3月下旬、フェイスブックは、数千万人にも及ぶフェイスブック利用者のデータにケンブリッジ・アナリティカがアクセスしたことに関連した、あるいはそのような事実が暴露されたことを誘因した少なくとも16件の個別の訴訟に直面していた。米国の大企業による過去のデータ漏洩事件を指標とするならば、フェイスブックにとって本事態が好転するまで、同様の訴訟は雪崩のように続くであろう。一方で、フェイスブックに今回差し掛かった苦境は、米国におけるデータ関連の権利に関わる間接的な管理方法に光を投じた。
世界中の事業者は、5月に施行されるEU一般データ保護規則(GDPR)に備えている。当該GDPRは、データに関わる欧州居住者の権利の強化を約束するものであり、データがどのように彼等から収集されたのかについてのみならず、一旦収集された情報がどのように扱われているかをも管理するものである。さらに、GDPRは、EU域外に居住するヨーロッパ人のデータの移転のほか、EU域内に商品やサービスを提供する海外事業に対しても規制をかけるものである。日本の事業者は、同様のデータ規則に既に1年近く取り組んできている。日本の個人情報保護法(PIPA)への2015年の改正は、2017年5月に施行となった。改正されたPIPAは、GDPR同様、日本人に対して、データ保持者にデータを修正、使用中止または消去させる権利を含めて認めている。
EUおよび日本とは対照的に、米国では個人データの保護に関する一般的な全国レベルでの規制はない。米連邦政府は、財務データ、医療データおよび子供に関する情報に関しては保護を施行している。一方、大半の消費者データの取扱いは、米国の各州が規制している。つまり、米国全体を見ても、個人が自身のデータを直接的に管理できるようする法律は一般的には存在しないのである。しかしながら、事業者においては、特定の種類のデータを保護し、データ漏洩を報告する義務がある。
米国の慣習上、データの所有者は、データ保護を怠ったり、記載されたプライバシーポリシーを遵守し損なった事業者を訴えようとする傾向があるとともに、実際のところ訴えることが可能である。政府監督機関もまた、近年はデータ保持者に次々と圧力をかけてきた。2014年から2015年にかけての数々のデータ漏洩事件では、政府機関や民間企業が、とりわけターゲット、ソニー、イーベイ、JP モルガン・チェイス、PF チャン、ホームディポおよびニーマン・マーカスに対する一連の訴訟に原告として関与した。中でもターゲットは、政府監督機関からの圧力により、2017年までに計1800万ドル以上もの和解金を支払う羽目になった。
ゆくゆくは、米国市場の企業も、大規模消費者訴訟の圧力と費用を考慮し、政府規制等が無くとも、ヨーロッパや日本のデータ取り扱い基準に類似した基準を採用するということもありえる。データ規制はヨーロッパ限定の問題であると未だに考えている米国企業は、これから数年の内に極めて高額な代償を払うことになるかもしれない。
© 2024 Masuda, Funai, Eifert & Mitchell, Ltd. All rights reserved. 本書は、特定の事実や状況に関する法務アドバイスまたは法的見解に代わるものではありません。本書に含まれる内容は、情報の提供を目的としたものです。かかる情報を利用なさる場合は、弁護士にご相談の上、アドバイスに従ってください。本書は、広告物とみなされることもあります。