テキサス州の新法 SB 2610 は、データ侵害に起因する不法行為訴訟における懲罰的損害賠償から、従業員数250人未満の中小企業を保護するための免責条項を設けています。この免責は、侵害発生時に一定の要件を満たすサイバーセキュリティプログラムを導入・維持していたことを証明できる場合にのみ適用されます。

▼追加ポイント

1. 企業規模ごとの要件の違い

SB 2610では、企業の規模に応じて求められるサイバーセキュリティ対策の内容が異なります。

従業員20人未満
パスワードポリシーやサイバーセキュリティ研修など、比較的簡易な要件

従業員20～99人
Center for Internet Security（CIS）Controls Implementation Group 1 など、より具体的な管理策

従業員100～249人
NISTサイバーセキュリティフレームワークやHealth Information Trust Alliance’s Common Security Frameworkなど、国際的に認められたフレームワークの導入が必要

2. 対象となる情報

「個人識別情報」や「機微な個人情報」の保護が求められ、管理策には管理的・技術的・物理的なセーフガードが含まれます。

3. 他法令との関係

HIPAA、Gramm-Leach-Bliley Act、PCI DSSなど、既存の業界規制に完全準拠している場合は、その準拠がSB 2610の要件を満たすものとみなされます。

4. 法律の特徴

懲罰的損害賠償のみが免除対象
実際の損害賠償責任（実損）は引き続き発生しうるため、全ての法的責任が免除されるわけではありません。

義務化ではなくインセンティブ型
サイバーセキュリティ対策の導入は義務ではなく、導入した場合にのみ法的保護が与えられるインセンティブ型の仕組みです。

行政コストや新たな規制負担なし
新たな行政機関や規制は設けられず、企業の自主的な取り組みを促す内容となっています。

5. 施行日

この法律は2025年9月1日から施行されます。

SB 2610は、サイバー攻撃のリスクが高まる中小企業に対し、実効的なサイバーセキュリティ対策の導入を促すとともに、責任リスクの軽減を図るものです。企業規模や業種に応じた柔軟な要件設定と、インセンティブ型のアプローチが特徴です。

ソース：
中小企業向けサイバーセキュリティ
https://iiicareer.com/jpn/2025/06/25/テキサス州

SB 2610 - 89th Legislature Regular Session - Texas Policy Research https://www.texaspolicyresearch.com/bills/89th-legislature-sb-2610/

Supplement: TX SB2610 | 2025-2026 | 89th Legislature - LegiScan https://legiscan.com/TX/supplement/SB2610/id/586612

Senate Bill 2610: Cybersecurity Protection for Businesses https://www.hereaustintx.com/texas-senate-bill-2610-cybersecurity/

Texas Governor Signs Bill Providing Cybersecurity Safe Harbor for ... https://www.hipaajournal.com/texas-cybersecurity-safe-harbor-smbs/

関連記事：
テキサス州、ナンバープレート制度を刷新！2025年7月から金属製プレートを即時発行へ June 22, 2025
テキサス州、7.6兆円の固定資産税減税案を住民投票へ June 21, 2025