スキップしてメイン コンテンツに移動

米国プライバシー保護強化策の新展開:“Do Not Track”からグローバル・プライバシー・コントロール(GPC)へ:内容と新たな課題

 

Last Updated:September 13,2022

 米国カリフォルニア州では、消費者プライバシーに関して「2018年カリフォルニア州消費者プライバシー法 」(California Consumer Privacy Act of 2018: 以下、”CCPA”という)(注1)が制定され、同法は2020年1月1日から施行された。また同法は、2020年7月1日から、カリフォルニア州司法長官による法執行が開始された。(同法につき司法長官ロブ・ボンタ(Rob Bonta)以下、「長官(またはAG)」という)のリリース文やFAQsが公表されている)

 去る2022年8月24日、長官は、Sephora, Inc.社(以下、「Sephora」という)(注2)CCPA に違反したという裁判申し立てを解決するために、同社との和解命令を行った旨発表した。

Rob Bontaカリフォルニア州司法長官

 カリフォルニア州司法長官は個人情報の「販売(sell)」行為に焦点を当てた初のCCPA法執行措置を発表した。

 この命令には、永久差止命令による救済(permanent injunctive relief)と120万ドル(約2720万円)の罰金が含まれる。この法的措置は、2021年6月に大手小売業者の司法長官が、消費者がグローバル・プライバシー・コントロール(Global Privacy Control:GPC」)を介してオプト・アウトを通知したときに個人情報を販売し続けるかどうかを決定するための法執行徹底作戦(enforcement sweep) (注2-2)に由来し、企業にプライバシー設定を通知するために使用されるブラウザ拡張機能であり、Webサイトが仕様をサポートしていることを示すために使用できるメカニズムとして機能する。この行動は、カリフォルニア司法長官府からの最初のCCPA法執行措置であるだけでなく、CCPAの下での個人情報の「販売」を構成するものに関する多くの議論の主題に焦点を合わせているため重要である。

 今回のブログは、(1)Brandon Robinson 氏のブログにもとづき、事実の背景、解析、裁判の内容、更なる課題等を仮訳する、(2)近年、消費者の個人情報保護をめぐる新たな基準案として注目されている「グローバル・プライバシー・コントロール(GPC)」の詳しい内容を解説する。また、(3)2018年6月にカリフォルニア州議会で可決された、カリフォルニア州消費者プライバシー法(CCPA)の補足条項である「カリフォルニア州プライバシー権法(California Privacy Rights Act:CPRA)」についても補足解説する。

 なお、筆者はCCPAおよびCPRAや他州の立法動向につき本blogで解説している。

Balch & Bingham LLP partner:ブランドン・ロビンソン(Brandon Robinson)氏

Ⅰ.ブランドン・ロビンソン弁護士のブログの内容

1.本事件の背景

 AGの訴状によると、Sephoraは第三者企業の追跡ソフトウェアをウェブサイトとアプリにインストールし、第三者が買い物中に消費者を監視できるようにした。この場合、具体的に次のように個人データを追跡する。

「消費者がMacbookやDellを使用しているかどうかにかかわらず、消費者が「ショッピングカート」に入れる化粧品アイライナーのブランド、さらには消費者の正確な位置情報さえも追跡する。これらの第三者企業の一部は、Sephoraのウェブサイトにアクセスしたユーザーのプロフィール全体をキュレーション(curation:人力で情報を収集、整理、要約、公開(共有)すること)し、必要な情をSephoraの利益のために使用する。第三者企業は、Sephoraの顧客に関する詳細な分析情報を提供してSephoraに提供するか、Sephoraのウェブサイトを離れた後に化粧品アイライナーをショッピングカートに入れた人など、特定の消費者をターゲットにしたオンライン広告を購入する機会をSephoraに提供する場合がある。消費者に関するこれらのデータは、多くの場合、企業によって保持され、消費者の知識や同意なしに、他の企業の利益のために使用される

