![Secure Privacy解説[新法]米バーモント州データプライバシー法](/content/images/size/w1000/size/w1000/2024/05/176_DXable_News.webp)
米バーモント州議会は5月11日、重要なデータプライバシー法案であるバーモント州データプライバシー法(VDPA、Vermont Data Privacy Act)を可決した。この法案は2025年7月1日に発効する予定だ。この包括的なプライバシー法は、バーモント州住民のデータ保護とプライバシー権を強化することを目的としている。この法律は、企業に厳格なデータ最小化要件を課し、企業が収集および使用できる個人データの量を制限する。この法律はまた、消費者にプライバシー権を付与し、非準拠の管理者に罰則を科すと脅している。
VDPAは、バーモント州で事業を展開している企業、またはバーモント州住民を対象とした製品やサービスを生産している企業に適用される。特に、支払い取引のみを目的として処理されるデータは除き、少なくとも25,000人の消費者の個人データを管理または処理している企業を対象としている。また、少なくとも12,500人の消費者の個人データを管理または処理し、総収益の25%以上を個人データの販売から得ている企業にも適用される。この法律の健康データ規定は、バーモント州で事業を展開する全ての企業に適用される。企業が管理または処理する消費者データの数に関係なく適用される。
VDPAでは、個人データは、直接的または間接的に個人を特定できるあらゆる情報と定義されている。この法律ではさらに、消費者の政府発行の識別子、人種または民族的起源、国籍、市民権または移民ステータス、宗教または哲学的信念、労働組合の加入、性的指向、性生活、セクシュアリティー、犯罪被害者としてのステータス、財務情報、健康データ、生体認証または遺伝データ、既知の未成年者から収集されたデータ、正確な位置情報データなどを明らかにする個人データを含む機密データも定義されている。
VDPAでは、管理者が明確でアクセスしやすく、意味のあるプライバシーポリシーを提供することが義務付けられている。このポリシーには、処理される個人データのカテゴリー、処理の目的、消費者の権利とその行使方法、第三者と共有される個人データの全てのカテゴリー、および管理者が個人データを共有する第三者の全てのカテゴリーに関する情報が含まれている必要がある。このポリシーには、ターゲット広告、第三者への個人データの販売、消費者のプロファイリングのための個人データの処理、および消費者がこの種の処理をオプトアウトできる手順についても明確に説明する必要がある。
法律では、バーモント州の消費者に、処理について知る権利、自分の情報にアクセスする権利、自分のデータを削除する権利、自分のデータを修正する権利、個人データの販売とターゲット広告をオプトアウトする権利が与えられている。管理者と処理者は、法律に基づいて、データが収集された目的に処理を限定する、目的に必要な最小限のデータのみを処理する、機密データを販売しない、データセキュリティーのための技術的および組織的対策を実施する、消費者の要求を尊重する、必要に応じてデータ保護評価を実施するなど、特定の義務を負っている。
VDPAでは、消費者に高い危害を及ぼすリスクがある処理活動について、管理者がデータ保護評価を実施して文書化することも義務付けられている。司法長官は、違反1件につき最高10,000ドルの罰金を科して法律を施行する。ただし、違反が60日間の是正期間内に是正された場合は、罰金は科されない。この法律では、データブローカーや大規模データ保有者による違反行為によって被害を受けた消費者など、特定の状況下での民事訴訟権も規定されている。
この製品の詳細については、Secure Privacy製品ページをご覧ください。
