FTC Section 5:米国のAIプライバシー執行
2026年版に更新済み。
Federal Trade Commission(FTC)は、FTC法Section 5を通じて米国の連邦プライバシー法を執行しています。 同条項は「不公正または欺瞞的な慣行」を禁止しています。 米国にはGDPRに相当する包括的な連邦プライバシー法は存在しません。 しかし、同機関は2024年に新たな執行記録を樹立しました。
2024年:記録的な執行年
委員会は2024年にAI関連の措置を19件実施しました。 これは過去3年間の合計を上回ります。 さらに、25の州プライバシー法が活動中です。 これらを合わせると、EU GDPRに匹敵する複雑なコンプライアンス負担が生じます。
2024年の主要事例:
Amazon Alexa(2,500万ドル、2023年/継続中): AmazonはCOPPA違反により2,500万ドルを支払いました。 同社は子どもの音声ファイルを規定の保存期間を超えて保持していました。 機関は、AmazonがこれらのファイルをAIの訓練に適切な同意なく使用したと認定しました。 Amazonは保持していたファイルの削除を命じられました。
Metaの未成年者向け広告禁止: 連邦規制当局は、Metaが18歳未満のユーザーの記録を広告に使用することを禁止しました。 これは既存の同意命令に基づくものです。
AIデータブローカーへの措置: 機関は複数のブローカーに対して措置を取りました。 これらのブローカーは、AIが生成した個人プロファイルを適切な開示や同意なく販売していました。 判例により重要なルールが確立されました:個人記録のAIプロファイリングは「センシティブな」処理に該当します。 この分類により、強化された開示義務が発生します。
健康記録関連事例: 委員会はHIPAAの適用外の健康記録に関する権限を持っています。 一般消費者向けアプリ、ウェアラブル、一部の遠隔医療プラットフォームがこれに該当します。 2024年の複数の事例で、これらの記録を許可なく共有した企業が対象となりました。
25の州法:米国のプライバシー・パッチワーク
全米国民を保護する単一の連邦法は存在しません。 代わりに、25の州法が国民のほとんどをカバーしています。
California CPRA(2023年より): 米国で最も包括的な州法です。 カリフォルニア州の4,000万人を対象としています。 売上2,500万ドル超、またはカリフォルニア州消費者10万人以上の記録を処理する企業に適用されます。 専門の規制機関としてCalifornia Privacy Protection Agency(CPPA)を設立しました。
Virginia VCDPA、Colorado CPA、Connecticut CTDPA: 同様の権利を持つ3つの追加法です。 合わせて数百万人の住民をカバーしています。
Texas TDPSA、Florida FDBR: 活動中のプライバシー法を持つ2つの大州です。
Washington My Health MY Data Act: カリフォルニア州以外で最も厳格な米国の健康記録法です。 HIPAAを超えて、一般消費者向け健康アプリにまで保護を拡大しています。
全国で事業を展開する企業にとって、25の法律は共通の基本要件を共有しています。 消費者の権利、プライバシー通知、ベンダー契約、記録の最小化がすべて必要です。 具体的な規則は州によって異なります。
これらの義務がどのように重なるかについては、法的コンプライアンスガイドをご覧ください。
2024年の措置が技術的に意味すること
2024年の措置は明確な技術的ガイダンスを提供しています。
訓練記録の透明性: 企業は、各AIモデルがどの個人記録で訓練されたかを文書化する必要があります。 その訓練用途について同意があったことを示す必要があります。 適用された保存期間も確認する必要があります。
目的制限: AIが生成したプロファイルは、収集時に通知した範囲を超えて使用できません。 広告のみを申告していたにもかかわらず採用決定に行動分析を使用することは、Section 5違反です。
ベンダーへの義務: 機関は、SaaSベンダーを導入企業のコンプライアンス責任と見なします。 ツールがユーザー記録を処理する場合、それはプライバシー通知に記載する必要があります。 ベンダーの行動は申告した目的と一致している必要があります。
ゼロ知識システム: AIベンダー事例の核心は、記録の未開示使用です。 ゼロ知識システムは暗号化されたファイルのみを保持します。 ベンダーは復号化する鍵を持っていません。 記録を未開示の方法で使用することはできません。 この技術的事実は、連邦規制当局が標的とするものと直接一致しています。
anonym.legalがゼロ知識システムをどのように使用しているかは/security-complianceでご覧ください。
商業監視に関する規則提案
委員会が提案した商業追跡に関する規則は、2025年時点で審議中です。 採択されれば、明確な連邦規則が設けられます。
- AIでの使用における記録の最小化。
- 自動プロファイリングへの異議申し立て権。
- 収集した記録を新たな目的に使用することの禁止。
- 保存された個人記録のセキュリティ規則。
この規則により、米国の消費者にサービスを提供するすべての企業にGDPRと同様の最小化義務が課されます。 米国市場全体のコンプライアンス基準が大幅に引き上げられます。
記録の最小化については/docs/faqをご覧ください。
出典
- FTC:Federal Trade Commission。ftc.gov。
- FTC:2024年AI関連執行措置。ftc.gov/news-events/news/press-releases/。
- CPPA:California Privacy Protection Agency。cppa.ca.gov。
- FTC:商業監視に関する規則提案。ftc.gov/legal-library/browse/rules/commercial-surveillance-rulemaking。