個人情報政策による法的リスクを低減するための5つの方法(2023年11-12月号)
ジョシュア・ムーニー、ダニエル・マーヴィン、ジョン・R・フィッツシモンズ[*]
ここ数年、プライバシー訴訟、特に集団訴訟は爆発的に増加している。データプライバシーでの集団訴訟の多くは、インターネットが誕生する以前に可決された古い法律に基づいている。例えば、ビデオプライバシー保護法(VPPA)は、ロバート・ボーク判事が最高裁判事に指名された後、レンタルビデオの履歴が公開されたことを受けて1988年に可決された。VPPAはオンラインで視聴したビデオも含め、顧客の明示的な同意なしにビデオ視聴履歴を共有することを禁じている。VPPAは現在、一般にメタピクセルとして知られるプラグインの使用をめぐる賠償請求で使用されている。このコマンド・コードは、ユーザーのウェブ閲覧行動を追跡し、そのデータをメタ社に転送してターゲット広告を掲載するために、ウェブサイトに組み込まれている。裁判所はメタピクセルによるユーザーのビデオ視聴履歴の転送は、VPPA違反の可能性があると解釈している。
第2のリスク領域は、カリフォルニア州プライバシー侵害法(CIPA)に関連する賠償請求に起因する。もともとは盗聴を防止するために制定されたが、最近の第9巡回控訴裁判所の判例により、ウェブサイトのチャット機能によるオンライン上の会話の録音および録画に基づくCIPA賠償請求に対する門戸が開かれた。私的な訴訟権および最高 5,000 ドルの法定損害賠償を伴うCIPA の損害請求は、オンラインチャット機能を提供する企業にとって、増大する潜在的に深刻なリスクをもたらす。
企業は引き続きデータ保護とサイバーレジリエンスに投資を行っているが、巧妙に作成されたウエブサイトトの利用規約やプライバシーポリシーの重大な影響を見落とすことが多い。以下の5つの検討事項は、データプライバシー訴訟リスクを軽減するのに役立つ。
1.肯定的同意条項
米国では、データプライバシーに関する法律や訴訟が急増し、同意は民事訴訟リスクを軽減するための重要な手段となっている。情報の共有に対する利用者の同意は、肯定的、認識的、自発的であるべきである。利用者がウェブページを閲覧するだけで一定の条件に同意することを記載したウェブページの下部にあるプライバシーポリシーは、訴訟リスクの低減にはつながりにくい。このような「ブラウズ・ラップ」ポリシーは、法廷での精査に耐えられないことが多い。その代わりに裁判所は、ブラウズ・ラッププイトにアクセスする前に「これらの規約に同意します」ボックスにチェックを入れるなど、利用者に積極的な行動を要求する「クリック・ラップ」ポリシーを好む。また、サイトでクッキー機能が開始される前に、ボックスをチェックする必要があることを確認することも重要である。利用規約への同意は、事後的には機能しない。
加えて、同意は、貴社のオンラインの世界での存在感に適合するべきである。例えば、VPPAの損害賠償請求では、定型的な表現を含む既成のポリシーでは十分な保護を提供できない。VPPA では、特にビデオ視聴習慣の共有に関連して、消費者からの明示的な同意を求めている。貴社のウェブサイトに動画がない場合、この文言は余計であるが、この原則はどのような同意条項にも適用されるべきである。まず、データの収集、処理、転送に関するウェブサイトの機能を理解する。次に、現行の法規制の仕組みを理解する。最後に、将来のリスクを軽減するために必要な同意文言を挿入する。
2.集団訴訟の免除
イリノイ州生体情報プライバシー法の損害賠償請求のような法定損害賠償条項がない限り、高額での和解は、データ侵害訴訟における多数請求者の数と相関することが多い。集団訴訟の免除は、このリスクを軽減するための重要なツールである。仲裁合意に一般的に含まれているこのような権利放棄は、利用者または顧客が集団訴訟を提起することを妨げ、その代わり、顧客に対して個別での訴訟を、しばしば名目的損害賠償を要求する。これらの訴訟の経済性を損なうことで、大規模な和解のリスクを減らすことができる。同意と同様に、契約における集団訴訟の権利放棄の強制可能性は重要な検討事項である。一般に、裁判所は、ブラウズ・ラップ契約よりもクリック・ラップ契約に含まれる集団訴訟の権利放棄を執行する可能性が高い。
3.裁判所選択条項
裁判所選択条項は、訴訟費用の削減に役立ち、企業が使い慣れた法律の下で、望ましい弁護士と訴訟を行うことを可能にする。一般に、これらの条項には、必須と許容の2つの形式がある。この条項が示唆するように、必須条項は原告に対し、指定された裁判地で全ての訴訟を提起することを義務付ける一方、許容裁判地選択条項は、好ましい裁判地を特定するが、他の場所での訴訟を許容する。文言が不十分なフォーラム選択条項は法的強制力がなくなり、訴訟費用が膨れ上がり、不利な裁定が下される可能性があるため、賢明で詳細な草案作成が重要である。
