Additional Notice - JP Customer Only

Delaware Personal Data Privacy Act (DPDPA) 日本語訳

1. 法律

1.1. 法律および規制

1.1.1. 個人データ保護に適用される法律および／または規制は何ですか

2023 年 9 月 11 日、Delaware Governor は Delaware Personal Data Privacy Act （DPDPA）に署名しました。DPDPA は、消費者の権利ならびにコントローラーおよび プロセッサーの各種義務を定め、Delaware Department of Justice（Delaware DOJ ）に対し、その規定を執行する排他的な権限を付与しています。

DPDPA は 2025 年 1 月 1 日 に施行されました。

1.2. 監督当局

1.2.1. 法律の執行およびガイドラインの発行を担当する機関はどこですか

Delaware DOJ は DPDPA を執行する権限を有し、DPDPA 違反を調査および起訴す ることができます。

1.2.2. 監督当局への連絡方法は何ですか

名称：Delaware DOJ

住所：Carvel State Building, 820 N. French St., Wilmington, DE 19801

E メール／オンライン連絡先フォーム：attorney.general@delaware.gov

FAX：(302) 577-6499

電話：(302) 683-8800

ウェブサイト：https://attorneygeneral.delaware.gov/contact/

1.2.3. 監督当局の権限は何ですか

Delaware DOJ は DPDPA を執行する排他的な権限を有し、DPDPA 違反を調査およ び起訴することができます。DPDPA の施行日の少なくとも 6 か月前から、Delaware DOJ は消費者および事業者に対し、DPDPA に関する啓発活動を実施します。 Attorney General（AG）は、調査に関連する Data Protection Impact Assessment（DPIA）の提出をコントローラーに要求することができ、DPDPA への適 合性を評価する権限を有します。

1.2.4. 年次報告書は公表されていますか

いいえ。

1.3. ガイドライン

1.3.1. 個人データ保護に関するガイドラインは発行されていますか

Delaware DOJ は以下のガイダンスを発行しています：Personal Data Privacy Portal、Delaware Personal Data Privacy Act に関する FAQ、事業者向け DPDPA 遵守ガイダンス。

 

2. 適用範囲

2.1. 人的適用範囲

2.1.1. 法律は誰に適用されますか

DPDPA は、デラウェア州で事業を行う者、またはデラウェア州居住者を対象とした製 品またはサービスを提供する者で、前年に一定の基準を満たす場合に適用されます。

2.1.2. 適用される分野は何ですか

DPDPA は主に民間部門に適用され、州政府機関等には例外が設けられています。

2.1.3. 誰が保護の対象となりますか

「消費者」とは、デラウェア州の居住者である個人を指します。ただし、雇用または商 業上の立場で行動する個人は含まれません。

2.1.4. 死亡者に適用されますか

DPDPA は死亡者への適用について明示していません。

2.1.5. 居住者に適用されますか

はい

2.2. 地域的適用範囲

DPDPA は、デラウェア州内で事業を行う者、または同州居住者を対象とする活動に適 用されます。

2.3. 物的適用範囲

DPDPA は、個人データの管理および処理に適用されます。

 

3. 定義

3.1. 主要用語

3.1.1. データコントローラー 個人データ処理の目的および手段を決定する者

3.1.2. データプロセッサー コントローラーに代わって個人データを処理する者

 

4. データ処理の原則

DPDPA は、データ最小化、目的制限、機密性および完全性の原則を定めています。

 

5. 適法な処理根拠（非センシティブ個人データ）

DPDPA に基づき、合理的かつ比例的な範囲で個人データの処理が認められています。

 

6. 適法な処理根拠：特別カテゴリの個人データ

6.1. センシティブデータ

6.1.1. センシティブデータの処理は許可されていますか。

はい

6.1.2. センシティブデータの処理に依拠できる適法な根拠は何ですか

コントローラーは、消費者の同意を取得しない限り、消費者に関するセンシティブデー タを処理してはなりません。

6.1.3. センシティブデータ処理における有効な同意とは何ですか

DPDPA における有効な同意の要件が適用されます。同意とは、消費者に関する個人デ ータを処理することについて、自由意思に基づき、特定され、十分な情報を得た上で行 われる、明確かつ積極的な意思表示を指します。ダークパターンによって取得された同 意は含まれません。

 

