第726号コラム:佐藤 慶浩 理事(オフィス四々十六)
題:「米国データプライバシー保護法の討議草案」

米国データプライバシー保護法の討議草案が2022年6月3日に公表されました。
HOUSE AND SENATE LEADERS RELEASE BIPARTISAN DISCUSSION DRAFT OF COMPREHENSIVE DATA PRIVACY BILL
https://energycommerce.house.gov/newsroom/press-releases/house-and-senate-leaders-release-bipartisan-discussion-draft-of
上記のページに草案について法条文と各章解説文が公開されています。

米国における同法の最初の草案が出されたのは2010年なので、かれこれ12年は出ては消え、出ては消えしている法案です。
第1案については、
https://yoshihiro.cocolog-nifty.com/postit/2010/05/post-cfa3.html
第2案については、
https://yoshihiro.cocolog-nifty.com/postit/2010/05/post-cfa3.html
の記事で紹介してあります。
その後しばらく間が開いて、今回のものは通算で第4案となります。
いまの時期に検討されているのは、2023年1月に施行されるCPRA(California Privacy Rights Act)の施行が関係していると思います。CPRAはGDPRより厳しい事項も含む規制となっており、ご興味あれば、こちらから記事を参照できます。


事業者にとっては、カリフォルニア州の市民だけを区別して事業をするのは現実的ではなく、州法が乱立するよりは、むしろ連邦法による規制の方が対応しやすいと考える事業者も多くいることになります。

では、本題の今回公開された草案の話しに戻ります。
その法条文と各章解説文について邦訳をしておきました。
https://yoshihiro.cocolog-nifty.com/postit/2022/06/post-efabe6.html
どちらも、DeepLによる機械翻訳をもとにしていますが、各章解説文については査読して手直ししてあります。法条文については、対象データの定義文などのごく一部だけ手直ししてありますが、ほとんどの部分は機械翻訳のままです。
ここでは邦訳した内容をもとに紹介したいと思います。

まず、法案名ですが、American data privacy and protection actなので、データプライバシー及び保護法となります。プライバシーの保護ではなく、プライバシー及び保護となっているので、意味としては、データプライバシー及びデータ保護に関する法律ということになります。
データ保護は日本法における安全管理措置に相当します。そのデータ保護をデータプライバシーの一部とするのではなく、法律名に列挙していることになります。

法律名にはデータとありますが、本法で対象とするデータは、対象データ(Covered data)として定義されています。
“「対象データ」という用語は、個人または一人以上の個人を識別する、リンクされる、もしくは合理的にリンク可能なデバイスを、識別する、リンクされる、または合理的にリンク可能な情報を意味し、派生データおよび固有の識別子を含む。ただし、以下を含まない。非識別加工されたデータ、従業員データ、または公開された情報。”

前段の部分の包含関係がわかりにくいので「」を付けてくくってみます。
“「個人」または「一人以上の個人を識別する、リンクされる、もしくは合理的にリンク可能なデバイス」を、識別する、リンクされる、または合理的にリンク可能な情報を意味し、派生データおよび固有の識別子を含む。”
となります。“識別する、リンクされる、または合理的にリンク可能な”を“識別等する”として置き換えて、列記した形式に言い換えると、
“(1)個人を識別等する情報、または、(2)一人以上の個人を識別等するデバイスを識別等する情報”
ということになります。

対象データの除外事項として、従業員データがあります。
これも法案で定義がされていますが、端的に言うと、事業者が雇用のために必要最小限なことを除外してあります。これによって、ほとんどの事業者は、従業員のデータについて個別に利用目的などを作文する必要がなくなります。逆に言うと、雇用のための最小限ではない利用をする事業者だけが、それを対象データとして取り扱う必要があり、従業者にとっては、そのような利用の存在があった場合に認識しやすくなります。

法案で特徴的な概念としては、「affirmative express consent」があります。機械翻訳では、「積極的な明示的同意」と訳されましたが、各章解説文の邦訳では、あえて「アファーマティブ・エクスプレス・コンセント」とカタカナにして目立たせておきました。

expressは従来でいうexplicitに相当しており、明示的な同意を求めるものです。いわゆる、デフォルト・オンの禁止=デフォルトでは同意をオフにしておきなさいというものです。これは、同意したつもりがないのに同意したとみなされることがあってはならないということです。とはいえ、デフォルトがオフ(不同意)であっても、書いてあることを読まずに本人がオン(同意)を選択してしまうことは、従来から起こりえます。そのため本当に同意していたのかを形式的に判断することには限界がありました。

一方で、内容をちゃんと確認した上で、不本意ではあるけれど同意するしかないという課題があります。
たとえば、何かのサービスを利用するにあたって、個人情報の利用目的に対して納得はいかないけれど、そのサービスを利用するには、同意するしかないから、同意の選択をせざるを得ないという場合です。この問題は、明示的同意では解決されません。
それに対処するためのものが、affirmative(積極的な)同意というものです。端的に言うと、不同意を選択できる状況での同意を求めるものです。
先の例でいれば、同意しないのなら、サービスを利用できないとした上で、得る同意はaffirmative同意を得たことにならないことになります。なんらかの利用目的に不同意をしてもサービスが利用できるようになっていれば、affirmative同意を得たことになります。

アファーマティブ・エクスプレス・コンセントは従来よりも厳しい条件となりますが、法案において、すべての同意についてそれを求めてはおらず、重要な同意が必要なときに限っての条件としています。
しかし、この同意条件が明文化されたことにより、重要でない同意ならばアファーマティブではなくてもよいのか?とう議論が始まるかもしれません。なぜなら、アファーマティブではないということは、不本意な同意ということですから、それはそもそも同意なのか?という議論になるかもしれません。

明示的な同意については、それが明示的なものかを外形的に判断できるのに対して、アファーマティブについては、同意内容の書き方によって抜け道はありそうです。これについては、本法がFTC法(連邦取引委員会法)に建てつけられることから、書き方でごまかそうとした場合には、従来からあるFTC法第5条における欺瞞的行為として罰することで抑止するのだと思います。

いずれにしても、今回の法案が4度目の正直で制定されるのかどうかに注目したいと思います。
【著作権は、佐藤氏に属します】