新たな州データ法が企業にAIとプライバシーへの対応を促す

データプライバシーの嵐が吹き荒れようとしており、政府の執行措置が増加し、人工知能の影響が拡大している。2025年に新たに8つの州でデータプライバシー法が施行されることで、全米の企業は所在地に関係なく、一定の基準を満たせば影響を受けることになる。

ますます複雑化する規制環境に直面し、企業は集団訴訟や政府の措置を軽減するためにデータプライバシーフレームワークを再検討する必要がある。

州検事総長はデータプライバシー法の執行を強化している。カリフォルニア、ニューハンプシャー、テキサス、バージニアでは、これらの法律を執行するためのプライバシー部門を設置し、企業への監視強化を示している。カリフォルニア州検事総長ロブ・ボンタは、セフォラ、DoorDash、Glowに対する加州消費者プライバシー法違反の訴訟を和解し、モバイルアプリやストリーミングサービスの調査を開始した。テキサス州検事総長ケン・パクストンは今年、テキサス州のプライバシー法の積極的な執行を発表し、Metaとの14億ドルの和解を含む重要な措置を講じた。州検事総長はまた、全米検事総長協会の下での多州連合を通じて、データ漏洩やプライバシー事件の調査で協力している。

連邦取引委員会はプライバシー執行を拡大し、健康データと位置データに焦点を当てている。最近の措置には、BetterHelpやCelebralなどの健康テクノロジー企業に対する無断健康データ共有の訴訟が含まれる。2024年、FTCは健康違反通知規則を改正し、健康およびウェルネスアプリを対象に含めた。また、位置データの販売を理由にMobilewalla、Gravy Analytics、Venntel、InMarket、X-Mode、Outlogicを標的にし、位置データが機密データであるという立場を強調した。

複雑さを増しているのは、AIがデータプライバシー問題に与える影響である。FTCは執行ツールとして「アルゴリズムの処分」を導入し、データプライバシー法に違反して収集されたデータで訓練されたAIモデルを企業に削除するよう義務付けている。

一部の州法は、消費者に自動意思決定（プロファイリングを含む）をオプトアウトする権利を付与し、「高い害のリスク」をもたらす活動に対してデータプライバシー評価を要求することで、AI関連のプライバシー懸念に対処している。

州データプライバシー法のパッチワークはますます複雑になっている。ニューハンプシャー、デラウェア、アイオワ、ネブラスカ、ニュージャージー、テネシー、ミネソタ、メリーランドは今年、独自のデータプライバシー法を施行する。

これらの法律は、義務と消費者の権利の点で既存のプライバシー法と一致している。例えば、ほとんどが、データ処理のためのユニバーサルオプトアウトメカニズムを尊重するよう企業に要求しており、セフォラ事件で強調されたように、セフォラはグローバルプライバシーコントロール（GPC）を介したオプトアウト要求を処理しなかった。GPCは、インターネットユーザーが企業にプライバシー設定を効果的に伝えるための技術仕様である。

しかし、これらの法律の中には独自の要件を持つものもある。デラウェア州個人データプライバシー法は非営利団体を免除せず、HIPAA（医療保険の携行性と説明責任に関する法律）の対象データのみを免除し、HIPAA免除組織は免除しない。遠隔医療プロバイダーは、デラウェア州居住者から収集する非保護健康情報（ウェブサイト分析データやマーケティング情報など）について、デラウェア州法の適用を受ける可能性がある。

ミネソタ州消費者データプライバシー法は中小企業を免除するが、機密個人データを販売する前にオプトイン同意を必要とする。ミネソタ州法の対象となるすべての組織を免除するのではなく、ミネソタ州法の対象データと特定の金融機関のみを免除する。この法律は、企業にデータインベントリの維持を義務付けており、これは他のほとんどの法律では要求されていないベストプラクティスである。ミネソタ州法はまた、消費者に自らのデータに基づくプロファイリング結果に異議を唱える権利を与え、「あなたのオプトアウト権」または「あなたのプライバシー権」と表示された明確なハイパーリンクを義務付けている。

メリーランド州オンラインデータプライバシー法は、機密個人データの販売を禁止し、収集、処理、共有を要求されたサービスに厳密に必要なものに制限している。また、消費者が18歳未満であることを知っているか、知るべきであった場合、未成年者のデータをターゲット広告のために販売または処理することを禁止している。10月から、メリーランド州法はハイリスクアルゴリズムに対するプライバシー影響評価も要求し、広範な評価につながる可能性がある。

これらの積極的な政府措置、AIの影響、そして間もなく施行されるデータプライバシー法を考慮し、企業は以下の主要な行動を検討し、全国一律のアプローチか州ごとのアプローチかを決定すべきである。

全国一律アプローチでは、企業は共通の法的要件と州法の独自の要件の両方を満たすデータプライバシー慣行を採用する。このアプローチは、将来の州データプライバシー法に備えるのに役立つ可能性があるが、より寛容な州で不必要な制限を課すことで収益を失う可能性がある。また、小規模企業やデータ処理活動が限られている企業が不必要なコンプライアンスにリソースを費やす結果になる可能性もある。

州ごとのアプローチでは、企業のコンプライアンスメカニズムは、製品やサービスを提供する各州の法律に基づいて異なる。このアプローチは、限られた数の州法のみの適用を受ける企業にとってコスト効率が良い可能性があるが、新しいプライバシー法が制定されるたびに継続的な更新が必要になる。

どのアプローチを採用するにせよ、企業はプライバシー法の新しい要件、FTCが標的にする要素、およびAI関連の要素（特に機密データと未成年データに関して）に照らして、データ収集、処理、共有、保存、削除を含むデータ慣行のあらゆる側面を再検討する必要がある。

法律で要求されるプライバシー影響評価を実施することが不可欠であり、ハイリスクAIシステムや消費者に高い害のリスクをもたらす処理活動が含まれる。

消費者向けのプライバシーポリシーと通知をレビューし、必要に応じて改訂して新しいプライバシー法に準拠するようにする。同時に、AIシステムとやり取りする従業員のための内部プライバシーガイドラインを策定することが重要である。

同意メカニズムの強化は、新しいプライバシー法を遵守するためのもう一つの重要な焦点である。AIデータ処理のための細かい同意オプションを実装し、使用される言語がAIの関与について明確かつ具体的であることを確認する。

金融サービスおよび医療提供者は、GLBAおよびHIPAAの対象であっても、州データプライバシー法の適用可能性について徹底的な法的分析を実施すべきである。

パッチワーク規制、厳しい政府執行、AI主導のプライバシーの課題を乗り越える複雑さには、経験豊富なだけでなく高度なスキルを持つプライバシー弁護士への相談が必要である。

堅牢なデータプライバシーコンプライアンスプログラムを構築し、高額な執行措置を回避することで、企業はますますプライバシーを重視する世界で顧客の信頼を得て、ブランドを強化することができる。

この記事は必ずしもブルームバーグ・インダストリー・グループ（ブルームバーグ・ローとブルームバーグ・タックスの発行元）またはその所有者の意見を反映するものではない。

著者情報：Lena KempeはLK法律事務所の代表弁護士。法律事務所や企業で20年以上の法務経験（ゼネラルカウンセルを含む）を持ち、AI、IT、IP、データプライバシーに関する戦略的助言を提供している。