アメリカ上院に、包括的な連邦プライバシー権法COPRA(消費者オンラインプライバシー権利法)法案が上程


アメリカ上院に、包括的な連邦プライバシー権法COPRA(消費者オンラインプライバシー権利法)法案が上程

11月26日、アメリカ上院に包括的連邦プライバシー権法COPRA(Consumer Online Privacy Rights Act)の法案が上程された。本稿では、国際プライバシー専門家協会(IAPP)の解説記事を元に、同法案の概要を紹介する。

COPRAは、プライバシー保護に関し、「消費者に基本的なデータプライバシー権を提供し、強力な監視メカニズムを作成し、有意義な施行を確立する」ように設計されているとされ、各州がさまざまなプライバシー保護法律を定めていく中で、プライバシー保護活動家、消費者、産業界の共通の目標となることを目指している。

COPRAの適用範囲は、全米のビジネス、個人、個人データを広く対象とするものである。個人データの定義は、アメリカ国内の個人または機器を直接特定するか、それらと合理的に紐づけ可能な情報とされる。同法が適用される法的主体(Covered Entity、以下「規制対象企業等」という。)は、連邦通商委員会法(FTC Act)の規制を受け、個人データ(Covered Data)を取り扱う組織・団体であり、一般的には商業活動を行う企業等である。一方、非営利組織、特定の金融機関及び通信会社による公衆通信事業(Common Carrier Activity)は対象から除外される。また、年間売上高2500万ドル以下の中小企業、個人データの取扱いが10万人以下の企業等、個人データの移転による収益が全収益の50%以下の企業等もCOPRAの適用対象外となる。

COPRAに規定される個人の権利等は以下のとおりである。
1 同意:個人のセンシティブデータの処理には個人の同意が必要となる。個人データを移転することへのオプトアウト権も定めている。
2 アクセス権:個人からの求めに応じ、規制対象企業等は、個人データの移転先の名前とともに、個人データそのものを移動可能(Portable)なフォーマットで個人に提供しなければならない。
3 訂正権及び忘れられる権利:個人には、規制対象企業等に対し、自身の個人データの訂正および削除を求める権利が認められている。
4 透明性:規制対象企業等は、プライバシーポリシーの公表が義務付けられる。プライバシーポリシーには規制対象企業等の連絡先、処理対象のデータのカテゴリー、個人データ移転先の第三者またはサービス提供者のカテゴリー、データの保管期間、個人データ移転先の特定情報も含まれる必要がある。プライバシーポリシーは、規制対象企業がビジネスを行うすべての地域の言語で利用可能でなければならない。
5 データ最小化:規制対象企業等は、必要性及び比例性の原則に従った、特定目的の個人データのみ処理可能である。
6 データの保全:規制対象企業等は、個人データ処理上のリスクが明らかになり、あるいは個人データを処分する際には、合理的なセキュリティ手段、脆弱性の評価、データ保全上の是正措置の実行が求められる。

同法案では、資質を有するプライバシー及びセキュリティオフィサーの指定、強力なプライバシー遵守プログラムの実装、年次でのプライバシーおよびセキュリティリスク評価、個人データにアクセスする従業員を対象とした全社的なプライバシー訓練も義務化される。訓練ガイドラインの策定には、連邦通商委員会(FTC)と国立標準技術研究所(NIST)が任にあたる。

年間500万件以上の個人、機器または世帯の個人データ、あるいは10万件以上のセンシティブデータを取り扱う規制対象企業等は、同法案の規定の実行に必要な統制の実行状況について、毎年FTCに報告が求められる。

同法を行使する権限は、個人のほか、FTC及び各州司法長官(State Attorney General)に与えられる。同法違反による損害の算定は、1件1日あたり100から1000ドルとし、かつ弁護士費用や正当な慰謝料(Equitable Relief)も別途算定できる。

同法はまた、規制対象企業に詐欺的や有害な活動を行うことを禁じる「誠実義務(Duty of Loyalty)」や、アルゴリズム的意思決定(Algorithmic Decision-making:機械学習、統計学その他のデータ処理または人工知能(AI)技術を含むコンピュータ処理プロセスであり、個人データ処理の点で意思を決定し、あるいは人による意思決定を容易にするもの。)に対する規制も含んでいる。後者については、住宅、教育、雇用または信用供与に関わる広告あるいは適用決定に従事する者に対し、正確性、公平性、バイアス防止、差別防止の観点から毎年影響評価を実施することが求められている。

同法案は、今後アメリカ議会で審議が行われることになる。同法案が成立した場合、アメリカの連邦レベルでの初の包括的プライバシー保護法になるため、その影響範囲は極めて大きく、多くの日系企業もその影響を受ける可能性がある。IIJは、COPRAの詳細に関する分析を進めるとともに、審議状況について今後も引き続き注目してゆく。

US sens. unveil new federal privacy legislation
https://iapp.org/news/a/u-s-senators-unveil-new-federal-privacy-legislation/
Consumer Online Privacy Rights Act 法案
https://www.cantwell.senate.gov/imo/media/doc/COPRA%20Bill%20Text.pdf

関連記事