4.仲裁条項
紛争前の強制的仲裁合意は、多くの業界において責任を管理し、訴訟費用を抑制するために使用される、確立された効果的な手段である。これらの条項は、データ侵害訴訟が広まるにつれて、特に重要となる。カリフォルニア州、イリノイ州、ニューヨーク州の裁判所はいずれも、データ侵害訴訟における強制仲裁条項を支持しており、このような条件をユーザー同意書に盛り込もうとしている企業にとって有益な判例となっている。仲裁条項は消費者契約だけのものではない。企業対企業の関係においても、仲裁条項は訴訟コストの削減、解決の迅速化、守秘義務の維持に役立つ。仲裁人は多くの場合、こうした分野での専門家であるため、紛争の重要問題を迅速に理解し、当事者を最終合意に導くことができる。これは、第三者のために重要なビジネス情報を保管または処理する企業にとっては特に重要であり、データ侵害が企業秘密の損失、費用のかかる事業の中断、または深刻な風評被害につながる可能性があるからである。
5.不必要なクッキーおよびデータ収集の制限
組織は、第三者のトラッカー、クッキー、その他のウェブサイトプラグインを、これらのツールが組織に提供する利点を具体的に特定できる場合にのみ使用すべきである。これらのツールの不必要な使用と、それらが収集、保持、転送するデータにはリスクが伴うが、これはデータプライバシー訴訟の状況が常に変化していることによって増幅されている。古い法律が新しい技術に適用されるにつれて、新たな主張や責任論が出現している。例えば、マサチューセッツ州とカリフォルニア州の原告は、盗聴事件ですでに数百万ドルの和解金を獲得している。原告らは、メタピクセル、セッション・リプライ、ヒートマップ、その他ウェブサイト上でデータを収集したり、利用者の行動を観察したりするツールの使用が、有線通信の内容を第三者に不正に送信していると主張した。このようなケースがマサチューセッツ州とカリフォルニア州だけで起こるとは考えにくい。50州すべてに盗聴法があり、その中には数百万ドルのリスクにつながる法定損害賠償が含まれていることが多い。
このリスクを減らすための第一歩は簡単であるが、第三者のトラッカーの使用を制限するなど、組織全体の協力が必要である。これらのトラッカーを完全に排除することは非現実的である可能性が高いが、その使用範囲を縮小することで、関連するリスクを軽減することができる。例えば、利用者が病歴や診断結果のような機密データを入力または閲覧する際に、第三者のトラッカーの使用を制限することは、効果的なリスク軽減策となり得る。さらに、組織は、収集されたまたは第三者に転送された利用者データの種類を制限するために、ツール内プライバシー設定を使用すべきである。最後に、プライバシー方針に追跡関連の開示を含めることで、第三者のトラッキングに対する利用者の同意を求めることができ、リスクを軽減することができる。
同様に、データ最小化の原則は、効果的なリスク軽減手段となり得る。将来のリスクを軽減するために、いつ、なぜ、どれくらいの期間、データを保持するのかを検討する。「万が一に備えて」データを保持しておくと、特に社会保障番号や医療データなどの機密情報を保持している場合、データ漏洩が発生した場合に訴訟が成功するリスクが高まる。金融サービスや医療組織の中には、特定の顧客情報を保持することが義務付けられているところもあるが、どの組織も一貫してデータ保持の慣行を監査し、システムから不要なデータを削除すべきである。
トピックス
コンプライアンス、新興リスク、法的リスク、規制、リスク評価、リスクマネジメント、セキュリティ、技術
注意事項:本翻訳は“5 Ways to Reduce Legal Risk with Privacy Policies ”, Risk Management, November-December 2023, pp. 8-9をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
[*]ジョシュア・A・ムーニーはケネディーズ法律事務所パートナー兼USサイバー・データプライバシー部門長。ダニエル・マーヴィンはケネディーズ法律事務所サイバーセキュリティ・データプライバシー実務パートナー。
ジョン・R・フィッツシモンズはケネディーズ法律事務所サイバーセキュリティ・データプライバシー実務アソシエイツ。
