バージニア州、包括的データプライバシー法を制定する2番目の州となる

バージニア州は、アメリカの州で包括的データプライバシー法を制定する2番目の州となりました。2021年3月2日、草案がバージニア州議会を通過した後、ラルフ・ノーサム州知事が、バージニア州消費者データ保護法（「本法」）に署名しました。本法は2023年1月1日に施行されます。

本法は、バージニア州で事業を行っている、又はバージニア州の住民をターゲットにした商品もしくはサービスを提供する事業者であって、かつ（i）1年間に100,000人以上のバージニア州消費者の個人データを管理もしくは処理する、又は（ii）25,000人以上のバージニア州消費者個人データを管理もしくは処理し、総収益50％以上が個人データの販売によるものである事業者に適用されます。

本法は、カルフォルニア州消費者プライバシー法（「CCPA」）やEUの一般データ保護規則から、多くのデータ保護原理を採用しています。例えば、本法は、「コントローラー」（個人データの処理を決定する者）と「プロセサー」（コントローラーに代わって個人データを処理する者）の義務を規定しています。また、本法は、個人データを「特定の又は特定できる自然人とリンクする又は合理的にリンクできる情報」と定義しています。

本法では、コントローラーの義務は下記を含みます。

• 様々な処理活動をプライバシー通知で開示する。
• 消費者に関する「機微データ」の収集及びその他の処理を行う前に明確な同意を得る。
• ターゲット広告のための処理、機微データの処理、消費者への損害リスクが高まる処理など、特定の処理活動のデータ保護評価を行う。
• 合理的な事務的、技術的、物理的データ安全管理の維持。
• 消費者の次に列挙する権利行使の要求への対応：個人データへのアクセス権；個人データの写しを取得する権利；間違いを訂正する権利；個人データ消去の権利；ターゲット広告、消費者に関する重大な決定において使用するプロファイリング、及び個人データ売却の目的で個人データを処理することからオプトアウトする権利。

CCPAとは違い、特定のデータ違反に対する個人の提訴権は本法に定められていません。バージニア州司法長官が本法を執行する排他的権限を持ちます。本法によると、違反者は30日間の是正期間が与えられます。その期間に違反が是正されなければ、司法長官は、各違反につき最高7,500ドルの罰金を科すことができます。

本コメンタリーは、米国向けに事業を展開する日本企業に関心のあるトピックと考えられることから紹介する次第です。詳細は、Jones Day ALERT “Virginia Becomes the Second State to Enact a Comprehensive Data Privacy Law”（オリジナル英語版）をご参照ください。