テネシー州情報保護法

テネシー州情報保護法（TIPA）は、テネシー州住民のプライバシーを保護するために設計された包括的なデータプライバシー法です。この法案は2023年に議員によって承認され、州レベルでのプライバシー規制法案の増加傾向の一部です。本記事では、TIPAの詳細、要件、および新しい規制コンプライアンスパラダイムにおける企業への影響について掘り下げます。

米国における州プライバシー法の動向

テネシー州議会は2023年4月21日にテネシー州情報保護法を可決しました。この法律は、増加する州が市民のプライバシーを保護するためにデータプライバシー法を制定する傾向の一部です。この春だけで4つの州がデータプライバシー法を可決しました。現在、カリフォルニア、コロラド、コネチカット、インディアナ、アイオワ、モンタナ、バージニア、ユタを含む9つの州がデータプライバシー法を持っています。TIPAは2025年7月1日まで施行されませんが、その承認は州が住民のプライバシー権を保護する努力における重要な一歩を示しています。

テネシー州情報保護法（TIPA）とは？

テネシー州情報保護法は、データ侵害が発生した場合に、テネシー州住民の個人識別情報（PII）を保護するために必要な措置を企業に義務付けています。TIPAは、通常の業務の過程でテネシー州住民の個人情報を所有、ライセンス、または維持する個人または法人に適用されます。データ侵害による財務的および評判的な損害を避けるために、TIPAの遵守は企業にとって不可欠ですが、顧客との信頼関係を築くのにも役立ちます。

TIPAとバージニア州消費者データ保護法の比較

TIPAは、最近制定されたバージニア州消費者データ保護法（VCDPA）を大いに参考にしています。両方のフレームワークは、敏感な個人データの処理に対する同意取得の要件や、データ販売、ターゲット広告、重要なプロファイリング決定からの消費者のオプトアウト権など、類似の定義、義務、および基本的な消費者権利を共有しています。

しかし、TIPAはVCDPAとはいくつかの点で異なり、全体としてはプライバシー保護が弱い規則となっています。これには、適用される企業が少ない可能性のあるカバレッジの閾値、オプトアウト権の影響を制限する可能性のある仮名データの広範な除外、および保険業界の免除が含まれます。

TIPAがVCDPAよりも強力な点の一つは、法律違反の疑いに対するより長い是正権を提供していることです。TIPAはまた、国家標準技術研究所（NIST）のプライバシーフレームワークや、消費者のプライバシーを保護するために設計された他の文書化されたポリシー、基準、手順に合理的に準拠する企業に対する初の肯定的な防御を確立しています。しかし、この防御が実際にどのように機能するかは不明です。

もう一つの違いは、TIPAが故意または意図的な違反に対して三倍の損害賠償を裁判所が認めることができる点であり、VCDPAでは違反ごとに最大7,500ドルの民事罰しか認められていません。

テネシー州情報保護法の適用範囲

TIPAは、テネシー州で活動し、テネシー州住民の個人情報を取り扱う特定の事業体に適用されます。TIPAの対象となるには、事業体（「管理者」と呼ばれる）が以下の基準を満たす必要があります：

• 年間収益が2,500万ドルを超える
• （a）カレンダー年にテネシー州住民175,000人以上の個人情報を処理する、または（b）少なくとも25,000人の消費者の個人情報を処理し、個人情報の販売から総収益の半分以上を得る

「収益」という用語はTIPAによって定義されていませんが、カリフォルニアやユタと同様に、世界中の事業体の年間総収益を指す可能性があります。

また、TIPAは「消費者」を、個人的な能力で行動するテネシー州の自然人として定義しています。これは、従業員や企業間の連絡先はTIPAの下では消費者と見なされないことを意味します。

最後に、TIPAは、管理者の代わりに個人情報を取り扱うベンダーやその他の関係者（「処理者」として知られる）も対象としています。これには、サービスプロバイダーやソフトウェアプロバイダーが含まれます。

