2024年1月16日、ニュージャージー州知事フィル・マーフィーは、ニュージャージー州の消費者データプライバシー法であるニュージャージー州データプライバシー法(NJDPA)を制定する上院法案(SB)332に署名しました。この法律は2025年1月15日に発効します。 この法律により、ニュージャージー州は 2024 年に包括的なプライバシー関連法を施行する最初の州となり、同様の法律を制定している 13 の州に加わることになります。連邦レベルでの立法が当面停滞している状況において、NJDPA は、州レベルでの消費者の個人データ保護の強化に対する全国的な関心の高まりを象徴するものです。
ニュージャージー州消費者データ保護法(NJDPA)は、カリフォルニア州プライバシー権法(CPRA)、コロラド州プライバシー法(CPA)、バージニア州消費者データ保護法(CDPA)など他の包括的な州プライバシー法と多くの類似点を共有しているものの、重要な相違点も存在する。したがって、既存の消費者データプライバシー法への準拠だけではNJDPAの要件を満たせない可能性があり、企業は各州が採用する独自の要件とアプローチへの準拠を確保しなければならない。
適用範囲と免除
適用基準
NJDPAは、ニュージャージー州で事業を行う、またはニュージャージー州の居住者を対象とした製品・サービスを提供する事業者(管理者)に適用され、かつ暦年において以下のいずれかの基準を満たす場合に適用される:
- ニュージャージー州の消費者10万人以上の個人データを管理または処理する(支払取引の完了のみを目的として管理または処理されるデータを除く)、 または
- ニュージャージー州の消費者25,000人以上の個人データを管理または処理し、個人データの販売から収益を得ている、または商品・サービスの価格割引を受けている。
特に、コロラド州のCPAと同様に、NJDPAは企業がデータ販売から得る収益の割合に関する収益基準を定めていない。 他のほとんどの現行州プライバシー法は、企業が個人データ販売から年間収益の25%から50%を得ている場合にのみ一般的に適用される。さらに、NJDPAの適用にはいかなる形の収益基準も関与しない。つまり、個人データの処理が最小限の企業は、収益が高くても同法の適用対象とならない可能性がある。
個人データ
NJDPAは、事業体または「管理者」による「個人データ」の処理に適用される。個人データとは、「特定された個人または特定可能な個人に関連付けられている、または合理的に関連付け可能な情報」と定義される。個人データには、匿名化されたデータおよび公開データは明示的に含まれない。
消費者向けデータと商用データ
重要な点として、NJDPAは消費者データと雇用・商業データとの間に明確な境界線を引いている。 NJDPAが適用されるのは「消費者」に関する情報のみであり、消費者とはニュージャージー州の居住者で、個人または世帯の文脈においてのみ行動する者と定義される。したがって、カリフォルニア州のCPRAを除くほとんどの州のプライバシー法と同様に、NJDPAは商業的または雇用関連の文脈で行動する個人(求職者としての立場や、雇用関連の文脈で行動する他の個人の受益者としての立場を含む)に関する情報には適用されない。
免除
NJDPAには、州機関や医療保険の携行性と責任に関する法律(HIPAA)、グラム・リーチ・ブライリー法(GLBA)、公正信用報告法(FCRA)によって規制されるデータなど、現在では一般的な多くの免除事項が含まれています。 ただし、NJDPAにはHIPAA規制対象機関に対する免除規定や、非営利団体・高等教育機関(またはFERPA対象の教育データ)が処理する免除データに関する規定は含まれていない。
さらに、前述の通り、NJDPAにおける個人データの定義は、匿名化データおよび公開情報(パブリックリー・アベイラブル・データ)を明示的に除外している。NJDPAにおける匿名化データへのアプローチはバージニア州CDPAと同様であり、管理者はデータを匿名化した状態を維持することを「公に約束」し、データの受領者に対しても同様の遵守を契約上義務付けることを要求している。 したがって、NJDPAの適用対象となる事業者は、匿名化データの共有に関わる契約の見直しと改訂が必要となる可能性がある。また、NJDPAにおける「公的に利用可能な情報」の定義は、CPRAなどの法律よりも広く、政府記録から合法的に提供された情報だけでなく、管理者が消費者が一般公衆に合法的に提供したと合理的に信じる根拠がある情報も含まれる。
事業上の義務
NJDPAは個人データの管理者に対し、いくつかの義務を課しています。これらの義務は、事業者が個人データを責任を持って透明性をもって取り扱うことを確保するために設けられています。
透明性
他の消費者データプライバシー法と同様に、管理者は消費者に合理的にアクセス可能で、明確かつ意味のあるプライバシー通知を提供しなければならない。プライバシー通知には以下の情報を含めなければならない:
– 処理される個人データのカテゴリー
– 個人データの処理目的
– データが開示される第三者のカテゴリー
– 消費者が法律に基づき権利を行使する方法(下記「消費者の権利」参照)。
– プライバシー通知の重要な変更について消費者に通知する方法。
– 問い合わせ用の能動的な電子連絡方法。
管理者が個人データを第三者に販売する場合、またはターゲティング広告やプロファイリング目的で個人データを処理する場合、プライバシー通知において当該販売または処理を明確かつ目立つ形で開示しなければならない。また、消費者が当該販売または処理をオプトアウトできる方法についても説明しなければならない。管理者は、販売・ターゲティング広告・プロファイリング目的の処理をオプトアウトした消費者を差別することを禁止される。
ユニバーサルオプトアウトメカニズム
