SlideShare a Scribd company logo

20231114kageshima.pdf

H
Hiroyasu Kageshima

20231118

Data & Analytics
1 of 26
Download to read offline
Ushijima & Partners 牛島総合法律事務所 弁護士 影島広泰 hiroyasu.kageshima@ushijima-law.gr.jp 03-5511-3233 日本法との比較で考える米国の個人情報保護法制 2023年11月18日
自己紹介 【個人情報の取扱い・情報管理に関する案件】 ➢ パーソナルデータを利用したビジネス構築のための法的スキームの助言 ➢ 内外企業がクロスボーダーにデータを移転する際の法的助言(GDPR・CCPA・アジア各国法) 【システム・ソフトウェア開発に関する案件】 ➢ 金融機関、流通、サービス業の各システム開発の中止に伴う訴訟・紛争 ➢ システム開発プロジェクト遂行中のコスト増、品質問題、プロジェクト中断に関する交渉のアドバイス 【著作等】 ➢ 「法律家・法務担当者のためのIT技術用語辞典<第2版>」(商事法務) ➢ 「座談会 システム開発取引はなぜ紛争が絶えないのか」(NBL1115~1117号) ➢ 「個人情報保護法と企業実務」(清文社)ほか多数 【その他】 ➢ Legal 500 Asia Pacific 2023年 TMT (Technology Media & Telecommunications)「Leading individuals」 ➢ Thomson Reuters 2021年「ALB Asia Super 50 TMT Lawyers」に選出 ➢ 日本経済新聞社「企業法務・弁護士調査」2019年データ関連「企業が選ぶランキング」第1位 1 牛島総合法律事務所 弁護士 影島広泰 03-5511-3233 hiroyasu.kageshima@ushijima-law.gr.jp 東京都千代田区永田町2-11-1 山王パークタワー14階 2003.10 2013.1 2015.5 2015.7 2017.4 弁護士登録(第56期)牛島総合法律事務所入所 牛島総合法律事務所パートナー 情報化推進国民会議 本委員(~2017.3) 情報化推進国民会議 マイナンバー検討特別委員会委員(~2015.12) JIPDECプライバシーマーク付与適格性審査会委員
November 18, 2023 Ushijima & Partners 1 米国連邦における個人情報保護法制 2 カリフォルニア州消費者プライバシー法における情報提供義務 3 執行と私的訴権 4 考察 目次
1. 概要 ◼ 米国連邦では、包括的に個人情報を保護する法律は制定されていない ➢ 包括的な個人情報保護立法の提案は幾度となく行われてきた ◼ 公的部門 ➢ プライバシー法(Privacy Act)が1974年に成立(連邦政府が保有する個人情報が対象) ◼ 民間部門 ➢ 自主規制を基本とし、機密性が高い分野について、分野ごとに個別法による規制(セクトラル 方式) ➢ 個別法は、問題の発生が契機となって制定されたもの ⚫ 公正信用報告法(Fair Credit Reporting Act) ⚫ 金融サービス近代化法(Financial Services Modernization Act) ⚫ 児童オンライン・プライバシー保護法 (Children’s Online Privacy Protection Act, COPPA) ➢ 州法における多様な個別対応 ➢ FTCによるエンフォースメントの確保 Ushijima & Partners September 27, 2023
1. 概要 Ushijima & Partners September 27, 2023 個別法による規制 (分野横断的な個人情報保護の法律は存在しない) 政府部門 自主規制 民間部門 医療分野 プライバシー法 (privacy Act of 1974) 金融分野 通信分野 児童の プライバシー 医療保険の 相互運用性 及び法的責 任に関する 法律 (HIPAA) 公正信用報 告法 (FCRA) 金融サービ ス近代化法 (Gramm- Leach- Bliley Act) 電子通信プラ イバシー法 (ECPA) 児童オンライ ンプライバ シー法 (COPPA)
2. FTCによるエンフォースメント ◼ 連邦取引委員会(Federal Trade Commission) ➢ FTC法5条(a)「不公正な競争方法(unfair methods of competition)」と「不公正・欺瞞 的行為又は慣行(unfair or deceptive acts or practices)」を禁止 ➢ 「不公正・欺瞞的行為又は慣行」に消費者のプライバシー侵害等が含まれる ⚫ すなわち、Privacy Policy等での公表内容と異なる取扱いをすると、「不公正・欺瞞的行為又は慣行」 に当たるということ。 ➢ FTC法5条の下、不公正・欺瞞的行為、慣行に対してアクションを取る ⚫ 差止請求、排除命令、民事制裁金(1万ドル以下) Ushijima & Partners September 27, 2023 「商業活動に関わる不公正な競争手段と、商業活動に関わる不公正または欺瞞的な行 為または慣行は、違法であることがここに宣言される(15 U.S.C. § 45(a)(1).)」
2. FTCによるエンフォースメント ◼ Facebookに対する制裁金(2019年7月24日) ➢ 50億ドル(5400億円)(和解命令) ➢ 新たなプライバシー保護の仕組みの構築を命令 例:二段階認証の電話番号を別の目的に使用してはならない。 顔認証技術の利用について明確かつ目立つように通知し、同意を得る ➢ 「Facebookのようなソーシャルメディア会社が個人情報の使用について個人を誤解させない ようにすることに尽力しています」(司法省コメント) Ushijima & Partners September 27, 2023
November 18, 2023 Ushijima & Partners 1 米国連邦における個人情報保護法制 2 カリフォルニア州消費者プライバシー法における情報提供義務 3 執行と私的訴権 4 考察 目次
1. カリフォルニア州消費者プライバシー法(CCPA)とは ◼ 「2018年カリフォルニア州消費者プライバシー法」 CCPA: California Consumer Privacy Act of 2018 ◼ 「2020年カリフォルニアプライバシー権利法」 CPRA: California Privacy Rights Act of 2020(2023年1月1日施行) ➢ CCPAの補足条項(CCPAを改正する法律) ➢ ポイント ① カリフォルニア州プライバシー保護庁(CPPA)の設置 ② 「Advertising and marketing」の個人情報の利用に対する規制強化 「共有」の概念の導入(クロスコンテクスト行動広告のために個人情報を第三者に伝達すること) →事業者が収集した個人情報を、別の企業と共有する場合、事業者は共有先における個人情報の利用に責任を 負う (例)事業者がサービスプロバイダーを使う場合、事前の取り決めがない限り、サービスプロバイダーがプロ ファイリングを目的とした自社のデータベースにデータを登録しないように監視する義務を負う ③ 機微な個人情報の規制強化(情報提供、利用の制限要求) ④ 30日間の是正期間の廃止 Ushijima & Partners September 27, 2023
1. カリフォルニア州消費者プライバシー法(CCPA)とは ◼ 適用範囲 ➢ 消費者(Consumer)(1978.140条(g)) 「カリフォルニア州の居住者(resident)である自然人」 →「消費者」という言葉から受ける印象とは異なり、広く「自然人」を対象としている ⚫ 雇用している従業員もCCPAの「消費者」に当たる Ushijima & Partners September 27, 2023
