運転者プライバシー保護法

1994 年運転者プライバシー保護法(「DPPA」とも呼ばれる) は、暴力犯罪抑制および法執行法の第 XXX 編であり、州の自動車管理局が収集した個人情報のプライバシーと開示を規制する米国連邦法です。

この法律は1994年に可決されました。1992年、バージニア州選出の民主党下院議員ジム・モラン氏によって提出されました。これは、中絶反対派が公的運転免許証データベースを利用して中絶医療提供者や患者を追跡し、嫌がらせを行うケースが増加したことを受けてのことでした。こうした事例の中でも特に有名なのは、医師のスーザン・ウィックランド氏です。彼女は抗議活動や嫌がらせを受け、自宅が1ヶ月間ピケを張られるなど、様々な被害を受けました。 ^{[ 1 ]} この法律は現在、合衆国法典第18編第123章に制定されています。^{[ 2 ]}

この法律は、個人情報（合衆国法典第18編 第2725条に定義）を、当該情報の対象となる者の明示的な同意なしに開示することを禁止しています。ただし、合衆国法典第18編第 2721条に規定されている特定の状況を除きます。これらの規則は、運輸局およびその他の「個人情報の正当な受領者」に適用され、これらの「正当な受領者」に対して記録保持義務を課しています。

許可される使用法は以下のとおりです。^{[ 3 ]}

1. 政府機関がその機能を遂行するために
2. 「自動車または運転者の安全と盗難に関する事項」に関連して使用。これには以下が含まれる。
   1. 「自動車または運転者の安全と盗難、自動車の排出ガス、自動車製品の改造、リコール、または勧告、自動車メーカーによる自動車およびディーラーのパフォーマンス監視に関する事項に関連して」開示
   2. 自動車情報公開法、自動車情報および費用節減法、 1966年国家交通および自動車安全法、 1992年自動車盗難防止法、大気浄化法の目的を遂行するために、自動車メーカーの元の所有者記録から非所有者記録を削除すること
3. 合法的な企業またはその代理人、従業員、請負業者による通常の業務の過程で使用する場合、ただし次の目的に限ります。
   1. 個人情報の正確性を確認する
   2. 正しい情報
4. 裁判または仲裁手続き中のあらゆる問題に関連して使用します。
5. 個人情報が公開されないことを条件として、統計レポートやその他の調査を作成するため。
6. 保険会社が使用します。
7. 牽引車両の所有者に通知するため。
8. 認可を受けた民間調査機関による、DPPA で許可された使用目的向け。
9. 米国法典第49編、副題VI、第313章の規定に従い、雇用主が商用運転手の情報を確認するために使用します。
10. 民間有料交通機関が利用するためのもの。
11. 自動車部門からの要請に応じるため。
12. アンケート、マーケティング資料、勧誘の大量配布（オプトインのみ）。
13. 本人の書面による同意が得られた場合。
14. 州法により特に認められたその他の用途。

この法律では、不法な目的で運転者の情報を入手したり、そのような情報を入手するために虚偽の陳述をしたりすることも違法としている。^{[ 4 ]} この法律では、違反に対する刑事罰が規定されており、^{[ 5 ]}不法に情報を取得した者に対して運転者が民事訴訟を起こせるように規定されている。 ^{[ 6 ]}

1989年にレベッカ・シェーファーがロバート・ジョン・バルドーによって殺害された後、バルドーは私立探偵社がDMVの記録を利用して彼女の住所を発見し、DMVから個人情報を容易に入手できるかどうかが疑問視された。^{[ 7 ]}

この法案は、 1993年10月26日に第103回アメリカ合衆国議会で下院（HR 3365 ^{[ 8 ]}）と上院（S. 1589 ^{[ 9 ]}）に同時に提出されました。法案の本文は、1994年の暴力犯罪抑制および法執行法であるHR 3355に組み込まれ、最終的には1994年9月13日にビル・クリントン大統領によって公法103–322の一部として署名されました。^{[ 10 ]}

