外国制度(アメリカ合衆国)

法制度

連邦

連邦政府の個人情報の保護に関する法律についての調査報告pdf版はこちら (PDF : 874KB)リンク先PDFファイルを別ウィンドウで開きます

個人情報の保護に関する制度の有無

包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。

  • 電子通信プライバシー法(Electronic Communications Privacy Act of 1986)(以下「ECPA」という。)
    • URL: https://bja.ojp.gov/program/it/privacy-civil-liberties/authorities/statutes/1285リンク先コンテンツを別ウィンドウで開きます
    • 施行状況:1986 年 10 月 21 日施行
    • 対象機関:個人データの電子的保存 ※1を行う公的部門(地方自治体を含む。)及び民間部門
    • 対象情報:「電子通信」(有線又は電子システムによって全部又は部分的に送信される、あらゆる性質の記号、信号、文章、画像、音声、データ、又は情報の伝達)
  • グラム・リーチ・ブライリー法(Gramm Leach Bliley Act)(以下「GLBA」という。)
  • 医療保険の携行性と責任に関する法律(Health Insurance Portability and Accounting Act)(以下「HIPAA」という。)
    • URL:https://www.cdc.gov/phlp/publications/topic/hipaa.html
    • 施行状況:1996 年 8 月 21 日施行
    • 対象機関:公的機関(地方自治体を含む。)及び民間機関
    • 対象情報:「保護されるべき健康情報(Protected Health Information)」(健康状態、医療の提供、医療費の支払いに関連する情報で、個人に結びつけることが可能なもの)

個人情報の保護に関する制度についての指標となり得る情報

  • EU の十分性認定※2:なし
  • APEC の CBPR システム※3:2012 年 7 月 25 日参加

OECD プライバシーガイドライン8原則※4に対応する事業者等の義務又は本人の権利

APEC の CBPR システム参加エコノミーである場合、民間部門については、外国にある第三者に対する個人データの提供に伴うリスクについての本人の予測可能性は一定程度担保されると考えられるため、本項目に係る情報提供は必ずしも行う必要がない。

公的部門に関し、OECD プライバシーガイドライン8原則に対応する公的部門の主体の義務又は本人の権利については、以下のとおり。

  • ① 収集制限の原則:HIPAA に一部規定されている。
  • ② データ内容の原則:該当する規定は不見当である。
  • ③ 目的明確化の原則:該当する規定は不見当である。
  • ④ 利用制限の原則:ECPA 及び HIPAA に一部規定されている。
  • ⑤ 安全保護の原則:HIPAA に一部規定されている。
  • ⑥ 公開の原則:該当する規定は不見当である。
  • ⑦ 個人参加の原則:HIPAA に一部規定されている。
  • ⑧ 責任の原則:該当する規定は不見当である。

その他本人の権利利益に重大な影響を及ぼす可能性のある制度

  • 個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの

  • 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの

【留意すべき事項】

  • 個人情報の保護に関する法律(平成 15 年法律第 57 号)(以下「個人情報保護法」という。)第 28 条第 2 項の趣旨には、外国にある第三者に対する個人データの提供に伴うリスクについて、本人の予測可能性を高めるという点のほか、外国にある第三者に対して個人データを提供する事業者においても、従前以上に、提供先の外国にある第三者における事業環境等を認識することを促すという点が含まれる。

    また、事業者が同項に基づいて本人に対して提供すべき情報の具体的内容は、個別の事案に応じて異なり得る。したがって、外国における個人情報の保護に関する制度の確認は、外国にある第三者に対して個人データを提供する事業者の責任において行うべきものであり、当委員会が提供する上記参考情報は、あくまで補助的なものとして参照する必要がある。

  • 当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであり、あくまで当該調査を実施した 2021 年 10 月の時点における情報に基づくものである。当該時点以降、外国において個人情報の保護に関する制度が改正されること等により、外国にある第三者に対して個人データを提供する事業者が本人に対して提供すべき情報の内容にも変更が生じている可能性がある