NJDPA発効日から6か月後より、ターゲティング広告、個人データの販売、またはプロファイリングを目的として個人データを処理する管理者に対し、ユーザーが選択するユニバーサルオプトアウト機能を通じて当該処理からのオプトアウトを消費者に許可することが義務付けられる。カリフォルニア州およびコロラド州は既に、この目的でのGeneral Privacy Control(GPC)ブラウザシグナルの使用を承認している。
特定の処理に関する同意の取得
管理者は、機微なデータを処理する前に明示的な同意(オプトインによる)を取得しなければならない。これには以下の情報が含まれる: 人種または民族的出自、宗教的信念、精神的または身体的健康状態、治療、診断を明らかにする情報;性生活または性的指向;市民権または移民ステータス;トランスジェンダーまたはノンバイナリーとしてのステータス;個人を唯一無二に識別する目的で処理される可能性のある遺伝的または生体認証データ;または正確な地理的位置データ。
管理者は、以下の個人データの処理に先立ち、同意を取得しなければならない:(i) 13歳未満の未成年者(連邦児童オンラインプライバシー保護法(COPPA)に従ってデータを処理すること)、および(ii) 13歳から16歳の未成年者(ターゲティング広告、消費者の個人データの販売、または消費者に関する法的または同等の重大な影響を及ぼす決定を促進するためのプロファイリングを目的とする場合)。
データ保護評価
NJDPA(コロラド州CPAに類似)は、管理者が消費者に対する「危害のリスクが特に高い」データを処理する前に、データ保護評価を実施し文書化することを義務付けています。「危害のリスクが特に高い」とは、以下のように定義されます:
- プロファイリングまたはターゲティング広告を目的とした個人データの処理
- 個人データの「販売」
- 「機微なデータ」の処理
- プロファイリングを行うための個人データの処理が、以下の合理的に予見可能なリスクをもたらす場合:
- 消費者に対する不当または欺瞞的な取扱い、または違法な差別的影響
- 消費者に対する金銭的または身体的損害
- 消費者の孤独や隔離状態、あるいは私的な事柄や関心事に対する物理的その他の侵入であって、その侵入が合理的な人物にとって不快である場合
- その他の消費者に対する重大な損害。
加工業者との契約
他の消費者データプライバシー法と同様に、管理者は、NJDPAの義務を満たす処理者と、特定の条項を含む契約を締結しなければならない。
消費者権利
他の消費者データプライバシー法と同様に、NJDPAは消費者に以下の権利を付与します:事業者が自身の個人データを処理しているか確認する権利、自身の個人データにアクセスする権利、個人データの不正確な部分を修正する権利、個人データを削除させる権利、および年2回、自身の個人データをポータブルな形式で取得する権利。 消費者は、以下の目的での個人データ処理をオプトアウトする権利を有します:(a) ターゲティング広告、(b) 個人データの販売、(c) 自身に関する法的または同等の重大な影響を及ぼす決定を促進するためのプロファイリング。
管理者は、消費者権利請求を受領後45日以内に回答することが求められており、特定の状況下ではさらに45日の延長が認められる。また管理者は、年1回に限り請求された情報を無償で提供し回答する義務を負うが、12か月以内に追加で請求があった場合には料金を請求できる。
執行
ニュージャージー州消費者データ保護法(NJDPA)は、消費者による私的訴訟権を認めていません。代わりに、他の多くの州の消費者データ保護法と同様に、NJDPAはニュージャージー州司法長官によって排他的に執行されます。法律の施行日から最初の18か月間、管理者は違反を是正するための30日間の是正期間が与えられます。管理者がこの期間内に違反を是正しなかった場合、司法長官による執行措置が取られる可能性があります。
消費者問題局は、NJDPAを実施するための規則を制定することができる。
罰金
NJDPAは法定罰金を規定していない。ただし、NJDPA違反はニュージャージー州消費者詐欺法違反を構成し、初回違反では最大10,000米ドル、再犯では最大20,000米ドルの罰金が科される可能性がある。
企業への影響
NJDPAは、2024年に増加する業界別・州別のプライバシー法パッチワークに加わる見込みの多くの法律の先駆けとなる。 したがって、新規法の対象となる可能性のある組織は、コンプライアンス達成に向けた取り組みを積極的に進めることが極めて重要です。カリフォルニア州のCPRA、コロラド州のCPA、バージニア州のCDPAなど、既に施行されている消費者データプライバシー法へのコンプライアンスを既に達成している、または現在達成に向けて取り組んでいる組織にとっては、それらの取り組みや、それらの法律に基づいて採用された方針・手順と、新規法への対応にはかなりの重複が生じる可能性が高いでしょう。 しかしながら、他の類似プライバシー法の対象となっていない組織は、コンプライアンス確保のために多大なリソースを投入する必要が生じる可能性が高いです。したがって、組織は将来のコンプライアンス負担を軽減しつつ遵守を確保するため、以下の活動を優先すべきです:
- データマッピングを実施し、組織が処理・管理するデータの種類、データの利用目的、および全てのデータが必要かどうかを把握する。
- プライバシー影響評価を実施する。
- 「危害リスクの増大」を伴う処理について、独立したサイバーセキュリティ監査会社との契約を開始する。
- NJDPAの新たな要件および義務に準拠するため、方針と手順を更新する。
- 消費者が新たな権利を行使できるようにするための業務プロセスの開発を開始する。
- 組織が、NJDPAの要件に準拠した、合理的にアクセス可能で、明確かつ意味のあるプライバシー通知を有していることを確保する。
- 第三者データ処理業者との業務関係を再検討し、各当事者の役割と潜在的な要件を理解する。
ニュージャージー州データプライバシー法およびその要件に関する詳細情報、またはコンプライアンスに関する支援については、本稿の執筆者いずれか、もしくはFoleyのサイバーセキュリティ・データプライバシー専門分野のパートナーまたはシニアカウンセルまでお問い合わせください。
