![Secure Privacy解説[新報]米ミネソタ州消費者データプライバシー法](/content/images/size/w1000/size/w1000/2024/05/22-DXable_News.webp)
米ミネソタ州議会は5月19日、画期的な法律、ミネソタ州消費者データプライバシー法(MCDPA)を可決した。この法律は、企業と消費者の両方に大きな影響を与えることになる。ミネソタ州初となるこの法律は、企業にデータの収集と使用の慣行を公開することを義務付け、消費者に個人情報の使用方法を理解して同意する権利を与える。MCDPAは米国全体で拡大している傾向の一部であり、ミネソタ州はアメリカで消費者プライバシー法を制定する19番目の州となる。
2025年7月31日に発効予定のMCDPAでは、消費者データを扱う企業に厳格なプライバシー基準の遵守を義務付けている。これらの基準は、カリフォルニア州消費者プライバシー法(CCPA)やその他の同様の法律に定められている基準に類似している。この法律では、非営利法人や高等教育機関に対しても遵守期間の延長が規定されており、2029年7月31日までは新しい規制に従う必要はない。
この法律は、ミネソタ州で事業を営む法人、またはミネソタ州の住民を対象とした製品やサービスを生産する法人に適用される。具体的には、暦年で少なくとも100,000人の消費者の個人データを管理または処理する法人、または個人データの販売から総収益の25%以上を得て、少なくとも25,000人の消費者の個人データを処理する法人に適用される。ただし、セクター固有のプライバシー法の対象となる法人は、MCDPAの対象外となる。
MCDPAでは、個人データは、直接的または間接的に個人を特定できるデータと定義されている。機密データには、健康データ、正確な位置情報データ、子供のデータ、民族的起源、性別、人種、性的指向に関連するデータが含まれる。法律では、管理者が消費者にプライバシー通知を提供し、処理される個人データのカテゴリー、個人データが処理される目的、および消費者が個人データを表示、修正、削除する権利を行使する方法と場所を説明することが義務付けられている。
MCDPAは企業に対して、管理者の個人データを収集および使用する権限を制限すること、適切なデータセキュリティー慣行を要求すること、消費者の同意なしに機密データを処理することを禁止することなど、いくつかの義務も課している。また、この法律はデータ処理およびプロファイリングにおける差別を禁止し、管理者に法律を遵守するために採用したポリシーと手順の説明を文書化して保持することを義務付けている。
ミネソタ州の住民には、MCDPAに基づき、管理者が処理する個人データを知る権利およびそれにアクセスする権利、不正確な個人データを訂正する権利、個人データを削除する権利など、いくつかのプライバシー権が与えられている。管理者には、消費者の権利を行使する要求に応じる期限として45日が設けられている。
この法律は、法違反が判明した管理者または処理者に対して、司法長官に民事訴訟を起こす権限を与えている。違反者は、1回の違反につき最高7,500ドルの罰金など、相当の民事罰を科せられる可能性がある。ただし、罰則を課す前に、司法長官は違反者に警告書を発行し、遵守期間を与える必要がある。指定された期間内に違反を是正できない場合、司法長官は民事訴訟を起こすことができる。
この製品の詳細については、Secure Privacy製品ページをご覧ください。
