2022年5月4日、コネチカット州議会は「コネチカット州データプライバシー法(CDPA)」と題するS.B. 6を可決し、この法案は現在、ネッド・ラモント州知事の署名待ちとなっています。ラモント州知事は一般的にこの法案に署名して法律とする見通しですが、15日以内にCDPAに署名するか、15日間の期限が切れて法律となるか、あるいは拒否権を行使するか、いずれかの決定を下す必要があります。 この法案が法制化されれば、コネチカット州は、カリフォルニア州、バージニア州、コロラド州、ユタ州に続き、包括的な消費者プライバシー法を制定する 5 番目の州となります。法案が可決された場合、この法律は、コロラド州の法律と同じ 2023 年 7 月 1 日に発効することになります。
本法案は、これら他の管轄区域の法律から要素を借用しているが、以下に示すようにいくつかの相違点も含まれている。とはいえ、カリフォルニア州のCCPAまたはCPRAへの準拠措置を既に講じている組織の大半にとって、CDPAへの準拠は比較的小さな負担で済むだろう。
適用性
CDPAが施行された場合、同法はコネチカット州内に所在する事業者、またはコネチカット州の個人住民を対象とした製品・サービスを提供する事業者に適用される。ただし、当該事業者が前暦年度において以下の基準のいずれかを満たす場合に限る:
- コネチカット州の消費者10万人の個人データを管理または処理する事業者です。ただし、他の包括的なプライバシー法とは異なり、CDPAは支払い取引の完了のみを目的として管理または処理される個人データを明示的に除外しており、これによりPCI-DSSの対象となるカード会員情報やその他類似の情報が適用範囲から事実上除外されます。
- コネチカット州の消費者少なくとも25,000人の個人情報を処理し、総収益の25%以上を個人データの販売から得ている。
バージニア州、コロラド州、ユタ州と同様に、提案されている法律には金銭的閾値は含まれていない。それでも、CDPAは個人データ販売による収益の算定基準を、他州で一般的に見られる50%よりも大幅に低く設定している。 またカリフォルニア州と同様に、コネチカット州法は「販売」を広く定義しており、金銭的対価を伴う個人データの開示だけでなく、その他の価値ある対価を伴う開示も含まれる。これにより、コロラド州、バージニア州、ユタ州の住民から同量の個人データを処理する事業者に比べ、より多くの事業者がCDPAの適用対象となる可能性がある。特に、分析や広告クッキーを通じた個人データの処理については、これらが一般的に「その他の価値ある対価」を伴う処理と見なされるため、事業者は注意を払う必要がある。 ただし、消費者の指示に基づく情報開示は「販売」の定義から除外され、ウェブサイト上のクッキー使用のみを理由とした「販売」の発生は、クッキー同意管理ツールや類似技術(消費者がクッキー使用に積極的に同意することを要求する技術)を利用することで回避できる可能性がある。
免除
法律は「消費者」をコネチカット州の居住者と定義するが、「商業的または雇用上の文脈で行動する」個人を明示的に除外する。したがって、企業間取引または雇用上の文脈で収集された情報は、CDPAの対象とはならない。
本法はまた、以下の種類の組織を除外する:(a) 州政府及び地方政府;(b) 非営利団体;(c) 高等教育機関;(d) 1934年証券取引法に基づき登録された全国証券協会; (e) グラム・リーチ・ブライリー法(GLBA)の適用を受ける金融機関;および (f) 医療保険の携行性と責任に関する法律(HIPAA)で定義される被保険事業体および業務提携先。 本法は、HIPAA、公正信用報告法(FCRA)、運転者プライバシー保護法(DPPA)、家族教育権利・プライバシー法(FERPA)の対象となるデータを含む特定のデータカテゴリーを免除する。また、農業信用法や航空自由化法など、他州の包括的法律では通常免除対象とならない法律の対象となる特定のデータも免除される。
消費者権利
他の管轄区域の法律と同様に、CDPAはコネチカット州の消費者に以下の権利を付与します:
- アクセス権。消費者は 、管理者が当該消費者に関する個人情報を処理しているかどうかを確認する権利を有し、当該個人情報にアクセスする権利を有する。ただし、その確認が管理者の営業秘密を明らかにすることになる場合はこの限りではない。
- 訂正権。消費者は、誤った個人データを訂正する権利を有します。
- 削除権。消費者は 、自身が提供した、または自身について取得された個人データを削除させる権利を有します。
- データポータビリティ権。管理者が自動化された手段でデータを処理する場合、消費者は自身の個人データを(技術的に可能な範囲で)ポータブルかつ容易に利用可能な形式で取得でき、第三者に転送できる。ただし、営業秘密を開示することになる場合、管理者はこのデータを提供する必要はない。
- オプトアウト権。CCPAの「個人情報の販売禁止」要件と同様に、管理者が個人データを第三者に販売する場合やターゲティング広告のために個人データを処理する場合、消費者は以下の目的での個人データ処理をオプトアウトする権利を有します:ターゲティング広告、個人データの販売、または消費者に対して法的または類似の効果をもたらす自動化された意思決定のみを目的としたプロファイリング。 管理者は、消費者がこの処理をオプトアウトできるよう、自社ウェブサイト上に「明確かつ目立つ」リンクを提供することが義務付けられます。さらに、2025年1月1日以降、管理者はターゲティング広告および販売からのオプトアウト選択を示す普遍的な「オプトアウト設定シグナル」も認識しなければなりません。現時点でそのようなシグナルは存在しませんが、このシグナルは他のいかなる設定よりも優先されなければなりません。
管理者は、消費者からの要求に対し、不当な遅滞なく対応しなければならない。ただし、いかなる場合でも要求受理後45日以内に回答すること。必要に応じて、この期限をさらに45日間延長できる。また管理者は、これらの権利行使要求への対応拒否に対して消費者が異議申し立てを行う方法を提供するとともに、最終的に異議が却下された場合にコネチカット州司法長官へ苦情を申し立てる方法も提供しなければならない。