  長官の告発は、オプト・アウトする権利を「CCPAの顕著な特徴」と呼び、企業が消費者の個人情報を第三者に提供し、特定の消費者をターゲットにした広告の形でその取り決めから利益を受ける場合、同法律の下で消費者の個人情報を「販売」しているとみなされると述べている。

 これにより、オプト・アウトの権利を提供したり、ウェブサイトやモバイルアプリに「私の個人情報を販売しない」リンクやメカニズムを目立つように表示するなど、追加のCCPA上の義務が引き起こされる。対照的に、AGの告発によると、Sephoraのプライバシー・ポリシーは消費者に「私たちは個人情報を販売していない」と述べ、リンクを提供していなかった。

 この法執行措置の中心にあるのは、Sephoraが個人情報の「販売」に従事したかどうかであり、これはCCPAでは「金銭的またはその他の貴重な対価のための」データの共有または交換として広く定義されている。同様の他の州法は、販売をより厳密に「金銭的対価」のみのための交換として定義している。AGによるとこの文脈で価値ある対価(valuable consideration)」(注3)を構成するものは、CCPAの可決以来、これまでほとんどガイダンスなしで多くの議論の対象となってきた。

 「Sephoraは、広告や分析サービスと引き換えに、第三者企業が顧客のオンライン活動にアクセスすることを許可した。Sephoraは、Sephoraがウェブサイトまたはアプリに関連コードをインストールしたり、インストールを許可したりしたときに、これらの第三者が個人情報を収集することを知っていた。またSephoraは、消費者のオンライン活動に関するデータから派生した割引または高品質の分析やその他のサービス(オンラインで製品を閲覧しただけの顧客に広告をターゲットにするオプションを含む)を受け取ることも知っていた。

 最も重要なのは、AGの訴状の真っ只中に埋もれているが、「Sephoraはまた、CCPAの下での「販売」の1つの例外である、各第三者と有効なサービス・プロバイダー契約を結んでいなかった」と述べている点である。したがって、AGの訴状は、「これらの取引のうち、法律に基づく販売であった」と述べている。

 Sephoraが30日以内に具体的解決策を出さなかった場合、AGは2021年9月15日に潜在的な原告と潜在的な被告が、原告の請求に対する法定制限期間を延長する正式な合意(tolling agreement) (注4)を締結し、カリフォルニア州上級裁判所(California Superior court)(注5)に告訴状を提出し、最終的に8月24日に最終判決と永久差止命令を承認した。

2.法的分析(Analysis)

 AGの訴状と最終判決は、①個人情報にかかる販売の通知の不履行、②販売のオプト・アウトの不履行、③販売をオプト・アウトするための「私の情報を販売しない」リンクの提供の欠落など、いくつかのカテゴリーの違反でSephoraを起訴した。

 しかし、この事件の核心は、Sephoraが実際にCCPAによって定義された情報を「販売」していたという声明文言である。

 情報の販売を開示しなかったこと、「販売しない(do not sell)」リンクを提供しなかったこと、情報の販売をオプト・アウトするGPC信号に応答しなかったことなど、申し立てられた違反はすべて、Sephoraが実際に貴重な考慮のために定義されたとおりに情報を「販売(sell)」したという前提に由来している。

 AG訴状は、ターゲット広告が「価値ある対価(valuable consideration)」を構成する利益になる可能性があることを示唆しており、Sephoraは「無料または割引の分析と広告の利点と引き換えに、企業が消費者の個人情報にアクセスできるようにした」と主張している。

 しかし、企業がCCPAの下でサービス・プロバイダーであった場合、この利益は無関係である。すなわち、CCPA(Cal. Civ. Code 1798.140(v))の下では、サービス・プロバイダーは「...法人や企業に代わって情報を処理し、その企業が書面による契約に従ってビジネス目的のために消費者の個人情報を開示するものをいう(ただし、契約により、情報を受け取る事業体が、ビジネス契約に指定されたサービスを実行する特定の目的以外の目的で個人情報を保持、使用、または開示することを禁止している場合)。 または、企業との契約で指定されたサービスを提供する以外の商業目的で個人情報を保持、使用、または開示することを含む、このタイトルで別途許可されている場合である。

