Nick Ortner 氏は、11 月 29 日に公開された記事の中で、米国プライバシー権利法 (「APRA」) が中小企業に与える影響についての懸念を述べています。端的に言えば、APRA は、現在の州のデータ プライバシー法のつぎはぎによって生み出されたコンプライアンスの悪夢に対処する連邦データ プライバシー法として提案されています。
現在 19 の州で、さまざまな要件、制限、その他の規定を備えた包括的なデータ プライバシー法が制定されています。
ビジネスを規制する他の法律と同様に、中小企業への影響について懸念が広がっており、オルトナー氏もその懸念を記事の中で繰り返しています。注目すべきことに、オルトナーは次のように書いています。
「一部の議員は、APRAは巨大なデータブローカーにのみ影響を与えるだろうと主張しています。しかしこの法案は、広告をクリックしたりウェブサイトにアクセスしたりすることによって得られる断片的な情報であるデータポイントを年間20万件以上生成するあらゆる企業を対象としている。これは大きな数字のように聞こえますが、多くの中小企業はこの数字を簡単に上回っています。デジタル時代には、私のような小さな家族経営でも世界中に顧客がいる可能性があるからです。私たちと大規模なデータブローカーとの共通点はまったくありませんが、APRA はまったく同じ方法で私たちを規制するでしょう。」
APRA の中小企業への適用についてのオルトナー氏の特徴付けはまだ完了していません。 APRA は、「中小企業」と定義されているものを適用から除外しています。 3 つのしきい値以内であれば、企業は「中小企業」の定義を満たします。
まず、その企業の過去 3 年間の平均年間総収益が 4,000 万ドル以上ではないこと。第二に、企業は収益や何らかの価値のあるものと引き換えに、APRA の対象となるデータを転送してはなりません。第三に、オルトナー氏の文章にある 200,000 という数字に関して、企業は「要求されたサービスまたは製品の開始、提供、請求、完了、完了、またはその他の支払いの回収以外の目的で」200,000 人を超える個人のデータを処理していない」
言い換えれば、単に消費者にサービスを提供するための処理である限り、200,001 人の個人データを処理するだけではこのしきい値を超えることはありません。
APRA が依然としてオルトナーのビジネスに適用されるかどうかは私の知識の範囲を超えていますが、オルトナーが主張するように、APRA の起草者は「APRA の影響を慎重に検討」しています。具体的には、起草者らは、消費者にサービスや製品を提供するためだけにデータを処理する中小企業を罠にはめないよう努めてきた。
ジョン・ハスケルはメイン州トップシャムの弁護士です。