2. CCPAにおける情報提供義務 (1) プライバシーポリシーでの情報提供 ◼ プライバシーポリシーでの開示 ➢ 少なくとも12か月に1回アップデートしなければならない(1798.130条(a)(5)) <どのような個人情報が収集されているのかを知る権利に資するための情報(§1798.110、 §1798.130(a)(5)(B))> ① 過去12か月間に収集した個人情報のカテゴリー(規則7011(e)(1)(A)) ② 個人情報が収集された情報源のカテゴリー(規則7011(e)(1)(B)) ③ 個人情報を収集する具体的な事業又は商業上の目的(規則7011(e)(1)(C)) Ushijima & Partners September 27, 2023 緑字はCPRAでの改正点
2. CCPAにおける情報提供義務 (1) プライバシーポリシーでの情報提供 <どのような個人情報が誰に販売、共有又は開示されているかを知る権利に資するための情報 (§1798.130(a)(5)(C))> ① 過去12か月間に販売又は共有した個人情報のカテゴリー。過去12か月間に販売又は共有をしてい ない場合はその旨(規則7011(e)(1)(D)) ② 上記で特定した販売又は共有した個人情報のカテゴリーごとに、当該情報を販売又は共有した第三 者のカテゴリー(同(E)) ③ 個人情報を販売又は共有する具体的な事業又は商業上の目的(同(F)) ④ 事業者が16歳未満の消費者の個人情報を販売又は共有していることを実際に認識しているかどう かに関する記載、及び認識している場合は、未成年者に関するオプトイン等の特別なルール(規則 7070及び7071)についての説明(規則§7011(e)(1)(G)、同(3)(I)) ⑤ 過去12か月間に、事業目的で第三者に開示した個人情報のカテゴリー。過去12か月間に開示をし ていない場合はその旨(規則7011(e)(1)(H)) ⑥ 上記で特定した開示した個人情報のカテゴリーごとに、当該情報を開示した第三者のカテゴリー (同(I)) ⑦ 個人情報を開示する具体的な事業又は商業上の目的(同(J)) ⑧ 規則§7027(m)に定める目的以外の目的で機微な個人情報を利用又は開示しているかどうかに関す る記載(規則§7011(e)(1)(K)) Ushijima & Partners September 27, 2023
2. CCPAにおける情報提供義務 (1) プライバシーポリシーでの情報提供 <消費者の権利に関する説明(§1798.130(a)(5)(A))> ① 事業者が消費者についてどのような個人情報を収集したか(個人情報のカテゴリー、個人情報が収 集された情報源のカテゴリー、個人情報の収集、販売又は共有の事業又は商業上の目的、消費者に ついて収集した個人情報の特定の部分を含む。)について知る権利(§1798.110、規則§7011(e)(2)(A)) ② 個人情報の削除を要求する権利(§1798.105、規則7011(e)(2)(B)) ③ 不正確な個人情報を訂正する権利(§1798.106、規則7011(e)(2)(C)) ④ 事業者が個人情報を販売又は共有する場合、その販売又は共有をオプトアウトする権利が認められ ること、及び当該権利に関する通知を提供する必要がある場合は、当該通知又はそのリンク (§1798.120、規則7011(e)(2)(D)、同(3)(C)) ⑤ 規則§7027(m)に定める目的以外の目的で機微な個人情報を利用又は開示する場合、事業者による 機微な個人情報の利用又は開示を制限する権利が認められること、及び当該権利に関する通知を提 供する必要がある場合は、当該通知又はそのリンク(§1798.121、規則7011(e)(2)(E)、同(3)(D)) ⑥ 従業員、採用応募者、独立したコントラクターがCCPA上の権利を行使したことで報復されない権 利など、CCPAによって付与された権利の行使を理由に事業者から差別的な扱いを受けない権利 (§1798.125、規則§7011(e)(2)(F)) Ushijima & Partners September 27, 2023
2. CCPAにおける情報提供義務 (1) プライバシーポリシーでの情報提供 <消費者がCCPA上の権利を行使する方法等についての説明(規則§7011(e)(3))> ① 上記権利に基づく要求を提出するための方法の説明(§1798.130(a)(5)(A)、規則§7011(e)(3)(A)及び(B)、規則 §7020) ※オンラインのみで運営を行い、個人情報を収集する消費者と直接関係を有する事業者は、電子メールアドレ スを提供するのみでもよい ※上記事業者に該当しない場合、2つ以上の指定された方法を提供しなければならず、そのうちの1つはtoll-free電話番号(フ リーダイヤルの電話番号)でなければならない。また、事業者がウェブサイトを管理している場合、提出方法のうち1つはウェ ブ上のフォームなど、ウェブサイトを通じた方法でなければならない。 ② 消費者の要求を確認するために事業者が利用するプロセスについての一般的な説明((消費者が提 供しなければならない情報を含む。規則§7011(e)(3)(E)) ③ オプトアウトプリファレンスシグナルに関する説明(規則§7011(e)(3)(F)及び(G)) ④ 権限を持った代理人が要求する場合の方法についての説明(規則§7011(e)(3)(H)) ⑤ 主に対話による方法を反映した方法で、事業者のプライバシーポリシーと情報に関するプラクティ スについての質問や懸念を受け付ける窓口への問い合わせ(規則§7011(e)(3)(J)) Ushijima & Partners September 27, 2023
2. CCPAにおける情報提供義務 (1) プライバシーポリシーでの情報提供 <その他> ① プライバシーポリシーの最終更新日(規則§7011(e)(4)) ② 年間1000万人以上の消費者の個人情報を取り扱う事業者の場合、規則§7012により開示が要求さ れる情報又は当該情報へのリンク(規則§7011(e)(5)) ➢ 後述する個人情報の収集時の情報提供に関する文書を別途作成しない場合、当該情報提供事 項を含むプライバシーポリシーの特定のセクションに直接誘導するリンクを提供することで、 収集時の情報提供とすることができる。 この場合、プライバシーポリシーの冒頭や、必要な情報を含まないプライバシーポリシーの 他のセクションに誘導するリンクを提供し、収集時の情報提供事項(収集される個人情報の カテゴリーや、事業者が収集した個人情報を販売又は共有するかどうか)を確認するために 他の不要な情報の記載部分をスクロールしなければならない場合は、情報提供をしたことに はならないとされている(規則§7012(f)) Ushijima & Partners September 27, 2023
2. CCPAにおける情報提供義務 (2) 収集時の情報提供義務 ◼ 個人情報の収集時又は収集前に、以下の情報を提供する義務(1798.100条(b)、 1798.135条(a)、規則999.305条(b)、7016) ① 収集される個人情報のカテゴリー ② その個人情報のカテゴリーが収集又は利用される事業又は商業上の目的 ③ 当該情報が販売又は共有されるかどうか ④ 事業者が個人情報を販売又は共有する場合は、「Do Not Sell or Share My Personal Information」又は「Do Not Sell or Share My Info」と題されたリンク ⑤ 機微な個人情報を収集する場合 ・収集する情報のカテゴリー、収集又は利用される目的、当該情報が販売又は共有されるかどうか、 「Limit the Use of My Sensitive Personal Information」と題されたリンク ⑥ 機微な個人情報を含む各カテゴリーの個人情報を事業者が保持する予定の期間、又はそれが不可能な 場合はその期間を決定するために使用する基準 ⑦ 事業者のプライバシーポリシーへのリンク ⑧ 事業者が、個人情報の収集、販売、共有又は保有について、本人への報酬としての支払いなど金銭的 なインセンティブを提供する場合は、それに関する事項 Ushijima & Partners September 27, 2023
