Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

米国連邦取引委員会がプライバシー保護面からビジネス業者が取るべき要求事項や立法措置の最終報告書を公表

2012-05-10 20:16:49 | 個人情報保護法制




 全米にわたるプライバシー・ポリシーと法執行に係る中心的規制・監督機関である連邦取引委員会(FTC)は、2010年12月1日にプライバシー保護面からビジネス業者が取るべき実践要求事項に関する報告書草案を公表していたが、2012年3月26日、広く関係者からの意見等を踏まえた最終報告書「急速に変化する環境下におけるプライバシー保護:ビジネス界および連邦議会への勧告(事務局案)(Protecting Consumer Privacy in an Era of Rapid Change:Recommendations for Businesses and Policymakers)」を取りまとめた旨、リリースした。

 筆者は、2010年12月31日の本ブログでこの報告書問題を取り上げた。当時の準備報告書の英文タイトルは“Protecting Consumer Privacy in an Era of Rapid Change: A Proposed Framework for Business and Policymakers ”であった。その後も、2012年に入りGoogleの新プライバシー問題やEUの情報保護規則案の公表等、プライバシー保護をめぐる監督機関とマーケティングやIT業界等ビジネス界との鬩ぎ合いはますます混迷の度合いを深めている。

 実は、2010年の報告書の取りまとめ目的は、第一に連邦議会に対し、(1)包括的なプライバシー保護立法、(2)個人情報データの安全性とその漏えい時のデータ主体などへの通知義務立法、(3)個人情報のブローカー規制立法に向けた具体的な行動を勧告することにある。また、同時に消費者の個人情報を扱う企業等がプライバシーを保護するために遵守・実行すべき準則・自主的行動基準を明示するものであった。
 一方、2012年2月23日のWSJ記事等に見るとおり最近時、連邦政府(ホワイトハウス)、商務省、FTCや連邦議会の具体的な動きの中で、従来消極的であったウェブ運営会社のトラッキング規制への自主的取組みが具体化したことが今回のFTCの最終報告取りまとめの背景にあげられる。

 今回のブログは、(1)先の予備的報告書に対する関係先からの各種意見、指摘事項を踏まえ見直し項目や内容、および(2)連邦議会による包括的なデータ主体のコントロール権等を踏まえたFTCが考える保護強化策の内容についての解説である。業界の規制・監視機関であるFTCの政策判断や法執行の詳細は、わが国の保護政策強化等に向けた参考となりうるとの判断でまとめた。

 また、併せてウェブ業界が直面するプライバシー面の課題と米国の約400以上の企業、団体が取組みを開始した“Digital Advertising Alliance”のオンライン行動に基づく業界自主規制マーケティング・プログラムの概要を紹介する。
(筆者注)

 なお、筆者自身大変気になるわが国のウェブ広告業者における「行動ターゲティング広告の説明と無効化」手続きについて「楽天」グループを例に最後にまとめて説明する。

1.FTCの意見公募結果等に基づく準備報告書の見直しの概要
 最終報告書は、準備報告書の勧告内容に関し450以上にわたる関係先からのコメントに基づき取りまとめた点は特記すべきである。すなわち、FTCは2010年12月以降の技術的進歩と産業界の開発に沿い、以下述べる3つの領域で勧告内容を見直した。

(1)ガイダンスの適用範囲の見直し
 準備報告書は、特定の消費者、コンピュータやその他の端末に接続する形で消費者情報を収集、使用するあらゆる民間企業に対する規制の枠組み案を適用すべく勧告内容としていた。しかし、中小企業の潜在的な負担を考え、最終報告は年間5,000人未満でしか個人情報を扱わず、かつ非機微情報のみを移送しない会社については枠組みの適用対象外とした。
 また、関係機関や個人から指摘された技術進歩に伴い、ますます消費者やコンピュータやその他のデバイスにつき「合理的に考えてリンクする」の定義を採用して見直した。すなわち、最終報告はもし会社が非特定化(de-identify)のための合理的な方法を取り、かつ再特定を行わず、また川下の受け手にその内容の再特定化(re-identify)を禁じている場合は「合理的に考えてリンクする」には該当しないとの結論を出した。

