突然！？米国連邦個人情報保護法草案APRA2024サマリの機械翻訳を見てみる

こんばんは！

今朝、えっ？と二度見するようなニュースが！

The U.S 🇺🇸has long deserved to join the rest of the world in establishing comprehensive privacy legislation. We applaud @SenatorCantwell and @TeamCMR for their bi-partisan efforts to introduce a comprehensive federal privacy bill. #APRA 👏https://t.co/F5K8WTQ68T

— Julie Brill (@JulieSBrill) April 7, 2024

この方はMicrosoftのグローバルなCPO(チーフプライバシーオフィサー)、米国で長年待ち望まれてきた連邦の包括的なプライバシー法の草案を超党派の議員2名が発表したとのこと。

ADPPAと呼ばれていた米国初かと注目されていた包括法案が事実上流れ、次の包括法案は、もしトラ？大統領選の後だろうというのが業界のヨミだったことから、US国内でも、なぜに今？と沸いているようです。

New draft bipartisan US federal privacy bill unveiled

そこで、今日はこの草案140ページをまとめたもので、Section by Sectionと呼ばれている概要6ページを機械翻訳してみたものを紹介します。

The American Rights Act2024 Section by Section

(文中太字は筆者)

---

「2024年アメリカプライバシー権法案」のきかいほんやく

---

概要：

この法案は、国家レベルでの消費者データプライバシー権を確立し、データセキュリティの基準を設定します。

また、対象事業者に対して消費者データの使用方法を透明にすることを要求し、消費者に対して自らのデータへのアクセス、訂正、削除、転送の権利を与え、ターゲット広告およびデータ転送からのオプトアウトを可能にします。

この法案はデータ最小化の基準を設定し、企業が必要かつ限定的な目的でのみデータを収集・使用することを許可し、消費者の明示的な同意なしには、感度の高い対象データを第三者に転送することを禁じます。

また、対象データを利用して消費者に対する差別を行うことを禁止し、重要な決定にアルゴリズムを使用することからのオプトアウト権を消費者に提供します。

この法律違反に対しては、連邦取引委員会（FTC）、各州の司法長官、及び消費者が執行権を有します。

---

定義：

主要な定義には以下のようなものが含まれます。

・対象事業者—
対象データの収集、処理、保持、または転送の目的と手段を決定する事業者で、FTC法に基づいて規制されており、共通キャリアや特定の非営利団体も含まれます。
小規模企業、政府機関、政府のために働く団体、失踪・搾取された子供のための全国センター（NCMEC）、及びデータセキュリティの義務を除く詐欺防止非営利団体は除外されます。

・対象データ—
個人またはデバイスに特定される、または特定可能な情報。
特定されないデータ、従業員データ、公に利用可能な情報、複数の公に利用可能な情報源からの推論で敏感対象データの定義を満たさず、対象データと組み合わされていない情報、図書館、アーカイブ、博物館のコレクションに特定の制限の対象となる情報は含まれません。

・公に利用可能な情報—
合法的に一般公開されている情報。
ただし、敏感対象データを明らかにする派生データ、生体情報や遺伝情報、対象データと組み合わされた公に利用可能な情報、またはわいせつまたは非合意の個人的な画像は含まれません。

・敏感対象データ—
対象データの一部であり、政府識別情報、健康情報、生体情報、遺伝情報、金融口座および支払いデータ、正確な地理位置情報、ログイン情報、プライベートコミュニケーション、性的行動を明らかにする情報、カレンダーやアドレス帳のデータ、電話ログ、私的使用のための写真や録音、個人の裸やプライベートな部分を映すあらゆる媒体、ビデオプログラムの視聴情報、公正な開示の期待に反する方法での個人の人種、民族、国籍、宗教、または性別、第三者ウェブサイト間または影響力の大きいソーシャルメディアサイト上での時間を超えたオンライン活動、対象未成年者に関する情報、その他FTCがルールにより敏感対象データと定義するデータを含みます。

・大規模データ保有者—
年間売上高が2億5000万ドル以上であり、500万人以上の個人（または1500万台の携帯デバイス、または3500万台の個人に関連付け可能な接続デバイス）の対象データ、または20万人以上の個人（または30万台の携帯デバイス、または70万台の接続デバイス）の敏感データを収集、処理、保持、または転送する対象事業者です。