2. CCPAにおける情報提供義務 (3) 販売・開示に関する規制 ◼ 個人データの販売・開示に関する規制 ➢ 情報提供義務(1798.115条(c)) ⚫ 消費者の個人情報を販売又は共有する企業、又は事業目的で消費者の個人情報を開示する企業は、以下 の情報を開示する義務がある 1. 収集した個人情報のカテゴリー 2. 販売又は共有した消費者の個人情報のカテゴリ、または消費者の個人情報を販売又は共有していない場合 は、その旨を開示しなければならない 3. 事業目的で開示した消費者の個人情報のカテゴリ及び開示先のカテゴリー ➢ 販売又は共有の規制(1798.120条) ⚫ 消費者に関する個人情報を第三者に販売又は共有する企業に対し、いつでも、当該消費者の個人情報を 販売又は共有しないように指示する権利を有する。これを「オプトアウトの権利」と呼ぶ ⚫ 上記の指示を受けた企業、または未成年の消費者の個人情報を販売することについて同意を得ていない 場合には販売又は共有は禁止される ⚫ 消費者が16歳未満であることを実際に知っている場合、消費者が13歳から16歳である場合には当該消 費者の、13歳未満である場合にはその親又は保護者から販売について積極的に許諾されない限り、販売 又は共有は禁止される。これを「オプトインの権利」と呼ぶ Ushijima & Partners September 27, 2023
3. 日本の個人情報保護法の下での情報提供 August 28, 2023 Ushijima & Partners ◼ 日本法の下でのプライバシーポリシー ① 「保有個人データに関する事項の公表等」(32条、施行令8条) □事業者の氏名又は名称、住所、代表者の氏名、□利用目的、□開示等の請求に応じる手続、□苦情 の申出先、□認定個人情報保護団体の名称及び苦情の解決の申出先、□安全管理のために講じている 措置 ② 「公表」するため ⚫ 利用目的(18条) ⚫ 仮名加工情報(41条4項、6項)、匿名加工情報(43条3項、6項) ③ 安全管理措置の一環(23条、通則GL(別添)「基本方針の策定」) (a)事業者の名称、(b)関係法令・ガイドライン等の遵守、(c)安全管理措置に関する事項、(d)質問及び 苦情処理の窓口 ④ 「本人が容易に知り得る状態」に置くため ⚫ 共同利用(27条5項3号) ⚫ オプトアウトによる第三者提供(27条2項) ⑤ 「情報を当該本人に提供」するため ⚫ 外国移転の同意を得る際の情報提供(28条2項(・3項)) ⑥ 同意を得るため→「個人情報の取扱いについて」という別文書にして同意を得る方がよいが ⚫ 第三者提供の同意(27条1項、28条1項)、 ⚫ 個人関連情報の提供を受けて個人データとして利用(31条)
4. EU一般データ保護規則(GDPR)における情報提供 Ushijima & Partners September 27, 2023 ◼ GDPR 13条(データ主体から取得する場合の情報提供義務) ① 1-(a) 管理者の身元及び詳細な連絡先(存在する場合は管理者の代理人) ② 1-(b) 存在する場合は、データ保護担当者(data protection officer)の詳細な連絡先 ③ 1-(c) 意図された個人データ処理の目的及び処理の法的根拠 ④ 1-(d) 処理が 6条1項(f)号に基づく場合、管理者又は第三者によって求められる正当な利益 ⑤ 1-(e) あるならば、個人データの取得者または取得者の種類 ⑥ 1-(f) 該当する場合、第三国や国際組織へデータ移転する意図があること、十分性決定の存在または不存在 に関する事実、または適切な安全保護措置がとられているかどうかとそのコピーの入手方法等 ⑦ 2-(a) 個人データの保存期間、または保存期間を決定するために検討される要素 ⑧ 2-(b)アクセス権、訂正、削除権、データポータビリティー権利等のデータ主体の権利の存在 ⑨ 2-(c) 処理が同意に基づく場合、同意はいつでも撤回することができること、撤回前に行われた処理は合法 であり続けること ⑩ 2-(d) 監督機関に不服を申し立てる権利 ⑪ 2- (e)個人データの提供が法律または契約上の要件か、契約を締結するのに必要なものであるか、及び、 データ主体に個人データ提供の義務があるか、ならびに、当該データ提供の不履行により起こり得る結果 ⑫ 2-(f) プロファイリングを含む自動化された意思決定の存在、その論理について意味のある情報、当該処 理がデータ主体にもたらし得る重要性と結果
November 18, 2023 Ushijima & Partners 1 米国連邦における個人情報保護法制 2 カリフォルニア州消費者プライバシー法における情報提供義務 3 執行と私的訴権 4 考察 目次
1. CCPAの執行・私的訴権 ◼ 執行(enforcement) ➢ 事業者は、CCPA違反の疑義を通知されてから30日以内に違反を是正しない場合、CCPA違反と なる 差止命令の対象となるほか、違反1件について2,500ドル以下(16歳未満について故意の場合 7,500ドル以下)の民事罰について、カリフォルニア州司法長官による提訴を受ける(1798. 155条(b)) →未成年の個人情報の違反を伴う場合、故意の有無にかかわらず上限7,500ドル ◼ 損害賠償請求 ① 個人情報を保護するため情報の性質に応じた合理的なセキュリティ手続とプラクティスを実 施し維持する義務に違反した結果、 ② 暗号化されておらず、かつ伏字化(redact)されていない個人情報又はアカウントへのアク セスを許可するパスワード又はセキュリティ質問と回答と組み合わされた電子メールアドレ スが、 ③ 無権限でのアクセス、流出、窃取又は開示の対象となった場合、 ④ 消費者は、1人あたり100~750ドル又は実損害のいずれか大きい額の損害賠償請求が可能で あり、クラスアクションも可能(1798.150条) Ushijima & Partners September 27, 2023 緑字はCPRAでの改正点
1. CCPAの執行・私的訴権 ➢ 漏洩等が発生したときの差止請求・損害賠償請求(1798.150条)の対象になるのは、以下の 個人情報(1798.81.5条(d)(1)(A)が定める個人情報)に限られる ファーストネーム又はファーストイニシャル及びラストネームと、以下の情報の組み合わせであって、 暗号化又は伏字化されていないもの 1. ソーシャルセキュリティナンバー 2. 運転免許証番号又は州のIDの番号 3. 銀行口座番号やクレジットカード番号・デビットカード番号で口座にアクセスするためのセキュリ ティコード、アクセスコードやパスワード等との組み合わせ 4. 医療情報 5. 健康保険情報 6. バイオメトリックデータ ➢ 請求の対象は「暗号化されておらず、かつ伏字化(redacted)されていない個人情報又はア カウントへのアクセスを許可するパスワード又はセキュリティ質問と回答と組み合わされた電 子メールアドレス」の漏えい等 →「伏字化(redacted)」とは、CCPAには定義がないが、氏名を「****」に置き換えるなどの「マ スキング」のことであると考えられる →情報を暗号化又は伏字化(仮名化)しておくことは、重要なポイント Ushijima & Partners September 27, 2023
3. CCPA以外の州法 出典:牛島総合法律事務所 辻晃平・中井杏「アメリカのデータプライバシー法制の近時の動向と実務対応」(2023.8.3)
November 18, 2023 Ushijima & Partners 1 米国連邦における個人情報保護法制 2 カリフォルニア州消費者プライバシー法における情報提供義務 3 執行と私的訴権 4 考察 目次
考察(ディスカッション) Ushijima & Partners September 27, 2023 ◼ 日本の個人情報保護法 ◼ EUのGDPR、タイ等(タイは同意が原則) ◼ カリフォルニア州消費者プライバシー法(CCPA) 利用目的 開示請求等窓口 苦情申出先 etc 情報提供 利用目的・根拠 収集元 本人の権利 etc 情報提供 個人情報の種類 利用目的 収集元 etc 情報提供 取得・利用 取得・利用 取得・利用 同意 契約履行のため 正当な利益 etc 法的根拠
◼ 情報提供を重視するところが、米国流 ➢ 消費者に対する「不公正・欺瞞的行為又は慣行」という発想 ➢ 「同意」ベースの法制度とも違う ➢ (なお、差別的でないことも重要であると感じる) ◼ 私的訴権(CCPA) ➢ FTCによるエンフォースメントに加え、クラスアクションのリスク ◼ 州法が次々と制定されている ➢ 米国は、これから「2000個問題」を始めるのか? 考察(ディスカッション)

