連邦の[SECURE Data Act](https://d1dth6e84htgma.cloudfront.net/SECURE_Data_Act_for_introduction_7c80a347ac.pdf)は、消費者プライバシーへの潜在的な影響について精査されています。この法案が成立した場合、現在の、たとえ不十分であっても、州レベルの保護から大幅な後退となるのではないかという懸念が高まっています。 [House Energy and Commerce Committee](https://energycommerce.house.gov/posts/committees-on-energy-and-commerce-and-financial-services-introduce-pair-of-privacy-bills-to-establish-comprehensive-data-protections-for-all-americans)の共和党議員は、超党派の合意なしに先月下旬に法案の草案を提出しました。批評家は、この法案は過去の議会提案や、すでに施行されている[21の州の消費者プライバシー法](https://iapp.org/resources/article/us-state-privacy-legislation-tracker)よりも弱いと主張しています。 ### 先取りに関する懸念 主な論争点は、多数の州のプライバシー法を先取りする可能性です。法案の第15条は、「本法の規定に関連する」いかなる「法律、規則、規制、要件、基準、またはその他の規定」も先取りします。これにより、21州の既存の消費者プライバシー法が事実上無効になる可能性があります。例えば、カリフォルニア州は[データブローカー削除ツール](https://privacy.ca.gov/drop/)を維持しており、企業に[自動オプトアウトシグナル](https://www.eff.org/gpc-privacy-badger)への準拠を求めています。これには、**EFF**の[Privacy Badger](https://privacybadger.org/#What-is-Global-Privacy-Control)に組み込まれているものも含まれます。 SECURE Data Actにはデータプライバシーとセキュリティに関連する規定があるため、[すべての50州のデータ侵害法](https://www.ncsl.org/technology-and-communication/security-breach-notification-laws)や[その他多数](https://www.congress.gov/crs-product/R48667)を先取りする可能性があります。また、[バイオメトリック](https://www.ilga.gov/Legislation/ILCS/Articles?ActID=3004&ChapterID=57)や[位置情報](https://www.doj.state.or.us/consumer-protection/id-theft-data-breaches/privacy/privacy-law-faqs-for-consumers/)情報の販売禁止など、特定の機密データに関する州法も先取りする可能性があります。カリフォルニア州のような一部の州には、個人のプライバシー権を保護する憲法上の規定があり、[企業に対して](https://btlj.org/wp-content/uploads/2025/01/39-2_Ozer.pdf)執行できます。この憲法上の規定や[州のプライバシー不法行為](https://scholarship.law.bu.edu/faculty_scholarship/628/)も、この法案が可決された場合、危険にさらされる可能性があります。 ### 個人による訴訟権の欠如 もう一つの重要な懸念は、個人がプライバシー侵害で企業を訴えることを可能にする個人による訴訟権の欠如です。批評家は、規制当局が包括的なコンプライアンスを施行するためのリソースを欠く可能性があるため、この省略は法案の効果を損なうと主張しています。 代わりに、**FTC**と州司法長官が主要な執行権限を持つことになります。また、この法律では、企業が違反を犯した場合、発見されてから45日以内に罰金なしで「是正」する機会が与えられます。 ### 弱いプライバシーデフォルトとデータ最小化 この法案は、消費者に侵襲的なデータ慣行をオプトアウトする負担を課す、弱いプライバシーデフォルトについても批判されています。法案は機密データの処理には同意を要求していますが、批評家はこれが操作的な同意要求につながる可能性があると主張しています。 法案の第3条では「データ最小化」という用語が使用されていますが、それは名目上のみです。この規定は、企業が顧客に要求された商品やサービスを提供するために必要なデータのみを処理することに限定していません。代わりに、この規定は、企業が「顧客に開示した」データのみの処理に限定しています。つまり、誰も読まない紛らわしいプライバシーポリシーに記載されていれば、問題ないということです。 さらに、この法案では、特定のデータ使用を制限することさえできません。企業がAIシステムのためにますます多くのデータを求めている中、多くのインターネットユーザーは、自身のプライベートな個人データがこれらのモデルのトレーニングに使用されることを望んでいません。しかし、この法案は、「本法はいかなる企業も、新しい技術を『開発』または『改善』するためにデータを収集、使用、または保持することを制限するものと解釈されてはならない」と明確にしています。 ### その他の懸念 * **政府請負業者**: 第13条(b)(2)項に基づき、政府請負業者はこの法案から除外されており、政府への販売が行われる場合のデータブローカーの販売制限から特定のデータブローカーが除外されると誤って解釈される可能性があります。この種の除外は、**Clearview AI**のような監視企業に利益をもたらす可能性があり、