はじめに
ついに、米国版GDPRが登場しようとしている。その名も、ADPPAだ。
これまで、米国では州レベルでのプライバシー法は存在していた。だが、連邦全体を覆うようなプライバシー法は存在していなかった。背景には、米国が州ごとで強い権力を持ち、主権を分割する統治の仕組みを敷いていることが起因している。
一方で現在、データの多くは米国発のビッグテックに吸収されている状況だ。特に昨今のパーソナルデータの取り扱いに関しては、どの行政機関でも、どう規制していけばいいのか頭を悩ませている。しかしADPPAが施行されれば、この状況が大きく変化するかもしれない。
本記事では、ADPPAの概要と、ADPPAが与える影響について考察していこうと思う。
ADPPAとは?
ADPPAとは「American Data Privacy and Protection Act」の略称で、日本語では「米国データプライバシー法」と呼ばれることが多い。
ADPPAの草案は2022年6月に突如登場し、2022年7月20日に議会に提出されることが可決された。また、下院はADPPAを議会に提出することを53対2で可決している。
現段階の法案の特徴
ここでは、2022年7月20日に下院に提出された条文の特徴について深掘りしてみる。
まず、保護される対象データは「個人または端末を識別し、個人または端末と関連づけられ、または合理的に関連づけられる可能性のある情報。または派生データや固有識別子も含まれる」とされている。
ここで用いられる「個人」とは米国居住者のことを指す。そのため、一時的に米国に滞在している人に関する情報は対象データにならない。逆に言えば、日本に滞在している米国居住者の情報は対象データとなる。
「端末」については、対象データを収集・処理・移転することができる電子機器のことを指す。この際、「1人以上の個人によって使用されるもの」と定義されているため、コテクテッドカーやスマートスピーカーのような、複数人が利用する電子機器も含まれると考えられる。
また、対象事業者は、非営利団体や一般通信事業者を含むほとんどの事業者となっている。さらに、一定の基準以上の大規模データ保有者や、他の事業者の代わりにデータを利用する事業者には、さらに規制が追加される。
そしてADPPAの特徴をざっくりまとめると以下のようになる。
- 対象事業者は対象データの利用を最小限にしなければならない
- 基準量以上のデータを収集する場合はFTCに登録する必要がある
- 消費者の機密データを第三者に転送する前に、消費者の肯定的かつ明示的な同意を得ることが義務付けられる
- 消費者は、事業者が保有する自分のデータにアクセスし、修正・削除する権利などの対象データに対する様々な権利を行使できる
- 17歳未満に対するターゲティング広告の禁止
- ADPPAは、FTCの執行権限に基づき、各州の検事総長および各州のプライバシー保護当局によって執行可能。また、CCPA(カリフォルニア州消費者プライバシー法)と同様にADPPAを執行する権限をCalifornia Privacy Protection Agencyに与える
- ADPPAまたはその規則の「規定の対象となる」あらゆる州法を先取りするが、一般に適用可能な消費者保護法およびデータ侵害通知法を含む16の異なるカテゴリーの州法は明示的に保存される。また、BIPA(生体情報プライバシー法)やCCPAなど、いくつかの特定の州法も維持される
- 法律制定から2年後に開始される遅延型私的訴訟権の創設
まず前提として、対象事業者は個人データの利用を最小限にしなければならない。これは、世界最強のプライバシー法といわれているEUのGDPR(一般データ保護規則)にはなかった条文だ。ADPPAは、消費者の同意の有無に関係なく、のっけから「必要以上のデータの収集をしないこと」と「データが必要になる17の理由のリスト」を明示している。ただし、この17の理由の中にターゲティング広告が含まれている点には注意しなければならない。とはいえ、データ最小化のアプローチを採用している点は、プライバシー保護派から高く評価されるだろう。
それと、CCPAと同様に、ADPPAはワンクリックで全てのターゲティング広告を拒否できる。これもGDPRにはなかった要素だ。GDPR下におけるWebサイトでは、「すべてのCookieを受け入れる」を促すかのようなデザインが用いられ、仮に「すべてのCookieを拒否する」を選択しても別のページに遷移させられて面倒な手続きをしなければならなかった。しかしADPPAが施行されれば、米国民はワンクリックでターゲティング広告を拒否できるようになる。
なぜこれまでADPPAが登場してこなかったのか
しかしなぜ、これまでの段階でADPPAのような連邦レベルのプライバシー法が登場しなかったのだろうか。これについては共和党と民主党の意見が分かれていたことが挙げられる。
まずは連邦法が州法を先取りするかどうかという点だ。例えば今回で言えば、「カリフォルニア州においてADPPAとCCPAはどちらが優先されるべきか」という問題である。これに対して共和党は「連邦法の優先」に賛成しており、逆に民主党は反対していた。
また、違反行為に対して政府だけでなく個人が企業を訴えられる「私的訴訟権」を設けるべきかどうかで、共和党は反対、民主党は賛成と意見が分かれた。
その中で妥協案という形で提出されたのが今回の条文だ。
