サイバー事件とそれに関連するコストが過去最高を更新し続ける中、データ・セキュリティは2024年も企業や消費者の間でホットな話題であり続ける。ここ数年、史上最大規模のデータ漏洩事件が何件も発生したことで、データ・プライバシーに対する社会の意識は高まり、企業がどのように個人情報を取得し、利用し、利益を得るかに対する一般消費者の理解と警戒心も高まっている。

いくつかの州が消費者データに関する懸念に対処する法案を可決している一方で、連邦議会は普遍的なデータプライバシー法案によって連邦レベルでその懸念に対処しようとしている。このような法案は何年も前から話題になっていたが、今年4月に提案された超党派の法案である「2024年米国プライバシー権法（APRA）」という形で、米国におけるデータ・プライバシーの普遍的な基準を設定することを目的とした法案として、現在、支持を集めつつある。

本法案は、米国議会が最近試みた普遍的データプライバシー法案である米国データプライバシー保護法（ADPPA）に続くものである。ADPPAは2022年に提出され、超党派の支持を集めたが、最終的には成立しなかった。その失敗にもかかわらず、ADPPAはAPRAの土台となる強力な枠組みを提供した。今、期待されているのは、変更と改善がなされた法案が上下院を通過し、すべてのアメリカ人に包括的なデータ・プライバシーの権利を提供するのに十分なものになることである。

2024年米国プライバシー権法では何が提案されているのか？

APRAの主な目的のひとつは、アメリカの消費者のデータ保護を強化することであり、それによって消費者は自分のデータがいつ、どのように使用されるかをよりコントロールできるようになる。この目的を達成するために、法案は以下のことを提案している：

• 消費者は、企業や組織（「対象事業者」と呼ばれる）が収集した個人データにアクセスし、そのデータを訂正・削除する権利を有する。

• 消費者は、ターゲティング広告、アルゴリズムによる慣行、個人データの処理と利用をオプトアウトするためのわかりやすい仕組みを提供される。

• データの最小化が強調される。データ収集行為にはより大きな制限が課され、対象事業者は収集・処理するデータについて具体的かつ期待される目的を維持することが義務付けられる。

• 個人は、APRAに基づき、違反の疑いで対象事業者を訴える私的訴権を有する。

消費者がデータ・プライバシーをより適切に管理できるようにするためには、データを処理・利用する主体に対して、より高い水準の義務を課す必要がある。APRAは、以下のような義務を課すことを検討している：

• 対象事業者は、一定の期間内に要求があれば、顧客の収集したデータにアクセスできるようにしなければならず、また、そのデータを容易に移動、コピー、転送できるようにしなければならない。

• 連邦取引委員会（FTC）により一元化されたオプトアウトの仕組みが確立され、対象事業者は、理解しやすく透明性のある方法で消費者に提供しなければならない。

• データを収集、処理、使用する対象事業体は、その活動を「明確で、目立たせ、誤解を招かず、読みやすく、容易にアクセスできる方法」で消費者に通知しなければならない。

• 個人情報保護責任者またはデータセキュリティ責任者の肩書は、対象事業者のデータプライバシー・プログラムの成功を確保し、APRAの遵守を維持する資格を有する従業員1名に指定されなければならない。

• 対象事業者は、消費者の権利を阻害したり、顧客のデータ選好に基づいて顧客を差別したりすることを禁じられている。

APRAの下では、特定の対象事業者は「大規模データ保有者」とみなされ、さらなる透明性要件の対象となる。大規模データ保有者は、主にその総収入と、個人データを収集、処理、保持し、毎年移転する個人の数によって定義される。基準を満たした企業は、以下のことが義務付けられる：

• 消費者に対し、500字以内の「簡潔、明瞭、目立つ、誤解を招かない」データ慣行に関する簡潔な告知を行うこと。

• 過去10年間のプライバシー・ポリシーの全版を保持し、その間に行われたすべての変更について、明確で見やすく、容易にアクセス可能なログとともに公表すること。

• 影響評価を実施し、自社のデータ処理慣行がプライバシーに及ぼす潜在的な影響を判断し、アルゴリズムによる慣行を使用する際のリスクを軽減し、危害を回避するために講じた措置を概説すること。

• プライバシー・オフィサーとデータ・セキュリティー・オフィサーを引き受ける資格のある従業員2名を指名すること。

  
この法案にはまだ他にも多くのポイントがあるが、これらのポイントは最大の要点のいくつかを提供し、包括的なデータ・プライバシー計画の主な目的を強調するのに役立つ。連邦データプライバシー法は、すべてのアメリカ人にデータ保護を強化するだけでなく、現在存在する様々な州レベルのデータプライバシー法をナビゲートする企業のコンプライアンスを簡素化するのに役立ちます。

APRAの現状は？

APRAの草案は、2024年4月7日に下院エネルギー・商業委員会のキャシー・マクモリス・ロジャース委員長（ワシントン州選出）と上院商業委員会のマリア・キャントウェル委員長（ワシントン州選出）によって発表された。5月中旬までに、APRAがオンラインで未成年者をよりよく保護できるようにするための1998年児童オンライン・プライバシー保護法（Children's Online Privacy Protection Act of 1998）の修正案など、すでにいくつかの変更が加えられていた。6月27日、下院エネルギー・商業委員会で予定されていた法案のマークアップは直前にキャンセルされた。APRAの次のステップは不明だが、委員会リーダーは法案を前進させることに引き続き専念すると表明している。

この法案が極めて重要で超党派的なものであるとしても、普遍的なデータ・プライバシー計画のように広範で広範囲かつ重要な法律案は、最終的に法律として採択されるまでには、広範な検討と修正が必要になることが予想される。ADPPAが失敗した原因のひとつであり、特定の議員の間で激しい議論の的となっている私的訴権条項もそのひとつである。

ADPPAが可決されなかったもう一つの理由は、カリフォルニア州消費者プライバシー法のような、すでにデータプライバシー法が施行されている州の代表者が懸念した先取り表現であった。すでにこれらの法律を施行する州は、自分たちの法律より弱いと認識している連邦法によって、自分たちの法律が追い越されたり、変更されたりすることを望まなかった。この問題は、APRAにとっても重要なハードルとなるかもしれない。

結論

APRAはまだ初期段階であるが、法案とそれが対処する問題の両方に超党派の支持がある。その上、APRAのモデルとなったADPPA法案は、これまで議会に提案されたデータ・プライバシー計画の中で最も成功したものであり、APRAはその前任者の失敗を招いた問題のいくつかに対処するように設計されている。このことは、自分のデータ・プライバシーや同胞のデータ・プライバシーを心配する人々に希望を与えるはずだ。