生体情報関連の訴訟は企業等にとって重大な新リスクである
要旨:生体情報関連の訴訟は、特に米国で関連事業を行っている企業や同国の賠償保険を補償する保険会社が現在考慮しなければならない重大な新リスクである。
米国各州では、企業が許可なく指紋や顔認証等のデータを収集・流布することを防ぐため、生体情報に関する法律を制定する動きが加速している。
イリノイ州は生体情報に関連した最初の法律、生体情報プライバシー法(BIPA)を2008年に制定した。ニューヨーク州、マサチューセッツ州、メリーランド州を含む9つの州も最近、生体情報の法律を導入した。
集団訴訟は増加傾向にあり、目を見張るような支払いもある。2021年、Facebook(現Meta)はデータ・プライバシー請求に関する訴訟の和解金として6億5000万ドルを支払うことで合意し、Googleは昨年1億ドル、TikTokの親会社であるByteDanceは9200万ドルを支払った。
しかし、影響を受けているのはソーシャルメディア大手や検索エンジンだけでなく、生体情報は職場や医療機関、モバイルアプリ、学校でも収集されている。その他にも、マクドナルド、遊園地運営会社のSix Flags Entertainment、スクールバス・サービス・プロバイダーのFirst Student、自動車アクセサリー・メーカーのWeatherTechなどが矢面に立たされている。実際、Zywaveの100万件を超える過去の損害記録のデータセットには、現在までに13億ドルを超えるBIPA和解金が含まれている。
保険金請求は通常、企業総合賠償(Commercial General Liability)(以下、CGL)にある人格権侵害および宣伝侵害に基づいて行われているが、多くの保険会社は、BIPA違反で提訴された被保険者の弁護士費用を補償する義務はないとの判決を求める宣言判決訴訟を裁判所に提起し、争闘状態に陥っている。
否認の論拠としては、BIPAによる損害賠償請求は:
①プライバシーの権利を侵害する内容の「公表」がないため、「人身的な損害」ではないこと
②BIPAは法定スキームであり、賠償責任保険の法定免責条項に該当すること
③雇用関連慣行の免責条項が適用されること
④その他のサイバーおよびデータ開示の免責条項が適用されること
等が挙げられる。
集団訴訟の多発
BIPAが制定されて以来、プライバシー侵害を理由とする集団訴訟が爆発的に増加しており、保険会社は弁護士費用を請求されている。2021年5月、イリノイ州最高裁判所が、BIPA違反を主張する訴訟の基礎となるイリノイ州の保険適用に関する重要な判決を下したことで、この法律は保険業界の注目を集めるようになった。
最高裁は、指紋データの第三者への開示が賠償責任保険の「人身傷害」補償に必要な「公表」に該当するため、保険会社には防御義務があるとした。最高裁はまた、保険会社のもう一つの免責主張の基となる「法令違反の資料配布の免責条項」(Distribution of Material in Violation of Statutes)は、情報の流布ではなく、伝達方法を規制する法令に対する補償を免責とするものであるため、当免責条項により補償の対象とならないことはないと裁定した。
今年7月、イリノイ州北部地区連邦地方裁判所はイリノイ州の保険会社による、弁論による判決の申し立てを却下し、被保険者が従業員の勤務時間を把握するために指紋のスキャンを義務付け、その指紋データを違法に収集・開示したことによりBIPAに違反したとする訴訟において、保険会社には被保険者を弁護する義務があるとの判断を示した。
2021年5月のイリノイ州最高裁判所の調査結果を受け、連邦地裁は原訴訟も同様にBIPAに違反して従業員の指紋データを少なくとも1人の第三者に不当に開示したと主張し、原告が精神的苦痛を含む損害を被ったと主張した。同地裁は、原訴訟はイリノイ州の保険会社の保険契約の範囲内、または範囲内の可能性があるとした。
保険会社は、3つの免責条項:
①法律に違反した資料または情報の記録および配布の免責条項
②機密情報または個人情報へのアクセスまたは開示の免責条項
③雇用関連慣行の免責条項
により、補償の義務がないと反論した。しかし連邦地裁は、どの免責事項も明確に補償義務が生じないと主張できるものではないと結論づけた。