Recommended

2023情報ネットワーク法学会 東京高判令和4年10月5日
2023情報ネットワーク法学会 東京高判令和4年10月5日2023情報ネットワーク法学会 東京高判令和4年10月5日
2023情報ネットワーク法学会 東京高判令和4年10月5日Hiroyasu Kageshima
 
20210621_兵庫県弁護士会プラポリセミナー[配布版]
20210621_兵庫県弁護士会プラポリセミナー[配布版]20210621_兵庫県弁護士会プラポリセミナー[配布版]
20210621_兵庫県弁護士会プラポリセミナー[配布版]Naotaka Yamashiro
 
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二Kenji Sugiura
 
2021in law systemdevelopment_tanaka
2021in law systemdevelopment_tanaka2021in law systemdevelopment_tanaka
2021in law systemdevelopment_tanakaMasahiro Ito
 
2019年4月27日福岡ブロックチェーンエコノミー勉強会資料(資金決済法等改正案について)
2019年4月27日福岡ブロックチェーンエコノミー勉強会資料(資金決済法等改正案について)2019年4月27日福岡ブロックチェーンエコノミー勉強会資料(資金決済法等改正案について)
2019年4月27日福岡ブロックチェーンエコノミー勉強会資料(資金決済法等改正案について)Kazuaki Yoshii
 
情報ネットワーク法学会2017大会第8分科会発表資料
情報ネットワーク法学会2017大会第8分科会発表資料情報ネットワーク法学会2017大会第8分科会発表資料
情報ネットワーク法学会2017大会第8分科会発表資料Hiroshi Nakagawa
 
ベンチャー紛争12選_GVA法律事務所
ベンチャー紛争12選_GVA法律事務所ベンチャー紛争12選_GVA法律事務所
ベンチャー紛争12選_GVA法律事務所gvalaw
 
Troll trend 20131113
Troll trend 20131113Troll trend 20131113
Troll trend 20131113Chisato Nakayama
 

