本連載は、米国版 GDPR とも呼ばれることのある、米国の連邦レベルでの個人情報保護法である American Data Privacy and Protection Act (ADPPA) の案について、個別の規定を紹介することを目的とする。第 12 回では、企業の説明責任(Corporate Accountability)として定められている規定のうち、技術遵守プログラム(Technical compliance programs)、FTC が承認するコンプライアンスガイドライン(Commission approved compliance guidelines)及びデジタルコンテンツの偽造(Digital content forgeries)について紹介する。

なお、ADPPA の案の全体像や今後の見込みについては、本ニューズレター2022 年 6 月 6 日号同 7 月 22 日号をご参照いただきたい。また、本連載では、2022 年 7 月 20 日に下院に提出された条文を参照しているが、条文は今後も変更の可能性があるため、参照に当たっては、随時最新の内容であるか慎重に確認されたい。

IV 企業の説明責任(Corporate Accountability)

6. 技術遵守プログラム(Technical compliance programs)

FTC は、ADPPA の施行から 3 年以内に、対象事業体が対象データの収集、処理又は移転のために使用する技術遵守プログラムの提案及び承認のためのプロセスを確立する規則を公布する旨規定されている(303 条(a))。当該技術遵守プログラムは、対象事業体が対象データを収集、処理又は移転するために使用する技術、製品、サービス又は方法に関して、ADPPA の遵守のための一般に公開されたガイドラインを確立するものであり、かつ、ADPPA の要件を満たし又はそれを上回るものでなければならないと規定されている(303 条(b))。

当該技術遵守プログラムに関しては、対象事業体、対象事業体の代表者、対象事業体の団体又は公益団体若しくは組織を含む全ての者が、FTC に対して、承認、修正又は廃止の要求を提出することができ、FTC は、当該要求を受けてから 90 日以内に、当該要求を公表し、当該提案内容についてパブリックコメントに付さなければならない旨が規定されている(303 条(c)(1))。また、ADPPA の施行から 1 年が経過した後においては、FTC は、技術遵守プログラムの提案及び承認に関する要求について、当該要求の提出から 1 年以内に対応し、当該要求に関するFTC の決定を文書で公表しなければならない旨も規定されている(303 条(c)(2))。

上記技術遵守プログラムの承認、修正又は廃止の要求に対する FTC の最終決定に対しては、管轄権を有する連邦地方裁判所に上訴することができる旨も定められている。また、技術遵守プログラムの承認、修正、廃止の要求後 1 年以内に FTC が対応を行わなかった場合についても、上記と同様である(303 条(d))。

なお、FTC 及び州司法長官は、対象事業体に対して調査又は執行を行おうとする場合には、当該調査・執行の前に、当該対象事業体によるこれまでの技術遵守プログラムの遵守状況及び当該プログラムの不遵守を是正するために対象事業体が行った措置を考慮しなければならない旨が規定されている。また、対象事業体の責任又は罰則を決定する際にも当該事情が考慮されなけ   ればならない旨が規定されている(303 条(e)(1))。他方で、当該対象事業体によるこれまでの技術遵守プログラムの遵守状況は証明責任や証拠の価値に影響を与えるものではなく(303 条(e)(1))、また、技術遵守プログラムの承認は、対象事業体に対して調

査・執行を開始する権限を含めて、FTC の権限を制限するものではない旨も規定されている(303 条(e)(2))。

7. FTC が承認するコンプライアンスガイドライン (Commission approved compliance guidelines)

小規模事業者 に該当する対象事業体(第三者収集事業体 2であるものを除く)又はそのグループは、当該対象事業体又はそのグループによる対象データの収集、処理及び移転を規律する 1 つ以上のコンプライアンスガイドラインの承認を FTC に対して申請することができる(304 条(a)(1))。当該申請には、以下の内容が含まれていなければならない(304 条(a)(2))。

