はじめに
米国は、先進国でも随一の経済規模を誇り、世界各国の企業にとって多種多様なビジネスの場であり、日本企業にとってもグローバルな事業展開を行ううえで必ず対象となるマーケットの一つであるといえます。米国でビジネスを行う日本企業は、その事業活動に伴い個人情報の取得が避けられず、時には、米国内で取得した個人情報を日本本社や米国外のグループ会社等へ移転する必要が生じることもありえます。米国においてはデータ保護に関する包括的な連邦法は存在しておらず注1、一般的に越境を伴うデータ移転について規律する規制もいまだ存在していません。その一方で、米国では、プライバシー保護やデータセキュリティに関連しうる個別の連邦法、州法、その他の規則等により企業に対する規制が存在し、これらの枠組みの中で、データの越境移転についても制約があることになります。
米国の中でもビジネスの中心地であるニューヨーク州では、2019年にStop Hacks and Improve Electronic Data Security Act(以下、「SHIELD Act」といいます)が制定され、2020年3月21日にそのすべての規制内容が施行されました。SHIELD Actの適用対象は、ニューヨーク州でビジネスを行う企業に限定されないことから、同法の運用について、日本企業も注視する必要があります。
そこで、本シリーズの第3回は、米国のプライバシー保護・データセキュリティに関する規制を概観したうえで、ニューヨーク州の規制の中心的な法律であるSHIELD Actについて解説します。
米国における個人情報関連規制について
概要
米国において、個人情報の収集、使用、処理、開示等に関連する規範(以下、「個人情報関連規制」といいます)は、さまざまな連邦法、州法、規則、コモンロー上の原則等が存在していますが、米国の個人情報関連規制は複雑であり、その全体像を把握することは容易ではありません。以下では、米国における個人情報関連規制のうち、連邦法および州法で特に留意すべき内容を中心に解説します。
連邦法
個人情報関連規制に関する連邦法は、業種を問わず幅広く適用される消費者保護法をはじめとして、特定の業種に適用される法律などもあり、多数存在しています。以下では、これらの連邦法のうち、代表的なものを取り上げ、その規制の内容を概観します。
(1) 消費者保護法
消費者保護法の代表例として、Federal Trade Commission Act(以下、「FTC Act」といいます)があります。FTC Actは、消費者を保護するために事業者の「不公正または欺瞞的な(unfair or deceptive)」行為または慣行を禁止する法律注2であり、消費者の個人情報の収集、処理、保護および開示についても、適用されます。その適用対象は広く、金融機関等一部の事業者を除き、米国でビジネスを行う企業または個人に適用されます。
FTC Actは、一般的・全般的に不公正または欺瞞的な行為または慣行を禁止しており、個別の個人情報関連規制として消費者個人の権利または事業者の義務を具体的に規定するものではありません。もっとも、同法は、不公正または欺瞞的な個人情報の取扱いを禁止することにより、実質的に、個人情報関連規制として機能しています。たとえば、FTC Actには、事業者に対して、個人情報保護のための安全管理措置を講じることを直接義務付けるような規定はありません。しかしながら、そのような安全管理措置を講じず、個人を識別可能な情報を誰でもアクセス可能な状態に置いた場合などには、不公正な個人情報の取扱いであるとして、同法に違反する可能性があります注3。
FTC Actは、その名のとおり、連邦取引委員会が所管しています。連邦取引委員会は米国における個人情報関連規制に関する連邦法の中心的な規制当局であり、FTC Actに基づく個人情報の取扱いを含む個人情報保護のためのガイドライン注4を複数制定しています。これらのガイドラインは法的拘束力はないものの、遵守することが望ましいベストプラクティスとして考えられています注5。
(2) 特定の業種に適用される法律
特定の業種に適用される法律の代表例として、Gramm-Leach-Bliley Act(以下、「GLBA」といいます)およびHealth Insurance Portability and Accountability Act of 1996(Health Information Technology for Economic and Clinical Health Act(HITECH Act)による改正後のものをいい、以下、「HIPAA」といいます)があります。
