• 会員限定
  • 2023/04/03 掲載

ADPPA(米国プライバシー保護法)とは何か?米国版GDPRをわかりやすく解説

連載:第4次産業革命のビジネス実務論

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
欧州連合(EU)は、2016年にデジタル化社会に適合した個人データ保護規定であるGDPR(General Data Protection Regulation:EU一般データ保護規則)を発効し、2020年頃からEU圏の企業がデータを共有できる制度を構築して産業データ活用を進める施策を推進しています。一方、米国では、州レベルでのプライバシー法は存在するものの、米国全体を網羅するプライバシー保護法はありませんでした。こういった中、米国版GDPRと言われる、ADPPA(American Data Privacy and Protection Act:米国データプライバシー法)が施行されようとしています。今回はこのADPPAとは何かを解説します。
photo
ADPPA(米国プライバシー保護法)とは何か?

ADPPAとは

 ADPPAとは、現在、米国内で成立に向けて議論されている、個人情報保護を目的とするデータの取り扱いに関する法制度です。

 米国では、従来、州レベルでのプライバシー法が存在していましたが、米国全体を網羅するプライバシー保護法は存在していませんでした。米国の個人情報は、州法や健康情報などの特定分野での連邦レベルの法律により保護されてきました。この背景には、米国が州ごとに個々の自治権力を持ち、主権を分割する統治の仕組みを敷いていることがあります。

 一方、現在、デジタルデータの多くはGAFAM(Google〈Alphabet〉、Apple、Facebook〈Meta Platforms〉、Amazon、Microsoft)などの米国のビッグテック企業に集約されている状況であり、昨今のパーソナルデータの取り扱いに関しては、欧州だけではなく米国の行政機関においても規制の検討が進んでいると言われてきました。

 こういった中、米国版GDPRと呼ばれる、包括的な個人情報保護を内容とする「ADPPA(American Data Privacy and Protection Act:米国データプライバシー法) 」の法制化が議論されています。2022年6月にADPPAの草案が出され、同年7月に議会に提出されることが可決されています。また、下院ではこの法案を議会に提出することを圧倒的多数で可決しています。

 この法案では、原則としてADPPAが従来の各州法に優先しますが、データ侵害通知に関する各州法など、例外的にADPPAに優先される州法・個別法が規定されています。

画像
米国では、州レベルで個人情報保護に関する法律が存在していましたが、今回議論されているADPPAは米国全体を網羅するプライバシー保護法という位置付けになる
(Photo/Shutterstock.com)

ADPPAの保護対象データ

 ADPPA により保護される対象データとしては、「単独または組み合わせることにより、個人又は端末に識別、関連づけられる、または関連づけられる可能性のある情報」および「派生データ」「一意の識別子」とされています。

 ここで書かれている「個人」とは米国居住者のことを意味します。そのため、一時的に米国に滞在していても居住にあたらない外国人などに関する情報は対象データになりません。逆に日本などの米国外に一時滞在している米国居住者の情報や米国から受領する米国居住者の情報などは対象データとなります。

 「端末」とは、対象データを収集、処理、移転することができる電子機器のことを指しているとされます。この端末は、「1人以上の個人によって使用されるもの」と定義されているため、たとえば、家族単位で利用するコネクテッドカー、スマートスピーカー、IoTデバイスなども端末の定義に該当すると考えられます。

 さらに、単独の情報で個人や端末の識別、関連づけができる情報に限らず、他の情報と組み合わせることにより個人や端末の識別、関連づけができる場合も対象データに含まれるとされています。

ADPPAの保護対象とならないデータ

 ADPPAの適用外の情報としては、「非識別化データ」「従業員データ」「公に利用可能な情報」「公に利用可能な情報について、複数の独立した情報源に基づいた推論であり、センシティブデータを明らかにしないもの」とされています。

 「非識別化データ」とは、個人や端末の識別が不可能であり、個人や端末の情報と関連づけることができる可能性がない情報です。そして、対象事業体やサービスプロバイダ(対象事業体との契約により対象データを取り扱う事業体)には、これらの情報が、いかなる時点においても個人や端末を再識別するために利用できないことを確保する合理的な技術的措置を講じていることや、処理や移転の際も非識別の形式でのみ行うこと、情報受領時の個人や事業体との契約上の義務を果たすことなどが義務付けられています。

 「従業員データ」に関しては、従業員のプライバシー権や保護を定める州法がADPPAに優先するとされています。

ADPPAの対象事業者

 法案の対象事業者は、非営利団体および電気通信事業者を含むFTC(Federal Trade Commission:連邦取引委員会)の管轄下にあるすべての事業者です。さらに、一定の基準以上の大規模データ保有者や、他の事業者の代わりにデータを利用する事業者には、さらに規制が追加されるとされています。

 一方、一定の小規模事業者については、ADPPAの適用はあるものの、一部の義務の免除などの特則があります。また、連邦・州などの政府関係機関は、対象事業体に該当しないとされています。

 以上のことから、日本で事業を行う日本企業で米国に子会社などの支配権を有する事業者を有している場合には、ADPPAが適用されると考えられます。 【次ページ】ADPPA、対象事業者に求める「4つの義務」
関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます