【報告】法律：米国のコロラド州が包括的プライバシー法を制定

2021年7月8日の報告です。米国では包括的なプライバシー法を求める声が高まっていますが、コロラド州が米国として３番目に包括的なプライバシー法を制定しました。2023年7月1日から施行されます。興味深いのは、ダーク・パターン等、2019年ごろに論文がでたばかりの最新情報をいち早く反映している点です。

全体的にはGDPRとよく似た内容となっています。ターゲティング広告には同意が必要となります。

【Background Facts】

• コロラド州のプライバシー法である上院法案 (Bill 21-190) が、知事によって署名された
  • 法律は2023年7月1日に発効する

【ビジネスとの関係】

• データ・ガバナンスについて：
  • 定義：
    • 「同意」
      • 消費者が自由に与えるものである
      • 同意内容は具体的で、情報に基づいたものである
      • 明確な合意を意味するはっきりとした肯定的な行為を意味する
        • 例：
          • 書面による声明
          • 電子的手段
          • その他の明確で肯定的な行動
      • 次のような「同意」は「同意」とみなされない
        • 一般的な利用規約または広範な利用規約を受け入れること
        • 処理の説明と処理の説明以外の情報とを含む、利用規約に準じた文書を受け入れること
        • 特定のコンテンツにカーソルを合わせること、ミュートすること、一時停止すること、または閉じること
        • ダーク・パターンを通じて得られた同意：
          • i.e. ユーザーの自律性(autonomy)、意思決定(decision making)、選択(choice)を奪う、または損なうような影響を与えるべく設計または操作されたユーザー・インターフェース
    • 「消費者」
      • 個人または世帯の文脈でのみ活動するコロラド州居住者
      • 商業上又は雇用上の文脈で活動する者、求職者として活動する者、雇用の文脈で活動する者の受益者は含まれない
    • 「管理者」
      • 個人データ処理の目的と手段を、単独で、または他の人と共同で決定する者
    • 「非識別化データ」
      • 識別された個人、識別可能な個人、または個人に関連づいたデバイスに関する情報について、推定したりリンクする目的で合理的に使用することができないデータ
        • データを個人に関連付けることができないように、合理的な措置が講じられている
        • 非識別化された方法でのみデータを維持および使用するという公開されたコミットメントがあり、データを再識別しようとする試みがない
        • 受信者に対し、上記を遵守するよう定めた契約上の義務がある
    • 「識別された、または識別可能な個人」
      • 名前、ID番号、特定の地理的位置データ、オンラインID等の識別子を参照することにより、直接的または間接的に容易に識別できる個人
    • 「個人データ」
      • 識別された個人、または識別可能な個人にリンクされている、または合理的にリンク可能な情報
      • 非識別化データ、公表された情報は含まれない
    • 「処理」
      • 個人データの取得、使用、販売、保管、開示、分析、削除、または変更
      • 管理者が個人データを処理するように処理者に指示することも「処理」に含まれる
    • 「処理者」
      • 管理者に代わって個人データを処理する者
    • 「プロファイリング」
      • 識別された個人、または識別可能な個人の以下の個人的側面を評価、分析、または予測するために行う、個人データの自動処理
        • 経済状況
        • 健康状態
        • 嗜好
        • 関心
        • 信頼性
        • 振る舞い
        • 場所
        • 動き
    • 「販売」
      • 管理者が個人データを、第三者への金銭またはその他の有価値な対価を条件に交換すること
      • 次のものは「販売」とみなさない
        • 管理者に代わって個人データを処理する処理者への開示
        • 消費者が要求する製品またはサービスを提供する第三者への開示
      • 管理者の関連会社、または、合併、買収、破産、またはその他の取引の一部において資産としてサード・パーティーに開示される場合：
      • 消費者が指示をして第三者に開示する場合
      • 消費者がマスメディア・チャネルを通じて意図的に一般に公表する個人データ
    • 「センシティブ・データ」
      • 人種的または民族的起源、宗教的信条、精神的/肉体的な健康状態または診断、性生活または性的指向、市民権または市民権の状態を明らかにするような個人データ
      • 個人を一意に識別するために処理される遺伝的データまたは生体認証データ
      • 既知の子供から取得した個人データ
    • 「ターゲティング広告」
      • 消費者の好みや興味を予測するために、提携していないウェブサイト、アプリケーション、またはオンライン・サービスでの消費者活動を経時的に取得または推測することで得た個人データに基づいて、消費者に広告を表示すること
      • 次のものはターゲティング広告に分類されない
        • 消費者による情報やフィードバックの要求に基づいた広告