  • 当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであるところ、当該調査は、以下の観点から調査対象の法令を限定して行ったものであり、必ずしも網羅的なものではない。外国にある第三者に対して個人データを提供する事業者は、上記参考情報以外にも関連する情報を保有している場合には、個人情報保護法第 28 条第 2 項及び個人情報の保護に関する法律施行規則(平成 28 年個人情報保護委員会規則第 3 号)第 17 条第 2 項に基づき、当該情報も本人に対して提供する必要がある。

    • 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
      • 個人情報の保護に関する包括的な法令を有しない外国における個別の分野に適用される個人情報の保護に関する法令
      • 個人情報の域内保存義務に係る制度に関する法令
      • 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令
    • 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令については、刑事法執行目的又は国家安全保障目的の双方又は一方の目的で、事業者の保有する個人情報に対して外国政府がアクセスを行う制度であって、当該法令上、事業者が外国政府に個人情報を提供することが義務付けられているものを調査対象としていること
  • ※1 「電子的保存」とは、電子的な送信に付随する通信の一時的、中間的な保存、及びバックアップ保護を目的とした電子通信サービスによる当該通信の保存を指す(18 U.S.C. §2511.)。
  • ※2 EU の十分性認定を取得した国又は地域は、当委員会が我が国と同等の保護水準にあると認められる個人情報の保護に関する制度を有する外国等として指定している EU(EU 加盟国及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン)の個人情報の保護に関する制度である GDPR 又はその前身のデータ保護指令に基づき、欧州委員会が十分なデータ保護の水準を有していると認められる旨の決定を行っている国又は地域であることから、概ね我が国と同等の個人情報の保護が期待できる。このような意味において、EU の十分性認定を取得した国又は地域であることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。
  • ※3  APEC の CBPR システム参加の前提として、APEC のプライバシーフレームワークに準拠した法令を有していること、及び CBPR 認証を受けた事業者やアカウンタビリティエージェントにおいて解決できない苦情・問題が生じた場合に執行機関が調査・是正する権限を有していること等が規定されていることから、我が国と同じく APEC の CBPR システムに参加しているエコノミーにおいては、APEC のプライバシーフレームワークに準拠した法令と当該法令を執行する執行機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できる。このような意味において、APEC の CBPR システム参加エコノミーであることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。なお、APEC の CBPR システムの対象は、民間部門である。
  • ※4  OECD プライバシーガイドライン8原則は、OECD 加盟国はもとより国際的な個人情報保護への取組において参照される基本原則としての役割を果たし、各国が個人情報保護制度を整備するにあたっては、事実上の世界標準として用いられている。

(令和 4 年 1 月 25 日更新)

イリノイ州

イリノイ州の個人情報の保護に関する法律についての調査報告pdf版はこちら (PDF : 906KB)リンク先PDFファイルを別ウィンドウで開きます

個人情報の保護に関する制度の有無

包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。

  • イリノイ州生体情報プライバシー保護法(Illinois Biometric Information Privacy Act. 740 ILCS 14 et seq.)(以下「BIPA」という。)
    • URL: https://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=3004&ChapterID=57 リンク先コンテンツを別ウィンドウで開きます
    • 施行状況:2008年10月3日施行
    • 対象機関:人、パートナーシップ、会社、有限責任会社、協会、又はその他のグループである民間団体
    • 対象情報:「生体認証情報」(個人を識別するために使用される個人の生体認証識別子に基づく情報)及び「生体認証識別子」(網膜又は虹彩のスキャン、指紋、声紋、又は手や顔の形状のスキャン)
  • 個人情報保護法(Personal Information Privacy Act . 815 ILCS 530/1 et seq.)(以下「PIPA」という。)
    • URL: :https://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=2702&ChapterID=67 リンク先コンテンツを別ウィンドウで開きます
    • 施行状況:2006年1月1日施行
    • 対象機関:非公開の個人情報を取り扱い、収集し、広め、又はその他の方法で取り扱うあらゆる事業者を含む「データ収集者」としての公的部門(地方自治体を含む。)及び民間部門
    • 対象情報:①個人のファーストネーム、又はファーストネームのイニシャル及びラストネームと、社会保障番号や運転免許証の番号等のデータ要素を組み合わせたものであって、氏名若しくはデータ要素が暗号化若しくは編集されていないか、又は暗号化若しくは編集されているものの、セキュリティ侵害により、暗号化解除若しくは編集解除の鍵、若しくはその他の方法により氏名若しくはデータ要素を権限なしに読み取ることができるようになったもの、及び②ユーザー名又は電子メールアドレスと、オンラインアカウントへのアクセスを許可するパスワード又はセキュリティ質問と回答の組み合わせであって、ユーザー名、電子メールアドレス、パスワード又はセキュリティ質問と回答のいずれかが暗号化又は編集されていないか、暗号化又は編集されているものの、暗号化解除又は編集解除その他の方法でデータ要素を読み取るための鍵がセキュリティ侵害によって入手されているもの
  • 医療保険の携行性と責任に関する法律(Health Insurance Portability and Accounting Act)(以下「HIPAA」という。)
    • URL:https://www.cdc.gov/phlp/publications/topic/hipaa.html
    • 施行状況:1996 年 8 月 21 日施行
    • 対象機関:公的機関(地方自治体を含む。)及び民間機関
    • 対象情報:「保護されるべき健康情報(Protected Health Information)」(健康状態、医療の提供、医療費の支払いに関連する情報で、個人に結びつけることが可能なもの)

