毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2024年4月11日
- タイトル:American Privacy Rights Act
- メインスピーカー:データサイン 代表取締役社長 太田祐一
- MC:ビジネスディベロッパー 宮崎洋史
超党派で提案されたプライバシー法制度
2024年4月、アメリカ合衆国(米国)における包括的なプライバシー法制度の草案が民主党と共和党の議員により超党派で提案されました。法制度はAmerican Privacy Rights Act(APRA)と呼ばれています。ランチタイムトークでは、こちらの概要を話題に取り上げました。
同法案は、個人データの収集や処理、保持、移転などを行う、一定条件を満たす企業に対してデータ最小化(Data Minimization)の原則を求め、当該個人への通知や同意なくデータの共有や販売から無制限に収益を得ることを規制するものです。一方、消費者を含むユーザー個人には、当該データへのアクセス、訂正、削除、またはデータポータビリティに関する権利を保障するなど定めています。
「具体的にはデータ移転やターゲティング広告からオプトアウト(同意を拒否)する権利や、重大な決定にAIアルゴリズムが利用されることからオプトアウトする権利をユーザーに付与しています。また、ユーザーの自律的な意思決定や選択を損なうように設計、操作されたユーザーインターフェース、すなわちダータクパターンによる同意取得を禁止しています。サービスの提供条件と引き換えにプライバシー権を放棄するように求めることも禁止しています」(データサイン 代表取締役社長 太田祐一)
GDPRのような包括的な法制度がついに米国に?
米国では、カリフォルニア、バージニア、コロラド、コネチカット、ユタなど多くの州が独自のプライバシー法制度を導入していますが、まだ導入されていない州もあります。いわば欧州のGDPR(一般データ保護規則)のような国全体としてのルールがありません。各州の自治を尊重する半面で足並みが揃っていない状況です。そうした中、連邦政府による包括的な法制度化の議論は、APRAより前にも存在していました。2022年に提案されたのは「American Data Privacy and Protection Act」(ADPPA)です。しかし、既存州法との整合性などが障壁となり議論がまとまっていません。
今回提案されたAPRAは、米国の上院通商科学運輸委員会の議長を務める民主党議員と、下院エネルギー・商業委員会の議長を務める共和党議員により提案されています。
実はADPPAが法制化できなかった一因に、この民主党議員の賛意が得られなかったことを挙げるメディアの記事があります。同議員が不賛成だった理由として、プライバシー権を侵害されたと認識した個人が訴えを起こす前に、州司法長官や連邦取引委員会(FTC)に届け出る必要があるなど、煩雑な手間を要することに難色を示したと報じられています。一方、APRAではこうした手続きを省き、より直接的な権限がユーザーに与えられる見通しです。
歴史的な一歩に向けた協議は続く
APRAは、消費者や市民であるユーザーが一定の企業などに対してダイレクトに訴えることを認めるなど、カリフォルニア州の法制度を拡張したような強い権限を与える一方で、訴えられた企業が(一部を除き)指摘された問題点を修正するために30日間の猶予を与えるといった配慮または譲歩もみられます。
もしAPRAが成立すれば、一般的な消費者保護法など一部を除いて原則、現行の州法や自治体法を上書きすることになります。
「APRAの対象となる事業者は、連邦政府が定めるFTC法などの対象となる企業です。他方で一定規模以上の収益、一定件数以上の当該データを扱う事業者などに限られるため、除外される中小企業が多数出てきます。こうした中小企業はプライバシーポリシーの公開なども免除されるわけですが、この辺りは論点の1つになりそうです」(太田)
欧州GDPRのような包括的な法制度の実現という点で、米国における歴史的な一歩と評されるAPRA。事業者や消費者、市民の意見を踏まえつつ法案は引き続き審議されていく見通しです。