まず連邦法と州法の兼ね合いについてだが、今回の条文では基本的に連邦法が優先される。ただし「ADPPAを執行する権限をCalifornia Privacy Protection Agencyに与える」のように、一部例外もある。
また、私的訴訟権も条項に盛り込まれたが、一部制限がある。例えば「個人は、訴訟を起こす前にFTCまたは各州の司法長官に通知する必要がある」「訴訟を起こす前に、違反者に違反に対処する機会を与えること」が要求される。
だが、この妥協案について主に民主党勢力が反対の姿勢を見せているため、ADPPAの成立にはもう少々時間がかかりそうだ。
ADPPAに対する反応
ここではADPPAに対する反応をみてみようと思う。
ビッグテックは特に反対していない
2022年7月20日、全米広告主協会は同法案に対して反対する声明を発表している。「企業がごく普通の責任ある広告目的で基本的な人口統計データおよびオンライン活動データを収集・利用することを禁止するものだ」と反対の理由を述べている。理由はともかくとして、広告主から見れば同法案はデメリットの方が圧倒的に大きいだろう。
しかしその一方で、ビッグテックからの反対の声はとくに挙がっていない。今回の法案が施行されても大したダメージにならないと判断したのだろうか。それとも、プライバシー保護がメインストリームになるということを、ビッグテックは既に受け入れているのだろうか。
大手テック企業のロビー団体であるChamber of Progress(本部:米バージニア州)の最高経営責任者(CEO)であるアダム・コヴァセヴィッチは「世界中に広がるプライバシー規制の網を遵守することを、テック企業は何年もかけて学んできた」としており、また「ADPPAを批判するリベラルな人々でさえ、同法案がどんな州法よりも先を行っていることを認めている」と指摘している。
CCPAが反対
先ほど、民主党勢力が反対の姿勢を見せていると解説したが、特に民主党勢力の代表格であるカリフォルニア州で反対の声が強い。その中でも、連邦法が優先されることもあり、CCPA(カリフォルニア州プライバシー保護局)が反対の声を挙げている。
実際にCCPAは、「企業がプライバシー保護に配慮した慣行に自信を持って投資する能力を損なってしまう」と当局の立場を改めて強調した書簡を下院議長等に送付。「CCPAで従来守られていたプライバシー保護を大幅に弱めるものとなっている」と指摘している。
このように、先進的なプライバシー法を打ち出しているカリフォルニア州にとって、ADPPAは非常に厄介な存在となっているようだ。確かに、全体的にはADPPAの方がアメリカ全土に及ぼす法律であり優れている可能性はあるが、プライバシー保護を先鋭的に進めるカリフォルニア州にとっては厄介な存在とされているようだ。
ADPPAが与える影響
ここでは、ADPPAが与える影響について考察してみようと思う。
ターゲティング広告の時代が終わる可能性
まず、ADPPAが施行されれば、ターゲティング広告の時代が終わるかもしれない。ADPPAはあくまでも米国居住者を対象にした連邦法だが、インターネットの世界に国境は存在しない。そのうえ、海外に滞在している米国居住者にも適用されるため、結果として世界中の企業が対応しなければならない可能性が出てくる。そしてADPPAが施行されれば、ターゲティング広告をワンクリックで拒否することが可能となる。
現段階のADPPAの条文を見る限り、ファーストパーティーでのターゲティング広告は継続されるかもしれない。だがサードパーティーでのターゲティング広告は相当厳しくなりそうだ。
そしてビッグテックはそれらの動きを許容しており、ターゲティング広告に頼らないビジネスモデルを構築しようとしている。ADPPAが施行されれば、プライバシー保護は本当の意味でメインストリームになり、ターゲティング広告の時代が終焉を迎えることになるかもしれない。
個人が企業に訴訟できるようになる
やはりADPPAの肝は、個人が企業に訴訟できるようになることだと考えられる。ここについては民主党と共和党で意見が大きく分かれているが、現段階では、一部制限を設けながらの私的訴訟権が創設されそうである。
このように個人が企業に訴訟できるようになると、「何がダメで何が許されるのか」が少しずつ明確になっていく。法律の世界では、継続性・整合性が重視されるからだ。
また、ADPPAがインターネット上のデータのやり取りに関する法律である以上、日本企業に対しても施行される可能性がある。こうした点からも、国内外問わず、プライバシー領域の法律専門家の需要が大きくなると考えられる。
まとめ
- ADPPAは連邦レベルのプライバシー法であり、CCPAよりも適応される地域範囲が広がる
- ADPPAはデータの利用を最小限にすることを定めている
- ADPPA成立までの論点は「連邦法と州法の兼ね合い」と「私的訴訟権」
参考文献
北米/個人情報保護・データ保護規制ニューズレター2022年9月6日号
米国のデータプライバシー保護法が、ついに実現へ? ここにきて超党派の支持が集まった理由
Overview of the American Data Privacy and Protection Act, H.R. 8152
California leads the nation in privacy protections. Congress wants to end that