        • 消費者の現在の検索クエリ、ウェブサイトへの訪問、オンラインでの応募といった文脈で表示される広告
        • 広告パフォーマンス、広告によるリーチ、広告の頻度を測定または報告するためだけに使用される個人データ処理は含まれない
    • 「サード・パーティー」
      • 消費者、管理者、処理者、管理者や消費者の関連会社を除く個人、公的機関、機関、またはその他の機関
  • 適用：
    • 本法は、コロラド州内で事業を行い、コロラド州の居住者を意図的に対象とした商用製品またはサービスを製造または提供する、次の条件が該当する管理者に適用される
      • １暦年につき10万人以上の消費者の個人データを管理または処理する場合
      • 個人データの販売から収益を得るか、商品またはサービスの価格の割引を受けている者のうち、25,000人以上の消費者の個人データを処理または管理している者
    • 本法は次のものには適用されない：
      • 事業者(covered entity)またはビジネス・アソシエイト(business associate)によって取得、保存、および処理される保護された健康情報
      • 医療記録へのアクセスのみを目的とした医療情報
      • 42 CFR2.11で定義されている患者識別情報
      • 被験者の保護に関する連邦政策またはGood Clinical Practice Guidelineに従って実施される人を対象とした調査で利用される識別可能な個人情報：
      • HIPPAに準拠する事業者(covered entity)が作成する情報及び文書
      • 患者の安全に関する作業の成果物
      • HIPAAに従って匿名化された情報
      • CRA (消費者情報機関, consumer reporting agencies)、消費者情報に使用する情報の提供者、消費者情報のユーザーによる、信用力、信用状態または能力、性格、一般的な評判、個人の特徴または生活様式に関連した個人データ
      • コロラド州法 artile 22 of Title 10の目的で取得、保守された個人データ
      • GLBAまたはDPPAに準拠して取得、処理、販売、開示された個人データ
      • COPPAまたはFERPAによって規制される個人データ
      • 雇用目的でメンテナンスされる個人データ
      • 航空機
      • SEC法に基づいて登録された国の証券協会
      • 公益事業によって保守されている顧客データ
      • コロラド州の高等教育機関によって保守されているデータ
      • 45 CFR164.512に準拠して使用および開示された情報
      • 純粋に個人的または家庭的な活動のための個人による個人データ処理
      • 保護された言論であると信じる合理的な根拠がある第三者によって利用可能にされた情報
  • 例外：
    • 管理者および処理者に対する義務：
      • 以下を妨げるものではない：
        • 連邦、州、または地方の法律、規則、または規制や民事、刑事、または規制に関する問い合わせ、調査、召喚状、または召喚状に対応すること
        • 法執行機関と誠意を持って協力すること
        • 法的請求、または予想される法的請求を調査、実施、準備、または弁護すること
        • 製品、サービス、または技術を改善、修理、または開発するために内部調査を実施すること
        • 管理者との既存の関係に基づいて、消費者の期待に合理的に一致する内部オペレーションを行うこと
        • 消費者、子供の親または保護者によって特別に要求された製品またはサービスを提供すること
        • 消費者が当事者である契約を履行すること
        • 契約を締結する前に、消費者の要求に応じて何らかの措置を講じること
        • 個人の重要な利益を保護すること
        • セキュリティ・インシデント、IDの盗難、詐欺、嫌がらせ、または悪意のある欺瞞的行為または違法な活動を防止、検出、保護、対応すること
        • システムの整合性またはセキュリティを保守すること
        • 責任者を調査、報告、または起訴すること
        • 以下の場面で、公衆衛生の分野で公益上の理由で個人データを処理すること
          • 処理が消費者の権利を保護するための適切で具体的な措置の対象となる場面
          • 守秘義務の対象となる専門家の責任の下で処理が行われる場面
        • 特権的なコミュニケーションの一環として、証拠となる特権の対象となる人物に個人データを提供する場合
  • 管理者の責任：
    • 管理者は、以下の責任を負うものとする：
      • 個人データの取得と処理の明確な目的を特定すること
      • データ処理の特定の目的に関連して、個人データの取得が適切で、関連性があり、合理的に必要なものに限定されていることを確実にすること
      • 消費者の同意が得られない限り、不必要な目的、または互換性のない目的のために個人データを処理してはならない
      • 消費者に対する違法な差別を禁止する連邦法または州法に違反して個人データを処理してはならない
      • 消費者の同意を得ない限り、センシティブな個人データを処理してはならない
      • 親または親権者の同意を得られない限り、13歳未満の子供の個人データを処理してはならない
• プライバシー影響評価について
  •  データ保護評価：
