近年、世界的に個人情報保護に関する法律の制定が急激に進んでいる中、日本でも2022年4月に個人情報保護法が改正となります。
ヨーロッパのGDPRを皮切りに世界の個人情報保護に関する熱が一気に高まったと言っても過言ではありません。

米国ではどうなっているのでしょうか？
GDPRに追いつけ追い越せと年々厳しい法律が立案・施行されています。今回は米国内のプライバシー保護に関する法律について見ていきましょう。

アメリカの個人情報保護法

日本と異なるアメリカの制度は「州ごとに法律が異なる」という点です。

• 連邦法：国の法律
• 州法：米国50州にそれぞれ存在する

日本で例えれば「岩手県と愛媛県では法律が違うのよね」と言ったところ。さらに国の法律である連邦法はと各州の法律が正反対の時もあるので、グレーゾーンがたくさんるという不思議な制度。

連邦法

米国では国単位（連邦）での個人情報をまるっと保護する法律は存在しないのが現状なのです。

The United States doesn’t have a singular law that covers the privacy of all types of data. Instead, it has a mix of laws that go by acronyms like HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA, and VPPA.

Wirecutter

健康保険に関するHIPAA、信用調査に関するFCRA、教育権利に関するFERPA、子供のオンラインでのプライバシー保護法のCOPPAなどなど、現在は分野ごとの細かい法律に分かれているのが現状です。

上記の表の通りプライバシーに関する立案は常にされてい上、連邦での非常に厳しい個人情報保護に関する法律が制定されるのではないかとの話も近年高まっています。正直、毎年言われているのですが、実際にほんとにやる気なのか？という部分は疑問でもあります。

プライバシー保護に関する各州法

米国内ではここ数年でプライバシー保護に関する立案が相次いでいます。マップの赤い部分は議会で承認されて法律として制定されたもの、緑や青は現在議会で話合われている状況です。

承認された法律

既に2020年に施行されているカリフォルニア州のCCPAを除いて、他の4つの法律が2023年の1月に施行されることになります。

カリフォルニア州

• CCPA California Consumer Privacy Act (2018; effective Jan. 1, 2020)
• Proposition 24 California Privacy Rights Act (2020; effective Jan. 1, 2023)

コロラド州

• SB 190 Colorado Privacy Act (2021; effective July 1, 2023) 

バージニア州

• SB 1392 Virginia Consumer Data Protection Act (2021; effective Jan. 1, 2023)

ユタ州

• SB 227 Utah Consumer Privacy Act (2022; effective Dec. 31, 2023)

審議中の法案

すでにサインされている4州以外でも、下記にこれほどの州がプライバシー保護に関する法律を制定しようとしているということは、間違いく今後厳しくなっていくという傾向が見て取れます。

Alaska	Massachusetts	Ohio
Connecticut	Minnesota	Oklahoma
Georgia	Nebraska	Pennsylvania
Iowa	New Jersey	Rhode Island
Kentucky	New York	Vermont
Maryland	North Carolina

カリフォルニア州の個人情報保護法

アメリカ国内で最も早く強力なプライバシー保護法を施行したカリフォルニア州では、その3年後となる2023年に更に協力な法律の施行が迫っています。

CCPA（カリフォルニア州消費者プライバシー法）

CCPA（California Consumer Privacy Act）は2020年1月に適用が開始となった法律です。

CPRA（カリフォルニア州プライバシー権法）

CPRA（California Privacy Rights Act）は2023年1月に施行されるカリフォルニア州の新しい法律。正直、CCPAとCPRAは頭文字がぱっと見似ているのでどちらがどちらか混乱するのですが、違う法律です。CPRAは先に施行されたCCPAよりもさらに協力な法律になっており、CCPAのバージョン２のようなイメージの法律です。

実際、私生活にはどんな変化が？

カリフォルニアで生活している中で、私生活の中でも良く個人情報に関する情報を目撃するようになりました。

消費者としての変化

銀行や政府、利用しているサービスから「プライバシーポリシーの変更について」といった通知や郵便物が届くようになりました。法が施行された直後でも対策を取っていない大企業も多く不思議に思いましたが、次のCPRAの施行に向けて対策を強化し始めているので、2021年は良く通知を見かけた気がします。

---

Chase銀行の例

やはり銀行はセンシティブな個人情報を多く取り扱うと業種であるため、CCPAの対策がきっちりと行われている印象でした。Chase銀行のCCPA専用ページにはどのように個人情報を取り扱っているか等が分かりやすく記載されています。

また、自身の個人情報の照会や削除依頼の専用ページも設置されています。

今後の展望

下記の図は、プライバシーに関する法律制定の州別の伸びを示しています。

2018年に議会に提出された法案はたった2案だったのにも関わらず、2021には23州で29もの案が提出されています。たった3年で15倍にも伸びていることになります。

米国内だけでも個人情報に関する法律がヒートアップしていますが、これは日本にももちろん世界にも同じことが言えます。企業としては責任の増加と対応に追われることになり大変ですが、個人の立場としては自身のプライバシーを守るという意味でとてもありがたい世の中の流れになっていますね。

今後数年で大きな変化を見せる個人情報保護法、注目して見ていきたいものです。