« 2022年6月 | トップページ

2022年7月21日 (木)

米国データプライバシー及び保護法の討議草案

275751_m_20220721125101

米国データプライバシー及び保護法の討議草案が2022年6月3日に公表されました。

HOUSE AND SENATE LEADERS RELEASE BIPARTISAN DISCUSSION DRAFT OF COMPREHENSIVE DATA PRIVACY BILL
上記のページに草案について法条文と各章解説文が公開されています。

米国における同法の最初の草案が出されたのは2010年なので、かれこれ12年は出ては消え、出ては消えしている法案です。
第1案については、我輩は連邦プライバシー法である。まだ名は無い・・・
第2案については、米国連邦プライバシー法-第2案

の各記事で紹介してあります。

その後しばらく間が開いて、今回のものは通算で第4案となります。

この第4案については、上記法案の修正案(AMENDMENT IN THE NATURE OF A SUBSTITUTE TO H.R. 8152)が2022年7月20日の下院エネルギー・商業委員会にて、賛成53対反対2で賛成され、下院本会議での審議に進めることが決まりました。
法案が下院本会議で採決がはかられることになるところまで進んだのは第4案が初めてのことになります。

いまの時期に検討されているのは、2023年1月に施行されるCPRA(California Privacy Rights Act)の施行が関係していると思います。CPRAはGDPRより厳しい事項も含む規制となっており、ご興味あれば、こちらから記事を参照できます。

Enjn4vqvoamxvzj
事業者にとっては、カリフォルニア州の市民だけを区別して事業をするのは現実的ではなく、州法が乱立するよりは、むしろ連邦法による規制の方が対応しやすいと考える事業者も多くいることになります。

では、本題の今回公開された草案の話しに戻ります。

草案の法条文と各章解説文について邦訳をしておきました。
米国データプライバシー及び保護法案(2022年版)邦訳

どちらも、DeepLによる機械翻訳をもとにしていますが、各章解説文については査読して手直ししてあります。法条文については、対象データの定義文などのごく一部だけ手直ししてありますが、ほとんどの部分は機械翻訳のままです。
ここでは邦訳した内容をもとに紹介したいと思います。

まず、法案名ですが、American data privacy and protection actなので、データプライバシー及び保護法となります。プライバシーの保護ではなく、プライバシー及び保護となっているので、意味としては、データプライバシー及びデータ保護に関する法律ということになります。
データ保護は日本法における安全管理措置に相当します。そのデータ保護をデータプライバシーの一部とするのではなく、法律名に列挙していることになります。

法律名にはデータとありますが、本法で対象とするデータは、対象データ(Covered data)として定義されています。

まずは、討議草案を紹介し、その後に下院委員会での修正案を紹介します。

「対象データ」という用語は、個人または一人以上の個人を識別する、リンクされる、もしくは合理的にリンク可能なデバイスを、識別する、リンクされる、または合理的にリンク可能な情報を意味し、派生データおよび固有の識別子を含む。ただし、以下を含まない。非識別加工されたデータ、従業員データ、または公開されている情報。

原文
(A) IN GENERAL.—
The term "covered data" means information that identifies or is linked or reasonably linkable to an individual or a device that identifies or is linked or reasonably linkable to 1 or more individuals, including derived data and unique identifiers.
(B) EXCLUSIONS.—
The term “covered data” does not include—
(i) de-identified data;
(ii) employee data; or
(iii) publicly available information.

前段の部分の包含関係がわかりにくいので「」を付けてくくってみます。

「対象データ」という用語は、「個人」または「一人以上の個人を識別する、リンクされる、もしくは合理的にリンク可能なデバイス」を、識別する、リンクされる、または合理的にリンク可能な情報を意味し、派生データおよび固有の識別子を含む。

となります。“識別する、リンクされる、または合理的にリンク可能な”を“識別等する”として置き換えて、列記した形式に言い換えると、以下のようにまとめることができます。

「対象データ」という用語は、
(1)個人を識別等する情報、または、(2)一人以上の個人を識別等するデバイスを識別等する情報
を意味し、派生データおよび固有の識別子を含む。