 私は、文面からは明らかではないが、Sephoraは分析会社が「サービス・プロバイダー」の免除に該当すると判断したため、情報を販売していないと仮定した可能性があると疑う。

 Sephoraの仮定が正しければ、彼らが現在違反していることが判明したすべての法的義務を引き受ける必要はないであろう。しかし、AGの言葉を借りれば、Sephoraは第三者と「有効なサービスプロバイダー契約を結んでいなかった」ため、サービスプロバイダーの免除には該当しなかった。したがって、彼らは個人情報の「販売」に関連する義務を遵守することを求められたが、そうではなかった。

3.今回の裁判を巡る教訓と未解決の問題とは?

(1)学んだ教訓。

 ターゲット広告と分析に従事する他の企業にとって、今回の和解を表面的に読むと、単にサードパーティのウェブ分析プロバイダーと関わるだけで、データを「販売」している必要があり、したがって「販売」義務の高まりを遵守しなければならないという結論につながる可能性がある。

  しかし、より注意深く読むと、CCPAが要求する必要な制限を含むサードパーティの分析プロバイダーと十分な契約を結んでいることを確認するという真の教訓が明らかになると思う(例:Cal Civ. Code 1798.140(v)Cal Code Regs.11.7051 )

  CPRAは、定義は類似しているものの、ほぼ同一の2つのカテゴリーの事業体として「請負業者(contractors)」と「サービス提供者(service providers)」を追加する。また、サービス・プロバイダーまたは請負業者と情報を共有するための新しい契約要件も含まれている。企業とサードパーティの分析会社との間に十分な契約上の合意が確実に結ばれていることを確認することで、企業はサービス・プロバイダーが「販売」の定義を免除されることをより確実に信頼できまることになる。

(2)新たな疑問が湧く

 しかし、これは、Sephoraとその第三者プロバイダーとの間の取り決めにどのような欠陥が存在していたのかという疑問を投げかけ、AGが決定したCCPAの下での「販売」が不十分であると見なす。AGの訴状には、「またSephoraは、各第三者と有効なサービス・プロバイダー契約を結んでいなかった」と述べている。しかし、AGがSephoraが契約をまったく締結していなかったことを意味するのか、それともそうであったのかは明らかではないが、そのような契約は「有効」ではなかった。

 Sephoraのような大規模で洗練された会社が契約をまったく結ばないかどうかは疑わしいようである。したがって、(a)正式な契約はあったが、CCPAと規制当局が要求する十分な条件を欠いていた。あるいは、(b)会社が単に「クリックラップ」利用規約(注6)に従ってユーザーアカウントを作成し、同様にそのような十分な利用規約を欠いていたか、またはそのようなクリックラップ利用規約の性質がAGによって有効な契約であるには不十分であるとみなされた(ただし、例えば、B.D. v. Blizzard Entertainment, Inc., 76 Cal. App.5番目931 (2022年3月29日)).

4. 結論

 要約すると、AGが発行した最初のCCPAの執行措置は、それ自体が重要であるが、個人情報を第三者に販売することに関連する義務の高まりの重要性を強調しているためである。また、CCPAの下での「価値ある対価」と「販売」を構成するものについて、重要で議論されているトピックについて疑問を投げかけるため、これも重要である。CPRAの下での規則制定および執行権限がCPPAに移行するにAGが取る追加の法執行措置の数を見ていくが、AGによる追加の解釈(およびCPPAからの一貫性または逸脱問題)は、企業が個人情報の販売に関する問題にどのように準拠するかについて有益といえる。

