米国内の現行法としての連邦レベルの個人情報保護法制

 個人情報取扱事業者に適用される個人情報保護法がある日本とは異なり、米国にはあらゆる事業者に適用される分野横断的な個人情報処理に関する連邦レベルでの制定法は現状存在しませんが、特別に規制を講じる必要性が高い事業分野や特定の種類の個人情報処理に関して、個別の連邦レベルの制定法によって規制されています。この制定法としての個人情報保護法の例は下の図2の通りです。

図2 個別の連邦レベルの制定法としての個人情報保護法の例(出所:S&K Brussels法律事務所)
図2 個別の連邦レベルの制定法としての個人情報保護法の例(出所:S&K Brussels法律事務所)
[画像のクリックで拡大表示]

 これらの連邦レベルの個人情報保護に関する制定法は、基本的に連邦取引委員会(FTC: Federal Trade Commission)によって執行されます(HIPPAは主に米国保健福祉省(Department of Health and Human Services)が執行)。FTCは、消費者を保護し、経済の幅広い分野で競争を強化することを担う独立した法執行機関です。FTCは個別の連邦レベルの制定法と、市場における不公正または欺瞞(ぎまん)的な行為または慣行(unfair or deceptive acts or practices)を禁止するFTC法第5条などに基づき、消費者に関するプライバシーの保護について執行しています。

米国連邦データプライバシー法案において執行機関として位置付けられるFTC

 FTCは、既出のCOPRAや共和党議員が提案している「セーフデータ法」のいずれにおいても執行機関として位置付けられており、将来の連邦データプライバシー法の立法化後にその執行機関となる可能性が高い状況にあります。

 FTCは世界で最も高額の個人情報保護規制違反に対する民事制裁金を賦課した執行機関です。2019年7月24日、FTCは米国司法省と共同で、Facebookに対しFTCが2012年に出した命令への違反──同社がユーザーによる個人情報の管理について偽り、消費者のプライバシーを確保するための合理的なプログラムを開始および維持しなかったこと、ならびに同社がユーザーから提供された電話番号をユーザーへのターゲット広告の2要素認証に使用することを開示しなかったこと──について、50億ドル(約5400億円)の民事制裁金を科すことで、Facebookと和解しました。この和解は2020年4月に米国コロンビア特別区連邦地方裁判所によって承認され、確定しています。

 また、日本企業グループの米国拠点も、FTCによる個人情報保護規制違反の執行の対象となったことにも注意が必要です。2020年6月30日、FTCはデータセンターの運営者であるNTT Global Data Centers Americas, Inc.(旧商号:RagingWire Data Centers)との間で、同社がEU-米国のプライバシーシールド枠組み(EUから米国への個人データの自由移転の枠組み)への参加について消費者を誤解させ、当該枠組みのプログラムの要件について認定の失効を許可する前後に順守できなかったというFTCの主張について和解しました。

日本企業グループが取るべき、米国における個人情報保護コンプライアンス対応

 米国では、州レベルでの包括的な個人情報保護法の立法化が順次進んでおり、2021年6月現在、上述の通りカリフォルニア州、バージニア州、コロラド州では立法化が採択されています。図3は、iapp(International Association of Privacy Professionals:国際プライバシー専門家協会)が作成した立法化の状況を図示したものです。

図3 US State Privacy Legislation Tracker(出所:iapp
図3 US State Privacy Legislation Tracker(出所:iapp)
[画像のクリックで拡大表示]

 これらの州レベルでの包括的な個人情報保護法は、州内の居住者の個人情報の収集・販売・共有などを規制するものですが、なかでも2020年1月1日に適用開始となった「カリフォルニア州消費者プライバシー法(CCPA: California Consumer Privacy Act)」および、これを改正する「カリフォルニア州プライバシー権利法(CPRA: California Privacy Rights Act)」は、企業による米国内での個人情報保護コンプライアンス対応に大きな影響を与えています。まだ対応が完了していない日本企業グループの米国拠点およびカリフォルニア州の居住者の個人情報を取り扱う日本本社は、速やかにコンプライアンス対応を推進する必要があります。

 こうした対応においては、近い将来に米国連邦データプライバシー法案が採択されることを念頭に置き、最も有力な法案であるCOPRAの内容を踏まえておくことが、中長期的には効率的かつ効果的なコンプライアンス対応を可能にするものと考えられます。

杉本 武重(すぎもと たけしげ)氏 S&K Brussels法律事務所 代表・パートナー弁護士
杉本 武重(すぎもと たけしげ)氏
S&K Brussels法律事務所 代表・パートナー弁護士
(日本、米ニューヨーク州、ブリュッセル[B-List])
2000年駒場東邦高等学校卒業、04年慶応義塾大学法学部法律学科卒業、12年米シカゴ大学ロースクール卒業(LL.M)、13年英オックスフォード大学法学部修士課程卒業(MJur)。カリフォルニア州消費者プライバシー法(CCPA/CPRA)、EU一般データ保護規則(GDPR)、EU電子プライバシー規制、米国連邦データプライバシー法案、EUのAI規制法案などを主な取り扱い分野とする。欧米のデータ保護監督当局・捜査機関を相手とする交渉や調査・訴訟における防御など、企業・事業者団体・独立行政法人などのグローバルなデータ保護案件を数多く取り扱う。デュッセルドルフ日本商工会議所法務専門委員(15〜21年)、公正取引委員会競争政策研究センター・客員研究員(16〜17年)を歴任し、最近では、一般社団法人日本DPO協会設立発起人・理事(19年〜現在)などの外部団体の役職を通じて国内のデータ保護・プライバシーに関する啓蒙・研究活動にも携わっている。19年12月16日(月)日本経済新聞朝刊11面(法務)の「企業が選ぶ弁護士ランキング」の「データ関連」の部門で第4位に選出。
DeCom会員登録のご案内

会員登録された方に、メールマガジンで新着記事、新連載のご案内、その他ビジネスに役立つお得な情報を無料でお送りします。会員限定記事も今後続々登場する予定です。ぜひご登録ください。
DeCom会員登録はこちら