個人情報の保護に関する制度についての指標となり得る情報

  • EU の十分性認定※1:なし
  • APEC の CBPR システム※2:アメリカ合衆国は2012年7月25日参加

OECD プライバシーガイドライン8原則※3に対応する事業者等の義務又は本人の権利

APECのCBPRシステム参加エコノミーである場合、民間部門については外国にある第三者に対する個人データの提供に伴うリスクについての本人の予測可能性は一定程度担保されると考えられるため、本項目に係る情報提供は必ずしも行う必要はないが、上記法令は州法であるため、本項目に係る情報提供を行う。

OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利については、以下のとおり。

  • ① 収集制限の原則:BIPAに一部規定されている。
  • ② データ内容の原則:該当する規定は不見当である。
  • ③ 目的明確化の原則:BIPAに一部規定されている。
  • ④ 利用制限の原則:BIPAに一部規定されている。
  • ⑤ 安全保護の原則:BIPA及びPIPAに一部規定されている。
  • ⑥ 公開の原則:BIPAに一部規定されている。
  • ⑦ 個人参加の原則:BIPAに一部規定されている。
  • ⑧ 責任の原則:該当する規定は不見当である。

その他本人の権利利益に重大な影響を及ぼす可能性のある制度

  • 個個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの

  • 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの

【留意すべき事項】

  • 個人情報の保護に関する法律(平成15年法律第57号)(以下「個人情報保護法」という。)第28条第2項の趣旨には、外国にある第三者に対する個人データの提供に伴うリスクについて、本人の予測可能性を高めるという点のほか、外国にある第三者に対して個人データを提供する事業者においても、従前以上に、提供先の外国にある第三者における事業環境等を認識することを促すという点が含まれる。また、事業者が同項に基づいて本人に対して提供すべき情報の具体的内容は、個別の事案に応じて異なり得る。したがって、外国における個人情報の保護に関する制度の確認は、外国にある第三者に対して個人データを提供する事業者の責任において行うべきものであり、当委員会が提供する上記参考情報は、あくまで補助的なものとして参照する必要がある。

  • 当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであり、あくまで当該調査を実施した2021年10月の時点における情報に基づくものである。当該時点以降、外国において個人情報の保護に関する制度が改正されること等により、外国にある第三者に対して個人データを提供する事業者が本人に対して提供すべき情報の内容にも変更が生じている可能性がある。

  • 当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであるところ、当該調査は、以下の観点から調査対象の法令を限定して行ったものであり、必ずしも網羅的なものではない。外国にある第三者に対して個人データを提供する事業者は、上記参考情報以外にも関連する情報を保有している場合には、個人情報保護法第28条第2項及び個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)第17条第2項に基づき、当該情報も本人に対して提供する必要がある。