Kiteworksは、コンプライアンスと認証の実績を誇ります。

TIPAで個人情報とされるものは何ですか？

TIPAは、住民の名前またはイニシャルと姓の組み合わせに加えて、以下のいずれかを含む個人情報として定義しています：

• 社会保障番号
• 運転免許証番号または政府発行の身分証明書番号
• アカウント番号、クレジットカードまたはデビットカード番号、必要なセキュリティコード、アクセスコード、またはパスワードと組み合わせて、住民の金融アカウントにアクセスできるもの
• 健康保険証番号または健康保険加入者識別番号と、健康保険会社が住民を識別するために使用するその他の一意の識別子の組み合わせ
• ユーザー名またはメールアドレスと、オンラインアカウントにアクセスできるパスワードまたはセキュリティ質問と回答の組み合わせ

TIPAにおける消費者の権利とオプトアウト

TIPAは、TIPAの対象となる管理者によって処理される個人情報を持つ消費者に特定の権利を確立しています。具体的には、消費者はTIPAの下で以下の権利を持っています：

• 自分の個人情報にアクセスする権利、管理者が自分の個人情報を処理しているかどうかを確認する権利を含む
• 提供されたまたは取得された個人情報の削除を要求する権利
• 消費者が以前に提供したデータに限り、ポータブル形式で自分の個人情報のコピーを取得する権利
• 消費者が以前に提供したデータに限り、自分の個人情報の不正確さを修正する権利
• 上記の権利に関連する消費者の要求の拒否に対して異議を申し立てる権利

さらに、TIPAは管理者に対して、消費者に以下の慣行からオプトアウトする能力を提供することを要求しています：

• 消費者に関する法的または同様に重要な影響を生じるプロファイリング
• ターゲット広告
• 個人情報の販売

ただし、TIPAは、これらのオプトアウト権が「仮名」データ（すなわち、管理者が識別子にアクセスすることを防ぐ制御が適用されているデータ）や、特定の自然人またはその人に関連するデバイスに帰属できないデータ（すなわち、識別不能なデータ）には適用されないことを規定しています。

TIPAにおける管理者と処理者の責任

TIPAは、テネシー州住民の個人情報を取り扱う管理者と処理者に特定の義務を課しています。たとえば、管理者は、個人情報の処理がプライバシー通知で特定された目的に対して合理的に必要かつ比例していることを保証しなければなりません。また、個人情報のセキュリティを保護するための合理的な技術的および組織的な措置を実施し、TIPAの下で権利を行使する消費者に対して不当な差別を避け、プライバシー通知において透明性を保つ必要があります。

さらに、管理者は、処理者との契約において、関係を制御する条項を含め、処理者が消費者の個人情報に関連する要求に応じるために管理者を支援することを要求する必要があります。

処理者は、管理者の処理指示に従い、TIPAの下での義務を果たすために必要な情報を提供する必要があります。

管理者は、敏感なデータを処理するために消費者の同意を得るか、既知の子供に関する敏感なデータの場合は、連邦法に従ってデータを処理する必要があります。

さらに、TIPAは、2024年7月1日以降に作成または生成された処理活動に対してデータ保護評価を実施することを管理者に要求しています。これらの評価は、処理活動が管理者、消費者、およびその他の利害関係者に与える利益、および消費者の権利に対する潜在的なリスクを考慮する必要があります。評価は、識別不能なデータの使用、消費者の合理的な期待、および処理活動の文脈を考慮に入れる必要があります。処理者は、これらの評価を実施する際に管理者を合理的に支援する必要があります。

データ保護評価の要件は、2024年7月1日以前に行われた処理活動には遡及的に適用されないことに注意してください。

TIPAの注目すべき条項

TIPAには、グラム・リーチ・ブライリー法（GLBA）の対象となる金融機関や、医療保険の相互運用性と説明責任に関する法律（HIPAA）および家族教育権とプライバシー法（FERPA）の規制の対象となる機関など、特定の事業体に対する特定の除外を含むいくつかの注目すべき条項が含まれています。法令は、「消費者」を、テネシー州の住民であり、個人的な文脈で行動している自然人のみとして定義しています。