GLBAは、個人を識別可能な非公開の財務情報の取扱いに関し、金融機関を規制する法律です。また、HIPAAは、個人を識別可能な健康情報の取扱いに関し、医療保険提供者・医療機関等を規制する法律です。
GLBAおよびHIPAAの規制内容は、主として、個人のプライバシーに関するプライバシールールと、データセキュリティに関するセキュリティルールからなり、図表1のような事項について規定しています。
図表1 GLBAおよびHIPAAの主な規制内容
|
|
GLBA |
HIPPA |
|
| 対象事業者 |
金融機関 |
医療保険提供者・医療機関等 |
|
|
対象個人情報 |
個人を識別可能な非公開の財務情報 |
個人を識別可能な健康情報 |
|
| プライバシールール |
個人情報取得時の通知等 |
プライバシーポリシーおよび個人情報の取扱方針の通知 |
個人情報の取扱方針およびHIPPAに基づく個人の権利の通知 |
|
第三者への開示等についての同意の取得 |
規定なし |
個人情報の使用および第三者への開示についての同意の取得 |
|
|
個人情報へのアクセス権等 |
規定なし |
アクセス権、訂正権、個人情報の使用・開示状況についての説明要求権 |
|
| セキュリティルール |
データセキュリティプログラムの確立 |
個人情報保護のための安全管理措置等を規定した書面による情報セキュリティプログラムの確立 |
個人情報保護のための方針および手続(安全管理措置を含む)の確立 |
|
データ侵害通知 |
規定なし |
個人情報への不正な取得、アクセス等(データ侵害)の発見時の、その個人情報を不正に取得等された個人および保健福祉省(Department of Health and Human Services (HHS))へのデータ侵害の事実の通知 |
|
上記のとおり、GLBAおよびHIPAAはFTC Actとは異なり、具体的な個人情報関連規制を規定しています。これらのうち、データセキュリティプログラムの確立およびデータ侵害通知は、SHIELD Actにおいても規定されています。
州法
(1) 主な州法の規制内容
連邦法と同様、個人情報関連規制に関する州法も多数存在しています。これらの州法の中には、FTC ActやGLBA・HIPAAに類似するものもあれば、下記の一般データセキュリティ法のように、GLBA・HIPAAにおける規制内容の一部について規定した法律もあります。また、連邦法には対応する法律はありませんが、カリフォルニア州におけるCCPA(California Consumer Privacy Act of 2018)・CPRA(California Privacy Rights Act of 2020)注6のように、包括的なプライバシー保護に関する州法も制定されています注7。これらの州法も含め、個人情報関連規制に関する主な州法として、図表2のようなものがあります。
図表2 個人情報関連規制に関する主な州法
|
州法の種類 |
規制の概要 |
具体例 |
|
包括的プライバシー保護法 |
州居住者のプライバシー保護 |
CCPA・CPRA |
|
消費者保護法 |
不公正または欺瞞的な個人情報の取扱いの禁止(FTC Actと類似の規制) |
New York's Deceptive Practices Act (DPA) (N.Y. Gen. Bus. Law § 349) |
|
特定の業種に適用される法律 |
金融機関が収集した個人情報の保護、個人の健康・医療情報の保護等(GLBA・HIPPAと類似の規制を含む) |
New York Department of Financial Services (NYDFS) Cybersecurity Regulations (23 NYCRR §§ 500.0 to 500.23) (Part 500)、 |
|
一般データセキュリティ法 |
個人情報保護のためのデータセキュリティプログラムの確立 |
SHIELD Act |
|
データ侵害通知法 |
事業者が有する個人情報への不正な取得、アクセス等(データ侵害)が生じた場合の、当該事業者から、その個人情報を不正に取得等された個人等へのデータ侵害の事実の通知 |
SHIELD Act |
|
記録破棄法 |
不要となった個人情報を含む記録の破棄 |
SHIELD Act |
|
ソーシャルセキュリティナンバー法 |
ソーシャルセキュリティナンバーの収集、使用、保護および開示 |
New York Social Security Number Protection Law (N.Y. Gen. Bus. Law § 399-ddd) |
|
カード取引法 |
クレジットカード等の取引に関する個人情報の取得の制限 |
N.Y. Gen. Bus. Law § 520-a(3) |
(2) 連邦法との関係
