出典:Alamy Stock Photo(designer491)
新たなプライバシー法やサイバーセキュリティ法に追随することは、企業にとって難題であることが明らかになっている。とりわけ、そもそもどの法律が自社に適用されるのかを理解するのに苦労しているためだ。この傾向は2026年も続くだろう。
テクノロジーは年々、より速いペースで進歩している。人工知能(AI)は、第三者リスクの増大を伴いながらデータとプライバシーに関する懸念を拡大させ、状況をさらに複雑にした。新しいツールは、データ収集と共有の課題、規制の複雑化、そして異なる攻撃ベクトルをもたらした。
AIの有無にかかわらず世界のオンライン化が進むにつれ、価値あるデータと個人のプライバシーを守るため、改正法や新たな立法がそれを反映しようとしている。2025年には、司法省が新たなデータ・セキュリティ・プログラムのコンプライアンスを発表し、連邦取引委員会(FTC)が児童オンラインプライバシー保護法(COPPA)を更新し、米国保健福祉省(HHS)が医療保険の携行性と責任に関する法律(HIPAA)セキュリティ規則の改正案を提案した。
これら3つはいずれも、この10年で環境がいかに劇的に変化したかを浮き彫りにし、組織にとってコンプライアンスがいかに難しいかを示した。2026年にどのような新たなプライバシー法・サイバーセキュリティ法が登場するか――特に連邦レベルでは――予測は難しいが、コンプライアンスの苦労が続くことは明らかだ。
「環境の変化があまりにも速く、頻繁であることが、さらに難しさを増しています」と、McDermott, Will and Schulteのプライバシー/サイバーセキュリティ担当パートナーであるデビッド・サンダースは言う。「理解はできますが、常に変わり続ける状況で企業にコンプライアンスを期待するのは難しい。ある時点で、コンプライアンスに対して抑止的な効果すら生みます。」
2026年の議題は何か?
2026年、コンプライアンスは企業にとって大規模プロジェクトになる可能性が高い。多くの企業はいまだに、2025年に発表または成立した法律への対応に追われている。しかし、新法が最終的に落ち着いた段階で活用できる教訓は多い。
サンダースによれば、主要な法的動きとして――アプリの最低年齢要件、データプライバシー要件の拡大、そして人事領域におけるAI利用の規制――の3点が、現在McDermott, Will and Schulteの米国顧客にとって最大の関心事だという。
アプリの年齢シグナル(年齢確認)法は引き続き最大の懸念事項である。米国の州規制では、GoogleやAppleのようなアプリストア、ならびに開発者に対し、ダウンロード時、そして――少なくとも理論上は――購入時に年齢確認を求めることになる。
12月下旬、連邦判事はテキサス州上院法案(App Store Accountability Actとしても知られる)について、1月1日に施行予定だったものを一時的に差し止めた。ルイジアナ州の同様の法律は12月に州最高裁で無効とされた(州司法長官は上訴すると述べた)が、ユタ州では別の法律が2025年半ばに成立している。
それでも企業はこの問題に強く注目している。AppleとGoogleがAPIドキュメントを公開したからだとサンダースは言う。厳しい期限の下、新しいフレームワークや標準に適合させるためにコード変更を急いだ開発者もいるかもしれない。APIドキュメントはまた、例えば13歳未満の子どもに制限されるコンテンツを確実にゲートする責任を、開発者に追加で課すことにもなった。
多くの企業はテキサス州法の理解に追われており、次にユタ州とルイジアナ州で何が起きるのかを警戒している。
「これらの法律は前例のないものだったため、依然として最大の関心事です」とサンダースは言う。多くの企業は年末に準備に奔走したが、施行の数日前に裁判所が差し止めたため、混乱が残ったという。さらに、上訴によって状況が宙に浮いたままだとも述べる。 「法的な争いは予想していますが、それでも当面、企業は少なくとも準備しなければなりません。」
化粧品会社や広告収益に依存する企業は、とりわけ年齢制限法への対応に苦慮しているとサンダースは付け加える。アプリ内で販売されるすべてのSKUに年齢を割り当てる必要があり、企業によっては対象商品が非常に幅広くなる可能性がある。実装上の課題は、時間不足に起因している。
「これは立法のやり方としても、コンプライアンスを求めるやり方としても良くありません」とサンダースは警告する。「立法者に悪意があるとは思いません。ただ、それに伴う負担を十分に理解していないのだと思います。」