・小規模企業—
年間売上が4000万ドル以下で、20万人以下の個人の対象データを収集、処理、保持、または転送し（クレジットカードのスワイプやその他の一時的なデータは除く）、対象データの第三者への転送から収益を得ていない事業所です。小規模企業はこの法案の要件から免除されます。

・ターゲット広告—個人またはデバイスに関連付けられた一意の識別子によって知られるか予測される好みや興味に基づいてオンライン広告を表示することです。個人の情報要求に応じた広告、ファーストパーティ広告、コンテキスト広告、測定のためのデータ処理は含まれません。

---

データ最小化：

・対象事業者およびその代行で運営するサービスプロバイダーは、個人によって要求された製品やサービスを提供または維持するため、または関係の文脈で合理的に予想される通信を提供するため、または許可された目的のために必要、均衡、または限定された範囲を超えてデータを収集、処理、保持、または転送してはなりません。

・対象事業者は、許可された特定の目的に明示的に許可されていない限り、個人の明示的な同意なしに生体情報または遺伝情報を収集または第三者に転送することはできません。生体情報および遺伝情報には厳格な保持制限があります。

・対象事業者は、許可された特定の目的に明示的に許可されていない限り、個人の明示的な同意なしに敏感データを第三者に転送することはできません。

・許可された目的には、データセキュリティの保護、法的義務の遵守、製品リコールの実施や保証の履行、市場調査（消費者参加には明示的な同意が必要）、製品改善および研究のためのデータの非識別化、詐欺および嫌がらせの防止、進行中または差し迫ったセキュリティ事故または公衆安全事故への対応、以前に収集された非敏感対象データの広告目的での処理などが含まれます。

・生体情報および遺伝情報の収集および転送には、より狭い許可された目的が適用されます。

・この法律のいかなる部分も第一修正権を減少させるものと解釈されるべきではありません。より狭い許可された目的が適用されます。

・FTCは、この法律の下でデータ最小化を遵守するために何が合理的に必要かつ均衡であるかについてのガイダンスを発行する予定です。

・この法律のいかなる部分も第一修正権を減少させるものと解釈されるべきではありません。

---

透明性：

・対象事業者およびサービスプロバイダーは、データプライバシーおよびセキュリティの慣行を詳細に説明したプライバシーポリシーを公開する必要があります。

・プライバシーポリシーは、事業者を特定し、収集、処理、または保持されるデータのカテゴリ、データ処理の目的、データが転送されるサービスプロバイダーと第三者のカテゴリ、データが転送されるデータブローカーの名前、データの保持期間、データセキュリティの実践、およびプライバシーポリシーの有効日を開示する必要があります。

・プライバシーポリシーは、消費者が個々のコントロールとオプトアウト権をどのように行使できるかを顕著に記述する必要があります。

・ポリシーは複数の言語でアクセス可能であり、障害を持つ人々にもアクセス可能でなければなりません。

・対象事業者がポリシーに重要な変更を加える場合、事前に通知を行い、以前に収集されたデータの処理または転送からオプトアウト手段を提供する必要があります。

・大規模データ保有者は、過去10年間のプライバシーポリシーを保持し公開する追加要件の対象となり、ポリシーの短い形式の通知も提供する必要があります。

---

消費者の対象データに対するコントロール：

・検証可能なリクエストを提出した後、消費者は対象事業者によって収集、処理、または保持されている自分の対象データにアクセスする権利があり、データが転送された第三者またはサービスプロバイダーの名前と転送の目的を知る権利があります。

・検証されたリクエストに基づき、対象事業者は個人に関する不正確または不完全な対象データを訂正する必要があります。

・検証されたリクエストに基づき、対象事業者は個人の対象データを削除する必要があります。

・検証されたリクエストに基づき、技術的に実現可能な範囲で、対象事業者は個人に関連する対象データをエクスポートする必要があります。

・対象事業者は指定された時間枠内で個人のコントロール権を遵守する必要があり、大規模データ保有者は処理したリクエストに関連する指標を報告する必要があります。

・対象事業者は、障害を持つ個人に対する権利をアクセス可能にし、事業者が製品またはサービスを提供するすべての言語で利用可能にする必要があります。

・FTCはこのセクションについてガイダンスを発行するよう指示されています。

・対象事業者は、他の個人のデータへのアクセスを要求する場合、法的な法的手続きに干渉する場合、他の法律に違反する場合、その他の例外の場合には個人のリクエストを拒否する必要があります。

