バーモント州データプライバシー・監視法はいつ施行されますか？

法律は2026年6月16日に署名され成立した後、2028年1月1日に施行されます。

このバーモント州法が他の州のプライバシー法よりも厳しい理由は何ですか？

機密データの処理にオプトインの同意を要求し、消費者に訴訟を起こす私人による訴訟権を付与し、明示的な同意なしのターゲット広告や行動プロファイリングを制限しているためです。

バーモント州データプライバシー・監視法の対象となる事業者は？

年間で25,000人以上のバーモント州消費者の個人データを管理または処理する企業、または個人データの販売から総収入の25％以上を得て、かつ少なくとも12,500人の消費者のデータを処理する企業です。

この法律の下でオプトインの同意が必要なデータのカテゴリは？

正確な位置情報、健康データ、金融データ、未成年者に関するデータは、処理前にオプトインの同意が必要です。

個人消費者はこの法律違反に対して訴訟を起こせますか？

はい、法律は特定の違反に対して私人による訴訟権を含んでおり、執行を州の規制当局だけに委ねるのではなく、個々の消費者が訴訟を起こす法的地位を与えています。

バーモント州データプライバシー・監視法：2028年の意味するもの

バーモント州知事は2026年6月16日にS.71、バーモント州データプライバシー・オンライン監視法に署名し、成立させた。これによりバーモント州は消費者のデータ保護に関して全米で最も厳しい州の一つとなった。法律は2028年1月1日まで施行されないが、企業が自社の慣行を整えるためのカウントダウンはすでに始まっている。消費者にとって、バーモント州のデータプライバシー法の監視条項は、企業が個人情報を収集・使用・共有する方法を抑制しようとする米国の州による最も野心的な試みの一つである。

バーモント州データプライバシー・オンライン監視法が実際に要求するもの

その核心として、この法律はバーモント州住民に自らの個人データに対する意味のある管理権を与える。企業に対し、正確な位置情報、健康データ、金融データ、未成年者に関するデータを含む機密性の高い情報のカテゴリを処理する前に、オプトイン（事前同意）を得ることを義務付けている。このオプトイン基準は、他の多くの州法に見られるオプトアウト（事後拒否）の枠組みよりも著しく厳しい。

企業はまた、明確でアクセスしやすいプライバシー通知を提供し、リスクの高い処理活動についてデータ保護評価を実施し、消費者のデータへのアクセス、訂正、削除、移行の要求に応じなければならない。法律は特定の違反に対して私人による訴訟権を含んでおり、これにより州の規制当局だけでなく、個々の消費者が訴訟を起こす法的地位を得る。この特徴だけでも、執行が司法長官に全面的に委ねられている大多数の米国の州プライバシー枠組みとバーモント州を一線を画すものだ。

法律の「オンライン監視」部分は特に注目に値する。消費者向けのターゲット広告への個人データの使用に特定の制限を課し、企業が明示的な同意なしに行動プロファイルを構築する方法を制限する。

対象となる事業者、および予想以上に多くの企業を捉える広範な網

多くの州のプライバシー法には、収益やデータ量のしきい値が含まれており、小規模企業は対象外となる。バーモント州のしきい値は比較的低い。法律は、年間で25,000人以上のバーモント州消費者の個人データを管理または処理する企業、または個人データの販売から総収入の25パーセント以上を得て、かつ少なくとも12,500人の消費者のデータを処理する企業に適用される。

バーモント州の人口は約65万人である。つまり、25,000人の消費者というしきい値は、州住民のわずか約4パーセントに過ぎない。全国的に事業を展開し、バーモント州のユーザーベースがわずかでもあれば、簡単にそのラインを超える可能性がある。データブローカーは特に、機密データの販売に対するより厳しい制限や州への登録義務など、法律の下で強化された義務を負う。

法律のタイトルにある「オンライン監視」という枠組みは、その野心を明確に示している。消費者のプロファイルを構築するために広範な追跡に依存するプラットフォームや広告技術企業は、まさにその対象となる。