7. 未成年者

7.1. 未成年者の個人データ保護

7.1.1. 「未成年者」はどのように定義されていますか

「Child」は COPPA における定義と同一の意味を有し、13 歳未満の個人を指します。 当該データはセンシティブデータとみなされます。

7.1.2. 同意の法定年齢はいくつですか

COPPA に基づく法定同意年齢は 13 歳です。

7.1.3. 未成年者の個人データ処理は許可されていますか

はい。COPPA の検証可能な親の同意要件を遵守するコントローラーおよびプロセッサ

ーは、DPDPA における親の同意要件を満たしているとみなされます。

7.1.4. 未成年者データの処理に依拠できる適法な根拠は何ですか 既知の子どもに関するセンシティブデータは、親または法定後見人の同意を取得しない 限り処理できません。

 

8. データ処理の通知

8.1. 通知、登録、認可

8.1.1. データ処理活動について通知、登録、または認可を求める義務はありますか

DPDPA は、データ処理通知要件を特に定めていません。

 

9. データ保護責任者および現地代表者

9.1. データ保護責任者

9.1.1. データ保護責任者（DPO）の任命義務はありますか

DPDPA は、DPO の任命について明示的に規定していません。

9.2. 現地代表者

9.2.1. 現地代表者の任命義務はありますか

DPDPA は、現地代表者の任命について明示的に規定していません。

 

10. 活動記録

10.1. 処理活動の記録

10.1.1. 処理活動記録の維持義務はありますか

DPDPA は明示的な記録保持義務を定めていませんが、削除請求への対応として一定の 記録保持が認められています。

 

11. プライバシー影響評価

11.1. プライバシー影響評価の要件

11.1.1. プライバシー影響評価（DPA）の実施義務はありますか

はい。DPDPA は、一定の高リスク処理活動について Data Protection Assessment の実施を義務付けています。

11.1.2. どのような場合に評価義務が発生しますか

対象となるのは、ターゲティング広告、個人データの販売、プロファイリング、または センシティブデータを含む処理です。

11.1.3. プライバシー影響評価にはどのような情報を含める必要がありますか

評価では、処理による利益と消費者の権利へのリスクを比較衡量し、合理的な保護措置 を考慮する必要があります。

11.2. 事前協議

11.2.1. 監督当局との協議は必要ですか

AG の要請により、評価結果を提出する必要があります。

 

12. 消費者の権利

12.1. 一般

12.1.1. 消費者にはどのような権利がありますか

DPDPA に基づき、消費者は以下の権利を有します：

·        自身の個人データが処理されているかどうかを確認する権利

·        個人データへのアクセス権

·        不正確な個人データの訂正を求める権利

·        個人データの削除を求める権利

·        個人データのコピーを取得する権利（データポータビリティ）

·        ターゲティング広告、個人データの販売、プロファイリングに対してオプトアウ

トする権利

12.2. 権利行使の方法

12.2.1. 消費者はどのように権利を行使できますか

コントローラーは、消費者が権利を行使するための 1 つ以上の安全で信頼性の高い手段 を提供しなければなりません。

12.2.2. 回答期限は定められていますか

コントローラーは、消費者からの要求を受領してから 45 日以内に対応しなければなり ません。必要に応じて、45 日間の延長が 1 回可能です。

12.3. 不服申立て

12.3.1. 消費者は拒否決定に対して異議を申し立てることができますか

はい。コントローラーは、不服申立ての方法を明確に定め、60 日以内に書面で回答し なければなりません。

 

13. 情報提供義務

13.1. プライバシー通知

13.1.1. プライバシー通知にはどのような情報を含める必要がありますか

プライバシー通知には、処理される個人データのカテゴリ、処理目的、第三者への開示 内容、消費者の権利および行使方法等を含める必要があります。

 

14. データセキュリティ

14.1. セキュリティ措置

14.1.1. どのようなセキュリティ対策が求められますか

コントローラーおよびプロセッサーは、処理される個人データの性質および量に応じて 、合理的な管理的、技術的、物理的セキュリティ措置を実施しなければなりません。

 

15. 第三者および委託処理

15.1. プロセッサーとの関係

15.1.1. プロセッサーに対する要件は何ですか

コントローラーは、DPDPA の要件を満たす契約を通じて、プロセッサーに個人データ 処理を委託しなければなりません。

 

16. 執行および罰則

16.1. 執行

16.1.1. 法律はどのように執行されますか

DPDPA は Delaware Department of Justice によって排他的に執行されます。個人 による私的訴訟権は認められていません。

16.2. 罰則

16.2.1. 違反に対する制裁は何ですか

違反が認められた場合、AG は是正措置や差止命令等を求めることができます。

 

17. 施行および経過措置

17.1. 施行日

17.1.1. 法律はいつ施行されましたか

DPDPA は 2025 年 1 月 1 日 に施行されました。