【参考】

① AGのプレスリリースをご覧になるには、ここをクリックされたい。

AG の苦情原本を表示するには、ここをクリックされたい。

和解命令原本を表示するには、ここをクリックされたい。

Ⅱ.グローバル・プライバシー・コントロール(Global Privacy Control:GPC)の意義

 この新基準は、Webサイトが利用者の個人データを制限なしに第三者へ提供することを防ぐための、より簡便な方法を提供するものだ。

 その方法とは、「グローバル・プライバシー・コントロール(Global Privacy Control:GPC)」と呼ばれ、消費者が個人データ保護に関する意思表示を可能にする。具体的には、ブラウザの設定または拡張機能を通じ閲覧する全サイトに対し、サイト利用者が自らの個人データを第三者に提供・販売しないよう通知することができるというものである。

 米国でカリフォルニア州消費者プライバシー法(California Consumer Privacy Act:CCPA)が2020年1月に施行されて以来、対象事業者のWebサイトには「個人情報を販売しない」と題した項目を「明確で目立つ」形で表示することが義務づけられるようになった。これによりカリフォルニア州の住民は、自身の個人データ販売をやめるようWebサイト運営事業者に要請できる。

 Do Not Track(トラッキング拒否、DNT)の機能を覚えているだろうか。トラッカー愛好家のアドテック業界は、ユーザーフレンドリーなプライバシー・コントロールをブラウザに組み込むという、10年以上にわたる不毛の試みのことはもう忘れてほしいと考えている。しかし、このたび、ライバシーを重視するテック企業、出版社、権利擁護団体の連合はインターネットユーザーに自分のデータを保護するための非常に簡単な方法を提供する、新たな標準の策定を推し進めることを発表した。

 この取り組みは、個人データの販売を阻止するために、プライバシー保護のシグナル機能をブラウザに組み込むというもので、Global Privacy Standard(グローバルプライバシー標準、GPC)と名付けられ、米連邦取引委員会(FTC)の元CTO(最高技術責任者)であるAshkan Soltani(アシュカン・ソルタニ)氏(注7)とプライバシー研究者のSebastian Zimmeck(セバスチャン・ジメック)氏(注8)が中心となって進めている。

Ashkan Soltani氏

Sebastian Zimmeck 氏

 GPCに対しては、The New York Times(ニューヨークタイムズ紙)、The Washington Post(ワシントンタイムズ紙)、Financial Times(ファイナンシャルタイムズ紙)、WordPressで有名なAutomattic(オートマティック)、開発者コミュニティのGlitch(グリッチ)、プライバシー検索エンジンのDuckDuckGo(ダックダックゴー)、トラッキング対策ブラウザのBrave(ブレイブ)、FirefoxメーカーのMozilla(モジラ)、トラッカーブロッカーのDisconnect(ディスコネクト)、プライバシーツールメーカーのAbine(アビーン)、Digital Content Next(デジタル・コンテント・ネクスト)、Consumer Reports(コンシューマー・レポート)、デジタル著作権グループのElectronic Frontier Foundation(電子フロンティア財団、EFF)が、さっそく支持を表明している。(IT news:「テックパブリッシャーの連合がブラウザレベルのプライバシーコントロールを推進」から抜粋。

Ⅲ.CCPA より強力なカリフォルニア州の新プライバシー法案の内容

1.わが国のDIGIDAYサイトの解説「【一問一答】「 CPRA 」とは?: CCPA より強力な、加州の新プライバシー法案」から一部抜粋する。

──カリフォルニアプライバシー権法とは、どんな法律ですか?

「カリフォルニア州プライバシー権法(CPRA)」は、事実上、2018年6月にカリフォルニア州議会で可決された、カリフォルニア州消費者プライバシー法(CCPA)の補足条項である。CCPAは2020年1月1日に施行され、カリフォルニア州司法省当局は同法の適用を7月1日に開始しました。

 しかし、CPRAに関しては、現時点では、住民投票による立法手続きが進行しているにすぎない。カリフォルニア州司法長官は、2020年6月24日、CPRAを11月に予定されている同州の住民投票にかけると発表した。仮に承認されたとしても、CPRAの施行は2023年1月1日まで猶予されます。ただし、CCPAが施行前年に収集されたデータに遡及適用されたのと同様に、CPRAも2022年1月1日以降に収集されたデータに遡って適用されることになるでしょう。

 ──カリフォルニア州では、なぜ追加のプライバシー法が必要なの?