この法律の合憲性は、リノ対コンドン事件において、合衆国最高裁判所によって、憲法修正第10条に基づく異議申し立てに対して支持された。^{[ 11 ]}

このセクションは検証のために追加の引用が必要です。信頼できる情報源を引用することで、この記事の改善にご協力ください。出典のない資料は異議を唱えられ、削除される場合があります。出典を探す: 「ドライバーのプライバシー保護法」  – ニュース·新聞·書籍·学者· JSTOR      ( 2020年7月) (このメッセージを削除する方法と時期については、こちらをご覧ください)

2000年代初頭、新時代のコンピューティング技術とデバイスの出現に伴い、ユーザーデータの収集、処理、集約、相関関係の分析、そして再開示が進みました。ウェブサイト、サードパーティの広告、そしてトラッキング企業は、ユーザーのプライバシーを侵害するメカニズムを使い始めました。ユーザーのコンピューティング技術を特定する「オンライン」データは有用でしたが、そのメリットは限られていました。広告主は、ユーザーがオンラインになっている間に、自社製品を宣伝する時間が1ミリ秒しかありませんでした。さらに、コンピューティングデバイスのデータを取得して消費者を「追跡」するために、HTMLクッキーがデバイスに追加されました。^{[ 12 ]}ほとんどのコンピューターとユーザーは、デバイスのシャットダウン時にクッキーを削除するため、このトラッキングメカニズムは長期的な追跡を提供できませんでした。必要なのは、「オンライン」データアクティビティと「オフライン」データを関連付け、公的記録に含まれる個人情報を参照する手段でした（今日では、「オンライン」データを「オフライン」データ、そして広告データの新たな「聖杯」である生体認証と関連付けることが目標となっています）。オフライン データの最も正確かつ最も安価なソースは、DMV が管理する自動車記録でした。

コンピュータ技術が急速に進歩していたため、連邦法および州法は積極的な対応ができておらず、統制されていない技術が社会にもたらすリスクとなっていました。そのため、違反訴訟はほとんど行われていませんでした。オンラインおよびオフライン（公的記録）におけるユーザーの活動の不正な追跡によって侵害された数億人の人々を守るためには、連邦プライバシー訴訟における新たな方法が必要でした。これは困難な課題でした。なぜなら、第三者関連団体間でユーザーデータを交換する際に不可欠なコンピュータ技術に関わるプライバシー訴訟を扱った法律事務所が存在せず、判例や参考にすべき「青写真」がなかったからです。2001年のダブルクリック「Cookie」事件など、それ以前の事例では、盗聴法である電子通信プライバシー法（ECPA）が利用されていました。もっともらしい主張ではありましたが、ウェブサイトのユーザーがウェブサイトの利用規約（TOS）の範囲内でそのような許可された使用を許可していたため、根拠としては弱いものでした。

Kehoe対Fidelity Federal Bank and Trust事件において、ジェームズ・キーホーは、フロリダ州から数十万件の自動車記録を購入したとしてFidelity Bankを提訴しました。これは連邦運転者プライバシー保護法（DPPA）に違反するものでした。Fidelity Bankは、2000年6月から2003年にかけて、フロリダ州自動車局から565,600件の氏名と住所を取得していました。この情報は文字通り数セントで販売され、Fidelity Bankはわずか5,656ドルで情報を入手しました。Fidelity Bankはこの情報を利用し、パームビーチ郡、マーティン郡、ブロワード郡の住民をターゲットに自動車ローンの勧誘を行いました。フロリダ州南部地区連邦地方裁判所は2004年6月、ジェームズ・キーホーがDPPAに基づく金銭的賠償を受けるには、実際の損害を証明する必要があるとの判決を下しました。最高裁は、最近判決されたDoe v. Chao事件および法解釈の原則に基づき、原告が実際の損害を証明できない限り、DPPAの予定損害賠償金は原告に発生しないと判断した。Kehoeは第11巡回区控訴裁判所に控訴し、同裁判所は次のように判決を下した。「…問題となっている法令は、運転者プライバシー保護法（18 USC § 2721以下、「DPPA」）である。同法の文言を考慮した結果、原告はDPPA違反に対する予定損害賠償金を回収するために実際の損害を証明する必要はないと結論付ける。地方裁判所が反対の結論に達したため、本判決を破棄し、差し戻す。」Kehoe v. Fidelity Federal Bank & Trust, 421 F. 3d 1209 (11th Cir. 2005)、控訴棄却。