    • 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
      • 個人情報の保護に関する包括的な法令を有しない外国における個別の分野に適用される個人情報の保護に関する法令
      • 個人情報の域内保存義務に係る制度に関する法令
      • 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令
    • 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令については、刑事法執行目的又は国家安全保障目的の双方又は一方の目的で、事業者の保有する個人情報に対して外国政府がアクセスを行う制度であって、当該法令上、事業者が外国政府に個人情報を提供することが義務付けられているものを調査対象としていること
  • ※1 EU の十分性認定を取得した国又は地域は、当委員会が我が国と同等の保護水準にあると認められる個人情報の保護に関する制度を有する外国等として指定している EU(EU 加盟国及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン)の個人情報の保護に関する制度である GDPR 又はその前身のデータ保護指令に基づき、欧州委員会が十分なデータ保護の水準を有していると認められる旨の決定を行っている国又は地域であることから、概ね我が国と同等の個人情報の保護が期待できる。このような意味において、EU の十分性認定を取得した国又は地域であることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。
  • ※2  APEC の CBPR システム参加の前提として、APEC のプライバシーフレームワークに準拠した法令を有していること、及び CBPR 認証を受けた事業者やアカウンタビリティエージェントにおいて解決できない苦情・問題が生じた場合に執行機関が調査・是正する権限を有していること等が規定されていることから、我が国と同じく APEC の CBPR システムに参加しているエコノミーにおいては、APEC のプライバシーフレームワークに準拠した法令と当該法令を執行する執行機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できる。このような意味において、APEC の CBPR システム参加エコノミーであることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。なお、APEC の CBPR システムの対象は、民間部門である。
  • ※3  OECD プライバシーガイドライン8原則は、OECD 加盟国はもとより国際的な個人情報保護への取組において参照される基本原則としての役割を果たし、各国が個人情報保護制度を整備するにあたっては、事実上の世界標準として用いられている。

(令和 4 年 1 月 25 日更新)

カリフォルニア州

カリフォルニア州の個人情報の保護に関する法律についての調査報告pdf版はこちら (PDF : 829KB)リンク先PDFファイルを別ウィンドウで開きます

個人情報の保護に関する制度の有無

包括的な法令として、以下の法令が存在する。。

  • カリフォルニア州消費者プライバシー法(California Consumer Privacy Act) (以下「CCPA」という。) 仮訳
    • URL: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?lawCode=CIV&division=3.&title=1.81.5.&part=4.&chapter=&article= リンク先コンテンツを別ウィンドウで開きます
    • 施行状況:2020年1月1日施行
    • 対象機関:消費者の個人情報を収集又は処理する民間の営利企業のうち、①年間総収益が2,500万ドルを超える企業、②年間5万件以上の消費者、世帯又はデバイスの個人情報を購入、受領、販売、共有している企業、③年間収益の50%以上を消費者の個人情報の販売から得ている企業
    • 対象情報:定の消費者又は世帯を識別し、関連し、叙述し、合理的に関連付けることができ、又は直接的に若しくは間接的に合理的にリンクさせることのできる情報

個人情報の保護に関する制度についての指標となり得る情報

  • EU の十分性認定※1:なし
  • APEC の CBPR システム※2:アメリカ合衆国は2012年7月25日参加

OECD プライバシーガイドライン8原則※3に対応する事業者等の義務又は本人の権利

APECのCBPRシステム参加エコノミーである場合、民間部門については外国にある第三者に対する個人データの提供に伴うリスクについての本人の予測可能性は一定程度担保されると考えられるため、本項目に係る情報提供は必ずしも行う必要がないが、上記法令は州法であるため、本項目に係る情報提供を行う。

OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利については、以下のとおり。

  • ① 収集制限の原則:上記法令に規定されている。
  • ② データ内容の原則:上記法令に規定されている。
  • ③ 目的明確化の原則:上記法令に規定されている。
  • ④ 利用制限の原則:上記法令に規定されている。
  • ⑤ 安全保護の原則:上記法令に規定されている。。
  • ⑥ 公開の原則:上記法令に規定されている。
  • ⑦ 個人参加の原則:上記法令に規定されている。
  • ⑧ 責任の原則:該当する規定は不見当である。