    • 処理が消費者への危害のリスクを高める場合、管理者はこれらの処理活動の評価を実施し、文書化するものとする
      • 次のような、合理的に予見可能なリスクを提示する、ターゲットを絞った広告またはプロファイリング
        • 消費者に対する不公正または欺瞞的な扱い、または違法な差別的効果を生じるリスクがあるもの
        • 消費者に経済的ダメージまたは身体的傷害を生じるリスクがあるもの
        • 消費者の孤独、隔離、または私事または心配事に対する攻撃的な身体的侵害またはその他の侵害をもたらすリスクがあるもの
        • 消費者にたいする、その他の重大な傷害をもたらすリスクがあるもの
      • 個人データの販売
      • センシティブなデータを処理する場合
    • 評価では、処理によって生じる直接的、間接的な利益を特定、加味し、管理者、消費者、その他のステークホルダ、公共に対する消費者の権利にもたらされる潜在的なリスクを評価する
    • 評価では、特定されたリスクを軽減するために採用できる安全保護措置を決定しなければならない
    • 評価の際は、匿名化されたデータの使用、合理的な消費者の期待、処理の文脈、管理者と消費者の関係を考慮しなければならない
    • 本法への順守状況を評価するために司法長官が要求する場合には、評価結果を提供としなければならない
• アクセス権への対応及びガバナンスについて：
  • アクセス権：
    • 消費者には、管理者が自身の個人データを処理しているかどうかを確認し、自身の個人データにアクセスする権利がある
  • 訂正権：
    • 消費者は、個人データの性質及び個人データ処理の目的を考慮して、個人データの不正確さを修正する権利をもつ
  • 削除権：
    • 消費者は、管理者が保持する個人データを削除する権利をもつ
  • ポータビリティ権：
    • 消費者は、一年間(暦年)に最大2回、支障なく別のエンティティに送信可能な、持ち運び可能(portable)ですぐに使用できる(ready to usable)形式で個人データを取得する権利がある
    • 管理者は、データを提供する際、企業秘密を開示するような方法で行う必要はない
  • オプト・アウトする権利：
    • 消費者はターゲティング広告、個人データの販売、または法的効果または同様に重要な効果を生じる決定を行うためのプロファイリングに対してオプト・アウトする要求をいつでも送信することができる
    • 技術的を使用してオプト・アウトする意図を示すことができる
      • 例：
        • ウェブ・リンク、ブラウザ設定、ブラウザの拡張機能、グローバル・デバイス設定
    • 管理者は、
    • 消費者および承認された代理人のIDが商業的に合理的な努力で認証できる場合、消費者から委任された代理人が行うオプト・アウト要求に対応しなければならない
  • コンプライアンスの要求
    • 管理者は、消費者からの要求受領後、遅滞なく45日以内に行った対応を情報提供すること
      • 要求の複雑さ及び量を考慮して、合理的に必要な場合は45日さらに延長することができる
      • 延長する場合はその理由を含め、要求受領後45日以内に消費者に連絡すること
    • 管理者は、消費者からの要求に対応しない場合、遅滞なく45日以内に、アクションを行わない理由、決定に対して上訴する方法を含め、消費者に連絡すること
    • 消費者が管理者に請求する方法は、管理者と消費者が通常やり取りを行う方法、請求に関するコミュニケーションに求められる安全性や信頼性、管理者が持つ要求を行う消費者の身元を確認する能力を考慮して決めなければならない
    • 消費者からの請求への対応は無料で行わなければならない
      • 12か月以内に２回以上の請求がある場合は料金を課すことができる
    • 商業的に合理的な努力を行っても消費者を認証できない場合、消費者の請求を拒否してもよい
      • 認証するために合理的に必要な追加情報を消費者に要求することができる
    • 管理者が取得または維持しない消費者の個人データを必要とする製品またはサービスを提供する必要はない
    • 管理者は、誠実なローヤリティ、リウォード、プレミアム機能、割引、またはクラブ・カード・プログラムへの消費者の自発的な参加に対して、(インセンティブとして)価格、料金、レベル、品質、または商品やサービスの選択を提供することができる
    • 管理者は、権利行使を実施する目的で新規アカウントを作成するよう消費者に求めてはならない
      • 既存のアカウントを利用するよう要求することはできる
    • 管理者は、権利行使を行ったという事実のみに基づき、又はサービスの実現可能性または価値に関係なく、サービスの利用可能性を低下したり商品・サービスの費用を上げてはならない
  • 訴訟：
    • 管理者は、消費者からの請求に対する拒否に対して消費者が上訴可能な内部プロセスを確立すること
      • 消費者の目によくつくものとすること
      • 請求を提出するプロセスと同様に容易に行えること
      • 請求への対応拒否が消費者に送信されてから合理的な期間内に提出された上訴に対応すること
    • 受領後45日以内に、管理者の対応を裏付ける理由を書面で説明することを含め、対応すること
      • この期限は、請求の複雑さと量を考慮して、合理的に必要な場合は60日延長することが可能である
    • 管理者は、消費者に対して訴えの対応結果に懸念がある場合、AGに通報することができることを消費者に知らせること
  • 非識別化データ：
