CCPAに次ぐ州レベルのデータプライバシー立法 ―バージニア州消費者データ保護法の制定

はじめに

州レベルのデータプライバシー立法が米国で相次いでいる。

バージニア州ラルフ・ノーザム知事は3月バージニア州消費者データ保護法案（Virginia Consumer Data Protection Act；VCDPA）に署名した。同法は2023年1月1日に施行される。この法律はカリフォルニア州消費者プライバシー法（California Consumer Privacy Act ；CCPA）に次ぐ、米国で2番目に大きな包括的プライバシー法となる。なお、CCPAも近時カリフォルニアプライバシー権法案（California Privacy Rights Act ；CPRA）によって改正され、2023年1月2日に施行予定である。

VCDPAとCCPA・CPRAとの間には、共通する部分もあるが、消費者保護の程度では異なるアプローチを具体化している。

1. 共通点

   VCDPAにより、消費者は自分の個人情報にアクセスしたり、これを修正・削除したり、データの「販売」を拒否するなど、CPRAとCCPAの両方に存在する消費者データ・プライバシー権を有するものとされる。また、特定の個人データを処理する企業においてデータ保護評価が必要である点も、両者は共通する。

2. 相違点

   VCDPAでは、カリフォルニア州法と異なり、ターゲット広告のためにデータを処理させることを拒否することが認められる。また、ECの一般データ保護規則であるGDPR（General Data Protection Regulation）と同様、消費者に関する法的または同様の重要な影響をもたらす決定を促進するためのプロファイリングからオプトアウトする権利が与えられる。

   しかし、VCDPAでは、消費者側の違反行為に対する私人訴権は認められておらず、同法を強制するための独占的な権限が州の司法長官（The Virginia Attorney General）に付与されている。この点、カリフォルニア州法では、企業が合理的なセキュリティ手順を実施しなかったことに起因するデータ漏洩について、消費者に限定的な私人訴権を認めている。バージニア州において、私人訴権が付与されていないことについては反対意見もあったが、ワシントン州等のように法案が頓挫するまでには至らなかった。

   また、VCDPAは、広汎な除外項目を設けており、どれだけのデータと企業が同法の対象外となるか注目すべきである。すなわち、VCDPAは、CCPAと異なり、特定の個人情報を法律の対象外とするのではなく、一定範囲の企業そのものを規制の対象外としている。その意味で対象は限定的である。その中には、グラム・リーチ・ブライリー法（Gramm-Leach-Bliley Act ；GLBA）を遵守しなければならない金融サービス企業や、HIPPA即ち医療保険の携行性と説明責任に関する法律（Health Insurance Portability and Accountability Act）を遵守しなければならない企業などが含まれる。また、CCPAが「年間総収入が2,500万ドルを超える」と大企業一般を規制対象にするのに対して、VCDPAは、バージニア州で事業を行い、またはバージニア州の住民を対象とした製品やサービスを生産し、少なくとも以下の個人データを管理または処理する事業者のうち、①暦年で10万人の消費者の個人情報を管理・処理する事業者、または②25,000人の消費者の個人情報を管理・処理しており、個人情報の販売により総収入の50％以上を得ている企業にしか規制を及ぼさない。そのため、一部の企業には上記の義務が適用されない。

   最後に、VCDPAは、「消費者」の定義から、商業的または雇用関係にある個人を明確に除外している。したがって、法律の中で消費者に提供されている権利は、従業員や商業的（企業間）関係で個人データの処理に従事している人には及ばない。