 CPRAを推進するプライバシー保護団体「カリフォルニアンズ・フォー・コンシューマ・プライバシー(Californians for Consumer Privacy)」は、今年施行されたばかりのCCPAだけでは、自分たちのプライバシーを十分に守れないと考えているのです。のちにCCPAとして成立する法案を住民提案したのも、活動家のアラステア・マクタガート氏率いるこの団体です。新法提案の経緯は彼らがよく分かっているでしょう。

2.国際プライバシー専門家協会(iapp)の「CCPA and CPRA 」

 iappサイトから抜粋、仮訳する。(注9)

 CCPA は 2020 年 1 月 1 日に発効した。カリフォルニア州司法長官室が執行権限を持っている。法条文はここにある。関連規則(CCPA Regulations)はここにある。

 CPRA は、CCPA を修正し、2020 年 11 月に通過した消費者向けの追加のプライバシー保護を含む住民投票によるものである。CPRA の規定の大部分は、2023 年 1 月 1 日に発効し、2022 年 1 月にさかのぼる。

 CPRA は、この法律を実施および執行するために、カリフォルニア州プライバシー保護局を設立した。また 司法長官は、民事執行権限も保持する。

3.最近のCPPAニュースを抜粋、仮訳する

①カリフォルニア州プライバシー保護局の理事会がH.R. 8152、米国データ保護法に反対票を投じる

 カリフォルニア州プライバシー保護局理事会は7月28日、現在起草されている連邦議会下院で上程されている「米国データプライバシーおよび保護法案(American Data Privacy and Protection Act:ADPPA H.R. 8152)」が、カリフォルニア州消費者プライバシー法およびその他の州のプライバシー法を先取りすることによってカリフォルニア州民のプライバシー保護を大幅に弱体化させようとする連邦プライバシー法を提案することに反対することを全会一致で投票した。

 また理事会は、カリフォルニア州民にとって極めて重要なプライバシー保護を同様に脅かす法案に反対することを投票したが、第3の動議を通じて、州がより強力な保護を実施できるようにする「真のフロア」を提供する連邦プライバシー法を支持する余地を残した。

 ADPPAは、2022年7月20日に下院エネルギー・商業委員会によって推進された。ギャビン・ニューソム(Gavin Christopher Newsom) カリフォルニア州知事、アンソニー・レンドンAnthony Rendon 下院議長、

Gavin Christopher Newsom 氏

ロブ・ボンタ カリフォルニア州司法長官は全員、法案の広範な先取り文言に批判的な書簡を提出した。

Anthony  Rendon 氏

 ADPPAは、現在存在しない州ではプライバシー権を拡大するが、CCPAの下で現在カリフォルニア州民が享受している保護のほとんどは、特にCCPAの憲法で保護されたプライバシー保護のための「フロア」、将来的に法律を強化するカリフォルニア州の能力、およびカリフォルニア州法の下でカリフォルニア州民のプライバシー権を保護するIAEAの能力を含む、先取りされる可能性が高い。政府機関のスタッフは、火曜日に発表されたメモで、法案がカリフォルニア州民に与える影響を概説した。

 CPPAのジェニファー・アーバン議長(Jnnifer Urban)は「カリフォルニア州民は少なくとも50年間、憲法のプライバシー権を享受し、その上に継続的に築いてきた。州は対応力を発揮する必要があり、特にカリフォルニア州は連邦議会の床論議からの保護に気づく必要があり、カリフォルニアの人々がその保護を失わないように、できる限りの措置を講じるべきである」と述べた。