    • 管理者は次のことをする必要はない：
      • 消費者からの請求に応じるためだけの目的で非識別化したデータを再識別化すること
      • 個人データに関連付けることが合理的不可能である請求に対応すること
      • 個人データに関連付けることが不当に過大な負担を生じる場合に個人データとの関連付けを行うこと
      • 特定の顧客を認識又は特定する目的で個人データを利用していない場合に請求に対応すること
      • 個人を同じ消費者に関する他の個人データに関連付けるために私用していない場合に請求に対応すること
      • 消費者の承認なく個人データをサード・パーティーに販売または自発的に開示していない場合に請求に対応すること
      • 消費者からの請求に応じるためだけの目的でデータを特定可能な形式で保守すること
      • 消費者からの請求に応じるためだけの目的で、認証された請求を個人と関連付けるために、データや技術を取得、入手、保管、アクセスすること
    • 消費者を識別するために必要な情報が個別に保管されていること、情報へのアクセスを防ぐために技術的および組織的な管理が行われていることを証明できる場合、消費者の権利は仮名データには適用されない
• プライバシー・ノーティスについて：
  • 透明性：
    • 管理者は、合理的にアクセス可能で、明確で、意味のあるプライバシー・ノーティスを消費者に提供しなければならない
      • 含むべき内容：
        • 個人データの種類
          • 管理者/処理者によって取得、処理されているもの
          • サード・パーティーに共有されるもの
        • 処理の目的
        • 消費者が権利行使を行う方法と場所
        • 個人データを共有するサード・パーティーの種類
    • ターゲティング広告または販売のために個人データを処理することに同意する前に、消費者は次の内容を含む明確で目立つプライバシー・ノーティスを提供されなければならない
      • opt-outできる選択肢
      • 処理される個人データの種類
      • 同意を撤回する方法と撤回可能な場所の説明
• 行動ターゲティング広告について：
  • 消費者の同意：
    • 管理者は、ターゲティング広告またはデータ販売への同意にwebページ、アプリ、その他の方法を利用してもよい
    • 消費者が提供する同意は、ユニバーサルなopt-out メカニズムで行われた選択よりも優先される
    • 同意を得るために使用される方法は、消費者が同意の提供と同じくらい簡単に撤回することができなければならない
  • opt-outする権利：
    • ターゲティング広告または個人データの販売を行う管理者は、
      • opt-out 権を行使するための明確で目立つ方法を提供しなければならない
      • ユーザーが選択したユニバーサルopt-outメカニズムを通じて、消費者がopt-outできるようにしなければならない
        • 技術仕様はAGが2023年７月１日までに確立される
• ベンダー管理について：
  • 処理者の責任：
    • 処理者による処理は、管理者との間で締結する拘束力のある契約に従って行うこと
      • 契約には以下の内容を含むこと 
        • 処理の性質と目的を含む、処理者が拘束を受ける管理者による指示
        • 処理の対象となる個人データの種類
        • 処理の期間
        • サービス提供終了時に管理者に個人データの返還または削除を行うこと
          • 法律で保持が義務付けられている場合を除く
        • 管理者の監査、検査に協力すること
    • 処理者の義務：
      • 管理者の指示に従い、管理者が義務を果たす支援をする
        • 消費者からの請求に管理者が対応するための適切な技術的、組織的措置をとること
        • 個人データ処理のセキュリティ及びシステム・セキュリティ侵害が発生した場合の通知に関する義務を管理者が履行する支援をすること
      • 外部委託先は、管理者が異議申し立てを行う機会を提供したのみ、及び外部委託先が処理者の義務に合致するよう要求する書面による契約に従ってのみ実施すること
    • 処理リスクに対して適切なセキュリティ・レベルを確保するために、適切な技術的、及び組織的タイｓ句を実施すること
      • 管理者と処理者との間で、責任は明確に割り当てなければならない
• セキュリティ：組織的安全管理策について
  • 管理者の責任：
    • 管理者は、処理される個人データの量、範囲、性質、ビジネスの性質を加味して不正な取得から個人データを保護するための合理的な措置を講じなければならない

【執行措置について】

• 執行措置について：
  • 民事訴訟件(private right of action)
    • 本法に対する民事訴訟件は認められない
  • 責任：
    • 違法な処理に従事した管理者、処理者は比較過失の原則に従って責任を負わなければならない
  • AGの権限：
    • AGおよび地方検事は、州の消費者に代わって訴訟を起こすことにより、法律を施行する独占的な権限を有する
      • 違反行為を禁止するための差し止め命令を求めることを含む
    • 執行措置を講じる前に是正措置が可能と考えられる場合は、違反の通知を管理者に発効し、管理者は通知受領後60日以内に違反を是正するものとする。
      • 是正されない場合は執行措置を講じる

【情報ソースのタイトルと文書】