今年6月、テクノロジー企業Wynndalco Enterprisesに対し、シカゴ警察を含むイリノイ州の顧客へのアクセスをClearview AIにライセンス供与して販売した際、BIPAに違反したとして提起された2件の集団訴訟から、保険適用に関する紛争が発生した。Clearview AIは、顔認識ソフトウェアを開発する人工知能企業で、顔画像のスキャン・データベースを構築している。
第7巡回控訴裁判所は、連邦地裁の弁論判断を支持し、保険会社にはWynndalcoに対する2件の集団訴訟を防御する義務があるとした。裁判所は、法令違反の免責条項の文言は難解なほど曖昧であると判断し、保険会社には被保険者を防御する義務があると裁定した。
しかし、すべての判決が保険会社を不利に判断しているわけではない。昨年9月、イリノイ州の保険会社が食品メーカーを相手取った訴訟で米連邦地裁は、指紋生体認証を使用したことによるBIPA違反を主張する元従業員の訴訟については補償の対象外とし、勝訴した。
補償の可否が争われたのはCGL保険だけではない。雇用慣行賠償責任保険とサイバー保険は、BIPA関連請求を補償する可能性がある。4月、イリノイ州控訴裁判所は、ある保険会社が発行したサイバー保険は、鉄道のセキュリティ・ゲート・システムの一部として指紋データを違法に収集し、BIPAに違反したとしてトラック運転手から訴えられた同保険の被保険者であるテクノロジー企業を防御する義務を負うと述べた。
注目される顔認証
顔認識は、保険会社が賠償責任保険を契約する際に考慮しなければならない比較的新しい論点である。2023年3月、ニューヨークの控訴裁判所が、Madison Square Gardenは同会場の管理会社に訴訟を起こしている弁護士を、同会場内で開催されるイベントの参加を禁止することができるという判決を下し、この問題が脚光を浴びた。顔認証はMSG Entertainment社によって使用され、同社に対する訴訟に関わっている法律事務所に勤務する弁護士が、娘と娘のガールズスカウト隊とともにクリスマス・スペクタキュラーのショーに参加しようとした際、ラジオシティ・ミュージックホールへの入場を阻止した。また判決は、「弁護士入場禁止」を阻止した仮処分命令を覆した。
生体情報関連の訴訟は、顔認識や指紋だけにとどまらない:DNAもまた、法的分野に参入している。2023年8月、DNA分析会社Sequencing社によって遺伝子検査結果を同意なしに第三者と共有されたイリノイ州の消費者に対し、集団訴訟の認定が認められた。裁判所は、同社がイリノイ州遺伝情報プライバシー法に基づき1,550人の権利を侵害したと認定した。
Sequencing社は、顧客が直接同社にDNAを送るか、23andMe社やAncestry.com社などの第三者が行ったDNA検査の結果をアップロードした後、顧客のDNAを収集・分析する。Sequencing社はその情報を使って顧客の遺伝コードを評価し、レポートを作成する。顧客がレポートを購入すると同時に、顧客の個人情報と遺伝子情報は対応する第三者開発会社に自動的に送信される。原告は、Sequencing社から自分の遺伝情報が共有されることを知らされておらず、その情報が誰かに開示されることに同意したこともないと主張した。
生体情報に関する法律や訴訟は、今や個人保護の最先端を行くものである。こうした保護が拡大し続けることで、保険会社は商品の開発や価格設定時に想定していなかった損害を負うことになるかもしれない。
生体情報関連の訴訟の結果は、裁判所が補償条件の解釈で異なるなど、依然として予測不可能であるため、保険会社は保険契約を見直し、補償決定を追跡する必要がある。多くの保険会社はBIPAやGIPA違反を防御するための法的コストを免責にしようとしているかもしれないが、拡大解釈された文言の脅威は依然として懸念事項である。
訴訟情勢は依然として不透明であるが、保険会社はプライバシー法に関する最新情報を入手し、その遵守を徹底することで、リスクを最小限に抑える必要がある。
また、同時に保険契約者・被保険者となる企業等は生体情報のリスクに関しては保険に移転できるのか、それとも保有するのか、そもそも、保険で補償されている状況なのか保有している状況なのか確認しておく必要があるだろう。
この記事が気に入ったらサポートをしてみませんか?