Recommended

2023情報ネットワーク法学会 東京高判令和4年10月5日
2023情報ネットワーク法学会 東京高判令和4年10月5日2023情報ネットワーク法学会 東京高判令和4年10月5日
2023情報ネットワーク法学会 東京高判令和4年10月5日Hiroyasu Kageshima
 
20210621_兵庫県弁護士会プラポリセミナー[配布版]
20210621_兵庫県弁護士会プラポリセミナー[配布版]20210621_兵庫県弁護士会プラポリセミナー[配布版]
20210621_兵庫県弁護士会プラポリセミナー[配布版]Naotaka Yamashiro
 
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二
個人情報ビジネス利活用の実務対応(個情委ガイドライン、個情委Q&Aを踏まえて)20211026弁護士杉浦健二Kenji Sugiura
 
2021in law systemdevelopment_tanaka
2021in law systemdevelopment_tanaka2021in law systemdevelopment_tanaka
2021in law systemdevelopment_tanakaMasahiro Ito
 
2019年4月27日福岡ブロックチェーンエコノミー勉強会資料(資金決済法等改正案について)
2019年4月27日福岡ブロックチェーンエコノミー勉強会資料(資金決済法等改正案について)2019年4月27日福岡ブロックチェーンエコノミー勉強会資料(資金決済法等改正案について)
2019年4月27日福岡ブロックチェーンエコノミー勉強会資料(資金決済法等改正案について)Kazuaki Yoshii
 
情報ネットワーク法学会2017大会第8分科会発表資料
情報ネットワーク法学会2017大会第8分科会発表資料情報ネットワーク法学会2017大会第8分科会発表資料
情報ネットワーク法学会2017大会第8分科会発表資料Hiroshi Nakagawa
 
ベンチャー紛争12選_GVA法律事務所
ベンチャー紛争12選_GVA法律事務所ベンチャー紛争12選_GVA法律事務所
ベンチャー紛争12選_GVA法律事務所gvalaw
 
Troll trend 20131113
Troll trend 20131113Troll trend 20131113
Troll trend 20131113Chisato Nakayama
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data ScienceChristy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

More Related Content

Featured

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Featured (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

