米国データプライバシー保護法（ADPPA）

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

• 配信日：2022年7月28日
• タイトル：米国データプライバシー保護法（ADPPA）
• 発表者：データサイン 代表取締役社長 太田祐一

米下院の委員会で可決された連邦法案

2022年7月20日、米国データプライバシー保護法（ADPPA）案が米下院 エネルギー・商業委員会で可決され、議会へ提出されました。ランチタイムトークでは、こちらに絡めて米国におけるプライバシー保護法制の動向を話題に取り上げました。

ADPPAは、「American Data Privacy and Protection Act」の略称で、プライバシーや個人データの扱いに関して定められた連邦レベルの法律です。

本ランチタイムトークで言及した法案の内容は主に、EFF（（Electronic Frontier Foundation）の公式サイトに掲載された「AMENDMENT IN THE NATURE OF A SUBSTITUTE TO H.R. 8152」になります。

法案の冒頭には、”Data Minimization”や”Privacy by Design”の文言が掲げられています。個人の特定につながるデータを収集、処理、転送する主体、すなわち対象事業者は、個人の同意の有無にかかわらず、不必要なデータを収集、利用してはいけないこと。そしてプライバシー・バイ・デザインについては、17歳未満の個人に対するリスクを考慮しなければならないことが義務付けられています。

「17歳未満の個人に対するターゲティング広告も禁止する旨が記されています。米国のCOPPA（児童オンラインプライバシー保護法）への言及があり、青少年の保護が明記されています」（太田）

データ主体である個人の権利や利益を重視

法案の対象事業者は、非営利団体および電気通信事業者を含む連邦取引委員会（FTC）の管轄下にあるすべての事業者となっています。

透明性に関する項目では、収集するデータの種類、利用目的、保持期間の開示および、中華人民共和国、ロシア、イラン、北朝鮮がデータにアクセスできるかどうかをプライバシーポリシーに開示することを求めています。

「さらに対象データの取り扱いでは、人種、性別、性的嗜好など『保護された特性』に基づく差別的な方法での使用を禁止しています。たとえばAIを用いてデータ分析する際には、保護された特性を除いた状態で行う必要があるでしょう。また、大規模なデータ保有者に対しては、アルゴリズムについての影響評価を実施することを義務付けています。欧州のGDPRにおけるアカウンタビリティの原則に通じるものがありそうです」（太田）

ADPPAによって規制が甘くなる州も？

一方、米国のいくつかの州ではADPPA法案に先行または並行する形で、プライバシーや個人データの扱いに関する州法を定めています。プライバシーに関する啓発活動で知られる非営利団体IAPPの公式サイトによると、本ランチタイムトーク時点で西からカリフォルニア州、ユタ州、コロラド州、バージニア州、コネチカット州の5つがプライバシー保護に関する州法を定めています。

「ただ、各州における対象事業者の定義は、前年上げた収益や取り扱う個人データの規模、取り扱い内容などに応じて異なります。それに対してADPPAは前述の通り、連邦取引委員会（FTC）の管轄下にあるすべての事業者、と広範囲です。ADPPAの法案には一部の州法は認める旨が記されているものの、ADPPAで上書きされるケースが出てくるかもしれません。その結果、『州によっては州法で定めた厳しい規定がADPPAによって緩和され、抜け道を作ることになるのではないか』という懸念、意見も出ているようです」（太田）

ADPPAの内容は日系企業にとっても無縁ではありません。米国の動向は引き続き要注目です。