(2)個人情報に関する選択肢の提供時期の明確化
 最終報告は、会社が消費者に対し、どのように自身の個人情報が使用されるに関する「選択肢」をいつ提供するかについてのガイダンスをより明確化した。
 その選択肢とは、実務慣行が取引の文脈または企業との既存の関係または法が要求したり、特に承認した内容と合致する範囲を明確化するという意味の選択肢であると明記した。これらの慣行は製品内容の充足と詐欺の阻止を含む。

(3) 個人情報のブローカーに関する重要な勧告内容
 最終報告書は、個人情報のブローカーに関する重要な勧告内容を含む。すなわち、データ・ブローカーが消費者の個人情報を買い、集約化し、高額で販売していることに注目した。消費者は自身の情報を利用しているブローカーの存在に気づいていない。このため報告書はこのような取引慣行に透明性を増強するため、次の2つの勧告を行った。
)FTCは、データ・ブローカーが保持する情報に対するデータ主体のアクセス権に関する立法措置の優先性をあらためて繰り返した。
)データ・ブローカーに消費者が彼らの実践内容とその利用に関する選択権が適切に行使できるよう中央化されたウェブサイトの創設を調査すべく、マーケット目的に関する消費者データの集約化を求めた。

2.連邦議会への立法強化の働きかけや業界への指導強化
 連邦議会がプライバシー立法を検討している一方で、FTCは個々の会社や業界団体が従来実行を伴っていない今回提示したプライバシーの枠組みに含まれる諸原則の採用を迅速化すべく、働きかけてきた。
 2013年に向けての過程で、FTCのスタッフは次の項目に焦点を合わせた消費者のプライバシー保護に向けた勧告を実践する予定である。

(1)Do-Not-Track監視制度の構築
 FTCは、近年この分野において際立った進展を見たと賞賛している。すなわち、ブラウザ・ベンダーはすでに消費者による自身に関するトラッキング情報の収集を制限するツールを開発済みである。また、米国の主要なブラウザや検索会社など約400社以上が参加する「デジタル広告連盟(Digital Advertising Alliance:DAA)」 は自身のアイコン・ベースのシステムを開発済であり、またブラウザ・ツールを実行すべく取り組んできた。さらにウェブ技術の標準化と推進を目的とした、会員制の国際的な産学官共同コンソーシアム「W3C( World Wide Web Consortium )」はDo-Not-Trackシステムを開発済である。

 同レポートは、準備報告書をさらに詳細な内容に昇華させたもので、消費者個人情報を扱う会社等がプライバシー保護のために実装すべき事項として以下の項目の実践を勧奨している。

(2)製品・サービス開発における計画的に実現するプライバシー保護施策(Privacy by Design):会社は製品開発におけるあらゆる段階においてプライバシー保護の手立てを行うべきである。そこでは、消費者の個人情報に関する合理的なセキュリティ対策、限定的な範囲での情報収集と保持、データの正確性の向上のための合理的な手順を含む。

(3)企業や消費者にとっての選択肢の簡易化:企業はどのような個人情報を共有しまた誰と共有するかにつきについて選択の場を消費者に与えるべきである。このことは、Do-Not-Track メカニズムは消費者が自身野オンライン活動の追跡をコントロールすることにつき、シンプルかつ容易であることを含む。

(4)より深化した意味の透明性:企業は消費者情報の収集、利用の細部につき開示せねばならないし、また収集した情報につき消費者によるアクセス権を与えねばならない。

3.米国ウェブ企業や業界団体によるトラッキング広告規制に関するマーケティング自主規制プログラムの具体化とその前提となるFacebookやGoogleの和解問題
(1) 米国ウェブ企業や業界団体によるトラッキング広告規制の取組み
 2月23日、米国の約400以上のウェブ企業や業界団体のからなる自主規制団体“Digital Advertising Alliance”(DAA)はホワイトハウス、商務省やFTCが取り組んできたオンライン行動情報に基づくマーケティング自主規制プログラムによりウェブのヘッダーでの追跡拒否の選択肢を順次開始すると発表した。
 業界の自画自賛的な内容が気にはなるが、いずれにしても規制強化法による監視が予想される中、また1年以上にわたるウェブ業界の強い抵抗にもかかわらず、
2011年11月29日のFTCとFacebookの和解案提示(和解案の原文参照)、GoogleがApple社のウェブ・ブラウジング・ソフト(safari)のプライバシー設定を無効化していた事実を認めたことなど、ユーザーのトラッキング阻止設定の回避機能をめぐる人権擁護団体(ACLU、Consumer Union等)プライバシー侵害論議、さらに“Mozilla”Firefox ブラウザ、マイクロソフトのIE、Appleの最新OS“Mountain Lion”)のようにトラッキング回避のための対抗策が続いて行われていることが背景にある。