Kehoe 事件が第 11 巡回控訴裁判所、次に SCOTUS に上訴されていた間、Joseph Malley PC 法律事務所は、すべての州 DMV に対して広範な情報公開請求を開始し、DMV データベースを大量に取得している個人および企業に関するすべての文書を要求し、すべての DMV 記録の取得と定期的な更新を参照しました。すべての州 DMV への調査と追跡には 1 年以上かかりました。法律事務所は、自動車記録を大量に販売している 36 の州 DMV を特定することができました。次に、データを取得しているすべての個人および団体を分析し、DPPA で義務付けられている DPPA 許可使用法が行われているかどうかを判断する必要がありました。追加情報を取得するために、すべての DMV 職員との広範なフォローアップ協議が必要でした。SCOTUS の判決の結果に賭けた大規模な調査は無駄ではなかったことが判明しました。最高裁がキーホー事件の令状を却下し、第11巡回区控訴裁判所の判決（実損賠償は必須ではなく、個人は実損賠償または法定損害賠償のいずれかを選択できるとする）を確定させたことで、この判例が確立されました。マリー法律事務所は提訴準備を整え、多数の連邦プライバシー訴訟を提起し始めました。ジョセフ・H・マリー法律事務所がテキサス州、フロリダ州、ミズーリ州、アーカンソー州で提起した、約400社から500社が関与するドライバープライバシー保護法（「DPPA」）（合衆国法典第18編第2721条以下）違反に関する連邦集団訴訟には、以下のものがあります。 

1. シャロン・テイラー他対アクシオム・コーポレーション他、2:07-cv-0001、（ED Tex. 2007）
2. シャロン・テイラー他対ACS State & Local Solutions, Inc.他、2:07-cv-0013、（ED Tex. 2007） 
3. シャロン・テイラー他対テキサス・ファーム・ビューロー相互保険会社他、2:07-cv-0014、（ED Tex. 2007）
4. シャロン・テイラー他対セーフウェイ社他、2:07-cv-0017、（ED Tex. 2007）
5. シャロン・テイラー他対バイオメトリック・アクセス・カンパニー他、2:07-cv-0018、（ED Tex. 2007）
6. シャロン・テイラー他対フリーマン出版社事件、2:07-cv-0410他（ED Tex. 2007）
7. リチャード・フレスコ対RLポーク事件、第09-13344号（第11巡回区控訴裁判所、2010年）、（フレスコII介入）
8. クック対ACSステート＆ローカルソリューションズ社 663 F.3d 989（第10巡回区控訴裁判所 2011年）
9. ヘイニー対リコールセンター、No. 10-cv-04003（WD Ark. 2012年5月9日）（認定集団訴訟）
10. Doe et al. v. Compact Information Systems Inc. et al., 3:13cv05013MBH, (ND Tex. 2013)
11. クロス対ブランク事件、訴訟番号：9:15ap00926FMD、（MD Fla. 2015）
12. アーサー・ロペス対クロスセル他事件、3:16-cv-02009-K、（ND Tex. 2016）
13. Laning et al. v. National Recall & Data Services Inc. et al., 3:16-cv-02358-B (ND Tex. 2016)
14. ロペス対ヘリング、民事訴訟番号3:16-CV-02663-B、（ND Tex. 2017）。       

• 電子プライバシー情報センターのDPPA に関する情報。
• [1]
• DMV はドライバーのプライバシー保護法とセキュリティを侵害しましたか?
• 集団訴訟でDMV記録が違法に販売されたと主張