連邦法と州法が同じ事項について規制している場合、合衆国憲法6条2項により、連邦法が優先することがあります。米国の判例法によれば、以下の場合は、連邦法が優先する(連邦法による州法の専占が認められる)と解されています注8。
① 連邦法が州法に優先することを明示している場合(明示の専占)
② 連邦法がある領域を広く規制している場合に当該領域における州法の規制の余地を残さない趣旨であると解釈される場合(黙示または領域の専占)
③ 連邦法と州法の内容が抵触する場合(抵触による専占)
上記①~③に該当しない場合には、連邦法と州法が同じ事項について規制している場合でも、連邦法の規制が優先されず、州法の規制も適用されることになります。
なお、州法において、連邦法との適用関係を規定している場合もあります。たとえば、GLBA、HIPPAなどの他の連邦法または州法のデータセキュリティに関する規定を既に遵守している事業者については、多くのデータセキュリティに関する州法は、当該州法の適用を除外する(または当該州法が遵守されていると扱う)ことを規定しています。下記のⅢで紹介するSHIELD Actも、そのような適用除外を規定している州法の一つです。
データの越境移転に関する規制
米国内に所在する事業者は、米国法の適用を受ける個人情報を米国外に移転する場合であっても、引き続き当該個人情報の取扱いに関して当該米国法の規制に服することになります。たとえば、日本企業の米国グループ会社が、米国において米国の消費者の個人情報を取得したことによりFTC Actが適用される場合、当該グループ会社は、当該個人情報について不公正または欺瞞的な取扱いが禁止されます。仮に、当該グループ会社が当該個人情報を日本本社に移転した後で、日本本社に対して当該情報を保護するための安全管理措置を講じることを要求せず、実際にそのような安全管理措置が講じられなかったときは、当該グループ会社は、不公正な個人情報の取扱いをしたとしてFTC Actに違反する可能性があります注9。
また、日本企業が、自ら、または米国のグループ会社から移転を受けて、米国居住者の個人情報を取得する場合には、当該日本企業についても、米国法が適用される可能性があります。たとえば、連邦取引委員会は、FTC Actについて域外適用を認めています注10。そのため、上記の例では、自ら保有する米国の消費者の個人情報について安全管理措置の実施を怠った日本本社についても、不公正な個人情報の取扱いをしたとしてFTC Actに違反する可能性があります。
さらに、米国外に移転された個人情報の取扱いについては、GDPRなどの移転先の国・地域において適用される規制も別途適用されうる点には、留意が必要です。
ニューヨーク州のデータセキュリティに関する法律について
概要
SHIELD Actは、①従来のニューヨーク州のデータ侵害通知法の適用範囲を拡大し、②新たに個人情報のセキュリティ、機密性および完全性(integrity)注11を保護するための合理的な安全管理措置(以下、「データセキュリティプログラム」といいます)を策定、実行および維持するなど確立する義務を一定の事業者に課すデータセキュリティに関するニューヨーク州法です。同法は、ニューヨーク州議会の承認後、2019年7月25日に州知事の署名により制定され、データ侵害通知義務の拡大については2019年10月23日に、データセキュリティプログラムの確立義務については2020年3月21日に、それぞれ施行されました。
SHIELD Actは、規制内容を現在の技術水準に合わせることを目的として制定されたものですが、一般データセキュリティ法、データ侵害通知法および記録破棄法に分類されるものであり、CCPA・CPRAのように、プライバシー保護に関する法律ではありません。そのため、SHIELD Actは、事業者に対する義務を規定するにとどまり、消費者の権利を規定するものではありません。
もっとも、以下に述べるとおり、その適用範囲は広く、日本企業を含めニューヨーク州外の事業者にも適用されることから、日本企業においても、その内容を把握しておくことは重要であるといえます。特に、データセキュリティプログラムの確立は、ニューヨーク州ではSHIELD Actの制定により新たに対応が必要となった事項であり、SHIELD Actが要求する安全管理措置の内容をどの程度まで遵守する必要があるか明確ではないことから、その運用が注目されています。
SHIELD Actの主な内容
(1) データ侵害通知義務
SHIELD Actは、一定の事業者が保持するニューヨーク州居住者の個人情報に関するシステムのセキュリティの侵害が認められる場合、当該事業者に、①当該個人情報において特定される個人、および②ニューヨーク州の司法長官等に対して、当該侵害の事実を通知する義務を課しています。