・リクエストが明らかに不可能である場合、契約を実行するために必要なデータの削除を要求する場合、商業秘密の開示を要求する場合、またはオプトアウト権の秘密記録の維持を妨げる場合には、対象事業者は個人のリクエストを拒否することができます。FTCは、事業者がリクエストを拒否できる状況を拡大する規則を制定することができます。

---

オプトアウト権と集中オプトアウトメカニズム：

・消費者は、非敏感対象データの転送からオプトアウトする権利を持っています。

・消費者は、ターゲット広告のための個人情報の使用からオプトアウトする権利を持っています。

・FTCには、個人がオプトアウト権を行使するための集中的なメカニズムの要件と技術仕様を確立する規制を発行するよう指示されています。

---

消費者権利の妨害：

・対象事業者は、法案によって要求される通知から個人の注意をそらすためのダークパターンの使用、法案下のいかなる権利の行使を妨げる行為、または法案下での同意を得るための使用を禁じられています。

・対象事業者は、虚偽、捏造、詐欺的、または実質的に誤解を招く声明または表現を使用して、この法案で記述された権利の行使を条件付けしてはなりません。

---

サービス拒否および権利放棄の禁止：

・対象事業者は、法案下の権利を行使する個人に対して報復を行ってはならず、商品やサービスの提供拒否や異なる料金の請求を含みます。

・対象事業者は、消費者に対して善意のロイヤリティプログラムや市場調査の機会を提供することができます。

・対象事業者は、善意のロイヤリティプログラムへの参加と、善意のロイヤリティプログラムに基づいて収集された対象データの転送について、消費者の明示的な同意を得る必要があります。

---

データセキュリティおよび対象データの保護：

・対象事業者およびサービスプロバイダーは、事業の規模、データ慣行の性質と範囲、データの量と感度、およびセーフガードの最新の技術に適したデータセキュリティの実践を確立する必要があります。

・対象事業者およびサービスプロバイダーは、脆弱性を評価し、消費者データに対する合理的に予見可能なリスクを緩和する必要があります。FTCは、商務省と協議してこのセクションを解釈する規則を制定します。

---

経営者の責任：

・すべての対象事業者は、プライバシーまたはデータセキュリティオフィサーとして機能する一人以上の対象従業員を指名する必要があります。

・大規模データ保有者は、プライバシーオフィサーとデータセキュリティオフィサーの両方を指名する必要があります。

・大規模データ保有者はまた、法案に準拠するために設計された内部管理の年次認証をFTCに提出し、法案の遵守に関する内部報告構造を提出するよう指示されています。

・大規模データ保有者は、2年ごとにプライバシー影響評価を実施する必要があります。

---

サービスプロバイダーおよび第三者：

・サービスプロバイダーは、対象事業者の指示に従い、法案の下での義務を果たすために事業者を支援する必要があります。

・サービスプロバイダーは、対象事業者がこの法案に違反していると実際に知っている場合、データ慣行を中止する必要があります。

・サービスプロバイダーは、対象データのセキュリティと機密性を保持し、独立した評価者がそのセキュリティ慣行を評価できるようにする必要があります。

・対象事業者は、サービスプロバイダーの選定および第三者に対象データを転送する決定において、適切な注意を払う必要があり、FTCは適切な注意の要件に関するガイダンスを発行するよう指示されています。

・第三者は、対象事業者がプライバシーポリシーで開示した目的に一致する目的のため、または敏感対象データについては、消費者が明示的な同意を提供した目的のためにのみ、別の事業者から受け取ったデータを処理、保持、および転送することができます。