①    提案されたガイドライン案がどのように ADPPA  の要件を満たすか、又はそれを上回るものであるかの説明

②    提案されたガイドライン案が対象とする事業体又は活動の説明

③    ガイドラインを遵守する、小規模事業者に該当する対象事業体(第三者収集事業体であるものを除く)のリスト

④    当該対象事業体のガイドラインの遵守状況を独自に評価する方法の説明(ガイドラインに参画する対象事業体とは無関係の独立した組織であって、一連のガイドラインを管理する組織に関する説明を含む)

FTC は、上記手続に従って申請されたガイドライン案を受領後 90 日以内に、当該申請を公表した上でガイドライン案をパブリックコメントに付さなければならない。また、ガイドライン案が以下の(i)~(iii)の条件を全て満たすことを申請者が証明した場合には当該ガイドライン案に関する申請を承認するものとされている。なお、FTC は、申請を受けてから 1 年以内に、承認の可否を決定し、その理由を示さなければならない(304 条(a)(3)(A)(iii))。

  1. ADPPA の要件を満たすこと、又は当該要件を上回るものであること
  2. 対象事業体が ADPPA の要件を継続的に満たし、又は当該要件を上回ることを確保するために、当該レビューを行うことを FTC に承認された、ガイドラインに参画する対象事業体とは無関係の独立した組織による定期的なレビュー及び検証が行われること
  3. 対象事業体がガイドラインの要件を満たさない場合の執行方法(401 条に規定する FTC への照会又は 402 条に規定する州司法長官への照会を含む)が定められていること

承認されたガイドラインに参画する対象事業体は、当該ガイドラインを遵守していることをもって、ADPPA 上の関連規定を遵守しているものとみなされる(304 条(c))。

なお、FTC は、(i)承認したガイドラインがもはや ADPPA 又は ADPPA に基づいて公布された規則の要件を満たしていないと判断した場合、又は(ii)承認されたガイドラインの遵守が当該ガイドラインを管理する独立した組織によって十分に確保されていないと判断した場合は、対象事業体又はそのグループ及び独立組織に対して、当該ガイドラインの承認を取り消す旨の決定及びその理由を通知する。対象事業体又はそのグループ及び独立した組織は、かかる通知の受領後 180 日以内に、ガイドライン又はその遵守の確保に関して指摘された不備を修正した上で、当該修正を FTC に申告することができ、FTC が当該修正によって不備が解消されたと判断した場合には、FTC はかかる判断に基づいてガイドラインの承認を取り消すことはできない(304 条(b))。

FTC によって承認されたガイドラインの変更手続についても規定されている。当該ガイドラインを管理する独立組織は、当該承認済みのガイドラインに重要な変更を加える場合には、FTC に対して改訂版のガイドラインを提出して承認を求め、FTC は、可能な限り速やかに当該改訂版のガイドラインを公表して、パブリックコメントに付し、当該承認申請を受けてから  1  年以内に承認の可否を決定するものとされている(304 条(a)(3)(B))。

8. デジタルコンテンツの偽造(Digital content forgeries)

商務長官(the Secretary of Commerce)又は商務長官が指名する者は、ADPPA の成立の日から 1 年以内に、そしてその後毎年、以下の内容を含むデジタルコンテンツの偽造に関する報告書を公表するものとされている(305 条)。

①    デジタルコンテンツ偽造の定義(付随する説明資料を含む)

②    米国におけるデジタルコンテンツ偽造の一般的な発生源及びデジタルコンテンツ偽造技術の商業的な発生源

③    デジタルコンテンツ偽造の使用、適用及び被害についての評価

④   デジタルコンテンツの偽造を特定するために利用可能な方法及び基準の分析、並びにデジタルコンテンツ偽造に関する懸念に対処するために使用されている、又は使用することが可能な商業的な技術的対抗措置の説明(疑わしいコンテンツの視聴者への警告を含む場合がある)

⑤   デジタルコンテンツ偽造の種類(詐欺行為、危害の発生又は法律違反のために使用されるものを含む)

⑥   商務長官又は商務長官が指名する者が適切と判断するその他の情報