全米をカバーするADPPA。特徴やCCPA/CPRAとの違いは?

全米をカバーするADPPA。特徴やCCPA/CPRAとの違いは?

2022年7月、米国データプライバシー保護法案・ADPPAが議会に提出されました。ADPPAは全米の事業者を対象とし、アメリカで活動する日本企業にとって重要な法案です。この記事では、すでに施行されているカリフォルニア州のプライバシー保護法・CCPA /CPRAと比較しつつ、ぜひ知っておきたいADPPAの特徴や問題点を紹介します。

 

米国データプライバシー保護法・ADPPAとは?

ADPPA(the American Data Privacy and Protection Act)は、現在米国議会に提出されている、オンラインでの消費者の個人データやプライバシー権に関する法案です。もし実際に制定されれば、米国初の連邦レベルでの包括的な消費者プライバシー保護法となります。

プライバシー保護法は、カリフォルニア州のCCPA(California Consumer Privacy Act)や、そのアップデート版・CPRA(California Privacy Rights Act)を含め、州単位ではいくつかの先行事例があります。ADPPAはCCPA /CPRAとの類似点が多い一方で、アプローチの異なる面も多くあります。

 

ADPPAとCCPA/CPRAとの共通点は?

ADPPAとCCPA/CPRAは、下記のような項目について、大枠で同じ方針をとっています。

 

・対象事業者

ADPPAの対象となるのは、個人データを収集、処理、転送する事業者であり、大まかにはCPPA/CPRAと同等の内容といえます。

ただし、CCPA/CPRAはカリフォルニア州限定で、小規模事業や非営利組織は対象となりません。ADPPAは全米をカバーし、非営利組織を含め、FTA(連邦取引委員会)の管轄下にあるすべての事業者に広く適用されます。

 

・プライバシー権の保護

ADPPAは対象データに対する消費者のプライバシー権を保障します。これには、対象データへのアクセス権、消去権、訂正権、データポータビリティの権利が含まれ、おおむねCCPA/CPRAと同様の内容です。

ただし、ADPPAには「24ヶ月以上前に収集、処理、転送された情報へのアクセス請求は不可」という制約があります。CCPA/CPRAではそのような期間制限がありません。

 

・データセキュリティ

CCPA/CPRAと同じく、ADPPAにおいても、対象事業者は収集した対象データを保守する必要があります。実施するべきデータセキュリティ対策について、ADPPAではより具体的に定められています。

 

・透明性

ADPPAにおいて、対象事業者は、どのような種類のデータを収集するのか、カテゴリ別データの加工目的、データの保持期間などを明らかにする必要があります。大まかにはCCPA/CPRAと同じコンセプトです。

 

ADPPAとCCPA/CPRAとの相違点は?

ADPPAとCCPA/CPRAで異なるアプローチをとっている項目の例は、下記の通りです。

 

・データ・ミニマイゼーション

ADPPAでは、データ・ミニマイゼーション(データの最小化)という項目を設け、対象事業者による不必要なデータ収集や利用を禁止しています。商品やサービスの提供に必要な場合と、特記された17項目の「許容される目的」に当てはまる場合は例外で、ターゲット広告も許容項目のひとつです。CCPA/CPRAよりも具体的で、厳しい規定です。

 

・子どもの保護

ADPPAは、若年者のプライバシー保護についてCCPA/CPRAよりも厳格な方針をとっています。たとえば、17歳未満の未成年者に対するターゲット広告は禁じられています。FTC内部には子どものプライバシー保護を管轄する部門が特に設けられます。

 

・訴訟の権利

CCPA/CPRAでは個人情報の漏洩に対してのみ訴訟権が認められています。一方、ADPPAでは、センシティブな対象データ、透明性、子どもの保護などの項目への違反について、消費者が対象事業者への訴訟を起こすことができます。

 

ADPPAを問題視する声も

ADPPAに対して、プライバシー権の推進者は批判と反対の声を上げています。たとえば、CPRAの執行機関であるCPPA(California Privacy Protection Agency)は、カリフォルニア州などの既存のプライバシー保護法を上書きし、多くの点で効力を弱める恐れがあるとして、ADPPAの現在の草案に反対しています。反対の根拠には以下のような点が含まれます。

CPRAは、現行法の目的・意図と一貫性がある(または現行法の目的・意図をさらに推進する)場合に限って改正を行うことができる、と定めています。ADPPAにはそうした「床」となる規程がないため、将来的にADPPAの効力を弱める改正が行われ、データプライバシー保護機能が不十分になる可能性があります。

また、将来的に、急速なテクノロジーの変化に対応するためにプライバシー保護法を強化しようとした場合、ADPPAが妨げになる可能性があります。

 

まとめ

ADPPAが立法されるまではまだ長い道のりです。もし立法されても、最終的に現在の草案とは大幅に異なる可能性もあります。アメリカでの事業に大きな影響を与えうるADPPAについて、引き続き今後の動向を注視していきましょう。

弊社では長年にわたりアメリカへ進出した企業様のEC運用をサポートしてきた実績とノウハウがあります。企業様のビジネスに寄り添った提案をさせていただきますので、お気軽にご相談ください。お問い合わせはこちらから。



USA: How does the ADPPA compare with California’s privacy laws?


著者: Hitomi.N

IT企業で4年間のプログラマーとしての経験を積み、その後6年間プロジェクトマネージャー業務を行ってきました。渡米後はEコマースマネージャーとして、日本企業のアメリカ進出を支援しています。日々アメリカEC関連の情報収集を行い、最新のデータと洞察をもとに、戦略の最適化や新しいアイディアを考案し、クライアント企業に競争力のあるソリューションを提供しています。

Back to blog