見出し画像

米国版GDPR「ADPPA」の特徴と重要概念の解説

A&A法律事務所

現在の米国の個人情報保護は、州法レベル・健康情報などの特定分野での連邦レベルの法律により保護されていますが、米国版GDPRと呼ばれる包括的な個人情報保護を内容とする「ADPPA」(American Data Privacy and Protection Act)の法制化が議論されています。11月の中間選挙などの政治イベントとの関係からも、成立がいつになるかは見通せない状況ではありますが、成立した場合、日本企業にも影響が大きいと言えます。
なお、現行の米国個人情報保護法制については、個人情報保護委員会のページに詳しくまとまっています。

本記事では、2022年7月20日時点での法案に基づき、ADPPAの特徴と重要概念を説明します。
この記事を読むことで、ざっくりとしたADPPAの特徴がつかめますので、今後の参考にしていただければ幸いです。

ADPPAの特徴

上記で述べたように、ADPPAは、米国初の個人情報保護に関する、包括的な保護法です。原則としてはADPPAが州法に優先しますが、データ侵害通知に関する各州法等、例外的にADPPAに優先される州法・個別法が規定されています(404条(b))。

ADPPAの特徴として解説されている点の1つのは、ADPPAの適用対象となるデータ(以下、「対象データ」(covered data))を取り扱う企業(以下、「対象事業体(covered entity)」)に、「忠実義務(Duty of Loyality)」を義務付けていることです。

ADPPAは、「忠実義務(Duty of Loyality)」と題する編(TITLE)を設けて、その内容を4つ(101条から104条)規定しています。
*編のタイトルと、102条の義務の内容とで、2箇所に「忠実義務(Duty of Loyality)」という用語が用いられています。

具体的な個々の義務内容は以下で解説しますが、これらの4つの義務は、通知・同意を得ていれば対象データを企業がどう扱って良いというわけではなく、データ主体の最善の利益と相反する形で個人データを処理したり、データ処理に利用するツールを設計しないという考え方に基づいている点が特徴的です。

第1編忠実義務(TITLE I - DUTY OF LOYALITY)として定められている4つの義務は以下の通りです。

101条 データ最小化(Data minimizartion)
102条 忠実義務(Duty of Loyality)
103条 プライバシー・バイ・デザイン(Privacy by Design)
104条 価格設定に関する個人への忠誠(Loyalty to individuals with respect of pricing)

原典より和訳作成

101条データ最小化では、所定(101条(b)に列挙)の目的のために合理的に必要かつ相応(reasonably necessary and proportionate)である限度を超えた対象データの収集、処理又は移転を禁止しています。これは、個人データ主体からの同意を得たとしても、収集等ができる目的をさらに限定し、利用の最小化を図るものです。この規定により、企業がビジネスの過程で収集する個人データについて、常に、所定の目的との関係で合理的に必要かつ相応な範囲になっているかの確認が必要になると思われます。また、何が「合理的に必要かつ相応な範囲」であるかについては、ADPPAの執行機関である連邦取引委員会(FTC)がガイダンスを出す予定とされています(101条(c))。

編のタイトルと同じ名称になっている、102条忠実義務においては、社会保障番号やセンシティブデータと言った一定の情報について、同条項(102条(a))所定の行為(取得、処理又は移転、第三者への移転)を禁止しています。特に、101条(b)(16)(17)に規定する広告又はマーケティングのためのセンシティブデータの収集又は処理について収集又は処理が禁止されているため、企業活動に対する制限になると考えられます。

「個人情報等の保護を含む個人の権利利益の保護を事業の設計段階で組み込む」というプライバシー・バイ・デザインの考え方は、日本の個人情報保護委員会でも取り上げられています103条プライバシー・バイ・デザインにおいては、対象事業体又はサービスプロバイダー(対象事業体との契約により対象データを取り扱う事業体)に対して、対象データの収集、処理及び移転について、適切なポリシーを策定するとともに、ポリシーに規定された慣行(practices)及び手続き(procedures)を実施及び維持する必要があります。日本の個人情報保護法と異なり、対象データの取り扱いに関するポリシーの策定及びその記載内容についても法定している点で注目に値します。こちらのポリシーの具体的内容についても、FTCがガイドラインを出す予定とされています。

104条価格設定に関する個人への忠誠とは、ADPPAに規定された権利を行使したことにより、商品又はサービスの提供を拒否したり、他と異なる価格設定をしたりと言った報復(retaliate)を行ってはならないとするものです。

