Secure Privacy解説［新法］米ケンタッキー州消費者データ保護法

米ケンタッキー州議会は、3月11日、ケンタッキー州消費者データ保護法（KCDPA）を可決。4月4日に州知事が証明し、法律として成立した。2026年1月から施行される。これにより、ケンタッキー州は、包括的な消費者プライバシー法を制定した米国15番目の州となった。デジタル時代の消費者プライバシー保護に積極的に取り組む州が増えており、KCDPAは、消費者に個人データに関する権利を与えると同時に、そのような情報を処理する企業に厳しい義務を課すことを目的としている。

KCDPAでは、個人情報には、名前、住所、メールアドレス、社会保障番号など、個人を特定できる幅広いデータが含まれる。また、閲覧や購入行動、IPアドレス、デバイスの指紋などの間接的な識別子も含まれる。この法律では、機密データを別に分類し、さらに厳格な取り扱いを要求している。これには、遺伝データや生体認証データ、正確な位置情報、人種や民族の起源、宗教的信念、健康診断、性的指向、市民権、移民ステータスに関する情報、未成年者に関するデータが含まれる。

KCDPAが企業に与える影響は広範囲に及ぶ。この法律は、ケンタッキー州内で事業を展開するか、ケンタッキー州住民を対象とし、個人データの処理に関する一定の基準を満たす事業体に適用される。これらの事業体には、強力なセキュリティー対策を実施し、データ収集を必要最小限に制限し、当初の目的以外でデータを使用しないことが求められる。さらに、企業は、リスクの高い処理活動についてデータ保護影響評価を実施し、消費者のデータに関する要求に迅速に対応する準備を整える必要がある。これには、データを知る権利、データにアクセスする権利、データを削除する権利、およびデータ移行の権利、ならびにデータ販売またはターゲット広告のオプトアウトの権利が含まれる。

KCDPAの施行はケンタッキー州司法長官事務所の責任となり、同事務所は非準拠の企業に罰金を科す権限を持つ。企業は、罰金が課される前に30日以内に違反に対処する必要がある。ただし、この法律は消費者に私人訴訟権を与えず、代わりに司法長官に執行権限を集中させる。

データプライバシーの状況が進化し続ける中、ケンタッキー州消費者データ保護法は、デジタル領域における消費者のプライバシー権の保護に向けた重要な一歩となる。州の管轄区域内で事業を展開する企業は、新しい規制に準拠するために警戒を怠らず、業務慣行を適応させ、より安全でプライバシーに配慮した市場の実現に貢献する必要がある。

出典：Secure Privacy

この製品の詳細については、製品ページをご覧ください。