その他本人の権利利益に重大な影響を及ぼす可能性のある制度

  • 個個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの

  • 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの

【留意すべき事項】

  • 個人情報の保護に関する法律(平成15年法律第57号)(以下「個人情報保護法」という。)第28条第2項の趣旨には、外国にある第三者に対する個人データの提供に伴うリスクについて、本人の予測可能性を高めるという点のほか、外国にある第三者に対して個人データを提供する事業者においても、従前以上に、提供先の外国にある第三者における事業環境等を認識することを促すという点が含まれる。また、事業者が同項に基づいて本人に対して提供すべき情報の具体的内容は、個別の事案に応じて異なり得る。したがって、外国における個人情報の保護に関する制度の確認は、外国にある第三者に対して個人データを提供する事業者の責任において行うべきものであり、当委員会が提供する上記参考情報は、あくまで補助的なものとして参照する必要がある。

  • 当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであり、あくまで当該調査を実施した2021年10月の時点における情報に基づくものである。当該時点以降、外国において個人情報の保護に関する制度が改正されること等により、外国にある第三者に対して個人データを提供する事業者が本人に対して提供すべき情報の内容にも変更が生じている可能性がある。

  • 当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであるところ、当該調査は、以下の観点から調査対象の法令を限定して行ったものであり、必ずしも網羅的なものではない。外国にある第三者に対して個人データを提供する事業者は、上記参考情報以外にも関連する情報を保有している場合には、個人情報保護法第28条第2項及び個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)第17条第2項に基づき、当該情報も本人に対して提供する必要がある。

    • 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
      • 個人情報の保護に関する包括的な法令を有しない外国における個別の分野に適用される個人情報の保護に関する法令
      • 個人情報の域内保存義務に係る制度に関する法令
      • 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令
    • 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令については、刑事法執行目的又は国家安全保障目的の双方又は一方の目的で、事業者の保有する個人情報に対して外国政府がアクセスを行う制度であって、当該法令上、事業者が外国政府に個人情報を提供することが義務付けられているものを調査対象としていること
  • ※1 EU の十分性認定を取得した国又は地域は、当委員会が我が国と同等の保護水準にあると認められる個人情報の保護に関する制度を有する外国等として指定している EU(EU 加盟国及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン)の個人情報の保護に関する制度である GDPR 又はその前身のデータ保護指令に基づき、欧州委員会が十分なデータ保護の水準を有していると認められる旨の決定を行っている国又は地域であることから、概ね我が国と同等の個人情報の保護が期待できる。このような意味において、EU の十分性認定を取得した国又は地域であることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。
  • ※2  APEC の CBPR システム参加の前提として、APEC のプライバシーフレームワークに準拠した法令を有していること、及び CBPR 認証を受けた事業者やアカウンタビリティエージェントにおいて解決できない苦情・問題が生じた場合に執行機関が調査・是正する権限を有していること等が規定されていることから、我が国と同じく APEC の CBPR システムに参加しているエコノミーにおいては、APEC のプライバシーフレームワークに準拠した法令と当該法令を執行する執行機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できる。このような意味において、APEC の CBPR システム参加エコノミーであることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。なお、APEC の CBPR システムの対象は、民間部門である。
  • ※3  OECD プライバシーガイドライン8原則は、OECD 加盟国はもとより国際的な個人情報保護への取組において参照される基本原則としての役割を果たし、各国が個人情報保護制度を整備するにあたっては、事実上の世界標準として用いられている。

(令和 4 年 1 月 25 日更新)