ADPPAの対象データ及び適用範囲

以下では、ADPPAの概要を理解する上で重要な概念になる、ADPPAの適用対象となるデータ(以下、「対象データ」(covered data))及び適用範囲について解説します。

ADPPAの対象データ

対象データ(2 条(8)(A))については、以下のような記載になっています。

2条(8)部分を抜粋。 参照:https://www.congress.gov/bill/117th-congress/house-bill/8152/text

規定から、対象データの内容をまとめます。

①単独又は組み合わせることにより、個人又は端末(*)に識別、関連づけられる、又は関連付けられる可能性のある情報
(*)端末とは、個人を識別し、又は個人と関連づけられ、又は関連づけられる可能性があるものに限る。
②派生データ(derived data)
③一意な識別子(unique identifiers)

上記引用文の和訳を作成

①に関して、「個人」及び「端末」の意義を解説します。

「個人」とは、米国に居住する自然人(a natural person residing in the United States)を意味します(2条(16))。これは「居住」の事実により範囲を規定するものですので、カリフォルニア州消費者プライバシー法(CCPA)類似の規定と言えます。ですので、一時的に米国に滞在していても、「居住」要件に該当しなければ、「個人」に該当しない一方で、日本に滞在していても、米国「居住」の個人に関する情報であれば、対象データになりうることになります。

「端末」とは、対象データを移転又は受信する機能のある電子機器を広く含みます(2条(19))。

対象データに該当しない情報

以下の情報は、ADPPAの適用外とされています(2 条(8)(B))。

①非識別化データ(de-identified data)
②従業員データ(employee data)
③公に利用可能な情報(publicly available information)
④公に利用可能な情報について、複数の独立した情報源に基づいた推論(inferences)であり、センシティブデータを明らかにしないもの

上記引用文の和訳を作成

ただし、③従業員データに関しては、従業員のプライバシー権や保護を定める州法がADPPAに優先します(404条(b)(C))ので、州法で対象データとされる場合には、保護の対象となると考えられます。

ADPPAの対象事業者

次に、ADPPAの対象となる事業者について解説します。
前提としては、次に解説するADPPAの対象となる情報(以下「対象データ(covered data)」といいます。)を取り扱う事業体ということになります。

ADPPA2条(9)には、以下のように定義されています。

https://www.congress.gov/bill/117th-congress/house-bill/8152/text

上記によれば、「対象事業体(covered entity)」(2条(9)(A))とは、以下の条件を満たす事業体(①②)となります。

2条(9)(A)(i)をもとに作成
2条(9)(A)(ii)をもとに作成

①に関しては、(a)の要件及び(c)の要件に注意が必要です。
(a)の連邦取引委員会法(通称(FTC法))は、米国の商業に影響を与える場合には域外適用が可能であるとされており、対象事業体は広範になりえます。また、(c)の要件は、カリフォルニア州消費者プライバシー法(CCPA)では対象とされないので、範囲を広げたものと言えます。

また、仮に①の要件を満たしていない場合でも、①により適用になる事業者を支配(発行済株式総数の50%以上を有するなど、経営に支配的な影響力を及ぼす場合)している場合には、ADPPAが適用になります(②)。例えば、ADPPAが適用となる米国企業を子会社に持つ場合、日本企業も適用になるということになります。

上記の①②には、事業規模による限定はありません。
しかし、一定の小規模事業者については、ADPPAの適用はあるものの、一部の義務の免除などの特則があります(209条(a))。

なお、連邦・州等の政府関係機関は、対象事業体に該当しないとされています(2条(9)(B))。

以上の規定を見てくると、日本で事業を行う日本企業の場合、①の規定による適用の可能性はそこまで高くない場合でも、米国に子会社等の支配権を有する事業者を有している場合には、②の規定によりADPPAが適用されることになります。

まとめ

本記事では、ADPPAの特徴の1つである「忠実義務」の概要と、重要な概念である「対象データ」「対象事業体」について解説しました。

直接的に同法の適用がない場合であっても、取引先に同法の適用がある場合もありますし、ADPPAの適用のある事業体から委託を受けたサービスプロバイダーとして直接適用のある場合も考えられ、ADPPAが成立した場合の影響は大きいと考えられます。

日本の個人情報保護法にはない概念があったり、規定も異なったりしますので、今後法制化される間の修正内容含め、注目する必要があると言えるでしょう。


この記事が気に入ったらサポートをしてみませんか?