第1 米国各州における個人情報保護法
日本の個人情報保護法が全国一律の法令であるのと異なり、米国では、現時点では、連邦レベルでデータプライバシーを統一的に取り扱う法令は存在せず[1]、各州が独自のデータプライバシー法を制定しています。
本稿執筆時点(2024年5月20日)では、全米50州のうち18州[2](下記図表のうち青色マーカ-部分)において包括的なデータプライバシー法が制定されています。
また、その他7州[3](下記図表のうち緑色マーカー部分)では、限定的なデータプライバシー法が制定されています。
Bloomberg Law( https://pro.bloomberglaw.com/insights/privacy/state-privacy-legislation-tracker/ )(2024年3月18日)より引用
第2 日本企業が米国各州における個人情報保護法の適用を受けるか
一口に海外進出と言っても、Eコマース(電子商取引)ビジネスのような間接的な進出の形態から、現地法人の設立のような直接的な進出の形態まで、様々です。この点、直接的な進出の形態の場合に、各州のデータプライバシー法の適用を受ける可能性があることは言うまでもありません。
他方で、間接的な進出の形態の場合、例えば、カリフォルニア州に物理的な拠点を持たない日本企業が、電子商取引ビジネスを通じて、カリフォルニア州内に居住する消費者の個人データを取得する場合に、カリフォルニア州消費者プライバシー法(CCPA/CPRA)が適用されるか否かは、州法の条文を確認する必要があります。CCPA/CPRAに関して言えば、同法の適用対象となる事業者は、「do(es) business in the State of California」(第1798.140条(d))、すなわち「カリフォルニア州で事業を行い」とのみ規定されていて、それ以上の詳細な定義は定められていません(他にも売上要件などがありますが、一旦地理的適用範囲の点に焦点を当てます)。
カリフォルニア州で事業を行っているという要件は、州法人税を所管する租税法にも登場し、そこでは「金銭的な利得もしくは利益を目的として取引に能動的に従事すること」とされ、カリフォルニア州外に所在していても、州内で売上があれば州法人税が課税されることとされています。したがって、CCPA/CPRAの「事業者」要件についても、カリフォルニア州外の法的主体が、州内の消費者の個人データを購入、販売、共有[4]する場合には、「カリフォルニア州で事業を行う」という要件を満たし、他の売上要件等次第では、CCPA/CPRAの適用を受ける可能性があると考えられます。
全米向けにEコマースを行う場合は、それぞれの州法を確認する必要がありますが、各州のデータプライバシー法は、米国州法初の包括的なデータプライバシー法であるCCPA/CPRAに類似しているのも実情であるため(後述のとおり相違点もあります)、CCPA/CPRA対応のプライバシーポリシーを策定しておいて、同規定では対応が不十分な部分については、執行リスクの有無・程度に応じて、個別に検討するというリスク・ベースド・アプローチを採ることも実務上はあり得るものと思料します。
第3 CCPA/CPRAの特徴
CCPA/CPRA上、「個人情報」とは、特定の消費者又は世帯を識別し、又はそれらと合理的に関連付けることが可能な情報をいい(第1798.140条(v)(1))、CookieやIPアドレスなどのオンライン識別子を含む情報が例示列挙されています。また、「消費者」とは、カリフォルニア州在住の自然人を意味するとされています(第1798.140条(i))。
このように、CCPA/CPRAでは、消費者の定義から従業員の個人データや、B to B取引から得られる取引先担当者の個人データが除外されておらず、あらゆる自然人に関する個人データが規制対象となっています(他州との相違点①)。
また、CCPA/CPRAでは、消費者が一定の場合に事業者に対して損害賠償や差止めを求める訴訟(クラスアクションを含む)を直接提起することが認められているのに対して、他州では原則このような消費者の私的提訴権は認められていません(他州との相違点②)。
CCPA/CPRAでは、消費者にセンシティブ情報(日本法でいうところの要配慮個人情報)の処理の制限請求権を認める一方で、センシティブ情報の取得自体には、同意(オプトイン)やオプトアウトの機会提供の義務は定められていません(他州との相違点③)。
第4 米国各州の個人情報保護法に共通する事項
米国各州の個人情報保護法に共通する事項で、日本の個人情報保護法と異なる点としては、以下のものが挙げられます。
まず、個人データ取得時の通知事項に関して、日本法では利用目的の通知のみであるのに対して、米国各州のデータプライバシー法では、多くの場合、個人情報のカテゴリー、利用目的、データの保存期間、データ主体の権利などを通知することが義務付けられています。また、これらの通知事項をプライバシーポリシ-で開示することを義務付けている州もあります(日本法との相違点①)。
また、子どもの個人情報に関しても、日本法では明文の規定が存在しないのに対して、米国各州のデータプライバシー法では、州ごとの違いはありますが、概ね13歳ないし16歳未満の個人情報を取得する際に、子ども自身や保護者による同意(オプトイン)が義務付けられています(日本法との相違点②)。
さらに、連邦当局や州当局が制裁金を伴う執行権限(エンフォースメント)を積極的に行使している点も、日本の個人情報保護委員会との相違点です。連邦レベルでは、連邦取引委員会(Federal Trade Commission(FTC))が、FTC法第5条(不公正又は欺瞞的な行為の禁止)等に基づき、活発に摘発を行っているほか、州当局においても、カリフォルニア州プライバシー保護局(CPPA)やニューヨーク州司法長官等が、積極的に執行を行っています[5](日本法との相違点③)。
[1] ただし、2024年4月7日、民主党・共和党の垣根を越えた超党派の法案として、連邦レベルでの米国プライバシー権法(American Privacy Right Act(APRA))が議会に提出されており、注目に値します。
[2] カリフォルニア州、コロラド州、コネティカット州、デラウェア州、フロリダ州、インディアナ州、アイオワ州、ケンタッキー州、メリーランド州、モンタナ州、ニューハンプシャー州、ネブラスカ州、ニュージャージー州、オレゴン州、テネシー州、テキサス州、ユタ州、バージニア州。
[3] メイン州、ミシガン州、ミネソタ州、ネバダ州、ニューヨーク州、バーモント州、ワシントン州。
[4] 共有(sharing)とは、CPRA(2020年11月3日成立、2023年1月1日施行)で新たに導入された独自の概念であり、開示(disclosure)のうち、対価の有無を問わず消費者の嗜好に合わせた広告表示を行う目的で個人情報を第三者に伝達することをいいます(1798.140条(ah))。
[5] カリフォルニア州司法省のウェブサイトでは、データプライバシー関連の執行事例が多数公開されています( https://oag.ca.gov/privacy/privacy-enforcement-actions )。