20231114kageshima.pdf

  • 1. Ushijima & Partners 牛島総合法律事務所 弁護士 影島広泰 hiroyasu.kageshima@ushijima-law.gr.jp 03-5511-3233 日本法との比較で考える米国の個人情報保護法制 2023年11月18日
  • 2. 自己紹介 【個人情報の取扱い・情報管理に関する案件】 ➢ パーソナルデータを利用したビジネス構築のための法的スキームの助言 ➢ 内外企業がクロスボーダーにデータを移転する際の法的助言(GDPR・CCPA・アジア各国法) 【システム・ソフトウェア開発に関する案件】 ➢ 金融機関、流通、サービス業の各システム開発の中止に伴う訴訟・紛争 ➢ システム開発プロジェクト遂行中のコスト増、品質問題、プロジェクト中断に関する交渉のアドバイス 【著作等】 ➢ 「法律家・法務担当者のためのIT技術用語辞典<第2版>」(商事法務) ➢ 「座談会 システム開発取引はなぜ紛争が絶えないのか」(NBL1115~1117号) ➢ 「個人情報保護法と企業実務」(清文社)ほか多数 【その他】 ➢ Legal 500 Asia Pacific 2023年 TMT (Technology Media & Telecommunications)「Leading individuals」 ➢ Thomson Reuters 2021年「ALB Asia Super 50 TMT Lawyers」に選出 ➢ 日本経済新聞社「企業法務・弁護士調査」2019年データ関連「企業が選ぶランキング」第1位 1 牛島総合法律事務所 弁護士 影島広泰 03-5511-3233 hiroyasu.kageshima@ushijima-law.gr.jp 東京都千代田区永田町2-11-1 山王パークタワー14階 2003.10 2013.1 2015.5 2015.7 2017.4 弁護士登録(第56期)牛島総合法律事務所入所 牛島総合法律事務所パートナー 情報化推進国民会議 本委員(~2017.3) 情報化推進国民会議 マイナンバー検討特別委員会委員(~2015.12) JIPDECプライバシーマーク付与適格性審査会委員
  • 3. November 18, 2023 Ushijima & Partners 1 米国連邦における個人情報保護法制 2 カリフォルニア州消費者プライバシー法における情報提供義務 3 執行と私的訴権 4 考察 目次
  • 4. 1. 概要 ◼ 米国連邦では、包括的に個人情報を保護する法律は制定されていない ➢ 包括的な個人情報保護立法の提案は幾度となく行われてきた ◼ 公的部門 ➢ プライバシー法(Privacy Act)が1974年に成立(連邦政府が保有する個人情報が対象) ◼ 民間部門 ➢ 自主規制を基本とし、機密性が高い分野について、分野ごとに個別法による規制(セクトラル 方式) ➢ 個別法は、問題の発生が契機となって制定されたもの ⚫ 公正信用報告法(Fair Credit Reporting Act) ⚫ 金融サービス近代化法(Financial Services Modernization Act) ⚫ 児童オンライン・プライバシー保護法 (Children’s Online Privacy Protection Act, COPPA) ➢ 州法における多様な個別対応 ➢ FTCによるエンフォースメントの確保 Ushijima & Partners September 27, 2023
  • 5. 1. 概要 Ushijima & Partners September 27, 2023 個別法による規制 (分野横断的な個人情報保護の法律は存在しない) 政府部門 自主規制 民間部門 医療分野 プライバシー法 (privacy Act of 1974) 金融分野 通信分野 児童の プライバシー 医療保険の 相互運用性 及び法的責 任に関する 法律 (HIPAA) 公正信用報 告法 (FCRA) 金融サービ ス近代化法 (Gramm- Leach- Bliley Act) 電子通信プラ イバシー法 (ECPA) 児童オンライ ンプライバ シー法 (COPPA)
  • 6. 2. FTCによるエンフォースメント ◼ 連邦取引委員会(Federal Trade Commission) ➢ FTC法5条(a)「不公正な競争方法(unfair methods of competition)」と「不公正・欺瞞 的行為又は慣行(unfair or deceptive acts or practices)」を禁止 ➢ 「不公正・欺瞞的行為又は慣行」に消費者のプライバシー侵害等が含まれる ⚫ すなわち、Privacy Policy等での公表内容と異なる取扱いをすると、「不公正・欺瞞的行為又は慣行」 に当たるということ。 ➢ FTC法5条の下、不公正・欺瞞的行為、慣行に対してアクションを取る ⚫ 差止請求、排除命令、民事制裁金(1万ドル以下) Ushijima & Partners September 27, 2023 「商業活動に関わる不公正な競争手段と、商業活動に関わる不公正または欺瞞的な行 為または慣行は、違法であることがここに宣言される(15 U.S.C. § 45(a)(1).)」
  • 7. 2. FTCによるエンフォースメント ◼ Facebookに対する制裁金(2019年7月24日) ➢ 50億ドル(5400億円)(和解命令) ➢ 新たなプライバシー保護の仕組みの構築を命令 例:二段階認証の電話番号を別の目的に使用してはならない。 顔認証技術の利用について明確かつ目立つように通知し、同意を得る ➢ 「Facebookのようなソーシャルメディア会社が個人情報の使用について個人を誤解させない ようにすることに尽力しています」(司法省コメント) Ushijima & Partners September 27, 2023
  • 8. November 18, 2023 Ushijima & Partners 1 米国連邦における個人情報保護法制 2 カリフォルニア州消費者プライバシー法における情報提供義務 3 執行と私的訴権 4 考察 目次
  • 9. 1. カリフォルニア州消費者プライバシー法(CCPA)とは ◼ 「2018年カリフォルニア州消費者プライバシー法」 CCPA: California Consumer Privacy Act of 2018 ◼ 「2020年カリフォルニアプライバシー権利法」 CPRA: California Privacy Rights Act of 2020(2023年1月1日施行) ➢ CCPAの補足条項(CCPAを改正する法律) ➢ ポイント ① カリフォルニア州プライバシー保護庁(CPPA)の設置 ② 「Advertising and marketing」の個人情報の利用に対する規制強化 「共有」の概念の導入(クロスコンテクスト行動広告のために個人情報を第三者に伝達すること) →事業者が収集した個人情報を、別の企業と共有する場合、事業者は共有先における個人情報の利用に責任を 負う (例)事業者がサービスプロバイダーを使う場合、事前の取り決めがない限り、サービスプロバイダーがプロ ファイリングを目的とした自社のデータベースにデータを登録しないように監視する義務を負う ③ 機微な個人情報の規制強化(情報提供、利用の制限要求) ④ 30日間の是正期間の廃止 Ushijima & Partners September 27, 2023
  • 10. 1. カリフォルニア州消費者プライバシー法(CCPA)とは ◼ 適用範囲 ➢ 消費者(Consumer)(1978.140条(g)) 「カリフォルニア州の居住者(resident)である自然人」 →「消費者」という言葉から受ける印象とは異なり、広く「自然人」を対象としている ⚫ 雇用している従業員もCCPAの「消費者」に当たる Ushijima & Partners September 27, 2023