バーモント州法と他の米国州プライバシー法制との比較

バーモント州は現在、包括的な消費者プライバシー法を制定した約20数州の一つだが、その法律は厳格さの範囲で最も厳しい部類に入る。カリフォルニア州のCPRAはしばしば米国のゴールドスタンダードとして引用されるが、バーモント州の機密データ処理に対するオプトイン要件と私人による訴訟権は、カリフォルニア州が現在要求している範囲を超えている。

テキサス州やフロリダ州のような州は、より広範な事業者免除と私人による訴訟権のない法律を制定しており、実際には執行がほとんど実効性のないものとなっている。バーモント州のアプローチは、GDPRを直接模倣しているわけではないが、その精神は欧州のデータ保護原則に近い。低い適用しきい値、機密データに対するオプトインのデフォルト、個人訴訟権の組み合わせが、企業に真の説明責任の圧力を生み出している。

この法律はまた、ほとんどの州の枠組みよりもデータブローカー活動の周りに厳しい規制を引いており、これは商業的監視経済の多くが、消費者が直接やり取りする企業ではなくデータブローカーを通じて動いていることを考えると重要である。

バーモント州に住んでいなくても、あなたのデータ権利にこれが何を意味するのか

州のプライバシー法は、全国的な政策転換を生み出す傾向があることが十分に実証されている。企業が厳格な州法に準拠するためにデータ慣行を更新する際、州ごとに別のシステムを維持するのではなく、そうした変更を広く適用することが多い。カリフォルニア州のプライバシー法はまさにこの効果を生み、企業はカリフォルニア州民だけでなく全米のユーザーに新たな同意フローやデータ削除ツールを展開した。

バーモント州法は、特にデータブローカーに関して同様のダイナミクスを引き起こす可能性がある。企業がバーモント州住民に自身のデータが販売されることを拒否する権利を提供しなければならない場合、多くの企業はそれをあらゆる場所に拡張する方が運用上簡単だと考えるだろう。バーモント州外の消費者にとって、それは彼らが本来持つことのなかったデータ権利の有意義な獲得を意味する。

監視に特化した条項も、より広い文脈で注目に値する。行動追跡やオンライン監視を対象とする法律は、連邦レベルでも政策議論の一部となりつつある。バーモント州のアプローチは、連邦議会議員が将来の法案をどのように構成するかに影響を与える可能性がある。

もちろん、法的保護には限界がある。法律は上限ではなく下限を定めるものであり、執行には時間がかかる。法的権利と並行して技術的なプライバシーツールを使用することで、消費者はより完全な状況を得られる。例えば、VPNはネットワークレベルであなたのブラウジング活動について第三者が観察できる内容を制限し、州法がデータの保存・共有面で提供するあらゆる権利を補完する。

実践的なポイント

ビジネスを運営している場合: 今すぐデータインベントリの見直しを始めましょう。2028年1月は遠く感じるかもしれませんが、準拠した同意フロー、評価プロセス、データ主体の要求対応パイプラインを構築するには時間がかかります。
バーモント州住民の場合: この法律に基づくあなたの権利は2028年1月1日から行使可能になります。提出したデータ要求と受け取った回答の記録を保管してください。
バーモント州外に住んでいる場合: 全国的な企業がこの法律にどのように対応するかに注目してください。バーモント州のユーザー向けに展開された新しいオプトアウトツールや同意オプションが、あなたにも利用可能になるかもしれません。
すべての人へ: 法的保護と技術的なプライバシー慣行は、組み合わせることで最も効果を発揮します。州および連邦の監視法制について情報を入手し続けることは、自分が実際にどのような権利を持っているかを理解するための第一歩です。

バーモント州法は、米国のプライバシー基準を世界の他の地域の消費者がすでに期待している水準に近づけようとする継続的な取り組みにおける重要な指標である。それが全国的な波及効果を生むかどうかは、どれほど積極的に執行され、企業が最小限の回避策ではなく真に準拠したデータ慣行を構築する意思があるかどうかにかかっている。