ADPPAとは

　ADPPAとは、現在、米国内で成立に向けて議論されている、個人情報保護を目的とするデータの取り扱いに関する法制度です。

　米国では、従来、州レベルでのプライバシー法が存在していましたが、米国全体を網羅するプライバシー保護法は存在していませんでした。米国の個人情報は、州法や健康情報などの特定分野での連邦レベルの法律により保護されてきました。この背景には、米国が州ごとに個々の自治権力を持ち、主権を分割する統治の仕組みを敷いていることがあります。

　一方、現在、デジタルデータの多くはGAFAM（Google〈Alphabet〉、Apple、Facebook〈Meta Platforms〉、Amazon、Microsoft）などの米国のビッグテック企業に集約されている状況であり、昨今のパーソナルデータの取り扱いに関しては、欧州だけではなく米国の行政機関においても規制の検討が進んでいると言われてきました。

　こういった中、米国版GDPRと呼ばれる、包括的な個人情報保護を内容とする「ADPPA（American Data Privacy and Protection Act：米国データプライバシー法) 」の法制化が議論されています。2022年6月にADPPAの草案が出され、同年7月に議会に提出されることが可決されています。また、下院ではこの法案を議会に提出することを圧倒的多数で可決しています。

　この法案では、原則としてADPPAが従来の各州法に優先しますが、データ侵害通知に関する各州法など、例外的にADPPAに優先される州法・個別法が規定されています。

ADPPAの保護対象データ

　ADPPA により保護される対象データとしては、「単独または組み合わせることにより、個人又は端末に識別、関連づけられる、または関連づけられる可能性のある情報」および「派生データ」「一意の識別子」とされています。

　ここで書かれている「個人」とは米国居住者のことを意味します。そのため、一時的に米国に滞在していても居住にあたらない外国人などに関する情報は対象データになりません。逆に日本などの米国外に一時滞在している米国居住者の情報や米国から受領する米国居住者の情報などは対象データとなります。

　「端末」とは、対象データを収集、処理、移転することができる電子機器のことを指しているとされます。この端末は、「1人以上の個人によって使用されるもの」と定義されているため、たとえば、家族単位で利用するコネクテッドカー、スマートスピーカー、IoTデバイスなども端末の定義に該当すると考えられます。

　さらに、単独の情報で個人や端末の識別、関連づけができる情報に限らず、他の情報と組み合わせることにより個人や端末の識別、関連づけができる場合も対象データに含まれるとされています。

ADPPAの保護対象とならないデータ

　ADPPAの適用外の情報としては、「非識別化データ」「従業員データ」「公に利用可能な情報」「公に利用可能な情報について、複数の独立した情報源に基づいた推論であり、センシティブデータを明らかにしないもの」とされています。

　「非識別化データ」とは、個人や端末の識別が不可能であり、個人や端末の情報と関連づけることができる可能性がない情報です。そして、対象事業体やサービスプロバイダ（対象事業体との契約により対象データを取り扱う事業体）には、これらの情報が、いかなる時点においても個人や端末を再識別するために利用できないことを確保する合理的な技術的措置を講じていることや、処理や移転の際も非識別の形式でのみ行うこと、情報受領時の個人や事業体との契約上の義務を果たすことなどが義務付けられています。

　「従業員データ」に関しては、従業員のプライバシー権や保護を定める州法がADPPAに優先するとされています。

ADPPAの対象事業者

　法案の対象事業者は、非営利団体および電気通信事業者を含むFTC（Federal Trade Commission：連邦取引委員会）の管轄下にあるすべての事業者です。さらに、一定の基準以上の大規模データ保有者や、他の事業者の代わりにデータを利用する事業者には、さらに規制が追加されるとされています。

　一方、一定の小規模事業者については、ADPPAの適用はあるものの、一部の義務の免除などの特則があります。また、連邦・州などの政府関係機関は、対象事業体に該当しないとされています。

　以上のことから、日本で事業を行う日本企業で米国に子会社などの支配権を有する事業者を有している場合には、ADPPAが適用されると考えられます。 【次ページ】ADPPA、対象事業者に求める「4つの義務」