上記にいう「個人情報」および通知の対象となる「システムのセキュリティの侵害」(以下、「データ侵害」といいます)は、SHIELD Act上、図表3のように定義されています。個人情報を「取得」までしたかどうかに関係なく、個人情報への不正「アクセス」があればデータ侵害を認める点で、SHIELD Actは、従来のデータ侵害の定義を拡大したものです。
図表3 SHIELD Act上の「個人情報」および「システムのセキュリティの侵害」の意義
| 「個人情報」 |
以下の(ⅰ)または(ⅱ)のいずれかの情報(N.Y. Gen. Bus. Law § 899-aa(1)(b)) (ⅰ) 個人に関する情報(自然人に関する、氏名、番号、個人の特徴、その他の識別子により、当該自然人を特定するために利用可能な情報)と以下の(1)~(5)までのデータ要素との組合せであって、当該データ要素または当該個人に関する情報とデータ要素との組合せが、暗号化されていない場合、または、暗号化キーで暗号化されているが当該暗号化キーがアクセスもしくは取得されている場合 (1) ソーシャルセキュリティナンバー (2) 運転免許証番号その他の身分証明書番号 (3) 銀行口座番号、クレジットカード番号、デビットカード番号(セキュリティコード、アクセスコード、パスワード等の、個人の金融口座にアクセスするための情報と紐づけられたもの) (4) 銀行口座番号、クレジットカード番号、デビットカード番号(セキュリティコード、アクセスコード、パスワード等の個人を識別する情報によらずに、当該番号のみで個人の金融口座にアクセスすることができる場合) (5) 生体情報(指紋、声紋、網膜画像、虹彩画像など、個人特有の身体的特徴を電子的に測定することにより得られるデータ)、または、その他の、特定の個人を認証し、確認するために利用される、生体データの特有の物理的表現もしくはデジタル表現 (ⅱ) オンライン口座へのアクセスを可能にするパスワードまたは秘密の質問およびその回答と紐づけられた、ユーザー名または電子メールアドレス |
| 「システムのセキュリティの侵害」(データ侵害) |
特定の事業者により保持されている、個人情報のセキュリティ、機密性および完全性を構成する電子化されたデータへの不正なアクセスもしくは当該データの取得、または、当該データへの正当な権限のないアクセスもしくは当該データの取得 |
SHIELD Actにおいてデータ侵害通知義務を負う者は、ニューヨーク州居住者の個人情報を含む電子化されたデータを保有し、または当該データについて使用許諾を受けている個人または企業(以下、「対象事業者」といいます)です。対象事業者は、データ侵害を発見し、またはその通知を受けた場合には、その個人情報を不正にアクセスもしくは取得された、またはそのようなアクセスもしくは取得がされたと合理的に考えられるニューヨーク州居住者に対して、当該データ侵害を開示する義務を負います(N.Y. Gen. Bus. Law § 899-aa(2))注12。
SHIELD Act制定前は、ニューヨーク州のデータ侵害通知法の適用対象はニューヨーク州でビジネスを行っている個人または企業に限定されていましたが、SHIELD Actはそのような限定を撤廃し、事業者の所在地に関係なく、ニューヨーク州居住者の個人情報を含む電子化されたデータを保有し、または当該データについて使用許諾を受けている個人または企業にまで適用対象を拡大しました。また、ニューヨーク州居住者への通知義務を負う対象事業者は、ニューヨーク州司法長官、ニューヨーク州政府およびニューヨーク州警察に対して、当該個人へのデータ侵害通知の内容等を報告する義務を負います(N.Y. Gen. Bus. Law § 899-aa(8))。
(2) データセキュリティプログラムの確立義務
ニューヨーク州居住者の個人情報を含む電子化されたデータを保有し、または当該データについて使用許諾を受けている個人または企業(対象事業者)は、個人情報のセキュリティ、機密性および完全性を保護するための合理的な安全管理措置(データセキュリティプログラム。データの破棄も含みますが、これに限りません)の策定、実行および維持を行う義務を負います(N.Y. Gen. Bus. Law § 899-bb(2)(a))。
SHIELD Actは、当該義務を履行するためのデータセキュリティプログラムの内容として、図表4に示す(A) 管理上の安全管理措置、(B) 技術的安全管理措置、(C) 物理的安全管理措置が含まれていることを要求しています(N.Y. Gen. Bus. Law § 899-bb(2)(b)(ii))。
図表4 SHIELD Act上の安全管理措置の内容
| 管理上の安全管理措置 |
・ データセキュリティプログラムの運用を調整する従業員の指定 ・ 合理的に予見可能な内外のリスクの特定 ・ 特定されたリスクをコントロールするための安全管理措置の十分性の評価 ・ データセキュリティプログラムの実施および手続における従業員のトレーニング、マネージメント ・ 外部のサービスプロバイダーを使用する場合、安全管理措置を有し、適切なサイバーセキュリティを実行・維持できる事業者の選定、および、当該事業者との契約における当該安全管理措置の義務付け ・ 事業の変化や新環境に応じたデータセキュリティプログラムの調整 |
| 技術的安全管理措置 |
・ ネットワークおよびソフトウェアの設計のリスク評価 ・ 情報の処理、送信および保存のリスク評価 ・ サイバーアタックまたはシステム障害の検出、防止および対応 ・ キーコントロール、システムおよび手続の定期的な試験およびモニタリング |
| 物理的安全管理措置 |
・ 情報の保存および破棄のリスク評価 ・ システムへの侵入の検出、防止および対応 ・ 情報の収集、移転、破壊または破棄の実行中またはその後の、個人情報への不正なアクセスまたは使用からの保護 ・ ビジネス上の必要性がなくなった後、個人情報が解読または復元できないよう電子メディアを破壊する方法による合理的な期間内の当該個人情報の廃棄 |
(3) 適用除外等
SHIELD Actは、対象事業者が他の法律を遵守している場合には、適用除外を規定しています。
まず、データ侵害通知については、(i) GLBA、(ii) HIPPA、(iii) New York Department of Financial Services (NYDFS) Cybersecurity Regulations、(iv) その他の連邦またはニューヨーク州のサイバーセキュリティ規則に基づきデータ侵害通知義務を負う場合は、ニューヨーク州司法長官等に対する通知は免除されませんが、個人に対する通知義務は免除されます(N.Y. Gen. Bus. Law § 899-aa(2)(b))注13。
データセキュリティプログラムの確立については、上記(i)~(iv)において要求されるデータセキュリティに関する義務を履行している対象事業者は、SHIELD Actも遵守しているものと扱われます(N.Y. Gen. Bus. Law § 899-bb(2)(b)(i)、(1)(a))。
なお、SHIELD Actは、「中小企業」注14についてデータセキュリティプログラムの柔軟な設計を認めています。具体的には、中小企業のデータセキュリティプログラムが、当該中小企業の規模および複雑性、当該中小企業の活動の性質および範囲、消費者からまたは消費者に関して当該中小企業が収集した個人情報の配慮を要する程度に応じた内容になっていれば、当該中小企業は、データセキュリティプログラムの確立義務を遵守しているとされます(N.Y. Gen. Bus. Law § 899-bb(2)(c))。
(4) 違反の効果
SHIELD Actに違反した場合、ニューヨーク州司法長官による法的措置の対象となりえます。
データ侵害通知に関するSHIELD Actの違反については、5,000ドルまたは(25万ドルを上限として)通知の懈怠1件につき20ドルのいずれか大きい方の金額が民事制裁金(civil penalty)として科される可能性があります(N.Y. Gen. Bus. Law § 899-aa(6)(a))。
これに対して、データセキュリティプログラムの確立に関するSHIELD Actの違反については、違反1件につき、5,000ドルを上限とする民事制裁金が科される可能性があります(N.Y. Gen. Bus. Law § 899-bb(2)(d)、N.Y. Gen. Bus. Law § 350-d)注15。
なお、SHIELD Actは、CCPA・CPRAと異なり、個人に提訴権を与えるものではありません(N.Y. Gen. Bus. Law § 899-bb(2)(e))。
日本企業へのSHIELD Actの適用
上記2.(1)のとおり、SHIELD Actの適用を受ける対象事業者は、ニューヨーク州でビジネスを行う事業者に限定されません。したがって、日本企業がニューヨーク州居住者の個人情報を保有する場合には、SHIELD Actの適用を受けます。たとえば、日本企業がインターネットを通じてニューヨーク州居住者に製品を販売し、氏名およびクレジットカード番号等の個人情報を直接取得する場合にも、当該日本企業はニューヨーク州居住者の個人情報を保有しているといえます。したがって、そのような日本企業は、SHIELD Actに基づきデータセキュリティプログラムを確立する義務を負い、データ侵害があれば、当該ニューヨーク州居住者およびニューヨーク州司法長官等に対してデータ侵害通知を行う義務を負います。