---

データブローカー：

・データブローカーは、自らをデータブローカーとして特定し、個人が個々のコントロールおよびオプトアウト権を行使できるツールを含む、公開ウェブサイトを維持する必要があります。また、FTCのデータブローカーレジストリウェブサイトへのリンクも含まれる必要があります。ウェブサイトは、障害を持つ個人にとって合理的にアクセス可能である必要があります。

・データブローカーは、ストーキングや詐欺目的のためのデータ広告を行うこと、およびビジネス慣行を誤解させる行為を禁じられています。

・FTCはデータブローカーのレジストリを設立するよう指示され、5000人以上の個人のデータに影響を与えるデータブローカーは毎年登録する必要があります。レジストリには、消費者が使用できる「収集しない」メカニズムを含む必要があります。FTCはまた、データブローカーのウェブサイトの内容に関するガイダンスを発行します。

---

市民権とアルゴリズム：

・人種、肌の色、宗教、国籍、性別、障害に基づいて差別する方法で対象データを収集、処理、保持、または転送することは禁止されています。

・自己検査を行い不法な差別を防止する目的、応募者または顧客のプールを多様化する目的、または代表されない人口に経済的機会または利益を広告する目的で例外が提供されます。

・重大な害のリスクをもたらす可能性のあるカバーされたアルゴリズムを使用する大規模データ保有者は、影響評価を実施し、その評価をFTCに提出し、公開する必要があります。

・カバーされたアルゴリズムを設計する対象事業者は、アルゴリズムを展開する前に評価を行い、その評価をFTCに提出し、公開する必要があります。

・FTCは、影響声明の提出およびこのセクションの要件から低リスクまたは最小リスクのアルゴリズムを除外するタイミングに関する規則を発行することができます。

---

重要な決定に対するオプトアウト権：

・住宅、雇用、教育、医療、保険、信用、または公共の場へのアクセスに関連する重要な決定のためにカバーされたアルゴリズムを使用する事業者は、そのようなアルゴリズムの使用から消費者がオプトアウトする権利を提供する必要があります。

・FTCは、このセクションの遵守に関するガイダンスを発行することができます。

---

FTC承認の遵守ガイドライン：

・FTCは、大規模データ保有者やデータブローカーを除く対象事業者に適用される対象データの取り扱いに関連する遵守ガイドラインを承認する必要があります。

・遵守ガイドラインの申請は、この法律の要件を満たすかそれを超えるものでなければならず、ガイドラインを管理する独立した組織を特定する必要があります。

・FTCは、申請を承認または拒否するために1年以内の期限が設けられ、ガイドラインがこの法律の要件を満たさなくなった場合には承認を取り消すことができます。

・ガイドラインに参加する対象事業者は、遵守を自己認証し、遵守を監督する独立した組織を特定する必要があります。

・FTC承認のガイドラインへの参加は、法律に対する遵守の推定を覆すことが可能な権利を対象事業者に与えます。

---

プライバシー強化監査のパイロットプログラム：

・FTCにて、プライバシー強化技術を展開するためのパイロットプログラムが設立されます。事業者は、この法律のデータセキュリティ要件を満たすかそれを超える特定のプライバシー強化技術を使用して参加を申請することができます。

・パイロットプログラムへの参加は、データ侵害に関連する個人の権利行使において、この法律のデータセキュリティ要件に対する遵守の推定を覆すことが可能な権利を対象事業者に与えます。