消費者は、自分の個人情報の削除、アクセス、修正、データポータビリティを要求する権利、および個人データの販売やターゲット広告からオプトアウトする権利を持っています。

データ保護評価は、ターゲット広告、個人データの販売、敏感なデータの処理など、個人情報を含む特定の処理活動に対して必要です。

法令は、違反ごとに最大7,500ドルの民事罰を認めており、違反に対する是正期間は60日です。企業は、TIPAの違反の疑いに対する肯定的な防御を受けるために、NISTプライバシーフレームワークに準拠した書面によるプライバシープログラムを作成し、維持する必要があります。

TIPAの施行

TIPAは、その条項を施行する排他的な権限をテネシー州司法長官（AG）に付与しており、個人による訴訟権は認められていません。違反が疑われる場合、管理者および処理者には、非遵守を是正するための60日間の是正権があります。他の州のプライバシー法と比較して、この是正期間は終了しません。管理者または処理者が是正に失敗した場合、AGは違反ごとに最大7,500ドルの民事罰を課すことができます。

TIPA違反の疑いをかけられた管理者または処理者は、「エンタープライズリスク管理を通じてプライバシーを改善するためのツール バージョン1.0」と題されたNISTプライバシーフレームワーク、または「消費者のプライバシーを保護するために設計された他の文書化されたポリシー、基準、および手順」に準拠した書面によるプライバシープログラムを実施し、遵守している場合、肯定的な防御を主張することができます。NISTまたは同等のプライバシーフレームワークがプライバシーフレームワークの改訂版を発行した場合、管理者または処理者は、発行日から2年以内にプライバシープログラムを改訂されたフレームワークに準拠させる必要があります。

TIPAコンプライアンス

テネシー州住民の個人情報を収集する企業は、TIPAに準拠するためにいくつかのステップを踏む必要があります。これには以下が含まれます：

• 個人情報を保護するための管理的、技術的、および物理的な保護策を含む書面による情報セキュリティプログラムを開発し、実施する
• 潜在的なセキュリティ脆弱性を特定し、対処するために定期的なリスク評価を実施する
• 個人情報の適切な取り扱いについて従業員を訓練する
• 個人情報が不要になったときに安全に廃棄する手順を実施する
• データ侵害のインシデントに迅速に対応し、法律で要求される通りに影響を受けたテネシー州住民に通知を提供する

TIPAに準拠しない企業は、重大な法的および財務的な結果に直面する可能性があります。したがって、企業は法律の要件を理解し、コンプライアンスを確保するための措置を講じることが不可欠です。

Kiteworksを使用してTIPAコンプライアンスを実証する

Kiteworksは、テネシー州住民の個人情報の取り扱いと共有のためのプライベートコンテンツネットワークを提供することで、テネシー州情報保護法に対するコンプライアンスを実証するのに役立ちます。TIPAは、個人情報を取り扱う際に企業に重大な義務を課しており、遵守しない場合は厳しい罰則や評判の損害を招く可能性があります。

Kiteworksは、組織の通信チャネルの攻撃面を最小限に抑えるために、自己完結型で事前構成された強化された仮想アプライアンスを使用します。Kiteworksは、多要素認証、詳細なポリシー制御、役割ベースの権限、セキュリティインフラストラクチャの統合、およびエンドツーエンド暗号化などの広範なセキュリティ制御を採用して、個人情報のプライバシーを確保します。

Kiteworksを使用することで、企業は、信頼できる関係者とメール、ファイル共有、ファイル転送、その他のチャネルを通じて共有する際に、テネシー州市民に属する機密コンテンツのデジタル通信を適切に追跡、制御、および保護することができます。

Kiteworksの包括的な監査ログは、テネシー州情報保護法、一般データ保護規則（GDPR）、およびHIPAAなどのデータプライバシー規制に対するコンプライアンスを実証することも可能にします。

テネシー州情報保護法に準拠するためにKiteworksをどのように使用できるかについての詳細は、カスタムデモを予約してください。

 

リスクとコンプライアンス用語集に戻る