生体データとアメリカのプライバシー法
2018年、アメリカのイリノイ州は、企業による生体情報の収集に対処するためにバイオメトリック情報プライバシー法を採用した最初の州となりました。
BIPA
アメリカ合衆国には生体認証データの使用に関する連邦法はありませんが、イリノイ州など特定の州には生体情報保護法(BIPA)があります。BIPAは、虹彩スキャン、指紋、音声認識、DNA などの生体情報を収集・使用する組織に義務を課しています。BIPAの主な要件の1つは、組織が生体データを処理する前に、データ主体の書面による同意を取得する必要があることです。
BIPAケース
BIPAが検討した主なケースの1つは、データ主体が裁判所に救済を求める前に実際の被害を受ける必要があるかどうかという問題でした。ある母親がイリノイ州最高裁判所に訴えたのは、会社が彼女の息子に指紋をスキャンすることを求め、シーズンパスを使用できるようにしたためです。彼女は損害を受けていませんでしたが、会社は彼女と彼女の息子のバイオメトリックデータを収集する際に同意を得なかったことで権利を侵害しました。裁判所は、BIPAの下で訴訟を起こすために実際の損害が発生する必要はないと判断しました。
連邦法案保留中
バイオメトリクスと規制の状況は絶えず進化しています。より多くの州が、イリノイ州と同様のバイオメトリックプライバシー法を制定し始めています。2008年以来、アーカンソー州、カリフォルニア州、テキサス州、ワシントン州の4つの州がBIPAをモデルとした法律を採用しています。ワシントン州は、企業が顔認識技術のためにバイオメトリックデータを使用する方法を変える州のデータプライバシー法を可決しました。連邦議員はバイオメトリック情報に関する法律を制定しようとしています。2020年全国バイオメトリック情報プライバシー法が導入され、バイオメトリクスを取得する前に対象事業者が同意を得ることが求められることになります。この提案された連邦法は、現在米国上院で審査中であり、私的な訴訟権も含まれることになります。