(2)DAAの具体的な提案内容
 DAAサイトは“White House ,Doc and FTC Command DAA’s Self-Regulatory Program to Protect Consumer Online Privacy: DAA Announces Plans to Expand Program Consumer Choice Mechanisms”という表題で概要次のとおり解説している。

 2月23日、デジタル広告業界のリーダーと経済政策担当大統領補佐官のジーン・スパーリング(Gene Sperling)、商務省長官ジョン・ブライソン( John Bryson)および連邦取引委員会委員長のジョン・リーボビッツ(Jon Leibowitz)がホワイトハウスに集い、DAAおよび過去3年間にわたり取り組んできた消費者のための強力なプライバシー保護の重大な進展を褒め称えた。

 2009年7月1日、DAAは「オンライン行動に基づく広告活動(Online Behavioral Advertising:OBA)7原則(全48頁)」を導入・実施すべく業界自主規制プログラムを立ち上げた。2010年、DAAは詳細な実務慣行すなわち‘広告Option Icon'を発表・公開した。これは Iconをクリックすることによって、個人は彼らが参加企業から提供される関心テーマ等に基づく広告に関して選択権行使を可能にする明確な「開示説明書」に基づき、消費者による選択権のページにリンクする。

 さらに、DAAは消費者がDAA7原則の下で自身の選択の意思を明確に追加的手段としてウェブのブラウザベースのヘッダー操作を追加する旨発表した。

 以下で、OBA7原則の内容を概観しておく。
①Education Principle:企業にOBAの意義の周知や選択権等具体的な消費者教育への参加を求める原則である。
②Transparency Principle:OBAに関連するデータ収集と使用に関して明確に消費者に知らせるためには、多重的な展開が必要である。本原則は、ODAにより情報を収集、使用する企業に適用するとともに、ウェブサイト上で集められたデータが第三者において利用されることのウェブ広告上での透明性をもった開示原則である。
③Consumer Control Principle:ユーザーに対し、ODAのためデータを収集するウェブサイト上でODA目的のため非関係会社に当該データを移送することにつき選択権の行使を可能とすべき原則をさす。それらの権利の行使メカニズムについては企業自身のウェブサイトまたは業界が作成したサイト上で提供されるという原則である。

 Transparency原則とConsumer Control 原則には、ODAに関与する「サービスプロバイダー」のための別途の条項がある。これらの原則の下でサービスプロバイダーは、彼らの提供サービスの使用で起こるODAに関して追加的通知を行うとともに、オンライン行動の広告に従事する前にユーザーの同意を得て、その目的に使用されるデータを非特定化(de-identify)するための手続きを用意しなければならない。 さなわち、インターネット・アクセス・サービスプロバイダーやデスクトップ・アプリケーション・プロバイダーがウェブ・ブラウザの「ツールバー」等でその手続きを用意すること等が例にあたる。

④Data Security Principle:ODAにおける情報の収集、使用に対し適切な安全対策を提供するとともに、保有情報の限定的な適用を保証するとする原則である。

⑤Material Changes Principle:ODAを行う企業に対し、彼らのODAに関しその内容の変更前のユーザー同意を得ること、またその変更前に収集した情報についてはより制限的な方針で臨むとする原則である。

⑥Sensitive Data Principle:ODAで収集、使用するデータ処理に関し異なる扱いを求めるものである。すなわち、子供のデータのために児童オンラインプライバシー保護法で詳しく説明された保護処分を適用することによって、高められた保護レベルを高める場合があり、また特定の個人に関する金融取引にかかる銀行口座番号、社会保障番号、調剤の処方箋またはカルテの収集については事前の同意を必要とするという原則である。