なお、SHIELD Actには、データの越境移転自体について直接かつ個別に規制する規定はありません。もっとも、SHIELD Actは、ニューヨーク州居住者の個人情報について使用許諾を受けた者についても適用されます。したがって、日本企業のグループ会社が米国において取得したニューヨーク州居住者の情報を日本本社に移転し、日本本社による当該情報の使用を許諾する場合には、当該日本企業もSHIELD Actの適用対象となります。たとえば、日本企業のグループ会社が米国における事業活動に伴い取得した顧客であるニューヨーク州居住者の個人情報や、当該グループ会社が米国において雇用したニューヨーク州居住者の個人情報を日本本社に移転する場合がこれに該当します。そのような場合、当該日本本社もデータセキュリティプログラムを確立する義務を負い、データ侵害があれば、データ侵害通知を行う義務を負うことになります。
ニューヨーク州居住者の個人情報を既に保有している日本企業は、SHIELD Actの規定するセキュリティプログラムを確立する必要があり、既に個人情報保護のための安全管理措置を講じている場合であってもSHIELD Actの水準に準拠する必要があります。また、いまだニューヨーク州居住者の個人情報を保有していない日本企業であっても、今後ニューヨーク州居住者の個人情報を取得する可能性がある場合は、SHIELD Actが要求する水準のデータセキュリティプログラムの確立を検討することが望ましいといえます。
今後の見通し
米国では、連邦法レベルでの包括的なプライバシー保護・データセキュリティに関する法律制定の動きがあり、複数の法案が議会に提出されていますが、現時点ではいずれも未成立です。これらの法案の中には、個人情報の移転に関する規制を含むものもありますが、いまだデータの越境移転を特に個別的に取り上げて規定するものはありません。もっとも、米国においても、プライバシー保護・データセキュリティへの意識が高まる中、今後、データ越境移転規制についても議論が進む可能性もあります。
ニューヨーク州でも、カリフォルニア州をはじめとするいくつかの州と同様、包括的なプライバシー保護法の成立に向けた動きがあり、現在複数の法案が議会に上程されています。冒頭でも述べたとおり、ニューヨーク州は、日本企業にとって重要な活動拠点となりうるため、同州において包括的なプライバシー保護法が制定された場合には、日本企業にも多大な影響があることが予想されます。
日本企業においては、米国における既存のプライバシー・データセキュリティに関する規制を確認しながら、今後も米国全般やニューヨーク州での立法の動向を注視していくことが重要であると思われます。
→この連載を「まとめて読む」
- なお、連邦法であるPrivacy Act of 1974は、特定の政府機関を対象に、個人を特定する記録の収集、保持、使用および頒布を規制しています。[↩]
- 15 U.S.C. § 45。なお、同法は、不公正な競争方法(unfair methods of competition)を禁止する競争法としての側面も有し、また、連邦取引委員会(Federal Trade Commission)の権限、手続等についても規定しています。[↩]
- 比較的最近の事例として、Zoom Video Communications, Inc.(以下、「Zoom社」といいます)が、その提供するビデオ会議システムについて、実際はセキュリティが脆弱であるにもかかわらず利用者にはセキュリティを確保していると説明していたことが、不公正かつ欺瞞的なプライバシー・セキュリティに関する慣行であるとして、FTC Actに違反するとされた事件があります(In re Zoom Video Communications, Inc., No. C-4731(F.T.C. Jan. 19, 2021))。2020年11月に、Zoom社は、連邦取引委員会と和解し、包括的なセキュリティプログラムを確立・維持することに合意し、同事件は2021年1月に終結しました。[↩]
- 一例として、消費者のプライバシー保護のためのベストプラクティスを整理した、Protecting Consumer Privacy in an Era of Rapid Changeがあります。[↩]
- 連邦取引委員会以外にも、各業界団体がガイドラインを制定しています。[↩]
- CCPA・CPRAの詳細については、前回の解説をご参照ください。[↩]