 理事会メンバーのクリス・トンプソン(Chris Thompson)は「この法案(ADPPA)には誤った選択があるように私には思える。カリフォルニア州民(および他の人々)の強い権利は、連邦政府により弱い権利を提供するために奪われてはならない。ただし、別の方法がある。私たちは両方を持つことができる。私たちは、州がこの政策分野で革新を続けることを可能にする連邦フロアを持つことができる。「カリフォルニア州民の権利を守るために行動を続け、技術革新の他の技術基準を推進し、適応できる必要がある」と述べた。

Chris Thompson 氏

 理事会メンバーのアンジェラ・シエラ(Angela Sierra)は「国家は技術の変化に本当に反応し、対処するのに最適な立場にある連邦法制定の余地はあるが、同時に、州が非常に重要になるであろうことに対処できるようにすべき」と述べた。

Angela Sierra 氏

 理事会メンバーのリディア・デ・ラ・トーレ(Lydia De La Torre)「「私にとっての先取りは、カリフォルニア州民、あるいはどの州の居住者にとっても、可能な限り最高のプライバシー保護を享受することを保証することとは実際には一致しない。これは、法が廃止された時代に特に懸念される」と述べた。

 理事会メンバーのVinhcent Le氏(ヴィンセント・リー)は「先取りは、カリフォルニア州が自動化された意思決定をオプトアウトしたり、自動化されたシステムがそれらをプロファイルしたり、仕事、医療、信用、住宅にアクセスできる人に関して高い賭け金の決定を下したりするときに、意味のある情報を取得する権利をもはや持たないことを意味する。私は全米的なプライバシー法の見通しに興奮してい るが、カリフォルニアで私たちが持っているプライバシー権を犠牲にする必要はないと信じている」と述べた。

Vinhcent Le 氏

 8月15日、カリフォルニア州プライバシー保護局は、連邦議会下院議長のナンシー ・ペロシと少数党首のケビン・ マッカーシーに「H.R. 8152、米国データ プライバシーおよび保護法 (ADPPA)」 に反対する書簡を送った。

**************************************************

(注1) 個人情報保護委員会 仮訳「米国「カリフォルニア州消費者プライバシー法  2018年」参照。

(注2) Sephora は、パーソナルケアと美容製品のフランスの多国籍小売業者。 約 340 のブランドを擁する 独自のプライベート ブランドである Sephora Collection とともに、Sephora は、化粧品、スキンケア、ボディ、フレグランス、ネイル カラー、美容ツール、ボディ ローション、ヘアケアなどの美容製品を提供している。(Wikipediaを一部仮訳)

(注2-2) 2021年7月23日Hunton Andrews Kurth LLPブログから引用。

「 カリフォルニア州司法長官がCCPA執行措置の概要を発表するとともに消費者プライバシー・インタラクティブ・ツールを発表」

カリフォルニア州司法長官(以下、「AG」という)は、最近、2020年7月1日に同法の施行が開始されて以来、CCPAに違反して企業に対して提起した法執行措置の概要を発表した。要約では、AGがCCPAへの違反の申し立ての通知を送信した事例と、各企業が申し立てられた違反をどのように是正したかを示す27の例示的な例を提供している。

以下の表は、AGによって要約された執行措置におけるCCPA違反の疑いの種類と数を示している。

(注3) 価値ある対価(valuable consideration):価値ある対価とは、契約または販売において何かと引き換えに当事者が支払う十分な価格を広く指す。対価の「価値ある」の意義は、サービスや法的救済の差し控えに同意するなどの他の支払いとは対照的に、対価が金銭的であることを意味する場合もある。価値のある対価は、契約に関して最も一般的に生じる。契約が法的拘束力を持つためには、人は、契約で交渉される目的、サービス、またはその他の目的を考慮する必要がある。(コーネル大学ロースクール法情報研究所のサイトから引用、仮訳)

