{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
米国における法規制動向
米国では2022年以降、プライバシー保護に向けた動きが活発化しています。2023年1月のカリフォルニア州プライバシー権法(以下、CPRA)を皮切りに、各州で同様の法律が施行されており、企業は米国内それぞれの州法への対応に迫られています。また、2022年に草案が公表された連邦データプライバシー保護法案(以下、連邦法案)は引き続き審議中であるものの、州法との兼ね合いなどの論点が存在し、企業にはその動向を継続して注視することが求められています。
米国と他国との論点としては、EUから米国への個人データの越境移転という課題がありましたが、Data Privacy Framework(以下、DPF)に対する十分性が欧州委員会により認定されました。EU圏と米国との間で個人データの越境移転を行っている企業も多いと想定され、米国における取り扱い状況や越境移転状況を確認し、対応を見直すことが望ましい状況となっています。以上のように米国のプライバシー保護規制動向の活発化に伴い、企業としては対応方針の検討が迫られています。本稿では米国州法およびDPFを中心としたプライバシー動向に加え、企業に求められる対応について解説します。
乱立する米国州法
2023年7月末時点では、米国ではカリフォルニア州以外でもプライバシー保護法規制が順次成立しています。
企業としては、バージニア州法、コネティカット州法などで要請されているリスク評価(以下、DPIA)への対応に特に留意すべきと思われます。各州法の内容はカリフォルニア州のCPRAと類似している部分も多いですが、欧州一般データ保護規則(以下、GDPR)の要素を含むものもあります。米国で展開している、または今後展開する予定である事業が、特段プライバシー上のリスクが大きいものではないなどの理由で、DPIAが未実施である企業も多いと思われます。しかし、リスク評価にあたっては米国および該当州で取り扱っている個人データの棚卸も求められます。そのためにはリソースも必要となるため、なるべく早期の検討が必要です。
EU・米国間DPFに対する十分性認定
2023年7月に欧州委員会はEU・米国間DPFへの十分性を認定しました。EEAから域外の第三国へ個人データを越境移転する際には、本人同意の取得や標準契約条項(SCC)の締結など、適切な保護措置に基づく必要があります。今回のDPFへの十分性認定により、EEAから米国への越境移転を行う移転根拠が新たに加わったことになります。DPFを移転根拠とするには、米国商務省から公表されているウェブサイトを通じ、移転先企業による登録を行い、DPF原則を順守する必要があります。
DPF原則への誓約に加え、登録企業には年に1回の再認証も要請されます。なお、DPFへの参加企業は米国商務省が公開しているリストより確認可能ですが、2023年7月末時点では、主に米国の中小企業が登録を行っています。既にSCCなどの移転根拠に基づいて越境移転を行っている企業は、DPFへの移転根拠の切り替え対応に必要なコスト、リソースを踏まえ、方針を検討する必要があります。なお、DPF原則への誓約に向けた米国内における個人データの取り扱い状況の棚卸と、米国・EEA間での越境移転対象のデータおよび移転目的の整理は、移転根拠の切り替えの有無にかかわらず有効であると言えます。
企業に求められる対応
以上のように米国における個人データの取り扱いや越境移転を中心に議論が活発化しており、米国の各州法は企業に規制対応を要請している状況です。特に一部の州法はDPIAの実施を要請しており、企業としては改めて米国における個人データの取り扱いに係るリスクの洗い出し、評価、改善対応することが必要となります。これまで多くの企業は米国州法に対応するにあたりは、CPRAとその前身であるCCPA規制への対応を頭に置いていましたが、各州法に対してはDPIAを中心にCPRA以上の対応が必要となります。州法の整備が進む現段階においては、改めて米国全体を想定した州法への対応方針を検討することが推奨されます。
議論の先行きが不透明な連邦法案への対応や、DPF原則への適合性確認については、米国での展開事業において取り扱う個人データの棚卸を兼ね、データマッピングを実施することが望ましいです。特に米国を含むグローバルでの新たな事業・サービスの展開を計画している企業は、個人データの棚卸や、そのデータの利用目的の整理を事前に実施することで、各国の法規制に対応する上での懸念点を発見し、解消に向けた方針を検討することが推奨されます。
なお、これらの対応は米国州法で要請されるDPIAの実施や、米国法令への対応に備えたガバナンス体制整備にもつながります。上記の各対応を通じての、米国におけるプライバシーリスク、法令違反リスクの低減に向けたアクションが推奨されます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
