米下院商業委員長ら、連邦レベルのデータプライバシー保護法案の草案発表

米国下院エネルギー・商業委員会のフランク・パロン委員長（民主党、ニュージャージー州）とキャシー・マクモリス・ロジャース少数党筆頭理事（共和党、ワシントン州）、上院商業科学運輸委員会のロジャー・ウィッカー少数党筆頭理事（共和党、ミシシッピ州）は6月3日、「米国データプライバシー・保護法案（The American Data Privacy and Protection Act）」の草案を公表した。同法案が成立すれば、連邦レベルで初の包括的なプライバシー保護法となる見込みだ（注1）。

草案によると、同法は制定日から180日後に有効となる。同法の対象となるデータは、個人を識別する、または個人にリンクされる、または、合理的にリンクできる情報。それらが含まれるデバイスも相当する。対象データの中でも、政府が発行した識別子（例：社会保障番号、パスポート番号）や、過去・現在・未来の身体的・精神的な健康状態や医療機関での診断内容などを明らかにする情報、金融情報（例：金融口座番号、デビットカード・クレジットカード番号）、生体情報、位置情報などは「センシティブ対象データ」として特別に扱われる。一方、匿名化された情報、従業員情報、公開されている情報は原則として対象外とされる。

また草案では、事業者（注2）に対する義務を定めている。例えば、透明性に関わる義務について、対象事業者はデータの収集、処理、転送やセキュリティー対策に関する詳細で明確な説明について、個人が容易に利用可能で理解しやすい方法でプライバシーポリシーを提供する必要がある。また、センシティブ対象データは、個人の積極的な同意なしに収集や処理、第三者へ転送できない。ターゲット広告に従事する事業者は、広告の前とその後常に明確かつ目立つ手段で広告を拒否（オプトアウト）する手段を個人に提供しなければならない。児童のデータ保護に関しては、事業者に追加の義務を課している。例えば、事業者は17歳未満の個人を対象にしたターゲット広告を行ってはならないとしている。

同法の執行主体は、（1）連邦取引委員会（FTC）、（2）州の司法長官、（3）個人とされている。FTCは、同法に基づく権限を実行するため、現在の消費者保護局や競争局（注3）に匹敵する新しい部局を設立しなければならない。個人は同法施行日から4年後以降に、損害賠償などを求めて連邦裁判所に対して民事訴訟を起こすことができるようになる。州法との関係に関しては、一般的に同法が州法に優先すると規定されている。

（注1）連邦レベルのプライバシー法案をめぐる議論はこれまでも断続的に行われてきた。2019年12月には、上院商業科学運輸委員長を現在務めるマリア・カントウェル議員（民主党、ワシントン州）が「消費者オンラインプライバシー法（COPRA）」を提出したが、与野党の意見の差が埋まらず成立には至らなかった。COPRAの内容については、ジェトロ調査レポート「米国連邦データプライバシー法案の概要（2021年6月）」を参照。

（注2）小規模事業者は一部の義務の対象外となる。小規模事業者に該当するには、過去3年間に次の3つの要件を全て満たす必要がある。（1）年間総収入が平均4,100万ドル以下、（2）平均10万人を超える個人の対象データの収集または処理を行っていない、（3）対象データの譲渡から50％超の収入を得ていない。

（注3）反競争的な合併やそのほかの反競争的慣行を防止するための部局。

（石橋裕貴、甲斐野裕之）