最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  　 筆者は、これまで米国各州の包括的個人情報保護立法につき解説してきた。例えば、最も厳しいとされる カルフォルニア州  、 同州 、 オハイオ州 、 コロラド州 につき取り上げてきた。 　4月初め、ケンタッキー州議会は 包括的なプライバシー法(H.B.15) (以下、「法律」という)を可決した。この法律は4月4日に州知事が署名し、成立、この法律は 2026 年 1 月 1 日に発効する。 　今回のブログ投稿では、この法律の重要な要点を要約する。これにより、カリフォルニア、バージニア、コロラド、コネチカット、ユタ、アイオワ、インディアナ、テネシー、モンタナ、オレゴン、テキサス、フロリダ、デラウェア、ニュージャージー、ニューハンプシャー州の立法に加わる。 (計16州) 　また筆者が注目するのは英国や米国州の最近時の立法傾向は「正確な地理位置情報データ(precise geolocation data)」や「13歳未満の児童の個人情報」 (注1) を機微情報としている点である。また、従来から国際スタンダードとして立法上明記されている「データ保護影響評価 (DPIA)」の重要性や義務化問題もある。 　一方で、わが国の法改正の経緯を見ると欧米のような経緯をたどっているようには見えない。今回のブログはこれら問題につき詳細に論じる。 Ⅰ．ケンタッキー州の包括的情報保護法の概要 　Covington & Burling LLP.の以下の弁護士が執筆した ブログ を 仮訳 する。  Lindsey Tonsager 氏 Libbie Canter氏 Hensey A. Fenton III 氏 Samar Amidi 氏 ■ 法律の適用範囲 :  この法律は、ケンタッキー州で事業を行うか、ケンタッキー州住民を対象とした製品やサービスを生産する暦年中に、(i) 少なくとも 100,000 人の消費者の個人データを管理または処理する、または (ii) 少なくとも 25,000 人の消費者のデータを管理または処理し、総収益の 50% 以上を個人データの販売から得る管理者および処理者に適用される。 ■ 消費者の権利:  この法律は、とりわけ、消費者にアクセス、削除、携帯性・移植性、および修正の権利を付与する。 同法により、消費者は、...

  　筆者は去る 4月2日のブログ でフロリダ州、オハイオ州およびウタ州等の未成年者特に児童等のソーシャル・ メディア・ プラットフォーム利用にかかる厳格な規制州法立法につき詳しく解説した。 　一方、英国の取組みを見ると、2024 年 4 月 3 日、英国情報コミッショナー事務局 (以下、「英国 ICO」という) は、オンラインでの子どもの個人データ保護に関する 2024 年から 2025 年の優先事項「 児童規範戦略 (Children’s Code Strategy” (「戦略」という ) を 発表 した。 John Edwards, UK Information Commissioner 　翻ってわが国の保護法制整備の現状を見た。まず、思いつくのは「青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律(平成20年法律第79号)(以下、「環境整備法」という) （注１）(注2) であろう。最後にわが国の保護法強化につき喫緊の問題点をとりあげる。 Ⅰ．英国 ICO 児童規範 (UK ICO Children’s Code) 」の概要 　ここで英国「児童規範戦略(Children’s Code Strategy” (「戦略」)」の内容に入る前に “Principleworks”のblog をもとに2020年1月21日に公開された「英国ICO児童規範(UK ICO Children’s Code)」に基づき補足する。なお、Principleworksは、オープンソース・ソフトウェアに関連した各種サービスの提供業者である。 １．UK ICO  Children's Code(Children's Code ) (1) 制定の背景 　Children's Code は子どもたちが生活のあらゆる側面において必要とする特別な保護措置を認める 「国連子どもの権利条約（UN Convention on the Rights of the Child：UNCRC）」 に根ざしている。また、Children's Code は、ICO により、親・子どもたち、学校、開発者、ゲーム会社、オンラインサービス・プロバイダーとの対話による徹底的な協議プロセスを経て作られたものである。 　また、英国では忘れられない事件があった。年齢確認の欠落は今...