ニューヨーク州

ニューヨーク州の個人情報の保護に関する法律についての調査報告pdf版はこちら (PDF : 947KB)リンク先PDFファイルを別ウィンドウで開きます

個人情報の保護に関する制度の有無

包括的な法令は存在しない。個別の分野に適用される法令のうち代表的なものとして、以下の法令が存在する。

  • ニューヨーク州ハッキング防止及び電子データセキュリティ改善法(New York Stop Hacks and Improve Electronic Data Security Act)(以下「SHIELD法」という。)
    • URL: https://www.nysenate.gov/legislation/bills/2019/s5575リンク先コンテンツを別ウィンドウで開きます
    • 施行状況:2020年3月21日施行
    • 対象機関:ューヨーク州の居住者の私的情報(private information)を含むコンピュータ化されたデータを保有又はライセンスする個人又は民間企業
    • 対象情報:「然人に関する情報であって、氏名、番号、個人的な特徴(personal mark)又はその他の識別子により、その個人を特定することができるもの
  • ニューヨーク州金融サービス局サイバーセキュリティ規則(New York Department of Financial Services Cybersecurity Regulation)(以下「NYDFSサイバーセキュリティ規則」という。)
    • URL: https://govt.westlaw.com/nycrr/Browse/Home/NewYork/NewYorkCodesRulesandRegulations?guid=I5be30d2007f811e79d43a037eefd0011&originationContext=documenttoc&transitionType=Default&contextData=(sc.Default)&bhcp=1 リンク先コンテンツを別ウィンドウで開きます
    • 施行状況:2017年3月1日施行
    • 対象機関:NYDFSの規制又は許認可を受けている銀行、保険会社、その他の金融サービス会社等の民間企業
    • 対象情報:一般に公開されていない全ての電子情報で、①対象事業者の事業関連情報で、改ざん又は不正な開示、アクセス若しくは使用により、対象事業者の事業、運営又はセキュリティに重大な悪影響を及ぼし得るもの、②個人に関する情報で、氏名、個人の特徴(personal mark)又はその他の識別子と、ソーシャルセキュリティナンバーや運転免許証番号又は非運転者用身分証明書番号等のいずれか1つ以上との組み合わせにより、当該個人を特定するために使用することができるもの、及び③年齢又は性別を除く、医療提供者若しくは個人により作成された又は個人から得られた、あらゆる形式又は媒体の、当該個人の家族の構成員の過去、現在若しくは将来の身体的、精神的若しくは行動的な健康又は状態等に関連するあらゆる情報又はデータ(「非公開情報(nonpublic information)」)

個人情報の保護に関する制度についての指標となり得る情報

  • EU の十分性認定※1:なし
  • APEC の CBPR システム※2:2012年7月25日参加

OECD プライバシーガイドライン8原則※3に対応する事業者等の義務又は本人の権利

APECのCBPRシステム参加エコノミーである場合、民間部門については外国にある第三者に対する個人データの提供に伴うリスクについての本人の予測可能性は一定程度担保されると考えられるため、本項目に係る情報提供は必ずしも行う必要はないが、上記法令は州法であるため、本項目に係る情報提供を行う。

OECDプライバシーガイドライン8原則に対応する事業者等の義務又は本人の権利については、以下のとおり。

  • ① 収集制限の原則:該当する規定は不見当である。
  • ② データ内容の原則:該当する規定は不見当である。
  • ③ 目的明確化の原則:該当する規定は不見当である。
  • ④ 利用制限の原則:該当する規定は不見当である。
  • ⑤ 安全保護の原則:上記法令に規定されている。
  • ⑥ 公開の原則:該当する規定は不見当である。
  • ⑦ 個人参加の原則:該当する規定は不見当である。
  • ⑧ 責任の原則:該当する規定は不見当である。

その他本人の権利利益に重大な影響を及ぼす可能性のある制度

  • 個個人情報の域内保存義務に係る制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの

  • 事業者に対し政府の情報収集活動への協力義務を課す制度であって、本人の権利利益に重大な影響を及ぼす可能性のあるもの

【留意すべき事項】

  • 個人情報の保護に関する法律(平成15年法律第57号)(以下「個人情報保護法」という。)第28条第2項の趣旨には、外国にある第三者に対する個人データの提供に伴うリスクについて、本人の予測可能性を高めるという点のほか、外国にある第三者に対して個人データを提供する事業者においても、従前以上に、提供先の外国にある第三者における事業環境等を認識することを促すという点が含まれる。また、事業者が同項に基づいて本人に対して提供すべき情報の具体的内容は、個別の事案に応じて異なり得る。したがって、外国における個人情報の保護に関する制度の確認は、外国にある第三者に対して個人データを提供する事業者の責任において行うべきものであり、当委員会が提供する上記参考情報は、あくまで補助的なものとして参照する必要がある。

  • 当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであり、あくまで当該調査を実施した2021年10月の時点における情報に基づくものである。当該時点以降、外国において個人情報の保護に関する制度が改正されること等により、外国にある第三者に対して個人データを提供する事業者が本人に対して提供すべき情報の内容にも変更が生じている可能性がある。

