米ニュージャージー州で消費者プライバシー法成立、2025年1月に施行

米国ニュージャージー州のフィル・マーフィー知事（民主党）は1月16日、消費者のプライバシーに関する法案（S332）に署名し、同法案は成立した。法律成立から365日後に施行される。今後、同法の実施規則を州の司法・公安局が定める見込みだ。

S332は、州議会上下両院が1月8日に可決していた。同法はニュージャージー州民の個人データ（注1）の管理や処理に関して、事業者の義務と消費者の権利を定めている。事業者に対しては、処理する個人データの種類や処理目的、個人データを開示する第三者の種類などについて、消費者に通知するよう義務付ける。健康状態や位置情報を含む「センシティブデータ」は、消費者の同意を得ない限り、収集などはできない。一方、消費者に対しては、事業者が持つ個人データの削除や訂正を求める権利のほか、ターゲティング広告や個人データの販売などへの個人データ使用を拒否（オプトアウト）する権利を付与する。

同法の対象事業者は、ニュージャージー州でビジネスを行うか、同州の住民向けに製品・サービスを提供し、次のいずれかの要件を満たす者となる。

1. 1年間に少なくとも10万人の同州の消費者の個人データ（支払い取引を完了するためだけに処理される個人データは除く）を管理または処理する者。
2. 1年間に少なくとも2万5,000人の同州の消費者の個人データを管理または処理し、個人データの販売から収益を得るか、商品もしくはサービスの価格の割引を受ける者。

法律の執行は州司法長官が独占的に行い、違反に対する個人の訴権は認めていない。法律の施行から18カ月後の月の1日までは、州司法・公安局の通知を受領後30日以内に違反を是正すれば執行を免れる（注2）。

米国では連邦レベルの包括的なプライバシー法がない中、各州が相次いで法整備に動いている。ニューハンプシャー州に本部を置く国際プライバシー専門家協会（IAPP）によると、これまでに包括的なプライバシー法を制定した州は、コロラド（2021年7月14日記事参照）、コネチカット（2022年5月12日記事参照）、カリフォルニア（2023年7月14日記事参照）など12州に上り、ニュージャージー州が13州目となる。そのうち、2023年だけでデラウェアやインディアナなど7州で法律が成立している。

（注1）個人データには、企業間取引（B2B）または雇用関係の個人データは含まれない。

（注2）法律の条文には具体的な罰則規定はなく、「この法律の規定への違反は、違法行為であり、ニュージャージー州法典56章への違反となる」と記載されている。

（甲斐野裕之）