  　2024 年 2 月 7 日、ドイツ連邦内閣は連邦データ保護法（Bundesdatenschutzgesetz ：以下、「 BDSG」という）を改正する法案 (以下、「法案」という) を承認した。 この法案は今後、連邦参議院（Bundesrat：連邦レベルでドイツの16の州を代表する立法機関）に意見を求め、その後、連邦議会 (Bundestag)）に提出されて議論され、場合によっては採択される予定である。 　この法案は、BDSGの第1部と第2部を一部改正することにより、2021年の連邦内務省によるBDSG評価で浮き彫りになった問題に対処することを目的としている。 他の立法プロジェクトではさらなる修正に取り組む予定である。 　この法改正につきドイツを中心に400 lawyers, 22 languagesをカバーする国際法律事務所である 「HEUKING」の標記解説記事blog を読んだ。筆者はDr.Philip Kempermann氏( LL.M.(法学修士)である。他の解説を踏まえ補足しつつ 仮訳 、解説を加える。 Philip Kempermann氏 　要約すると「ドイツ連邦政府はデータ保護の施行と一貫性を改善するために、我々は欧州の協力を強化し、連邦データ保護法（Bundesdatenschutzgesetz ：以下、「 BDSG」という）に 「データ保護会議(Datenschutzkonferenz:Data Protection Conference)(以下、「DSK」という)」 を制度化し、可能な限り法的拘束力のある決定を下せるようにしたいと考えている。現在、 連邦内閣は現在、BDSGの改正草案を承認しており、その目的はデータ保護とBDSGの評価結果に関する連立協定を部分的に実施することである。 　また、同時に連邦デジタル・運輸省(BMDV)も電気通信電気メディアデータ保護法 (Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG)の改正草案を提示した。 電気通信電気メディアデータ保護法 (Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG) は、特に「番号に依存しない対人電気通信サービス」が次のように標準化した完全エンドツ...

  　フロリダ州では3月25日(月)、州知事ロン・デサンティス(Ron DeSantis)氏はSB 3法案に署名した。この法案は大まかにいうと、ソーシャル・メディア・プラットフォームに対し、14歳未満の個人のアカウント作成を停止する一方で、14歳または15歳のアカウント作成については親や保護者の同意を求めることを義務付けている。州法務局は、違反 1 件につき最高 50,000 ドル(約755万円)の民事罰金、妥当な弁護士費用および訴訟費用、および (特定の条件下で) 懲罰的損害賠償を徴収する場合があり、また未成年のアカウント所有者に対し、最大 10,000 ドル(約51万円)の損害賠償を請求することもできる。   この法律は 2025 年 1 月 1 日に発効する。 　この記事を読んで、まず筆者は他州の動向を調べるべくオハイオ州、ウタ州の法解説サイトにたどり着た。 　今回のブログは、これら3州の法内容を比較すべくまとめるとともに、これら発生するであろう大手テクノロジー企業のメンバーからなる全国的な業界団体であるNetChoiceの告訴による仮差止命令の意義等に言及する。 　この判決は、いくつかの州が州レベルで子供のプライバシーを規制しようとし、連邦取引委員会(FTC)が連邦レベルでCOPPA制度の大幅な変更を提案 (注1) するなど、米国内および海外で子供のデータ・プライバシーへの注目が高まっている中で下された。 　一部の州では、ソーシャル・ メディア・ プラットフォームなど、特定のコンテンツや Web サイトの種類に制限を設けることで、より対象を絞ったアプローチを採用しているが、カルフォルニア州 (注2) 等他の州では、英国の 「子供のアクセスの年齢適正化デザイン規則(Age-Appropriate Design Code）)(「Children’s Code」が略称)」 のより包括的なアプローチに従っている。 (注3) ( 解説 から一部抜粋) 　なお、Children’s CodeはEUのGDPRおよび 国連子どもの権利条約（UN Convention on the Rights of the Child :UNCRC） などに大きく依存しており、今後のわが国の子どものソーシャル・メディア・プラットフォーム等保護法の在り方を考える上で重要とな...