プライバシー保護の観点からデータ保護指令を規則に格上げして規制を強化しようとする欧州とは対照的に、米国のプライバシー規制の基本方針は一部の分野 1 を除き自主規制である。企業が、自身の公表しているプライバシー・ポリシーに違反した場合に、規制当局である公正取引委員会(FTC:Federal Trade Commission)がFTC法第5条の「不公正または欺瞞的行為の禁止」条項に照らして取締りを行う。多数のインターネット企業を輩出している米国らしく、オンライン・プライバシー問題に対するスタンスも、消費者保護とイノベーションのバランスを重視したものとなっている。
しかし、グーグルやフェイスブック、アマゾンなどのサービスが人々の生活に広く・深く浸透するにつれ、これら米国企業のプライバシー・ポリシーが批判を集めるケースが増えてきた。また、インターネットの普及は、経済のグローバル化を推進するものでもあり、プライバシー慣行に関する懸念を放置しておくことは、米国の国際競争力を損ないかねない問題として認識されるようになってきた。
こうした環境の変化を受けて、ホワイトハウスは2012年にプライバシーに関するレポート 2 を公表し、そのなかで「消費者プライバシー権利章典」を提示した。
〔ホワイトハウスが提示した消費者プライバシー権利章典〕
- 個人によるコントロール:消費者は、企業がどのような個人情報を収集し、それらをどのように利用するかについて、コントロールを行う権利を有する
- 透明性:消費者は、プライバシーやセキュリティ慣行に関して、容易に理解でき、かつアクセスできる情報を有する権利を有する
- コンテクストの尊重:消費者は、消費者が情報を提供したコンテクストに合致する方法で、企業が個人情報を収集、利用、開示することを期待する権利を有する
- セキュリティ:消費者は、個人情報を安全かつ責任のある取り扱いをしてもらう権利を有する
- アクセス及び正確性:消費者は、当該データのセンシティビティ―や情報が不正確であった場合の悪影響のリスクに照らして適切な方法を通じ、利用可能なフォーマットで、個人情報にアクセスし修正する権利を有する
- フォーカスを絞った収集:消費者は、企業が収集・保持する個人情報について合理的な制限を設ける権利を有する
- アカウンタビリティ:消費者は、個人情報が、消費者プライバシー権利章典を順守するための適切な措置を講じた企業により、適切に取り扱われる権利を有する
この7項目からなる消費者プライバシー権利章典は、若干の表現の違いはあるものの、OECDやAPECで議論されていたプライバシー・ガイドラインと概ね平仄を合わせたものとなっている。
消費者プライバシー権利章典はいわば、プライバシーに関する大原則である。ホワイトハウスは、これらの原則を執行するための行動規範の制定を商務省に指示するとともに、FTC等規制当局の権限を強化するための立法を議会に呼び掛けた。この要請を受けて、商務省電気通信情報局(NTIA)は「モバイル・アプリケーションの透明性に関する行動規範」や「顔認識技術の商業利用に関する行動規範」などの策定に向け、関係者を集めたフォーラムを開催している。分野ごとに話し合われる行動規範は各企業がプライバシー・ポリシーを策定するうえでのガイドラインを示すものになる。
また、規制当局であるFTCも2012年3月にオンライン・プライバシーに関するレポート 3 を公表している。FTCは同レポートのなかで、製品・サービスの設計段階からプライバシーを考慮する「プライバシー・バイ・デザイン」という考え方を取り入れるべきであることや、選択を簡単に行えるようにすること、情報をわかりやすく公表すべきことなど、大きな枠組みを示した。
〔FTCがレポートの中で示したプライバシーの枠組み〕
- プライバシー・バイ・デザイン(PbD:Privacy by Design):
-企業は、データ・セキュリティ、合理的な収集の制限、健全なデータ保持及び廃棄、データの正確性を含む、現実的なプライバシー保護を慣行として採用しなければならない
-企業は製品・サービスのライフサイクルにわたり、包括的なデータ管理手続きを維持しなければならない- 選択の簡素化:企業は消費者の選択を簡素化しなければならない。一方で企業に対して不必要な負担を強いることがないように配慮する