---

連邦取引委員会による執行：

・この法律はFTCによる執行を提供します。FTCは、この法律の下での権限を行使するために、執行局および競争局に匹敵する新しい局を設立するよう指示されています。

・法律の違反は、FTC法の下で不公正または欺瞞的な慣行を定義する規則の違反として扱われます。

・プライバシーおよびセキュリティ被害者救済基金が設立され、FTCは消費者救済を提供することができます。

・FTCは、この法律の執行および管理に関して議会に報告書を発行するよう指示されています。

---

州の検事総長による執行：

・この法律は、州の検事総長、主要消費者保護官、および他の州の官僚による連邦地方裁判所での執行を認可しています。

・州は、差し止め命令、民事罰金、損害賠償、賠償、その他の消費者補償、弁護士費用およびその他の訴訟費用、および適切と認められるその他の救済を求めることができます。

・州の検事総長は、この法律に基づく行動を開始する前にFTCに通知する必要があります。

・政府説明責任局（GAO）は、州の検事総長による外部顧問の採用慣行に関する研究を行うよう指示されています。

---

個人による執行：

・消費者は、この法律の下で自身の権利を侵害した事業者に対して私的訴訟を提起することができます。

・重大なプライバシー侵害または未成年者による訴訟は、強制的な仲裁の対象とはなりません。

・訴訟を起こす個人は、実際の損害賠償、差し止め命令、宣言的救済、および合理的な弁護士費用と費用を回収することができます。

・裁判所が事業者に支払うよう命じた金額は、FTCまたは州による同一違反に対する回収で相殺することができます。

・イリノイ州の生体情報プライバシー法および遺伝情報プライバシー法に従って、生体および遺伝情報に関する明示的な同意規定の違反がイリノイ州で主に発生した場合、個人は法定損害賠償を回収することができます。

・カリフォルニア州の居住者は、データ侵害に関連する行為でカリフォルニアプライバシー権利法に従った法定損害賠償を回収することができます。

・差し止め命令を求める行動において事業者に是正の機会が与えられ、実害賠償を求める行動においては書面による通知が必要ですが、重大なプライバシー侵害に対する行動はこの例外です。

---

優越性：

・この法律によってカバーされる州法は、特定の州法の一覧を除いて優越します：
消費者保護法；市民権法；従業員のプライバシーに関する法律の条項；学生のプライバシーに関する法律の条項；データ侵害通知に関する法律の条項；契約または不法行為法；データプライバシーに関連しない刑事法；サイバーストーキングと恐喝に関する刑事および民事法；プライバシーに関連しない公共の安全に関する法律；公的記録法に関する法律の条項；銀行および財務記録に関する法律の条項；電子監視および盗聴に関する法律の条項；迷惑メールおよび電話法に関する法律の条項；医療、健康情報および医療情報に関する法律の条項；図書館記録の機密性を規制する法律の条項；暗号化に関する法律の条項。

・連邦法は、この法律で特定された場合を除いて制限されません。他の指定された連邦プライバシー法、グラム・リーチ・ブライリー法やHIPAAを含む、に従っていて、その遵守している事業者は、データセキュリティを除く、この法律の関連する条項に従っているとみなされます。

・他の連邦データセキュリティ要件に従い、その遵守している事業者は、この法律のデータセキュリティセクションに従っているとみなされます。

・連邦および州の共通法および法定の民事救済の原因は、この法律の下で保持されます。

・FCCのプライバシー法および規制は、47 U.S.C. 222(b)、(d)、および(g)、国際条約の義務、および大統領令13913に基づいて取られた緩和措置と行動を除き、プライバシーとデータセキュリティや対象データ、PII、顧客固有のネットワーク情報、個人情報、またはその同等物の収集、処理、保持、または転送に関してカバーされた事業者に適用されません。

---

COPPA（子どものオンラインプライバシー保護法）に関して：

この法律が子どものオンラインプライバシー保護法（COPPA）に基づく義務に変更を加えないことを明記しています。

---

FTCの商業監視およびデータセキュリティに関する規則制定の終了：

この法律の制定日に、FTCによる商業監視およびデータセキュリティに関する規則制定を終了します。

---

分離可能性：

この法律のある規定が無効であると判断された場合でも、その判断は法律の残りの部分には適用されません。

---

施行日：

この法律は、制定から180日後に効力を発することとされています。

---

感想

面白いなと思った点5つ

①事業者の売上や個人データの規模による義務上乗せ、適用除外があり、メリハリがある

②データ最小化と透明性、自己情報のコントロール権を重視し、具体規範も

③高リスクの取り扱いについて、影響評価(PIA)の実施やFTC提出、公開義務

③執行が、連邦はFTC、州、個人と3レイヤで定義され、重畳関係が具体的

③プライバシー強化技術について、手上げ式で規範軽減の実験的な取り組みが組み込み、ダークパターンにも言及など、今日的テーマの盛り込み

まだ、この先はまだまだ不透明ですが、興味深く見守りたいと思います！

それでは、また！

---