  • 11. 2. CCPAにおける情報提供義務 (1) プライバシーポリシーでの情報提供 ◼ プライバシーポリシーでの開示 ➢ 少なくとも12か月に1回アップデートしなければならない(1798.130条(a)(5)) <どのような個人情報が収集されているのかを知る権利に資するための情報(§1798.110、 §1798.130(a)(5)(B))> ① 過去12か月間に収集した個人情報のカテゴリー(規則7011(e)(1)(A)) ② 個人情報が収集された情報源のカテゴリー(規則7011(e)(1)(B)) ③ 個人情報を収集する具体的な事業又は商業上の目的(規則7011(e)(1)(C)) Ushijima & Partners September 27, 2023 緑字はCPRAでの改正点
  • 12. 2. CCPAにおける情報提供義務 (1) プライバシーポリシーでの情報提供 <どのような個人情報が誰に販売、共有又は開示されているかを知る権利に資するための情報 (§1798.130(a)(5)(C))> ① 過去12か月間に販売又は共有した個人情報のカテゴリー。過去12か月間に販売又は共有をしてい ない場合はその旨(規則7011(e)(1)(D)) ② 上記で特定した販売又は共有した個人情報のカテゴリーごとに、当該情報を販売又は共有した第三 者のカテゴリー(同(E)) ③ 個人情報を販売又は共有する具体的な事業又は商業上の目的(同(F)) ④ 事業者が16歳未満の消費者の個人情報を販売又は共有していることを実際に認識しているかどう かに関する記載、及び認識している場合は、未成年者に関するオプトイン等の特別なルール(規則 7070及び7071)についての説明(規則§7011(e)(1)(G)、同(3)(I)) ⑤ 過去12か月間に、事業目的で第三者に開示した個人情報のカテゴリー。過去12か月間に開示をし ていない場合はその旨(規則7011(e)(1)(H)) ⑥ 上記で特定した開示した個人情報のカテゴリーごとに、当該情報を開示した第三者のカテゴリー (同(I)) ⑦ 個人情報を開示する具体的な事業又は商業上の目的(同(J)) ⑧ 規則§7027(m)に定める目的以外の目的で機微な個人情報を利用又は開示しているかどうかに関す る記載(規則§7011(e)(1)(K)) Ushijima & Partners September 27, 2023
  • 13. 2. CCPAにおける情報提供義務 (1) プライバシーポリシーでの情報提供 <消費者の権利に関する説明(§1798.130(a)(5)(A))> ① 事業者が消費者についてどのような個人情報を収集したか(個人情報のカテゴリー、個人情報が収 集された情報源のカテゴリー、個人情報の収集、販売又は共有の事業又は商業上の目的、消費者に ついて収集した個人情報の特定の部分を含む。)について知る権利(§1798.110、規則§7011(e)(2)(A)) ② 個人情報の削除を要求する権利(§1798.105、規則7011(e)(2)(B)) ③ 不正確な個人情報を訂正する権利(§1798.106、規則7011(e)(2)(C)) ④ 事業者が個人情報を販売又は共有する場合、その販売又は共有をオプトアウトする権利が認められ ること、及び当該権利に関する通知を提供する必要がある場合は、当該通知又はそのリンク (§1798.120、規則7011(e)(2)(D)、同(3)(C)) ⑤ 規則§7027(m)に定める目的以外の目的で機微な個人情報を利用又は開示する場合、事業者による 機微な個人情報の利用又は開示を制限する権利が認められること、及び当該権利に関する通知を提 供する必要がある場合は、当該通知又はそのリンク(§1798.121、規則7011(e)(2)(E)、同(3)(D)) ⑥ 従業員、採用応募者、独立したコントラクターがCCPA上の権利を行使したことで報復されない権 利など、CCPAによって付与された権利の行使を理由に事業者から差別的な扱いを受けない権利 (§1798.125、規則§7011(e)(2)(F)) Ushijima & Partners September 27, 2023
  • 14. 2. CCPAにおける情報提供義務 (1) プライバシーポリシーでの情報提供 <消費者がCCPA上の権利を行使する方法等についての説明(規則§7011(e)(3))> ① 上記権利に基づく要求を提出するための方法の説明(§1798.130(a)(5)(A)、規則§7011(e)(3)(A)及び(B)、規則 §7020) ※オンラインのみで運営を行い、個人情報を収集する消費者と直接関係を有する事業者は、電子メールアドレ スを提供するのみでもよい ※上記事業者に該当しない場合、2つ以上の指定された方法を提供しなければならず、そのうちの1つはtoll-free電話番号(フ リーダイヤルの電話番号)でなければならない。また、事業者がウェブサイトを管理している場合、提出方法のうち1つはウェ ブ上のフォームなど、ウェブサイトを通じた方法でなければならない。 ② 消費者の要求を確認するために事業者が利用するプロセスについての一般的な説明((消費者が提 供しなければならない情報を含む。規則§7011(e)(3)(E)) ③ オプトアウトプリファレンスシグナルに関する説明(規則§7011(e)(3)(F)及び(G)) ④ 権限を持った代理人が要求する場合の方法についての説明(規則§7011(e)(3)(H)) ⑤ 主に対話による方法を反映した方法で、事業者のプライバシーポリシーと情報に関するプラクティ スについての質問や懸念を受け付ける窓口への問い合わせ(規則§7011(e)(3)(J)) Ushijima & Partners September 27, 2023
  • 15. 2. CCPAにおける情報提供義務 (1) プライバシーポリシーでの情報提供 <その他> ① プライバシーポリシーの最終更新日(規則§7011(e)(4)) ② 年間1000万人以上の消費者の個人情報を取り扱う事業者の場合、規則§7012により開示が要求さ れる情報又は当該情報へのリンク(規則§7011(e)(5)) ➢ 後述する個人情報の収集時の情報提供に関する文書を別途作成しない場合、当該情報提供事 項を含むプライバシーポリシーの特定のセクションに直接誘導するリンクを提供することで、 収集時の情報提供とすることができる。 この場合、プライバシーポリシーの冒頭や、必要な情報を含まないプライバシーポリシーの 他のセクションに誘導するリンクを提供し、収集時の情報提供事項(収集される個人情報の カテゴリーや、事業者が収集した個人情報を販売又は共有するかどうか)を確認するために 他の不要な情報の記載部分をスクロールしなければならない場合は、情報提供をしたことに はならないとされている(規則§7012(f)) Ushijima & Partners September 27, 2023
  • 16. 2. CCPAにおける情報提供義務 (2) 収集時の情報提供義務 ◼ 個人情報の収集時又は収集前に、以下の情報を提供する義務(1798.100条(b)、 1798.135条(a)、規則999.305条(b)、7016) ① 収集される個人情報のカテゴリー ② その個人情報のカテゴリーが収集又は利用される事業又は商業上の目的 ③ 当該情報が販売又は共有されるかどうか ④ 事業者が個人情報を販売又は共有する場合は、「Do Not Sell or Share My Personal Information」又は「Do Not Sell or Share My Info」と題されたリンク ⑤ 機微な個人情報を収集する場合 ・収集する情報のカテゴリー、収集又は利用される目的、当該情報が販売又は共有されるかどうか、 「Limit the Use of My Sensitive Personal Information」と題されたリンク ⑥ 機微な個人情報を含む各カテゴリーの個人情報を事業者が保持する予定の期間、又はそれが不可能な 場合はその期間を決定するために使用する基準 ⑦ 事業者のプライバシーポリシーへのリンク ⑧ 事業者が、個人情報の収集、販売、共有又は保有について、本人への報酬としての支払いなど金銭的 なインセンティブを提供する場合は、それに関する事項 Ushijima & Partners September 27, 2023
