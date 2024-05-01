長年の努力と立法の 失敗の末、連邦のデータプライバシー法の草案が最近公表されました。アメリカ合衆国下院エネルギー・商業委員会は、2024年4月7日に米国プライバシー権法を発表しました。これまで、州がより厳格な規則を発行できるかどうか、また個人がプライバシー侵害で企業を訴訟できるかどうかなど、いくつかの問題が法律を可決する過程で立ちはだかっていました。
2024年のアメリカプライバシー権法により、米国政府は国家レベルの消費者データプライバシー権を確立する初の全国的なプライバシー政策を制定するとともに、データセキュリティの基準も設定しました。中小企業、官公庁・自治体、官公庁・自治体の代理として活動する団体、国立行方不明・搾取児童センター（NCMEC）など、特定の団体は法律から除外されています。詐欺対策の非営利団体は、データ・セキュリティー基準を守るだけで十分です。この法律の一環として、連邦取引委員会（FTC）は、FTC法の下で不公正または欺瞞的行為として扱われる違反を取り締まるための新しい局を設立します。
「この超党派・両院合同の法案草案は、国民が自身の個人情報を管理する権利を保障する国家レベルのデータプライバシー・セキュリティ基準を確立する、ここ数十年間で最高の機会です」と、下院エネルギー・商業委員会委員長キャシー・マクモリス・ロジャース氏（共和党・ワシントン州選出）と上院商業・科学・運輸委員会委員長マリア・キャントウェル氏（民主党・ワシントン州選出）はプレスリリースで述べています。「この画期的な法律は、下院と上院での長年にわたる献身的な努力の積み重ねの成果です。議会を通じた包括的なデータプライバシー法案成立に不可欠な課題において、意味ある均衡を保っています。アメリカ国民は自らのデータを管理する権利を有しており、下院と上院の同僚議員が本法案の成立に向け協力してくれることを期待しています。」
同法の重要な要素の一つは、現行の州ごとのプライバシー法を統一する点であり、これは優先適用と呼ばれます。企業は顧客が居住する州の法律に従わなければならないため、多くの州でさまざまな法律を確実に遵守することが困難でした。
ただし、公民権や消費者保護など、場合によっては州が独自のプライバシー法を制定することもできます。APRAを策定する際、議員たちはカリフォルニア、イリノイ、ワシントンといった主要州の基準を維持しました。
140ページに及ぶAPRA草案は、データプライバシーに関する具体的な基準とプロセスを詳述しています。新法案の5つの主要部分は以下の通りです。
立法者たちは、データ侵害によって被害を受けた個人に企業を訴える権限を与えたカリフォルニア州消費者プライバシー権法（CCPA）の文言を使用しました。消費者は、訴訟によって実際の損害、差止命令による救済、確認的救済、および合理的な弁護士費用と経費を回収することができます。カリフォルニア州の居住者は、CCPAに基づいて法定損害賠償を受けることもできます。
組織は、データ収集プロセスと消費者がオプトアウトする方法を詳細に規定したプライバシー・ポリシーを策定する必要があります。この法律はまた、明示された許可された目的によって明示的に許可されない限り、個人の積極的な明示的な同意なしに、生体認証情報や遺伝情報などの特定の種類のデータを収集および転送することを制限しています。
APRAにより、アメリカ人は企業やデータブローカーによるデータの転送や販売を阻止することができます。消費者はターゲティング広告からオプトアウトすることもできます。さらに、この法律では、企業が機密データを第三者に転送するには消費者の同意が必要とされています。
この法案の一環として、FTC はデータブローカーレジストリを維持します。すべてのデータブローカーは、自らをデータブローカーとして識別する公開Webサイトを保持する必要もあります。障害のある個人を含む消費者は、「収集しない」メカニズムを使用して、Web サイトでのデータの管理と収集からのオプトアウトが可能である必要があります。
ほとんどの企業はプライバシー責任者またはデータ責任者のいずれかを任命できますが、大規模なデータ所有者は、FTCへの毎年の提出などの追加要件に従って、両方を指定する必要があります。企業は独立した役職を作成する必要はなく、既存の役割にこれらの責任を追加できます。
この法律はまだ議論の草案段階にあるため、次のステップはまだ決まっていません。この法案を投票し、法律として承認する正式な日程は設定されていません。企業と消費者の両方への影響を考えると、米国民は議論を注意深く見守るべきであり、企業は可決されれば承認後180日で発効する規制に従う準備を始めるべきです。