超党派の米連邦データ保護法が米国の2人の議員によって起草され、すべての米国市民のプライバシー権を法制化し、執行することを目指している。
下院エネルギー・商業委員会委員長のキャシー・マクモリス・ロジャーズ下院議員(共和党・ワシントン州第5区)と、上院商業・科学・運輸委員会委員長のマリア・キャントウェル上院議員(民主党・ワシントン州)は、2024年4月7日にこの法案草案を公表した。
両氏はこの草案をAmerican Privacy Rights Act(米国プライバシー権法)と名付けた。
この全国法は、米国市民が自身の個人データをより強く管理できるようにし、巨大テック企業が当該情報を処理、移転、販売する能力を制限することを目的としている。
また、組織に対し、保有する個人データがハッキングや盗難に遭わないよう、より強固なサイバーセキュリティ基準を義務付けるとともに、違反に対する執行権限を連邦取引委員会(FTC)、各州、および個人に付与する。
- 企業が年齢を問わず人々について収集・保持・利用できるデータを、製品やサービス提供に実際に必要な範囲に最小化する
- 個人データの移転や販売の防止、企業がプライバシーポリシーを変更した場合のデータ処理のオプトアウトなど、個人データの利用方法を市民がより強くコントロールできる権限を付与すること、ならびに
- 機微データを第三者へ移転する前に、組織が明示的な同意を取得することを義務付けること
- 住居、雇用、医療、与信機会、教育、保険、または公共の宿泊施設へのアクセスに関する判断において、人々の個人情報を用いて差別することを企業に禁じること
- プライバシー権を侵害した組織を個人が提訴できる権利を付与すること
- データがハッキングまたは盗難に遭うことを防ぐ強固なデータセキュリティ基準を義務付けること
- 連邦取引委員会、各州、および消費者が違反に対して執行できるようにすること
ロジャーズ氏は次のように述べた。「この画期的な法案は、米国民に対し、自分の情報がどこへ行き、誰がそれを販売できるのかをコントロールする権利を与えるものです。本人の認識と同意なしに、利益のために人々の行動を追跡し、予測し、操作することを禁じることで、巨大テック企業を抑制します。米国民の圧倒的多数はこれらの権利を望んでおり、選挙で選ばれた代表である私たちが行動することを求めています。」
連邦プライバシー法が州法の「パッチワーク」を解消へ
EUの一般データ保護規則(GDPR)に類似した原則に基づく米国の全国プライバシー法の必要性は、専門家によって数年にわたり議論されてきた。
現在、米国の一部の州は、カリフォルニア州、バージニア州、コネチカット州、ユタ州など、独自のデータプライバシー法を可決している。
2024年4月6日、メリーランド州議会は、Maryland Online Data Privacy Act of 2024(2024年メリーランド州オンラインデータプライバシー法)という同等の独自法を可決した。本稿執筆時点では、この法律は州知事の署名を待っている。
しかし、このような法制のパッチワークにより、全米で米国市民に与えられるデータプライバシー保護の水準が州によって異なることになっている。さらに、この分野における州ごとの不統一な規則は、全国で事業を展開する企業にとって追加の負担を生み、企業は州ごとに比較的小規模なユーザー集団に対して、別個で極めて具体的なプロトコルを整備せざるを得なくなっている。
ロジャーズ氏とキャントウェル氏は、自分たちの法案草案が、米国における全国的なデータプライバシーおよびセキュリティ基準を確立するための、数十年で最良の機会だと述べた。
両氏は次のように述べた。「この画期的な法案は、下院と上院の双方で長年にわたって誠実に取り組んできた努力の集大成です。議会で包括的なデータプライバシー法制を前進させるうえで重要な論点について、意義あるバランスを実現しています。米国民は自分のデータをコントロールする権利に値します。下院・上院の同僚がこの法案に加わり、法律として署名されるようにできることを期待しています。」
翻訳元: https://www.infosecurity-magazine.com/news/us-federal-privacy-law-legislators/
