カリフォルニア州を皮切りに、米国では多くの州において包括的な個人情報保護法の立法に向けた検討が進んでいる。さらに、民主党が推進する米国連邦レベルでの法案は「GDPR(EU一般データ保護規則)」をしのぐ厳しい内容。立法化を目前に、日本企業はどのように対応すべきか。法案検討の現状について、専門家が解説する。(DeCom編集部)

対応急務! 米国の個人情報保護政策に待ったなし
写真/Sergey Nivens stock.adobe.com
[画像のクリックで拡大表示]

米国連邦データプライバシー法案の検討の現状

 米国の連邦レベルでの包括的な個人情報保護法として、「米国連邦データプライバシー法案」の立法化が、現政権を握る民主党の政権公約「2020 Democratic Party Platform」において掲げられました。

 立法が実現する場合、日本企業グループの米国拠点のみならず、米国国内の居住者の個人情報を取り扱う日本本社においても、米国連邦データプライバシー法に対するコンプライアンス対応を行う必要が出てきます。米国事業における日々のオペレーション、マーケティング、IT・セキュリティー慣行などに大きな影響が出ることが予想されます。

 米国連邦議会においては、これまでにも様々な連邦データプライバシー法案が提出されてきました。現在までに最も有力な米国連邦データプライバシー法案は、連邦議会上院の商務・科学・運輸委員会の委員長であるマリア・カントウェル上院議員(Sen. Maria Cantwell:民主党・ワシントン州選出)によって2019年11月26日に同委員会において提案された「消費者オンラインプライバシー法(Consumer Online Privacy Rights Act: COPRA)」です。

 COPRAは違反に対し、広く個人による民事訴訟の提起および懲罰的損害賠償請求を認めており、クラスアクション制度を利用する可能性もあることから、世界的に見ても極めて厳しい内容となっています。

世界におけるデータ保護法の立法化の急速な進展と米国の位置付け

 米国の連邦データプライバシー法案についての考察に当たっては、世界におけるデータ保護法の立法化の急速な進展のなかでの米国の位置付けを考えることが重要です。

 2018年5月の欧州連合(EU)の「一般データ保護規則(General Data Protection Regulation: GDPR)」の適用開始を契機として、データ保護に関する個人の権利意識の向上とともに、EUを中心とするデータ保護監督当局によるデータ保護法違反の摘発と制裁は、世界的に強化の流れをたどっています。

 GDPRはEU内の個人データの処理と移転を原則として禁止し、違反した場合の制裁金を企業グループの全世界売上高の4%以下、企業以外の組織・団体においては2000万ユーロ以下(日本円で約26億円以下)という巨額に設定したことも、GDPR型のデータ保護法が世界的な広がりを見せている一因といえるでしょう。

 最近でも、2021年6月10日、欧州のルクセンブルクのデータ保護監督当局がAmazon.com Inc.に対し、同社によるGDPR違反に対して4億2500万ドル(約459億円)以上の制裁金を賦課する決定を、EUの他のデータ保護監督当局に提案したと報道されています。

 図1は世界の包括的データ保護法制の立法・施行の状況を示したものです。

図1 世界の包括的データ保護法制の立法・施行の状況(出所:S&K Brussels法律事務所)
図1 世界の包括的データ保護法制の立法・施行の状況(出所:S&K Brussels法律事務所)
[画像のクリックで拡大表示]

 米国内では、これまでにカリフォルニア州、バージニア州およびコロラド州において、州レベルでの包括的なデータ保護法が採択されています。また、米国外に目を向けると、タイ、ブラジルは既にGDPRをベースにした包括的なデータ保護法が採択されており、中国やインドは同様のデータ保護法採択が間近となっています。特に、中国はGDPRよりも厳しい内容での立法を行おうとしています。

 前述の通り、米国では州レベルでの包括的なデータ保護法が複数採択され、企業はこれらについて重畳的にコンプライアンス対応を行わなければならないことが事業活動の足かせとなる懸念があることや、個人データ保護分野における国際的な規制競争の観点から中国に後れを取ることなど、様々な理由から連邦レベルでのデータプライバシー法案採択の必要性が主張されています。