  • 当委員会が提供する上記参考情報は、当委員会が行った「外国における個人情報の保護に関する制度等の調査」の結果に基づくものであるところ、当該調査は、以下の観点から調査対象の法令を限定して行ったものであり、必ずしも網羅的なものではない。外国にある第三者に対して個人データを提供する事業者は、上記参考情報以外にも関連する情報を保有している場合には、個人情報保護法第28条第2項及び個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)第17条第2項に基づき、当該情報も本人に対して提供する必要がある。

    • 以下の法令については、上記調査に係る委託先事業者又は再委託先事業者が代表的なものとして挙げた法令を調査対象としていること
      • 個人情報の保護に関する包括的な法令を有しない外国における個別の分野に適用される個人情報の保護に関する法令
      • 個人情報の域内保存義務に係る制度に関する法令
      • 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令
    • 事業者に対し政府の情報収集活動への協力義務を課す制度に関する法令については、刑事法執行目的又は国家安全保障目的の双方又は一方の目的で、事業者の保有する個人情報に対して外国政府がアクセスを行う制度であって、当該法令上、事業者が外国政府に個人情報を提供することが義務付けられているものを調査対象としていること
  • ※1 EU の十分性認定を取得した国又は地域は、当委員会が我が国と同等の保護水準にあると認められる個人情報の保護に関する制度を有する外国等として指定している EU(EU 加盟国及び欧州経済領域の一部であるアイスランド、ノルウェー、リヒテンシュタイン)の個人情報の保護に関する制度である GDPR 又はその前身のデータ保護指令に基づき、欧州委員会が十分なデータ保護の水準を有していると認められる旨の決定を行っている国又は地域であることから、概ね我が国と同等の個人情報の保護が期待できる。このような意味において、EU の十分性認定を取得した国又は地域であることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。
  • ※2  APEC の CBPR システム参加の前提として、APEC のプライバシーフレームワークに準拠した法令を有していること、及び CBPR 認証を受けた事業者やアカウンタビリティエージェントにおいて解決できない苦情・問題が生じた場合に執行機関が調査・是正する権限を有していること等が規定されていることから、我が国と同じく APEC の CBPR システムに参加しているエコノミーにおいては、APEC のプライバシーフレームワークに準拠した法令と当該法令を執行する執行機関を有していると考えられるため、個人情報の保護について概ね我が国と同等の保護が期待できる。このような意味において、APEC の CBPR システム参加エコノミーであることは、「個人情報の保護に関する制度についての指標となり得る情報」に該当する。なお、APEC の CBPR システムの対象は、民間部門である。
  • ※3  OECD プライバシーガイドライン8原則は、OECD 加盟国はもとより国際的な個人情報保護への取組において参照される基本原則としての役割を果たし、各国が個人情報保護制度を整備するにあたっては、事実上の世界標準として用いられている。

(令和 4 年 1 月 25 日更新)

法令(仮訳)

California Consumer Privacy Act of 2018米国「カリフォルニア州消費者プライバシー法 2018年」

米国カリフォルニア州では、消費者プライバシーに関して、「カリフォルニア州消費者プライバシー法 2018年」(「California Consumer Privacy Act of 2018」)(以下、「CCPA」といいます。)が制定され、同法は2020年1月1日から施行されています。

CCPAの仮日本語訳を作成しましたので掲載します。改正の有無を含め最新の条項については米国カリフォルニア州の法令ウェブ・サイトリンク先コンテンツを別ウィンドウで開きますにて御確認ください。

なお、掲載した仮日本語訳は、同法施行前の米国カリフォルニア州議会上院及び下院による修正決議(上院2018年法律第1121号、下院2019年法律第25号、同2019年法律第874号、同2019年法律第1146号、同2019年法律第1355号及び同2019年法律第1564号)の修正条項を反映したものです。

また、同法は、2020年7月1日から、カリフォルニア州司法長官による法執行が開始されています。

法執行の開始にあたり、同司法長官による声明が発表されています。

CCPA執行開始日にあたってのカリフォルニア州司法長官の声明リンク先コンテンツを別ウィンドウで開きます