(注4) “tolling agreement” の定義とは、潜在的な原告と潜在的な被告が、原告の請求に対する法定制限期間を延長する正式な合意を結ぶこと。これにより、通常、当事者は法廷に行くことなく紛争を解決するための時間をより多く持つことができる。定義上、Tolling Agreementは、現在または将来の請求に対する訴訟の可能性を考慮する。通常、Tolling Agreemen通行料の取り決め自体は、法廷に持ち込まれる現在または将来の請求に言及している。(UpCounsel解説から抜粋、仮訳 (なお、企業が自分の好みだけに基づいて法的支援を見つけて雇うのをより迅速かつ簡単にするインタラクティブなオンライン サービス。我々は法律事務所ではなく、法的サービス、法的助言、または「弁護士紹介サービス」を提供しておらず、法的代理人を提供または参加していないという注意書きがある)

(注5) カリフォルニア州の第一審である「上級裁判所(superior court)」

 カリフォルニア州には、各郡に 1 つずつ、計 58 の第一審裁判所がある。 第一審(上級)法廷では、裁判官、場合によっては陪審員が証人の証言やその他の証拠を聞き、関連する事実に関連する法律を適用して事件を決定する。 カリフォルニア州の裁判所は、3,900 万人を超える州の人口にサービスを提供している。上級裁判所は第一審の判決に満足しない人が控訴する「控訴裁判所(appellate courts)」とは異なる。

 毎年、約800万件の訴訟が上級裁判所に提出されているが、これらのうち、630 万件以上が交通事件にかかる刑事事件で、のこり 150 万件が民事事件である。

【裁判所名の一部抜粋】

 (注6) クリックラップ契約(またはクリックオン契約)とは、[同意する] ボタンなどのクリックまたは同様のプロセスを通して一連の契約条件に同意することを示す契約手法の一つです。アカウントを新規登録する際やT&C(取引条件)、個人情報の取得、ライセンス使用許諾契約、情報開示への合意などへの同意でよく利用されています。(DocuSign, In 解説から一部抜粋)。

(注7) カリフォルニア州プライバシー保護局(California Privacy Protection Agency)は月曜日に、米国連邦取引委員会の元主任技術者であるアシュカン・ソルタニ氏(Ashkan Soltani)を新しい事務局長(エグゼクティブ ディレクター)に任命した。

 州の消費者プライバシー法を施行する任務を負っている同局によると、ソルタニ氏は新局の日常業務を指揮し、施行活動、規則制定、および一般への認識を監督するとともに、tani 同局のチームを構築する。

(注8) Sebastian Zimmeck氏 は、ウェスリアン(Wesleyan)大学の数学およびコンピューター サイエンス学部の助教である。 彼の研究と教育の関心事は、情報のプライバシーとセキュリティである。 特に、Sebastian は Web およびモバイル アプリのエコシステム向けのプライバシー技術を開発している。これは多くの場合、機械学習とプログラム分析技術に基づいており、人々がプライバシー権を効率的かつ効果的に行使できるようにしている。 Sebastian は Global Privacy Control を共同設立し、Wesleyan大学 のプライバシー技術研究所を率いている。

(注9) CPRAの解説で良くまとまっている内外のblogを以下あげる。

2021.11.9 TMI Associates 「カリフォルニア州プライバシー権法(CPRA)」

*2022.9.7 Private  Lab 「CPRA(カルフォルニア州プライバシー権法)とは? CCPAからどう変わった?」

*2022.9.8 Seyfarth Shaw’s eDiscovery and Information Governance (eDIG)カリフォルニア州プライバシー権法(CPRA)」:2023年にカリフォルニア州に従業員を持つ雇用主の大きな変化を与える

*******************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserve.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント

このブログの人気の投稿

ウクライナ共同捜査チームの国家当局が米国司法省との了解覚書(MoU)に署名:このMoU は、JIT 加盟国と米国の間のそれぞれの調査と起訴における調整を正式化、促進させる

