quinn emanuel trial lawyers tokyo

• 生体認証・プライバシー法令訴訟に対する保険適用： 最近の動向  (23/06/02)

昨年、生体認証・プライバシー関連の訴訟は着実に増加し、それに関連して争われる保険金も増加している。イリノイ州では、2008年に制定された生体認証情報プライバシー法（Biometric Information Privacy Act, 740 ILCS 14/1, et seq.。以下「BIPA」）が拡張されたことにより、昨年こうした訴訟の中心となった。BIPAは、指紋、顔面形状、網膜や虹彩のスキャンなど、個人特有の生体認証識別子に関連するプライバシーの利益を保護することを目的としており、個人が法定賠償金を求める私的権利を創設した。 BIPAの制定以来、カリフォルニア州、ニューヨーク州及びマサチューセッツ州など他の州でも、BIPAに基づく法律が制定されている。

イリノイ州の最高裁判所及び地方裁判所は、最近、BIPAに基づき提起された請求（当該請求に対する保険の適用に関する事件を含む）を扱っている。これらの最近の判決は、BIPAに基づき発生する訴訟に対して広範な影響を与え、既に大量に発生しているBIPA訴訟（付随する保険金請求訴訟を含む）にも貢献することになるだろう。さらに事態を複雑にすることに、2023年2月2日、イリノイ州最高裁判所は、BIPAのいずれの条項に基づく請求にも5年の時効期間が適用されると全会一致で判断しました。 Tims v. Black Horse Carriers, Inc., No. 2019-CH-03622, 2019 WL 13079191, at *2 (Ill. Cir. Ct. Sep. 23, 2019). また、2023年3月16日、イリノイ州の裁判所は、雇用主であるH&Mが、従業員の出退勤時に指紋をスキャンすることを要求しながら、BIPAに従ってデータを適切に収集、保存及び使用せず、プライバシー権を侵害されたと主張する従業員のグループに対して集団訴訟の認証を付与した。Slater v. H&M, 2018 WL 6921177 (Ill. Cir. Ct. 2018)。たしかに裁判所がBIPAの主張を基礎とする集団訴訟を認定したのは確かにこれが初めての例ではないが、このような決定はBIPAの原告に勢いを与え、BIPA訴訟が減速していないというメッセージを発信している。実際、H&Mの判決が下されたのと同じ日に、アマゾンはニューヨーク市の生体認証・プライバシー法に基づく集団訴訟案で訴えられた最初の大企業となった。

こうした最近のBIPAの動向は、企業の潜在的な責任を拡大し続けており、いつ、どのような状況で保険がその費用をカバーすることができるかを理解することを必要とする。

BIPAの請求に対応する可能性のあるポリシー

これまでのBIPA違反の訴訟は、企業の従業員から、又は従業員の集団を代表する集団訴訟として提起されることがほとんどであった。ほとんどの場合、企業は商業用総合賠償責任保険（CGL）、雇用慣行賠償責任保険、サイバー保険のポリシーを確認し、保険でカバーされる可能性を検討するべきである。保険会社は、いくつかの補償の抗弁を提起しているが、そのほとんどは、（1）雇用関連慣行の除外、（2）法令違反の除外、（3）アクセス又は開示の除外など保険の除外に基づくものである。保険会社がBIPA訴訟を防御しなければならないかどうかの判例はまちまちであり、ポリシーの文言に依存するため、被保険者は契約書を慎重に検討し、保険会社に補償を求めるべきである。

CGLポリシーの下での補償

CGL保険がBIPAに基づく請求をカバーするかどうかについて、裁判所はさまざまな結論を出している。2022年、イリノイ州最高裁判所は、保険が 「個人の損害」を補償するものであると判示し、保険会社がBIPA訴訟に対してCGL保険で防御する義務があることを認めている。特にWest Bend Mutual Insurance Company v. Krishna Schaumberg Tan, Inc.事件の裁判所は、保険ポリシーが補償を提供していることを認め、補償条項の「公表」という用語が「人のプライバシー権を侵害する資料」の「配布」を必要とするという保険会社の主張を退けた。同裁判所は、「公表」という言葉は複数の意味を持つため曖昧である―「公表」は、情報が他の一当事者としか共有されていない場合にも発生し得ると説明した。直近では、Continental v. Cheese Merchants事件において、イリノイ州北部地区裁判所が、保険契約におけるいくつかの除外事項に基づいて補償が除外されることを認めた。Cheese Merchants事件では、従業員が、認証に手のスキャンを使用する生体認証時間追跡システムについて、同社が意図的に従業員の同意なく生体データを収集しているためBIPAに違反すると主張した。保険会社は、(1)「雇用関連慣行」の除外、(2)「個人情報の開示」の除外、及び(3)「法律違反」の除外に基づき、保険契約に基づいて同社を防御する義務はないとする宣言的判決を求めた。同裁判所は、従業員が手の甲をスキャンして出勤・退勤を行うという要件は、除外することを意図した雇用関連慣行に該当しないため、雇用関連慣行の除外によっては補償は妨げられないとした。しかし、裁判所は、保険会社が提起した他の除外事項が適用され、結論として補償は妨げられると判断した。個人情報の開示の除外に関して、裁判所は、BIPAの目的は個人情報の保護であるとし、「個人情報の開示」が除外事由として列挙されたカテゴリーの1つである「健康情報」には該当しないとの被保険者の主張を退けた。裁判所は、「健康情報」は、「（本件のハンドスキャンのような）自らの身体に関する情報 」に似ており、それを包含するとさえ思われると説明した。また、裁判所は、「法律違反」の除外は「広く一掃する」と判断し、その広範な性質はBIPAに基づく原告の請求も包含していると認定した。上記. *10。 Cheese Merchants事件の裁判所とは逆に、Thermoflex Waukegan LLC v. Mitsui Sumitomo Insurance USA Inc.事件では、シカゴの地方裁判所は、Mitsuiがアンブレラ保険のポリシーに基づくBIPA訴訟について被保険者を弁護する義務があると判断した。同裁判所は、法令違反の除外は曖昧であり、データ侵害の除外はデータ侵害に限定されているため、補償に有利に解釈されなければならないと判断した。

実務的な考慮

これらの最近の判決により、BIPAの請求をめぐる訴訟、損害賠償、コストが大幅に増加することはほぼ間違いないだろう。生体認証技術の利用が増加する中、生体認証データを収集・利用する民間企業は、当該データが対象者の同意に基づく場合のみ提供されることを保証するため、より高度な保護措置を導入すべきである。さらに、強固なプライバシーポリシーとデータ保護プログラムを確保することで、リスクを軽減し、法令遵守を確保することができる。CGL、雇用慣行賠償責任保険、サイバー保険ポリシーなど、適用される可能性のある保険はすべて、適用範囲について詳細に検討するべきである。補償範囲の抗弁の大部分は除外事項に焦点を当てており、補償範囲に有利なように狭く解釈されなければならないことから、被保険者は（保険会社がBIPAの請求を明確に除外するようにならない限り）補償を強く求めるべきである。一方、保険会社は、生体認証システムに依存する顧客を引き受けることに伴うリスクと影響を考慮する必要がある。

クイン・エマニュエル・アークハート・サリバン
外国法事務弁護士事務所
東京オフィス代表　ライアン･ゴールドスティン