アメリカ・ニューヨーク州で、電子個人情報保護法「SHIELD」法が施行


2020年3月21日、アメリカ・ニューヨーク州で、電子情報である個人情報保護のための州法「ハッキング防止・電子データセキュリティ改善法(SHIELD法:Stop Hacks and Improve Electronic Data Security Act)」が施行された。同法は、2019年5月に州議会を通過し、知事の署名を経て成立していたものである。ニューヨーク州で活動する企業の大多数が、同法の規制対象となるものとみられる。

SHIELD法の概要及び義務・要件等

1 規制対象はニューヨーク在住者の個人情報を収集または維持するすべての企業である。

2 ニューヨーク州民の個人情報を所有またはライセンスを取得している企業に対して、データの廃棄を含め、個人情報のセキュリティ、機密性、および完全性を保護するための合理的な安全策を開発、実施、維持することが要求される。

3 合理的な安全策は、以下のいずれかの条件が該当する。

(1)同法が定める以下の規制の対象事業体であること。

ア 連邦グラム・リーチ・ブライリー法(GRAMM LEACH-BLILEY ACT)
イ 健康保険の移植性と説明責任法(HIPAA)施行規則
ウ 経済的および臨床的健全性のための健康情報技術法(HITEC Act) 
エ ニューヨーク州規則集第23編第500章(Part 500, Title 23 of Codes, rules and regulations of the State of New York)
オ 連邦政府またはニューヨーク州政府の公式の部署、部署、委員会、または機関のその他のデータセキュリティ規則および規制、ならびに連邦政府またはニューヨーク州政府の公式の部署、部署、委員会、または機関、または連邦政府またはニューヨーク州の裁判所によって解釈される規則、規制、または法令によって管理される法令。

(2)以下のセキュリティプログラムを実施していること。

ア 以下を含む合理的な管理上の保護措置

    • 合理的に予見可能な内部および外部のリスクを特定し、セキュリティプログラムを調整するために1人以上の従業員を指定する。
    • 特定されたリスクを管理するための保障措置の十分性を評価する。
    • セキュリティプログラムの実施方法及び手順について、従業員を訓練し、管理する。
    • 適切な保障措置を維持できるサービス・プロバイダーを選定し、契約により保障措置を要求する。
    • ビジネスの変化や新たな状況に応じて、セキュリティプログラムを調整する。

イ 以下を含む合理的な技術的保障措置

    • ネットワークおよびソフトウェアの設計におけるリスクを評価する。
    • 情報処理、伝送、保存のリスクを評価する。
    • 攻撃やシステム障害を検出・防止し、発生の際は対応する。
    • 主要なコントロール、システム及び手順の有効性を定期的にテストし、監視する。

ウ 以下を含む合理的な物理的保護措置

    • 情報の保管と廃棄のリスクを評価する。
    • 侵入を検出し、防止し、対応する。
    • 情報の収集、輸送、破壊または廃棄中または廃棄後の個人情報への不正アクセスまたは使用から保護する。
    • 個人情報を業務上不要となった後、電子媒体を消去して情報の読み取りや再構築ができないようにし、合理的な期間内に廃棄する。

6 司法長官は違反に対して民事罰を科すことができるが、SHIELD法では、私的な訴訟権はないと明示的に規定されている。

7 セキュリティ要件を遵守しなかった企業は、違反1件につき最高5,000ドルの民事罰を科せられる可能性がある。違反通知要件を遵守しなかった場合の罰則は、通知に失敗した1件につき20ドルだが、上限の25万ドルを超えることはできない(注:CCPAと同様に、1件の罰金は小さくても、件数(=データ主体数)が増えると累加される仕組みだと思われる。)

 

NY’s SHIELD Act has taken effect — what does this mean for your business?

https://iapp.org/news/a/new-yorks-shield-act-has-taken-effect-what-does-this-mean-for-your-business/

同法テキスト(ニューヨーク州議会HP)

https://www.nysenate.gov/legislation/bills/2019/s5575

関連記事