欧州連合(EU)の一般データ保護規則(GDPR)が施行されて1年となる今、Microsoftの副ゼネラルカウンセルを務めるJulie Brill氏は、EUと同種の連邦プライバシー法を米国でも採択するよう、米国議会に呼びかけている。
プライバシー擁護活動家のMax Schrems氏は、GDPRが施行された2018年5月25日に、Googleによる「強制された合意」について苦情を申し立てており、Googleは2019年1月に5000万ユーロ(約62億円)の制裁金を科されている。そしてMicrosoftもGoogleほどではないものの、GDPRの厳しい規制の影響を受けているようだ。
注目されるのは、米国が果たして、企業による個人データ保護の負担が増すGDPRのような法律を導入するか、また導入するならば、いつになるかという点だ。
Microsoftのプレジデント兼最高法務責任者を務めるBrad Smith氏は1月に、2019年は州レベルでいくつかの規制が導入される可能性があることから、米国のプライバシー規制は大きな転換点を迎えるだろうと予測した。2018年には、米国で最も厳格なものとなる「カリフォルニア州消費者プライバシー法」(CCPA)が成立している。
そして今度は、米連邦取引委員会(FTC)の元委員で、現在はMicrosoftの副ゼネラルカウンセルのJulie Brill氏が、米国のプライバシー規制について見解を明らかにした。
「米国では、米国消費者の個人データの取り扱いを強化することについて高い関心があるものの、EUやそのほかの国々のように、日常生活における人々のテクノロジーの利用法について明確に定めた国家レベルの法案を制定していない」とBrill氏は語る。
「米国議会も世界にならい、GDPRのプライバシー保護の内容を米国市民に拡大する連邦法を成立させる時が来た」(同氏)
米国で事業を展開する企業は、州レベルの規制を寄せ集めたパッチワーク状態の中で業務をせねばならず、多国籍の米企業は主要な国際市場とはかみ合わない、州単位の規制に対処しなければならなくなるというリスクがある。
カリフォルニア州のCCPAは、2020年1月1日に施行される。同州は米国人口の10%以上を占め、米国で人口が最も多い州である。カリフォルニア州民にサービスを提供する企業はすべて、CCPAへの準拠が求められる。
Brill氏は、米国議会が「プライバシーの基本的権利を擁護する規制を通じて、人々が個人情報の管理を強化できるようにしつつ、企業が収集する個人データの利用法について、一層の説明責任と透明性とを求めるべきだ」としている。
GDPRの場合、規制当局は違反した企業に制裁金として、世界の年間売上高の最大4%まで課すことができる。
こうした厳格な規制は、小模企業にとって厳しいものとなる一方、EUやGDPRを基準とするそのほかの国々の法規制と調和していれば、Microsoft、Apple、Facebook、Googleなどの大企業はもとより、国際的に取引をするすべての米企業にメリットをもたらす可能性がある。
Brill氏は、「米企業にとって、米国の法律とGDPRの相互運用性は、企業が事業を展開している国で、プライバシー保護に関する異なる要件や矛盾する要件を満たす別個のシステムを構築する必要をなくし、順守のためのコストと複雑さを低減させるものとなるだろう」と述べた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。