バーモント州のデータ侵害通知法の改正


2020年7月1日に、本年はじめに署名されたバーモント州のセキュリティ侵害通知法の修正が、バーモント州の新しい学生プライバシー法とともに施行される。

セキュリティ侵害通知法の修正

バーモント州のセキュリティ侵害通知法の修正の主要なポイントは以下の通り
  ○ 個人を特定可能な情報(PII)の定義拡大
  ○ 侵害の定義にログイン認証情報の侵害を追加
  ○ Webサイトへの掲示などで直接通知に代えることが許される状況

○ PIIの定義拡大
PIIの定義を拡大し、個人のファーストネームまたはイニシャルと、ラストネームとの組み合わせにおいて、以下のデータ要素をPIIに追加する。

  • 個人の納税者識別番号、パスポート番号、軍人識別カード番号、または商業取引のための身元確認に一般的に使用される政府の識別文書に由来するその他の識別番号。
  • 指紋、網膜または虹彩画像、またはバイオメトリック・データの他の固有の物理的表現またはデジタル表現など、データの所有者またはライセンシーが消費者を識別または認証するために使用する人体特性の測定または技術的分析から生成された固有のバイオメトリック・データ。
  • 遺伝情報
  • 健康記録または健康増進プログラムまたは健康増進または疾病予防の類似プログラムの記録、医療専門家による消費者の医学的診断または治療、または健康保険契約番号。

○ 侵害の定義にログイン認証情報の侵害を追加
ログイン認証情報とは「消費者のユーザー名または電子メール・アドレスとパスワードまたはセキュリティ上の質問への回答を組み合わせてオンラインアカウントへのアクセスを許可するもの」を意味する。PII の定義には含まれないが、セキュリティ侵害の法律の定義によると、現在では「個人を特定できる情報またはログイン認証情報」が侵害の対象となっている。
侵害が電子メールアカウント以外のオンラインアカウントのログイン認証情報に限定される場合、当局への通知は電子的に提供されうる。侵害が電子メールアカウントのログイン認証情報に限定されている場合は、特別な通知手順が適用される。さらに、侵害がログイン認証情報に限定される場合、個人データを取得した者は、ログイン認証情報が個人データの取得者またはその代理人から直接取得された場合にのみ、バーモント州司法長官(または個人データ取得者が金融規制局によって規制されている場合は金融規制局)に通知する必要がある。

○ Webサイトへの掲示などで直接通知に代えることが許される状況
書面、電子メール、または電話による直接通知の最低コストが 10,000 ドルを超える場合、またはデータ収集者が十分な連絡先情報を持っていない場合といった限定的な状況下での代替通知(個人に対する直接通知に代わる手段で行う通知。Webサイトへの掲載、電子メール、メディア公表など)を許可する。影響を受ける消費者の数が5,000人を超えた場合は、代替通知を提供する根拠とはならない。

学生データのプライバシー

バーモント州の学生データプライバシー法は、カリフォルニア州の学生オンライン個人情報保護法をモデルとしている。一般的には、PreK-12(幼稚園入学前から高校まで)の学校が使用し、あるいはPreK-12の学校を対象として設計および販売するWebサイト、オンラインサービス、オンラインまたはモバイルアプリケーションの特定の「運営者」が、故意に以下の事項を実施することを禁止している。

  • 法律で定義される対象情報や、永続的な固有識別子を含む情報に基づいてターゲットを絞った広告に従事すること、およびそのサイト、サービス、またはアプリケーションを就学前のPreK-12学校の目的で使用したために運営者が取得した情報を使用すること。
  • 幼稚園から12年生までの学校の目的を促進する場合を除き、運営者のサイト、サービス、またはアプリケーションによって作成または収集された情報を使用して、学生に関するプロフィールを収集すること。
  • 対象となる情報を含む学生の情報を販売、物々交換、またはレンタルすること。ただし、開示が法律で指定された目的のために行われ、目的を達成するために必要な識別可能な情報に比例する場合を除く。

運営者はまた、以下の事項も要求される。

  • 合理的なセキュリティ手順と実践を実施し、維持すること。
  • 学校または学区の要請があった場合、生徒または生徒の親または法定後見人が運営者による対象情報の維持に同意した場合を除き、学校または学区の管理下にある生徒の対象情報を、合理的な期間内に、実践可能な範囲で削除すること。
  • 運営者の対象情報の収集、使用、開示に関する重要な情報を公に開示し、学校に提供すること (利用規約、プライバシーポリシー、または同様の文書の公開を含む)。

この法律はまた、適用法を遵守するため、または正当な研究目的のために (特定の状況下で) 対象情報を使用すること、および州法または連邦法で認められているように、PreK-12の学校の目的のために対象情報を州または地方の教育機関に開示することを、運営者に許可する。

同法はさらに、運営者が、運営者の教育製品を改善し、マーケティングを含む運営者の製品やサービスの有効性を実証するために、特定の学生に関連付けられていない対象情報を使用することができるとしている。また、運営者は、教育サイト、サービス、またはアプリケーションの開発および改善のために、特定の学生に関連しない対象情報を共有することができる。さらに、運営者は、第三者からの支払いまたはその他の対価によって決定されない場合に、オンラインサイト、サービス、またはアプリケーション内の教育、その他の学習、または雇用機会に関連する追加のコンテンツまたはサービスを学生に薦めるための推薦エンジン(recommendation engine)を使用することができるとしている。

 

【Vermont’s Amendments to Data Breach Law and New Student Privacy Law Effective July 1, 2020】
https://www.huntonprivacyblog.com/2020/06/22/vermonts-amendments-to-data-breach-law-and-new-student-privacy-law-effective-july-1-2020/?mkt_tok=eyJpIjoiTURFeE4yVmxaVFV5WkRjeSIsInQiOiJkNjhVQXFsOGs4MDNxUktDWURUKzd0TE9GZFluQWJVU0swU0dYZXdQWHlrVkNhclhhUzFrOU13SWpMaEVFS1NwYlpmZzFqRGpBc2xJdTB5bHFWRmdSdkNDWmpcLzZ2T1kzNWJhSTdwSDZzbG14K2tjclA5aG11ampiWmdwNDI3NDMifQ%3D%3D

関連情報

IIJ ビジネスリスクマネジメントポータル(BizRis)

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

カリフォルニア州消費者プライバシー法対応テンプレート (アドバンスト会員用)

購入のお申込みはこちら

なお、本パッケージには以下が含まれています:

01_CCPA_infographic
02_CCPA_概要
03_CCPA_ステップガイド
04_CCPA_用語集
05_CCPA_対象チェックリスト
06_CCPA_制裁金シミュレーションシート
07_CCPA_プライバシーポリシー(英)
08_CCPA_プライバシーポリシー(日)
09_CCPA_プライバシー侵害リスク分析レポート

関連記事