BIPAアラート：イリノイ州の新生体認証データ判決により、同州で事業を展開する企業に潜在的な数十億ドル規模のリスクが発生

過去2週間だけで、イリノイ州最高裁は同州の厳格な生体情報保護法（BIPA）下で被告となる可能性のある企業（すなわち雇用主や消費者向け企業）に対し、二つの重大な打撃を与えた。 請求権発生時期の算定と時効に関するこの2つの判決は、潜在的な損害賠償額を桁違いに増加させる。かつては6桁（10万ドル台）の賠償責任に留まっていた請求が、今や7桁から10桁（数百万ドルから数千万ドル）の大幅な増加を招きかねない。さらに、両判決とも州最高裁によるものであるため、イリノイ州議会が積極的に介入し、これらの判例を法的に覆さない限り、救済の見込みは全くない。

以前にも指摘した通り、BIPAに基づく請求は、個人の生体情報（指紋／手のひらスキャン、顔認識など）を利用する雇用主や消費者向け企業にとって既に重大なリスクをもたらしていました。 このリスクは、通常、BIPAの厳格な要件を認識していない企業が、消費者体験の効率化を図るため（出勤・退勤の記録、セキュリティ区域へのアクセス、あるいは消費者の購入履歴の追跡など）、業務遂行において個人の生体情報を収集・利用する際に生じます。 こうした行為は善意に基づく場合でも、BIPAの厳格な要件（書面による同意、公開された生体認証ポリシーの維持など）を厳密に遵守しない限り、違反のたびに潜在的なクレームが発生する可能性があります。

イリノイ州最高裁は一連の最新判決において、BIPAの時効期間と請求発生の算定方法（すなわち違反行為の計上方法）を検討した。まず、BIPAの時効期間がプライバシー関連の1年時効期間に該当するか、あるいはイリノイ州のより長い5年の「包括的」時効期間に該当するかが争点となった。 端的に言えば、裁判所はこの時効期間に関する問題を解決し、BIPA請求はBIPA請求の提起から最大5年前まで遡って成立し得ると判断した。この長期の時効期間は、必然的に非準拠企業の潜在的責任を増加させる。

しかし、裁判所による最新の判決は、はるかに問題が多い。第七巡回区控訴裁判所からの認定質問に基づく ラトリーナ・コトロン対ホワイト・キャッスル・システム社において、イリノイ州最高裁判所は、企業が個人の生体情報を収集する際にBIPA（イリノイ州生体情報プライバシー法）の告知・同意要件を遵守しない場合、その違反は各収集行為ごとに発生すると判断した。これまでは、被告側はBIPAに基づく請求権は生体情報の最初の違法な収集・利用時にのみ発生し、その後の収集・利用は最初の行為で収集・利用が完了しているため追加の請求権を生じさせないと主張していた。 しかし裁判所はこれに異議を唱え、企業が十分な通知と同意なしに個人の生体情報を収集・使用するたびに、それぞれが独立した新たな請求権を生じさせ、それに伴う法定損害賠償の対象となると判断した。

では、これは具体的にどういう意味でしょうか？

従業員の指紋スキャンを収集・利用して出勤・退勤を記録する雇用主を例に挙げよう（前述のホワイト・キャッスル事件と同様）。従業員が1日4回（出勤・退勤時と昼休みの計4回）スキャンすると仮定すると、1営業日あたり最大4件のBIPA違反が発生する可能性がある。 その従業員が週5日・年50週間勤務する場合、雇用主はたった1年間でたった1人の従業員に対して、BIPA法定罰金として最大150万ドルの責任を負う可能性がある。この金額は、違反が「過失」によるものと仮定し、違反1件あたり1,500ドルという比較的軽い罰則が適用されるケースを想定したものである。 「故意の」違反の場合、法定罰則は5,000ドルが適用され、同じ仮定では従業員1人あたり年間最大5,000,000ドルとなる。 この例をさらに推し進めると、従業員50名の企業が、各従業員が週5日勤務し1日4回指紋認証を行う場合、5年間でBIPA違反による損害賠償は3億7,500万ドルに達する可能性がある。 明らかに持続不可能であり、州議会による解決への道筋は極めて狭く、現時点で議会がBIPAの罰則体系改正に意欲を示していないことから、この結果は荒唐無稽と言わざるを得ない。

これらの動向を踏まえ、イリノイ州における事業活動の一環として生体情報を収集する可能性がわずかでもある企業や組織は、たとえ現時点で必要性が認められない場合であっても、直ちにBIPA準拠の通知・同意方針を策定し実施すべきである。イリノイ州で事業を展開しているにもかかわらず、生体データ収集・利用方針を未整備の組織は、経験豊富な法律顧問と協議の上、方針策定を検討すべきである。