今後さらに増える
カリフォルニア州消費者プライバシー法(CCPA)の新要件も、多くの企業にとって大規模プロジェクトにつながる。要件の多くは技術的にはすでに有効だが、義務的なサイバーリスク監査とリスク評価は来年から施行されるとサンダースは言う。CCPAはまた、機微情報、データ収集、同意通知に関して、新たにより厳格な要件を追加する。準備は今から始まっている。
最後に、人事領域のAI法も、2026年に向けて企業が注目するもう一つの焦点であり、採用・解雇・昇進の意思決定においてどのように使われているかが問われる。履歴書のスクリーニングは重要なユースケースの一つだ。AIを使えば、人事チームは500通の履歴書を瞬時に仕分けしたり、高いパフォーマーを抽出するツールを使ったりできる。
しかしこれは、差別やバイアスの懸念を引き起こす――AIに関わるあらゆる事柄に共通する重大なリスクである。州当局もこうした実務に理解を深めており、すでに複数の州が労働分野でのAI利用を規制する法律を成立させているとサンダースは言う。 例えば、イリノイ州は法律を成立させ、差別懸念の高まりに対応するため、人権法を改正した。これは1月1日に施行された。
「今年、企業はこうした法律がすでに存在しているという事実に追いつき始めています」と彼は言う。
トランプ政権、サイバー政策は「一貫性に欠ける」
Wilson Sonsiniのデータ/サイバーセキュリティ/プライバシー担当パートナーであるデミアン・アンによれば、HIPAAセキュリティ規則の改正案は、多くの顧客にとって大きな疑問点だという。規制は当初提案されたほど詳細な指示的内容にはならない可能性があると彼は見ているが、国家安全保障に関連する他の規制は司法省のデータ・セキュリティ・プログラムと整合するだろう。規則の一つである重要インフラに関するサイバーインシデント報告(CIRCIA)は、2026年5月に実施される予定だ。
しかし、2026年の連邦レベルの法的環境を予測すると、多くの不確定要素が残る。
「2025年、トランプ政権のサイバーセキュリティに関する取り組みは一貫性に欠け、まだ途上です」とアンは言う。「多くの政権関係者や議員が重視してきた“調和(ハーモナイゼーション)”と、提案されていた規制を単に実施しないこととの間には、大きな違いがあります。」
この傾向が続けば、政権は既存法の執行を進め、国家安全保障上の含意を持つ産業で事業を行う組織に対して新たな制度を実装する可能性が高い。サイバーセキュリティの態勢という観点では、AIが引き続き見出しを独占するだろう。
州レベルでは企業は何を想定すべきか?
新年以降も、企業は州による執行が続くと見込める。司法長官事務所は、連邦の執行が弱まる時代に入ったと捉え、責任が州に移ると考える可能性が高いとアンは明かす。要するに、埋めるべき空白に州が入り込むということだ。
サンダースも同意見で、連邦レベルでプライバシーやAI分野における大きな立法は見込んでいない。
「連邦レベルで何か起きたら、ニッケル硬貨をあげますよ」とサンダースは言う。「州レベルが中心であり続けると思います。率直に言って、それはより複雑で、企業にとってより負担の大きいコンプライアンスの枠組みを持ち込みます。」
企業としては、特にプライバシー分野では連邦法を望むとサンダースは付け加える。州ごとに異なる立法への適合を確保しなければならないのは難しい。また、AIや、サイバーセキュリティに関連するプライバシーを理解していない立法者が、適切に立法するのは難しいと彼は警告する。
2026年は想定外を想定せよ
2026年に何が発表・制定されようとも、どの法律が適用されるのかを見極めることは、企業にとって最も難しい側面の一つである。サンダースによれば、弁護士にとっても難しい。各州が、文言がわずかに異なるだけの独自定義を好むからだ。
「私の世界でプライバシーが面白いのは、今年、予想していなかった何かが必ず起きることです」とサンダースは言う。
企業があらゆる法域のすべての法律を把握するという考えは、達成可能な目標ではないとサンダースは述べ、地球上に100%プライバシー準拠の企業など存在しないと付け加える。現時点での助言は、企業が新法、立法、コンプライアンス基準をできる限り継続的に把握するよう努めることだ。
「問題は、どれが最大のリスクを生み、最も投資を必要とするものなのかをどう見つけるかです」と彼は言う。「重要なものを押さえ、それらへのコンプライアンスを対応すれば、通常は非常に良い波及効果があり、ほとんど偶然に、適用される他の法律――自分では存在すら知らなかったかもしれない法律――にも準拠できることが多いのです。」