- なお、2021年7月14日に、米国のすべての州で採択されているUniform Commercial Code(UCC)を作成した非営利団体である統一州法委員会(Uniform Law Commission)が、アクセス権等の消費者の権利や合理的なデータセキュリティ措置の実施等について規定するUniform Personal Data Protection Act(以下、「UPDPA」といいます)を公表しました。今後、UPDPAを採択し、州法として制定する州が現れるかについても注目されます。[↩]
- English v. Gen. Elec. Co., 496 U.S. 72, 78-79(1990)ほか。[↩]
- 米国企業がインドの業務委託先に個人情報を移転し、当該業務委託先に対して当該個人情報を保護するための適切な措置を実施するよう要求しなかったこと等が当該米国企業のFTC Act違反であるとされたIn re GMR Transcription Serv., Inc., No. C-4482, 2014 WL 4252393(F.T.C. Aug. 14, 2014)参照。[↩]
- この一例として、米国の消費者にルーターを販売した台湾企業が、当該ルーターで使用するソフトウェアのセキュリティを確保していると消費者に告げながら、セキュリティ確保のための措置を怠ったことが、不公正な行為または慣行であるとして、FTC Actに違反するとされた事件があります(In re ASUSTeK Computer, Inc., No. C-4587(F.T.C. Jul. 18, 2016))。[↩]
- 保有する情報が正確であり、完全である状態を保持すること、すなわち、情報が不正に改ざんされたり、破壊されたりしていないことを指します。[↩]
- なお、個人情報を正当な権原に基づき「保有」していない個人または企業も、個人情報を含む電子化されたデータを何らかの形で「保持」していれば、(その個人情報に対する不正なアクセス等があったニューヨーク州居住者やニューヨーク州司法長官等は含まれませんが)当該個人情報の保有者または使用許諾を受けた者に対するデータ侵害通知義務を負います(N.Y. Gen. Bus. Law § 899-aa(3))。[↩]
- 加えて、当該個人情報へのアクセス権限を有する者による不注意な開示であって、当該情報の不正使用がないと合理的に判断される場合等についても、当該個人への通知義務が免除されます(N.Y. Gen. Bus. Law § 899-aa(2)(a))。[↩]
- SHIELD Actにおいて、「中小企業」とは、(i) 従業員数が50人未満、(ii) 直近3会計年度における各年の年間総売上額(gross annual revenue)が300万ドル未満、または (iii) 年度末の総資産が500万ドル未満の企業と定義されています(N.Y. Gen. Bus. Law § 899-bb(1)(c))。[↩]
- 具体的なデータ侵害がない場合に、ニューヨーク州の規制当局がデータセキュリティプログラムの確立に関するSHIELD Actの違反を追及することがありうるかについては、今後の運用により明らかになると思われます。[↩]
龍野 滋幹
アンダーソン・毛利・友常法律事務所外国法共同事業 パートナー弁護士・ニューヨーク州弁護士
2000年東京大学法学部卒業。2002年弁護士登録、アンダーソン・毛利・友常法律事務所入所。2007年米国ニューヨーク大学ロースクール卒業(LL.M.)。2008年ニューヨーク州弁護士登録。2007~2008年フランス・パリのHerbert Smith法律事務所にて執務。2014年~東京大学大学院薬学系研究科・薬学部「ヒトを対象とする研究倫理審査委員会」審査委員。国内外のM&A、JV、投資案件やファンド組成・投資、AI・データ等の関連取引・規制アドバイスその他の企業法務全般を取り扱っている。週刊東洋経済2020年11月7日号「「依頼したい弁護士」分野別25人」の「M&A・会社法分野で特に活躍が目立つ2人」のうち1人として選定。
中島 浩斗
アンダーソン・毛利・友常法律事務所外国法共同事業 アソシエイト弁護士
2010年京都大学法学部、2012年京都大学法科大学院卒業。2013年弁護士登録、2014年アンダーソン・毛利・友常法律事務所外国法共同事業入所。2017年6月~同事務所大阪オフィスにて執務。2020年米国ニューヨーク大学ロースクール卒業(LL.M. in International Business Regulation, Litigation and Arbitration)(フルブライト奨学生)。2020~2021年米国・ニューヨークのPillsbury Winthrop Shaw Pittman法律事務所にて執務。
