米コネチカット州でプライバシー法成立、全米で5州目

米国コネチカット州のネッド・ラモント知事（民主党）は5月10日、「個人のデータプライバシーとオンライン監視に関する法案（SB 6）」に署名し、同法案は成立した。米国で包括的な個人情報保護関連法を成立させた州は、カリフォルニア州（2020年8月20日記事参照）、バージニア州、コロラド州（2021年7月14日記事参照）、ユタ州に続き、コネチカット州が5州目となる。同法は一部の条項を除き、2023年7月1日に発効予定となっている。

「SB 6」は州議会上下両院が4月に可決していた。同法は、個人データの管理と処理に関する枠組みを定め、事業者のプライバシー保護基準と消費者の個人データに関わる権利を明確化した。具体的には、消費者に対し、事業者が処理する個人データを確認する権利や訂正・削除する権利、個人データの第三者への販売やターゲティング広告を拒否（オプトアウト）する権利を付与する。

一方、事業者に対しては、あらかじめ開示した目的以外での個人データの処理の禁止や、個人データの保護に関するセキュリティー慣行を策定・実施・維持する義務などを定める。人種や健康状態、位置情報などを含む「センシティブ・データ」を処理する際は、消費者の同意を取るよう義務付ける。また、消費者が権利を行使するための手段の1つとして、個人データの第三者への販売やターゲティング広告をオプトアウトするための専用リンクをウェブサイト上に用意するよう求める。

同法の対象事業者は、コネチカット州でビジネスを行うか、同州の住民向けの製品・サービスを生産している者のうち、前年に（1）10万人以上の消費者の個人データ（注）を管理または処理するか、（2）2万5,000人以上の消費者の個人データを管理または処理し、個人データの販売から総収入の25％超を得ている者となる。ただし、これらの要件に企業間取引（B2B）または雇用関係における個人データなどは含まれない。

法律の執行は州司法長官が独占的に行う。法律の施行後2024年12月31日までは執行猶予期間が定められており、法律に違反した事業者は、司法長官からの通知を受領後60日以内に違反状態を是正すれば執行を免れる。違反が認められた場合は、州法で定められる不公正な通商慣行に該当したとみなされ、1件の違反につき5,000ドルを超えない罰金などが科される可能性がある。

（注）支払い取引のみを目的に管理または処理する個人データは対象外。

（甲斐野裕之）