米国におけるプライバシー保護法の動向について

プライバシー保護の考え方

米国ではプライバシーの保護について、合衆国憲法修正第4条において、以下のように定めています。

「不合理な捜索及び逮捕押収に対し、その身体、住居、書類及び所有物の安全を保障される国民の権利は、これを侵してはならない。令状はすべて、宣誓又は確約によって支持される、相当な理由に基づいて発せられ、且つ捜索されるべき場所及び逮捕押収されるべき人又は物を特に記載したものでなければ、これを発してはならない」

米国の個人情報・プライバシー保護に関する関心は、プライバシーに関する情報がどのように利用されるかの事前承認、事後コントロール権が確保できているか否かという点にあるように考えられます。

また、法規制の観点では、連邦レベルでの包括的な個人情報保護法・プライバシー保護法は存在せず、州法を除けば、医療関係の個人情報保護を規定したHealth Insurance Portability and Accountability Act（HIPAA）や、オンラインによる13歳未満の青少年の個人情報収集を制限する Children’s Online Privacy Protection Act（COPPA）など分野別または特定政策目的のための規正法が存在しています。

米国では、個人情報はPersonal Identifiable Information(PII)と呼ばれていますが、日本の「個人情報保護法」に基づく「個人情報」のような明確な定義はありません。

個人情報・プライバシー保護関連法

HIPAA（Health Insurance Portability and Accountability Act）
HIPAAは、医療保険の対象カバレッジや医療情報の取り扱い、電子化などについて幅広く規定する法律であり、その一環として患者のプライバシーを保護する規定も含まれています。
HIPAA プライバシー条項が対象とする情報（保護医療情報（Protected HealthInformation, PHI））としては、消費者（患者）の診察・医療記録はもちろんのこと、病歴、医療サービスに対する支払い履歴、生体サンプルなどもありこれらを取り扱う個人、組織、団体、企業（医師、病院、保険会社、請求処理会社など）に対して HIPAA が定める情報取り扱いルールの遵守が求められています。
https://www.mhlw.go.jp/shingi/2010/06/dl/s0616-4g.pdf
また、HIPAAではHIPAAの対象団体に代わって個人情報を扱うものに対して、ビジネスアソシエイツ契約（Business Associates Agreement:BAA）の条項に従うことを要求しています。
HITECH（Health Information Technology for Economic and Clinical Health）HITECHでは、HIPAA 遵守義務がある医療機関・保険者などの組織に対して、情報通信の機密性に関する追加要項が課せられています。特に個人情報・プライバシー保護との関連性が高い要項として、同法は保護医療情報（PHI）が漏えいした場合には対象者全員への通報を義務付けるとともに、うち 500 人分以上の PHI の漏えいした場合に、健康福祉省（Department of Health and HumanServices、HHS）及びメディアに対して通報を行うよう義務付けています。また、HIPAA の適用対象範囲について、「組合（business associates）」を新たに追加しています。
COPPA（Children's Online Privacy Protection Act）
COPPAは、13 歳未満の子供に関する個人情報のオンラインでの収集について規定する法律です。具体的には、子供の個人情報を収集することを想定する事業者や個人に対して、以下を規定する内容となっています。
プライバシーポリシに含まれるべき要項
　・子供の保護者から、いつ、どのようにして子供の個人情報収集許可を得るか
　・子供の個人情報保護において、事業者はどのような責任を負うか
　・子供に対するマーケティング、宣伝活動についての制限
グラム・リーチ・ブライリー法（Gramm-Leach-Bliley Act（GLB、GLBA））
GLBA法、別名「金融近代化法」は、金融機関が保有する消費者の個人情報の保護を規制します。この法律は、消費者のデータが金融機関によって使用および共有される方法について消費者に限定的な管理権を与え、金融機関には、顧客記録の安全性と機密性を守るための対策を講じるよう義務付けています。