米カリフォルニア州プライバシー保護局、米国データプライバシー・保護法案に反対を表明

米国カリフォルニア州プライバシー保護局（California Privacy Protection Agency：CPPA）（注1）は8月15日、連邦議会で審議中の米国データプライバシー・保護法案（The American Data Privacy and Protection Act：ADPPA）に反対する旨の書簡を、ナンシー・ペロシ下院議長（民主党、カリフォルニア州）とケビン・マッカーシー下院議員（共和党、カリフォルニア州）宛てに送付したことを発表した。

同法案は、下院のエネルギー・商業委員会での審議を終え、本会議に送られている。法案が成立すれば、連邦レベルで初の包括的なプライバシー保護法となる見込みだ（2022年6月9日記事参照）。ADPPAは、一定のプライバシー保護を、存在しなかった州に拡張させる一方で、既に同種の州法がある場合には、一般的にADPPAに専占されると規定されている。

CPPAは、ADPPAに反対する理由として、以下を挙げている。

1. CPRA（後述）によって創生されたプライバシー保護の独自の下限を取り去ってしまう可能性があること。
2. 連邦議会のみが保護内容を引き上げることができることで、カリフォルニア住民のプライバシー保護に上限を設ける可能性があること。
3. CPRAで義務付けられている責任を果たすCPPAの能力にも、実質的に影響を与える可能性があること。
4. ADPPAの条項による保護は、カリフォルニア住民が現在、CCPAの下で享受している保護よりも実質的に弱くなるケースがあること。

カリフォルニア州では2020年1月から、米国で最初の包括的なデータプライバシー保護法、カリフォルニア州消費者プライバシー法（California Consumer Privacy Act：CCPA）が施行されている（2019年12月25日記事参照、注2）。さらに、CCPAを改正し消費者の権利をより強化する、カリフォルニアプライバシー権法（California Privacy Rights Act：CPRA）とすることへの賛否を問う住民投票が2020年11月に実施され、賛成多数となり、CPRAは2023年1月1日から適用開始予定となっている（2020年11月11日記事参照、2021年10月28日記事参照、注3）。

（注1）CPRAを実行・執行することを目的とした機関。5人の役員で運営されている。

（注2）CCPAの詳細は、ジェトロの公開する調査レポート「CCPA実務ハンドブック(1.7MB)」（※規則に関する記述は2019年11月のオリジナル案をベースにしたもの）で参照が可能。

（注3）同法の施行規則のドラフトは、2022年6月にCPPAより発表されている。

（石橋裕貴）