これが、以下のとおり下院委員会で修正されました。

「対象データ」という用語は、単独又は他の情報と組み合わせて、個人または個人を識別する、個人にリンクされる、もしくは合理的にリンク可能なデバイスを、識別する、リンクされる、または合理的にリンク可能な情報をいい、派生データおよび固有の持続的識別子を含み得る。ただし、以下を含まない。非識別加工されたデータ、従業員データ、公開されている情報、または複数の、独立しており、個人に関するセンシティブな対象データを明らかにしない、公開されている情報源だけから作成された推察。

原文
(8) COVERED DATA.—
(A) IN GENERAL.—
The term "covered data" means information that identifies or is linked or reasonably linkable, alone or in combination with other information, to an individual or a device that identifies or is linked or reasonably linkable to an individual, and may include derived data and unique persistent identifiers.
(B) EXCLUSIONS.—
The term "covered data" does not include—
(i) de-identified data;
(ii) employee data;
(iii) publicly available information; or
(iv) inferences made exclusively from multiple independent sources of publicly available information that do not reveal sensitive covered data with respect to an individual.

討議草案と同様の手順で以下のようにまとめることができます。討議草案からの修正箇所を赤色文字で示します。

「対象データ」という用語は、単独又は他の情報と組み合わせて、
(1)個人を識別等する情報、または、(2)一人以上の個人を識別等するデバイスを識別等する情報
を意味し、派生データおよび固有の持続的識別子を含み得る

対象データの除外事項として、従業員データがあります。
これも法案で定義がされていますが、端的に言うと、事業者が雇用のために必要最小限なことを除外してあります。これによって、ほとんどの事業者は、従業員のデータについて個別に利用目的などを作文する必要がなくなります。逆に言うと、雇用のための最小限ではない利用をする事業者だけが、それを対象データとして取り扱う必要があり、従業者にとっては、そのような利用の存在があった場合に認識しやすくなります。

対象データの除外事項については、討議草案に対して修正案で以下のものが追加されています。

複数の、独立しており、個人に関するセンシティブな対象データを明らかにしない、公開されている情報源だけから作成された推察

法案で特徴的な概念としては、「affirmative express consent」があります。機械翻訳では、「積極的な明示的同意」と訳されましたが、各章解説文の邦訳では、あえて「アファーマティブ・エクスプレス・コンセント」とカタカナにして目立たせておきました。

expressは従来でいうexplicitに相当しており、明示的な同意を求めるものです。いわゆる、デフォルト・オンの禁止=デフォルトでは同意をオフにしておきなさいというものです。これは、同意したつもりがないのに同意したとみなされることがあってはならないということです。とはいえ、デフォルトがオフ(不同意)であっても、書いてあることを読まずに本人がオン(同意)を選択してしまうことは、従来から起こりえます。そのため本当に同意していたのかを形式的に判断することには限界がありました。

一方で、内容をちゃんと確認した上で、不本意ではあるけれど同意するしかないという課題があります。
たとえば、何かのサービスを利用するにあたって、個人情報の利用目的に対して納得はいかないけれど、そのサービスを利用するには、同意するしかないから、同意の選択をせざるを得ないという場合です。この問題は、明示的同意では解決されません。
それに対処するためのものが、affirmative(積極的な)同意というものです。端的に言うと、不同意を選択できる状況での同意を求めるものです。
先の例でいれば、同意しないのならサービスを利用できないとした状況で得る同意はaffirmative同意を得たことにならないことになります。なんらかの利用目的に不同意をしてもサービスが利用できるようになっていれば、affirmative同意を得たことになります。

アファーマティブ・エクスプレス・コンセントは従来よりも厳しい条件となりますが、法案において、すべての同意についてそれを求めてはおらず、重要な同意が必要なときに限っての条件としています。
しかし、この同意条件が明文化されたことにより、重要でない同意ならばアファーマティブではなくてもよいのか?とう議論が始まるかもしれません。なぜなら、アファーマティブではないということは、不本意な同意ということですから、それはそもそも同意なのか?という議論になるかもしれません。

明示的な同意については、それが明示的なものかを外形的に判断できるのに対して、アファーマティブについては、同意内容の書き方によって抜け道はありそうです。これについては、本法がFTC法(連邦取引委員会法)に建てつけられることから、書き方でごまかそうとした場合には、従来からあるFTC法第5条における欺瞞的行為として罰することで抑止するのだと思います。

いずれにしても、今回の法案が4度目の正直で制定されるのかどうかに注目したいと思います。

 

7月 21, 2022 | | コメント (0)