ニューヨーク州におけるデータ侵害通知とデータセキュリティの要求に関する大幅な法改正

2019年7月25日、ニューヨーク州において、データ侵害通知法及びデータセキュリティの要求について大幅な改正を加える、ハッキング禁止及び電子データセキュリティ改善に関する法律（the Stop Hacks and Improve Electronic Data Security Act、以下「SHIELD法」という。）が成立しました。

今回の主な改正項目は、個人情報の定義の拡大、データ侵害の定義の拡大、規制の適用地域の拡大、及び、データセキュリティの要求の新設となっています。まず、今回の改正で、個人情報に、生体情報、パスワード又は秘密の質問とその答えと紐づけられたユーザーネーム及び電子メールアドレス、口座番号、クレジットカード番号及びデビットカード番号が追加されました。また、データ侵害には、電子データの不正取得に加え、電子データへの不正アクセスも含まれることとなりました。さらに、ニューヨーク州の居住者に関する個人情報を所有し、又はその取扱いの同意を得ているあらゆる個人又は企業にまで、データ侵害通知を行う義務が課せらることとなりました。さらに、企業は従業員のトレーニングなどのデータセキュリティプログラムを導入することが求められることになりました。

データ侵害通知に係る改正は2019年10月23日に施行され、データセキュリティの要請に係る改正は2020年3月21日に施行される予定です。この改正にともない、企業は、収集した個人情報の検討及びSHIELD法が求めるデータセキュリティ体制の構築のため、自社の情報セキュリティプログラムを見直すことが必要とされています。

本コメンタリーは、米国で事業活動をする日本企業にとって有用な情報ですので、紹介する次第です。詳細は、Jones Day Alert “New York Passes SHIELD Act Amending Data Breach Notification Law”（オリジナル（英語）版）をご参照下さい。