Gartnerが警鐘 プライバシー法執行が本格化、CISOは何を見直すべきか？：世界にも波及か、「AIによる自動意思決定」が新たな焦点に

Gartnerは、2025年に米国の州当局が科したプライバシー法違反の罰金総額が34億2500万ドル（約5380億円）に達したと発表。過去5年間の合計を上回り、執行強化を背景に2028年まで加速する見通しを示した。

[＠IT]

　調査会社Gartnerは2026年4月28日（米国時間）、米国の州および連邦のプライバシー法に関連する執行措置と私訴権を集計し、2025年に米国で科されたプライバシー関連罰金の総額を34億2500万ドル（約5380億円＜1ドル＝約157円の為替レートで換算＞）と推計したと発表した。同推計によると、2025年単年の罰金額は過去5年間の合計を上回っており、この傾向は2028年まで加速する見通しだという。

米国各州のプライバシー法関連年間累積罰金額の推移。2025年は34億2500万ドルに達した（提供：Gartner）

　GartnerのVPアナリストであるネーダー・ヘネイン氏は、「米国全体でプライバシー法に新たな義務を導入する改正が増加している。これらの義務は、コンピュータが自動で下す『Automated Decision-Making』（自動意思決定）に焦点を当てたものだ」と述べる。「規制当局も啓発活動から本格的な執行へと取り組みを移しており、2026年以降の標準になりつつある」

世界にも波及？　「AIによる自動意思決定」が新たな規制の焦点に

　企業で生成AIやAIを活用したサービスの導入が進む中、個人データを利用した分析や自動意思決定の機会も増えている。こうした動きを受け、規制当局はAIによる自動意思決定技術を念頭に、プライバシー規制の枠組みを見直しつつある。

　世界で利用されるデジタルサービスの多くを米国企業が提供しているため、米国のプライバシー法制は米国市民だけでなく、世界中の個人に対するデータ保護の在り方にも影響を与える可能性がある。

　Gartnerの調査によると、米国では22州が主に消費者のプライバシー権を対象とした法律を成立させており、その適用対象は米国人口の50％以上に及ぶ。さらに24州でプライバシー関連法案が提出されており、Gartnerは今後5年間でこれらの州でも同様の法律が順次成立すると予測している。例外はカンザス、アイダホ、サウスダコタ、ワイオミングの4州で、これらの州では子どものオンライン保護や遺伝情報保護など、より限定的な分野の法整備に注力している。

　ヘネイン氏は「この州ごとの段階的な進展は珍しいことではない。例えば情報漏えい開示法も、2003年7月のカリフォルニア州を皮切りに、2018年3月にアラバマ州が50番目の州として成立させるまで、15年かけて全州に広がった」と説明している。

CISOとプライバシー責任者が取るべき対応

　Gartnerは、CISO（最高情報セキュリティ責任者）やプライバシープログラムの責任者に対し、プライバシー保護体制の見直しを推奨している。執行強化が進む中、プライバシープログラムを策定したまま更新していない企業も少なくないことから、自社の取り組みが現行の法規制に対応できているかどうかを改めて確認し、コンプライアンス体制を継続的に改善することが重要だとしている。

　また、プライバシー対応におけるUX（ユーザー体験）の改善も求めている。Gartnerによると、プライバシー法違反に伴う罰金や違反事例の多くは、データ主体の権利対応や同意取得、プライバシー通知といった利用者との接点における設計上の不備に起因している。そのため、利用者が自身の権利を行使しやすい仕組みや分かりやすい通知設計を含め、ユーザー視点でプライバシー対応を見直す必要があるとしている。