  • 17. 2. CCPAにおける情報提供義務 (3) 販売・開示に関する規制 ◼ 個人データの販売・開示に関する規制 ➢ 情報提供義務(1798.115条(c)) ⚫ 消費者の個人情報を販売又は共有する企業、又は事業目的で消費者の個人情報を開示する企業は、以下 の情報を開示する義務がある 1. 収集した個人情報のカテゴリー 2. 販売又は共有した消費者の個人情報のカテゴリ、または消費者の個人情報を販売又は共有していない場合 は、その旨を開示しなければならない 3. 事業目的で開示した消費者の個人情報のカテゴリ及び開示先のカテゴリー ➢ 販売又は共有の規制(1798.120条) ⚫ 消費者に関する個人情報を第三者に販売又は共有する企業に対し、いつでも、当該消費者の個人情報を 販売又は共有しないように指示する権利を有する。これを「オプトアウトの権利」と呼ぶ ⚫ 上記の指示を受けた企業、または未成年の消費者の個人情報を販売することについて同意を得ていない 場合には販売又は共有は禁止される ⚫ 消費者が16歳未満であることを実際に知っている場合、消費者が13歳から16歳である場合には当該消 費者の、13歳未満である場合にはその親又は保護者から販売について積極的に許諾されない限り、販売 又は共有は禁止される。これを「オプトインの権利」と呼ぶ Ushijima & Partners September 27, 2023
  • 18. 3. 日本の個人情報保護法の下での情報提供 August 28, 2023 Ushijima & Partners ◼ 日本法の下でのプライバシーポリシー ① 「保有個人データに関する事項の公表等」(32条、施行令8条) □事業者の氏名又は名称、住所、代表者の氏名、□利用目的、□開示等の請求に応じる手続、□苦情 の申出先、□認定個人情報保護団体の名称及び苦情の解決の申出先、□安全管理のために講じている 措置 ② 「公表」するため ⚫ 利用目的(18条) ⚫ 仮名加工情報(41条4項、6項)、匿名加工情報(43条3項、6項) ③ 安全管理措置の一環(23条、通則GL(別添)「基本方針の策定」) (a)事業者の名称、(b)関係法令・ガイドライン等の遵守、(c)安全管理措置に関する事項、(d)質問及び 苦情処理の窓口 ④ 「本人が容易に知り得る状態」に置くため ⚫ 共同利用(27条5項3号) ⚫ オプトアウトによる第三者提供(27条2項) ⑤ 「情報を当該本人に提供」するため ⚫ 外国移転の同意を得る際の情報提供(28条2項(・3項)) ⑥ 同意を得るため→「個人情報の取扱いについて」という別文書にして同意を得る方がよいが ⚫ 第三者提供の同意(27条1項、28条1項)、 ⚫ 個人関連情報の提供を受けて個人データとして利用(31条)
  • 19. 4. EU一般データ保護規則(GDPR)における情報提供 Ushijima & Partners September 27, 2023 ◼ GDPR 13条(データ主体から取得する場合の情報提供義務) ① 1-(a) 管理者の身元及び詳細な連絡先(存在する場合は管理者の代理人) ② 1-(b) 存在する場合は、データ保護担当者(data protection officer)の詳細な連絡先 ③ 1-(c) 意図された個人データ処理の目的及び処理の法的根拠 ④ 1-(d) 処理が 6条1項(f)号に基づく場合、管理者又は第三者によって求められる正当な利益 ⑤ 1-(e) あるならば、個人データの取得者または取得者の種類 ⑥ 1-(f) 該当する場合、第三国や国際組織へデータ移転する意図があること、十分性決定の存在または不存在 に関する事実、または適切な安全保護措置がとられているかどうかとそのコピーの入手方法等 ⑦ 2-(a) 個人データの保存期間、または保存期間を決定するために検討される要素 ⑧ 2-(b)アクセス権、訂正、削除権、データポータビリティー権利等のデータ主体の権利の存在 ⑨ 2-(c) 処理が同意に基づく場合、同意はいつでも撤回することができること、撤回前に行われた処理は合法 であり続けること ⑩ 2-(d) 監督機関に不服を申し立てる権利 ⑪ 2- (e)個人データの提供が法律または契約上の要件か、契約を締結するのに必要なものであるか、及び、 データ主体に個人データ提供の義務があるか、ならびに、当該データ提供の不履行により起こり得る結果 ⑫ 2-(f) プロファイリングを含む自動化された意思決定の存在、その論理について意味のある情報、当該処 理がデータ主体にもたらし得る重要性と結果
  • 20. November 18, 2023 Ushijima & Partners 1 米国連邦における個人情報保護法制 2 カリフォルニア州消費者プライバシー法における情報提供義務 3 執行と私的訴権 4 考察 目次
  • 21. 1. CCPAの執行・私的訴権 ◼ 執行(enforcement) ➢ 事業者は、CCPA違反の疑義を通知されてから30日以内に違反を是正しない場合、CCPA違反と なる 差止命令の対象となるほか、違反1件について2,500ドル以下(16歳未満について故意の場合 7,500ドル以下)の民事罰について、カリフォルニア州司法長官による提訴を受ける(1798. 155条(b)) →未成年の個人情報の違反を伴う場合、故意の有無にかかわらず上限7,500ドル ◼ 損害賠償請求 ① 個人情報を保護するため情報の性質に応じた合理的なセキュリティ手続とプラクティスを実 施し維持する義務に違反した結果、 ② 暗号化されておらず、かつ伏字化(redact)されていない個人情報又はアカウントへのアク セスを許可するパスワード又はセキュリティ質問と回答と組み合わされた電子メールアドレ スが、 ③ 無権限でのアクセス、流出、窃取又は開示の対象となった場合、 ④ 消費者は、1人あたり100~750ドル又は実損害のいずれか大きい額の損害賠償請求が可能で あり、クラスアクションも可能(1798.150条) Ushijima & Partners September 27, 2023 緑字はCPRAでの改正点
  • 22. 1. CCPAの執行・私的訴権 ➢ 漏洩等が発生したときの差止請求・損害賠償請求(1798.150条)の対象になるのは、以下の 個人情報(1798.81.5条(d)(1)(A)が定める個人情報)に限られる ファーストネーム又はファーストイニシャル及びラストネームと、以下の情報の組み合わせであって、 暗号化又は伏字化されていないもの 1. ソーシャルセキュリティナンバー 2. 運転免許証番号又は州のIDの番号 3. 銀行口座番号やクレジットカード番号・デビットカード番号で口座にアクセスするためのセキュリ ティコード、アクセスコードやパスワード等との組み合わせ 4. 医療情報 5. 健康保険情報 6. バイオメトリックデータ ➢ 請求の対象は「暗号化されておらず、かつ伏字化(redacted)されていない個人情報又はア カウントへのアクセスを許可するパスワード又はセキュリティ質問と回答と組み合わされた電 子メールアドレス」の漏えい等 →「伏字化(redacted)」とは、CCPAには定義がないが、氏名を「****」に置き換えるなどの「マ スキング」のことであると考えられる →情報を暗号化又は伏字化(仮名化)しておくことは、重要なポイント Ushijima & Partners September 27, 2023
  • 24. November 18, 2023 Ushijima & Partners 1 米国連邦における個人情報保護法制 2 カリフォルニア州消費者プライバシー法における情報提供義務 3 執行と私的訴権 4 考察 目次
  • 25. 考察(ディスカッション) Ushijima & Partners September 27, 2023 ◼ 日本の個人情報保護法 ◼ EUのGDPR、タイ等(タイは同意が原則) ◼ カリフォルニア州消費者プライバシー法(CCPA) 利用目的 開示請求等窓口 苦情申出先 etc 情報提供 利用目的・根拠 収集元 本人の権利 etc 情報提供 個人情報の種類 利用目的 収集元 etc 情報提供 取得・利用 取得・利用 取得・利用 同意 契約履行のため 正当な利益 etc 法的根拠
  • 26. ◼ 情報提供を重視するところが、米国流 ➢ 消費者に対する「不公正・欺瞞的行為又は慣行」という発想 ➢ 「同意」ベースの法制度とも違う ➢ (なお、差別的でないことも重要であると感じる) ◼ 私的訴権(CCPA) ➢ FTCによるエンフォースメントに加え、クラスアクションのリスク ◼ 州法が次々と制定されている ➢ 米国は、これから「2000個問題」を始めるのか? 考察(ディスカッション)