義務
CDPAはまた、管理者が個人データの処理に関して一定の義務を遵守することを要求しています:
- データ最小化。管理者は 、個人データの収集を、データ処理の目的として開示された目的に対して適切、関連性があり、かつ合理的に必要な範囲に限定しなければならない。
- 利用制限。例外(消費者の同意など)が適用されない限り、管理者は一般的に個人データの利用を収集目的の範囲内に制限しなければならず、開示された目的と合理的に必要または適合しない目的のために処理してはならない。
- データセキュリティ。CDPAは、管理者が個人データの機密性、完全性、および可用性を保護するため、合理的な管理上、技術的、物理的なデータセキュリティ慣行を確立、実施、維持することを要求する。これらの措置は、管理者が処理する個人データの量と性質に適切でなければならない。
- 「機微なデータ」の処理に関する同意。管理者は、消費者の自由意志に基づく、具体的かつ情報に基づく、明確な同意なしに「機微なデータ」を処理することを禁じられています。 機微データには、人種・民族的出身、宗教的信条、精神的・身体的健康状態または診断、性生活、性的指向、国籍、移民ステータスを明らかにするデータが含まれる。また、個人を唯一無二に識別する目的で処理される遺伝子データまたは生体認証データ、未成年と認識されている消費者から取得した個人データ、および精密な地理的位置データ(半径1,750フィート以内)も機微データに含まれる。 管理者は、消費者が同意を撤回するための効果的な手段を提供しなければならず、その手段は同意取得方法と同等に容易であること、かつ同意撤回を受領後15日以内に可能な限り速やかにこれに応じなければならない。
- 児童からのデータ処理に関する同意。CDPAはまた、管理者が消費者が13歳以上16歳未満であることを実際に認識しながら故意にその事実を無視する場合、ターゲティング広告または個人データの販売を目的とした個人データの処理について同意を取得することを義務付ける。
- 差別的取扱いの禁止。事業者は、消費者が自らの権利を行使することを理由として、商品・サービスの提供を拒否したり、異なる価格・料金を請求したり、異なる品質の商品・サービスを提供したりしてはならない。
プライバシー通知義務
カリフォルニア州、コロラド州、バージニア州、ユタ州の法律と同様に、CDPAは管理者に対し、消費者に対して明確なプライバシー通知を提供することを義務付けます。プライバシー通知には以下を含める必要があります:
- 管理者が処理する個人データのカテゴリー。ただし、カリフォルニア州とは異なり、CDPAでは個人データのカテゴリーは定義されていない。
- 処理の目的。
- CDPAに基づく消費者の権利行使方法、および要求への対応拒否に対する消費者の不服申立て方法に関する情報。
- 第三者と共有される個人データのカテゴリー、および個人データが共有される第三者のカテゴリー。
- 個人データの第三者への販売、またはターゲティング広告目的での個人データの利用、ならびに消費者がそのような利用をオプトアウトする方法に関する情報。
- 管理者に連絡するために使用される有効かつアクティブなメールアドレス。
データ処理契約
他の州と同様に、CDPAでは、管理者が処理者とデータ処理契約を締結することを義務付けます。この契約は、管理者に代わって個人データを処理する際に、処理者が個人データに対して行うべきことおよび行ってはならないことを規定するものです。これには、個人データの処理に関する明確な指示、処理の性質と目的、データ主体のカテゴリー、処理者と管理者の権利と責任、および処理の期間が含まれなければなりません。
データ保護評価
管理者は、消費者への危害リスクが高まる各処理活動についてデータ保護評価を実施することが義務付けられる。CDPAでは、こうした活動にはターゲティング広告目的での個人データ処理、個人データの販売、プロファイリング目的での処理(当該プロファイリングが消費者に重大な損害をもたらす合理的に予見可能なリスクを伴う場合)、およびあらゆる機微データの処理が含まれると規定されている。
執行
CDPAは私的訴訟権を規定していない。CDPA違反は不公正取引慣行とみなされる旨を明記しているものの、執行権限がコネチカット州司法長官にのみ留保されているため、コネチカット州不公正取引慣行法に基づく消費者による潜在的な請求の可能性を閉ざしているように見える。 司法長官は違反行為について管理者に通知する義務を負い、2025年1月1日以前の違反については、管理者に60日間の是正期間を与える。2025年1月1日以降は、司法長官の裁量により是正の機会を与えることができる。 違反行為は、コネチカット州不当取引行為法に基づく民事罰の対象となり、故意の違反の場合、最大5,000ドルの罰金が科される可能性がある。コネチカット州司法長官は衡平法上の救済措置を求めることもできる。
結論
CDPAは、コネチカット州の消費者に、カリフォルニア州のCCPAおよびCPRA、ならびにコロラド州、バージニア州、ユタ州(これらの法律が施行された時点で)で提供される権利と同様の、個人データに関する権利を付与します。 全国的に事業を展開し、既にこれらの他州法への対応を開始している企業は、その取り組みの多くをCDPA対応に活用できます。これらの他州法の適用対象外であった企業は、コネチカット州における事業内容を精査し、CDPAの適用対象となるかどうかを判断すべきです。該当する場合は、施行までのわずか14ヶ月間でCDPAへの準拠に向けた計画を開始する必要があります。
本記事で言及されているCDPA(カリフォルニア州データ保護法)またはその他の州のプライバシー法に関する要件の詳細については、Foley & Lardnerのサイバーセキュリティ・プライバシーチームのパートナーまたはシニアカウンセルまでお問い合わせください。
