ侵害の際の通知義務、プライバシーノーティス義務が定められていた。
  • 今回の修正案はWebサイト、オンラインサービス運用者がネバダ州住民の個人情報を販売することに関しデータ主体のオプトアウト権を、NRS603Aに追加するもの
  • 修正案の対象となる事業者は以下全てを満たす者

   ・ 商業目的でWebサイト、オンラインサービスを提供
   ・ 州住民の個人情報を収集・維持
   ・ ネバダ州に対し業務を行う意図を有し、州住民と取引を行い、州民と十分な関連を有する活動を行う意図を有する
   ・ なお、Webサイトを運営するのみの事業者、Gramm-Leach-Bliley法、HIPAA、自動車メーカ等は対象外

  • 義務内容

   ・ 州住民の個人情報を販売することにつき、データ主体のオプトアウト権に対応する(eメール、無料電話、webサイトで提供)
   ・ 60日以内に当該要求に応答しなければならない(合理的必要性ある場合、30日延長可能)

  • 個人情報の範囲(NRS603A.320)

  Webサイトやオンラインサービスを通じて取得され維持された個人識別情報で、以下1つまたは複数の組み合わせをいう
   ・ 氏名
   ・ 住所(通り、市又は町名を含むもの)
   ・ eメールアドレス
   ・ 電話番号
   ・ 社会保障番号
   ・ 物理的、またはオンラインで特定人にコンタクト可能な識別子
   ・ その他Webサイトやオンラインサービスを通じて取得され維持された、個人識別可能な識別子の組み合わせ

修正案(SB220)
https://www.leg.state.nv.us/App/NELIS/REL/80th2019/Bill/6365/Text
ネバダ州法(NRS603A)
https://www.leg.state.nv.us/NRS/NRS-603A.html

関連記事