米カリフォルニア州議会、児童のオンライン・データプライバシー保護法案を可決、ニューサム知事の署名待ち

米国カリフォルニア州では、18歳未満の児童のオンライン上のプライバシーを保護する法案（AB2273）が、上院で8月29日、下院で8月30日に可決し、ギャビン・ニューサム知事（民主党）の署名待ちとなっている（注1）。法案が成立すると、2024年7月1日から適用開始となる。

同法案は、児童がアクセスする可能性のあるオンラインサービス・商品・機能を提供する事業者（注2）に対し、特定の要件の順守を義務付けている。例えば、事業者は以下のような措置を講じる必要がある。

• 新しいオンラインサービス・商品・機能を一般に提供する前に、児童がアクセスする可能性のあるものについては、データ保護の影響評価を完了させること。
• 完了したデータ保護の影響評価は、書面による要請に従い、5営業日以内に司法長官に提供すること。
• オンラインサービス・商品・機能にアクセスする可能性のある、児童の年齢に適した明確な言葉を使いながら、プライバシー情報、利用規約、ポリシー、コミュニティーの基準を簡潔かつ目立つように提供すること。
• 児童に提供する全てのデフォルトのプライバシー設定は、高度なレベルとすること。

また、同法案は、当該事業者に対する禁止行為も定めている。例えば、以下のとおり。

• オンラインサービス・商品・機能の提供にあたって、必ずしも必要でない児童の個人情報を収集、販売、共有、保持すること。
• 児童の身体的および精神的健康、または幸福に重大な悪影響を及ぼす方法で、児童の個人情報を使用すること。
• オンラインサービス・商品・機能の提供に不可欠でないにもかかわらず、児童の位置情報を収集、販売、共有すること。

同法案は、カリフォルニア州司法長官に、違反した事業者に対する差し止め命令や民事上の罰則を科す権限を与えている。違反者は、過失による違反の場合は影響を受けた児童１人当たり2,500ドル以下、故意による違反の場合は影響を受けた児童1人当たり7,500ドル以下の民事上の罰則を負うことになる。

（注1）カリフォルニア州では2020年1月に、米国初の包括的なデータプライバシー保護法である、カリフォルニア州消費者プライバシー法（CCPA）が施行された（2019年12月25日記事参照）。また、CCPAを改正し消費者の権利をより強化する、カリフォルニアプライバシー権法（CPRA）が2023年1月1日から適用開始の予定。同法案は、CCPAおよびCPRAの目的をさらに推進するもの（2020年11月11日記事、2021年10月28日記事参照）。

（注2）バフィ・ウィックス州下院議員によると、同法案はCCPAおよびCPRAで対象の事業者が対象となる。CPRAでは原則、以下いずれかの要件を満たす事業者が対象となる。

1. 年間総収入が2,500万ドルを超えていること。
2. 10万件以上の個人情報を商業目的で購入または販売していること。
3. 個人情報の販売または共有により、年間収入の50％以上を得ていること。

（石橋裕貴）