![Secure Privacy解説[新法]米メリーランド州オンラインデータプライバシー法](/content/images/size/w1000/2024/04/151-DXable-News-Cover.webp)
米メリーランド州議会は、メリーランド州オンラインデータプライバシー法(MODPA)を可決し、消費者データ保護において大きな前進を遂げた。この法律は、2025年10月1日に発効し、米国全土の州データプライバシー法の多様性の中でも一段と厳格なデータ最小化の原則を導入するものだ。メリーランド州は、MODPAにより消費者の権利を強化し、特に機密情報に関しては、個人データを扱う企業に新たな義務を課している。
MODPAに基づき、メリーランド州内で事業を展開するか、メリーランド州の消費者にサービスを提供する企業は、法律の要件に従う必要がある。この法律の適用範囲は、多数のメリーランド州住民のデータを処理する事業体にまで及び、適用範囲には特定の基準が定められている。これには、一般的なオンライン分析ツールを使用してメリーランド州住民からデータを収集する可能性のある中小企業が含まれる。この法律の個人データの幅広い定義には、個人を特定する可能性のあるあらゆる情報が含まれており、人種や民族の起源から生体認証データまで、さまざまなカテゴリーを含む機密性の高い個人データに対しては、さらに保護的な姿勢が取られている。
MODPAのもとで消費者に与えられる権利は包括的だ。メリーランド州の住民は、自分のデータの処理について問い合わせたり、データにアクセスしたり、ポータビリティーを要求したり、さらにはデータの削除や修正を依頼したりできる。さらに、データの販売やターゲット広告やプロファイリングでの使用を拒否することもできる。企業は、指定された期間内に消費者の要求に応じる必要があり、プライバシー要求に関する決定に対して消費者が異議を申し立てるメカニズムを確立する必要がある。消費者のコントロールがこれほど高いことは、個人情報に関して個人がより大きな発言権を持つようにする傾向が高まっていることを示している。
MODPAが定めたデータ最小化の原則は特に注目に値する。企業は機密データを販売することが禁止され、そのようなデータの収集と処理が制限され、サービスの提供に厳密に必要な場合のみ許可される。この法律では、18歳未満の個人の個人データの処理も禁止され、企業はデータ処理を開示された目的に合理的に必要な範囲に制限することが義務付けられている。これらの原則は、EU一般データ保護規則(GDPR)が定める厳格な基準を反映しており、米国のデータプライバシー環境の変化を表している。
MODPAに準拠するには、企業は処理されるデータのカテゴリー、処理の目的、消費者が権利を行使する方法を明確に示すプライバシーポリシーを策定する必要がある。また、この法律では、処理手順、セキュリティー対策、機密保持条項を詳述した書面による契約の必要性など、管理者に代わってデータを処理するサービス プロバイダーに対する要件も規定している。さらに、企業は特定の高リスク処理活動についてデータ保護評価を実施する必要があるが、この要件は法律の発効日以前の処理活動には遡及的に適用されない。
MODPAの施行は同局によって行われ、違反に対処するための是正期間が企業に与えられる。この期間内に違反を是正しない場合は、多額の罰金が科せられる可能性があり、メリーランド州の管轄区域内で事業を展開する企業にとってのコンプライアンスの重要性が強調される。MODPAの発効日が近づくにつれ、企業はデータプライバシーの慣行を見直し、新しい要件を満たす準備を整えることが推奨される。
この製品の詳細については、製品ページをご覧ください。
