米国における個人情報データ取扱いおよび国際間移転に関する注意点

1. 特定分野における個人情報の取り扱い規制
2. 個人データの国際間移転
3. 日米間の個人データ移転

米国では、個人情報保護のための包括的な連邦法は制定されていない。一方で、特定分野における個人データの取り扱い規制は数多く規定されている。
例えば医療情報を取り扱う場合の規制や金融サービスで個人情報を取り扱う場合の規制、インターネット上で児童の情報を取り扱う場合の規制など、情報の種類や状況に応じて企業に求める要件が個別に定められている。米国に拠点を持つ企業は「自社で取り扱う個人情報がどういった法令の規制を受けるのか」という点について、あらかじめよく調査しておかなければならない。
また、個人データの不適切な取り扱いに対する行政指導は頻繁に行われており、公正信用報告法（FCRA）や医療保険の相互運用性と説明責任に関する法律（HIPPA）などの違反事例では高額の罰則金支払いが相次いでいる。米国において該当する個人データを取り扱う場合には注意が必要だ。

個人データの国際間移転に関する規制においても様々な動きがある。かつて米国は欧州連合（EU）との間で「セーフハーバー協定」を締結し、一定の条件を満たした企業は、域内の個人データを自由に移転できるとしていた。この協定に関しては、2015年に欧州司法裁判所が無効判決を下したことで混乱を生じていたが、2016年よりこれに代わる「EU - USプライバシーシールド」という制度の運用が始まり、同等の枠組みで個人データの移転が可能となった。当局による監視・監督機能が強化された一方で、引き続き自己申告による簡易な登録制度であるため、既に多くの企業が登録を開始している。米国に拠点を持ち、EU域内からの個人データ移転を行うグローバル企業は、この制度の活用を検討するといいだろう。

1. Notice（通知）
2. Choice（選択）
3. Accountability for Onward Transfer（第三者移転に関する責任）
4. Security（安全管理措置）
5. Data Integrity and Purpose Limitation（データの正確性と目的外利用の禁止）
6. Access（データへのアクセス）
7. Recourse. Enforcement and Liability（救済機関と執行および責任）

日本と米国は共にアジア太平洋経済協力会議（APEC）の「クロスボーダープライバシールールシステム（CBPR）」に参加している。日米間で個人データ移転を行う場合には、個人データ保護の信用構築のためにこの制度を活用することも可能だ。
オバマ政権では、消費者プライバシーに関する原則として、12年に「消費者プライバシー権利章典」の草案を発表しており、これを法律として規定する議論なども行われているようだ。米国に拠点を持つ企業は、今後も法令動向を注視しておくことが重要だ。

KPMGコンサルティング
ディレクター　大洞 健治郎

日経産業新聞　2016年11月2日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。