  欧州司法協力機構(Eurojust) がウクライナを支援する共同捜査チーム (Ukraine joint investigation team : JIT) に参加している 7 か国の国家当局は、ウクライナで犯された疑いのある中核的な国際犯罪について、米国司法省との間で了解覚書 (以下、MoU) に署名した。この MoU は、ウクライナでの戦争に関連するそれぞれの調査において、JIT パートナー国と米国当局との間の調整を強化する。  このMoU は 3 月 3 日(金)に、7 つの JIT パートナー国の検察当局のハイレベル代表者と米国連邦司法長官メリック B. ガーランド(Merrick B. Garland)によって署名された。  筆者は 2022年9月23日のブログ 「ロシア連邦のウクライナ軍事進攻にかかる各国の制裁の内容、国際機関やEU機関の取組等から見た有効性を検証する!(その3完)」の中で国際刑事裁判所 (ICC)の主任検察官、Karim A.A. Khan QC氏 の声明内容等を紹介した。  以下で Eurojustのリリース文 を補足しながら仮訳する。 President Volodymyr Zelenskiy and ICC Prosecutor Karim A. A. Khan QC(ロイター通信から引用) 1.ウクライナでのJITメンバーと米国が覚書に署名  (ウクライナ)のICC検事総長室内の模様;MoU署名時   中央が米国ガーランド司法長官、右手がICCの主任検察官、Karim A.A. Khan QC氏  MoUの調印について、 Eurojust のラディスラフ・ハムラン(Ladislav Hamran)執行委員会・委員長 は次のように述べている。我々は野心のために団結する一方で、努力においても協調する必要がある。それこそまさに、この覚書が私たちの達成に役立つものである。JIT パートナー国と米国は、協力の恩恵を十分に享受するために、Eurojustの継続的な支援に頼ることができる。  米国司法長官のメリック B. ガーランド(Merrick B. Garland)氏は「米国が 7 つの JIT メンバー国全員と覚書に署名する最初の国になることを嬉しく思う。この歴史的な了解覚書は、ロシアのウクライナ侵攻に起

カリフォルニア州司法長官ハビア・バセラ氏の保健福祉省長官指名と議会上院における公聴会ならびに承認採決の僅差結果

 バイデン政権の今後を占ううえで欠かせない閣僚人事に関し、新たな動きがみられた。  すなわち、 AP通信 は(https://www.wtnh.com/news/health/becerra-confirmed-to-head-up-bidens-ambitious-health-agenda/)は次のとおり報じた。  「連邦議会上院 は3月18日木曜日、カリフォルニア州司法長官のハビア・バセラ(Xavier Becerra)氏(1958生まれ)をジョー・バイデン大統領がおす保健福祉省(U.S. Department of Health and Human Services (HHS) )(https://www.hhs.gov/about/index.html)長官として承認し、政府のコロナウイルス対応と、薬剤費の削減、保険適用範囲の拡大、医療における人種格差の解消という野心的な推進において重要な位置を占めることとなった。」 Xavier Becerra 氏  バイデン大統領はカマラ副大統領(元カリフォルニア州司法長官)に引き続き、バセラ長官を連邦政府の代表機関である保健福祉省の長官に指名する本当の理由はどこにあるのか。  確かに、閣僚人事をきめるうえで、多民族国家米国の統一化、結束を強く訴える大統領の考えは、理解できる。しかし、大統領の本音はそれだけではあるまい。長期民主党政権の維持野ための人事の若返り、世界的に見た知名度、行政手腕などの要素を踏まえれの判断かもしれない。  ところで、筆者は歴代のカリフィルニア州の司法長官とはメールのやり取りしており、両氏の今回の就任は”Congratulation”と言いたいだけでなく、わが国の対米戦略を考えるうえで両氏との率直な意見交換も行いたいという気持ちがある。  他方、筆者が強く興味があるのは、今回の人事の例にみられるとおり、民主、共和党が党員数が僅差な議会運営の難しさである。  その意味で、今回の議会上院公聴会でのバセラ氏の陳述内容、また反対議員の発言内容等につき直接確認したと考えていた。  これらの情報を探るうえで重要な公式動画情報源は上院の場合は”Floor Webcast”、下院では”House Live”である。 (注1)  また、米国ではこれらの情報は”youtube ”でも確認できるが

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)に具体的