a) 選択を必要としない慣行:当該取引のコンテクストや当該企業と消費者の関係性に合致するもの
b) 選択を必要とする慣行:(1)収集時の意図と大きく異なる方法で消費者データを利用する場合、(2)センシティブなデータを収集する場合- 透明性の向上:
-通知: 理解しやすく、また比較しやすくするために、プライバシーに関する通知は、明確で簡潔で標準化されたものとするべき
-アクセス: 企業は保有する消費者データに対し合理的なアクセスを提供するべき
-啓蒙 : すべての関係者は消費者への啓蒙に関する努力を拡大するべき
こうした方針を受けて、プライバシー保護に関するガイドライン作りが進められる一方、2013年6月に米国の信頼を大きく損なう出来事が起きた。国家安全保障局(NSA)とCIAでの勤務経験を持つエドワード・スノーデン氏により、米国政府が国家安全保障の目的で実施している通信傍受の対象は、従来考えられていたよりもはるかに広く、同盟国の首脳や米国の一般市民までも含まれていたことが明らかにされたのだ。
この出来事は、米国政府の諜報活動に対する諸外国からの非難を巻き起こすとともに、米国市民のプライバシー問題に対する危機意識を喚起するものとなった。ピューリサーチセンターが2013年9月に公表したオンライン・プライバシーに関する調査結果 4 によれば、インターネット・ユーザのおよそ68%は、オンライン上のプライバシーを保護するために現行の法律では十分ではないと回答している。
こうした世論の後押しもあり、最近米国では、州レベルでのプライバシー保護関連法律制定に向けた動きが活発化している。
各州で議論されている法案の内容はさまざまである。子供のプライバシー保護のために、ソーシャル・メディアの投稿を削除する権利を子供に与えるもの、学校による生徒の個人情報収集に制約をかけるもの、リベンジ・ポルノ防止のために裸の写真の投稿に制限をかけるもの、ユーザーが亡くなった際のソーシャル・メディアのID/パスワードユーザの取り扱いについて規定するもの、無人航空機(Drone)による情報収集を規制するもの、など、さまざまな観点から法案が提案されている。
なかでも無人航空機規制に関する法案は多くの州で議論されている。同法律の制定にむけたロビイングを行っているアメリカ自由人権協会(ACLU:American Civil Liberties Union)のウェブサイト 5 によれば、すでに43の州で法案が提案され9州で法律が成立済みである。
今のところ、米国の連邦レベルでのプライバシー規制は、自主規制に基づく比較的ゆるやかなものになっているが、州レベルでのプライバシー規制議論を受けて、今後、見直しの機運が高まる可能性もある。
1 子供のオンライン・プライバシー保護についてはインターネットの普及が始まった1990年代後半から議論があり、1998年に児童オンライン・プライバシー保護法(COPPA:Children’s Online Privacy Protection Act)が可決され、13歳以下の子供から個人情報を収集する際には親の同意を必要とすることが定められている。また、金融業界など個人情報の重要性が高い特定の分野では法律による保護規定が設けられているケースがある
2 White House, Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy, (February 2012)
3 FTC, Protecting Consumer Privacy in an Era of Rapid Change, (March 2012)
4 Pew Research Center, Anonymity Privacy and Security Online, (September 5, 2013)。調査実施時期2013年7月11日~14日。18歳以上の1,002人に対するアンケート調査
5 ACLUホームページ(https://www.aclu.org/blog/technology-and-liberty/status-domestic-drone-legislation-states)(記事は2013年2月15日に執筆されたものだが、情報は2014年1月22日にアップデートされている)
■清水憲人:株式会社情報通信総合研究所 主任研究員