グラム・リーチ・ブライリー法 (GLBA) およびその実施規則 P によれば、金融機関は、情報共有の慣行を顧客に開示し、顧客にそのような共有をオプトアウトする機会を与えた後にのみ、マーケティング目的で非関連第三者と消費者情報を共有できます。GLBA では、顧客を、主に個人、家族、または世帯の目的で使用される 1 つ以上の金融商品またはサービスを提供する金融機関と継続的な関係を持つ消費者と定義しています。消費者とは、主に個人、家族、または世帯の目的で使用される金融商品またはサービスを金融機関から取得している、または取得した個人、またはその個人の法定代理人です。非関連第三者とは、金融機関の関連会社、または金融機関と金融機関の関連会社ではない会社によって共同で雇用されている人を除くすべての人です。関連会社とは、別の会社を支配する、別の会社に支配される、または別の会社と共同で支配される会社です。
GLBA では、金融機関が顧客にプライバシー通知を次の場合に提供することが義務付けられています。(i) 顧客関係を確立したとき、(ii) 顧客関係の継続中は毎年、(iii) 例外が適用されない限り、顧客に関する非公開個人情報 (NPI) を非関連第三者に開示する前に。プライバシー通知には、金融機関が収集および開示する NPI のカテゴリ、金融機関が NPI を開示する関連会社および非関連第三者のカテゴリ、サービス プロバイダーおよび共同マーケティング担当者に開示される NPI のカテゴリ、NPI の機密性とセキュリティの保護に関するポリシーと慣行、および顧客がオプトアウトする権利を持つ NPI の開示について記載する必要があります。金融機関は、チェックボックス、返信フォーム、フリーダイヤル番号など、顧客が非関連第三者への NPI の開示をオプトアウトするための合理的な手段も提供する必要があります。オプトアウト通知は明確かつ目立つものでなければならず、顧客がいつでもオプトアウトできることを明記する必要があります。オプトアウト通知では、顧客がオプトアウトする方法とオプトアウトの影響についても説明する必要があります。金融機関は、顧客のオプトアウト指示を受け取った後、合理的に実行可能な限り速やかにその指示を尊重しなければならず、例外が適用されない限り、オプトアウトが適用される NPI を公開してはなりません。
GLBA では、オプトアウト要件にいくつかの例外が設けられています。たとえば、顧客が要求または承認した取引を実行、管理、または強制するために NPI の開示が必要な場合、法律で NPI の開示が要求または許可されている場合、公正信用報告法に従って消費者報告機関に NPI を開示する場合、または共同マーケティング契約に基づき金融機関に代わって、または金融機関と別の金融機関に代わってマーケティング サービスを実行する人物に NPI を開示する場合などです。共同マーケティング契約は、金融機関とその他の人物との間の正式な書面による契約であり、当事者は金融商品またはサービスを提供、推奨、または後援することに合意します。共同マーケティング契約では、契約の対象となる金融商品またはサービスを提供、推奨、または後援する以外の目的で、相手方が NPI を使用または開示することを禁止する必要があります。
GLBA では、例外が適用されない限り、金融機関は、顧客ではない消費者に関する NPI を非関連第三者に開示する前に、顧客ではない消費者にプライバシー通知を提供することも義務付けています。金融機関は、顧客ではない消費者と顧客関係がない限り、顧客ではない消費者にオプトアウト通知を提供する必要はありません。ただし、金融機関が以前は顧客ではなかった消費者と顧客関係を確立する場合は、上記のように、顧客にプライバシー通知とオプトアウト通知を提供する必要があります。
参考文献:
* グラム・リーチ・ブライリー法ガイド
* GLBA か FCRA か? 関連会社と非関連会社間のデータ共有
* 既存のプライバシー法では既に情報共有が規制されている
* 銀行があなたの財務情報を共有するのはなぜですか? また、それは許可されていますか?
* [IAPP CIPP/US 認定情報プライバシー専門家学習ガイド]、第 5 章、161 ～ 165 ページ。

イリノイ州は、2008 年にバイオメトリック情報プライバシー法 (BIPA) を制定し、バイオメトリック データの収集を具体的に規制する法律を可決した最初の州となりました。BIPA では、バイオメトリック識別子を網膜または虹彩のスキャン、指紋、声紋、または手や顔の形状のスキャンと定義し、バイオメトリック情報を、個人を識別するために使用されるバイオメトリック識別子に基づく情報と定義しています。BIPA では、バイオメトリック識別子または情報を収集、保存、または使用する組織に対して、個人からインフォームド コンセントを取得し、データの保持と破棄に関する書面によるポリシーを提供し、バイオメトリック データの開示と販売を制限し、適切なセキュリティ対策を使用してバイオメトリック データを保護することを義務付けています。 BIPA はまた、生体認証データが法律に違反して収集、保管、または使用された個人に民事訴訟権を与え、過失による違反ごとに 1,000 ドルまたは実際の損害額のいずれか大きい方の法定損害賠償、故意または無謀な違反ごとに 5,000 ドルまたは実際の損害額のいずれか大きい方の法定損害賠償、および弁護士費用と経費、差し止め命令による救済を請求できるようにします。参考文献: 米国の生体認証法パート I: 2020 年の概要、生体認証情報はプライバシー法で保護されていますか?、生体認証データのプライバシー法