⑦Accountability Principle:この原則は、オンライン行動の広告生態系で広範囲の活動する企業が、これらの原則の遵守をより促進するためにポリシーとプログラムを開発、実行するよう要求する。 ダイレクト・マーケティング協会(Direct Marketing Association(3,500以上のメンバーがいる)は、長期間有効な自己規制プログラムと各種原則の統合を示唆してきた。成功した説明責任プログラムの長い歴史の中で、Better Business Bureau Council はこれらの原則に関する周辺的な原則について新プログラム開発ニーズを示唆してきた。

(3)2011年11月29日、FTCとFacebookとの間で行われたプライバシー関係情報に関する合意条項(privacy premises)違反を理由とする和解案の内容
A.FTCのリリース文の概要

 ソーシャルネットワーク・サービスを提供するフェイスブックは、11月29日にFTCとの間でフェイスブック利用時において会員の個人情報はプライベートに扱われるが、次には繰り返し第三者により共有されまた広く公開されることを許すという点で消費者をだましたとするFTCの8訴因に基づく告訴にかかる責任につき和解に至った。 

(a)FTC告訴理由

 FTCの告訴状による合意条項違反の事例は次のとおりである。 

①209年12月、フェイスブックはウェブサイト上でユーザーのList for Friendというプライベートと指定する一定の情報公表を公開したが、この公開にあたりユーザーへの警告や事前承認を得なかった。

②フェイスブックは、ユーザーがインストールする第三者アプリケーションはアプリの運用上必要なときのみユーザー情報にアクセスすると表示していたが、実際は必要でない場合もアクセスしていた。

③フェイスブックは、限られた読者たとえば「友達のみ(Friends Only)限定」データの共有できると説明していたが、事実上、「Friends Only」を選択しても第三者アプリケーションがその情報を共有するのを阻止できなかった。

④フェイスブックは、「認証されたアプリケーション」または参加する第三者アプリケーションのセキュリティにつき認証されたものに限るとしていたが、事実はそうでなかった。

⑤フェイスブックは、ユーザーの個人情報につき広告主の共有しないと約束していたが、実際はそうではなかった。

⑥フェイスブックは、ユーザーがアカウントを非活性化したり削除したときは彼らの写真やビデオはアクセス不可になると主張していたが、非活性化や削除後でもアクセスは可能であった。

⑦フェイスブックは、米国とEU間情報保護の移送にかかる政府間協定の枠組み(U.S.-EU Safe Harbour Framework)3/29⑲を遵守すると主張していたが、遵守していなかった。 

(b)和解案原本

 和解内容の概要は次のとおりである。

①消費者のプライバシーまたはセキュリティに関する不当表示(misrepresentation)の禁止

②消費者のプライバシーの優先度の変更に伴い変更の実施前にそのことを肯定する消費者の同意の意思を得ること

③ユーザーが自身のアカウントの削除後、30日以降のユーザーの資料にかかるアクセスを阻止すること

④新規ならびに既存の製品やサービスにかかるプライバシー・リスク・プログラムの構築する包括的プライバシー・プログラムの確立と維持、および顧客情報に関するプライバシーと信頼性の保護を求めること

本決定の180日以内にかつ今後20年以上2年ごとに独立した第三者機関によるFTCの保護命令を満たすまたはそれ以上であることの認証を求めること 

 これらのFTC命令は命令の遵守記録のモニタリングを認める標準的記録保存規定を含む。

 *****************************************************************************::


(筆者注) 米国商務省、FTC等の米国におけるトラッキング情報に基づくマーケティング活動につきプライバシー保護面等からみた問題を解説したブログとして3月28日のブログ:吉野内 崇「FTCが新プライバシー・ポリシーを発表。年内に行動データ収集をユーザが拒否できる機能追加を約束」を読んだ。在カリフォルニアのコンサルタントである筆者によるもので、最新情報として内容がよくまとめられていると感じたが基本的に疑問な点がある。
「米連邦取引委員会(FTC)は、3月26日、インターネット上の行動データ収集に関する新たなプライバシー・ポリシーを発表した。今月から施行されたグーグルの新プライバシー・ポリシーへの賛否が全米で議論されている中、ユーザ側に立ったプライバシー・ポリシーの導入と順守を関連企業に求める内容となっている」
同ブログでは、このFTCの「プライバシー・ポリシー」のリンク先はFTCのプレスリリース「FTC Issues Final Commission Report on Protecting Consumer Privacy:Agency Calls on Companies to Adopt Best Privacy Practices」である。今回FTCが発表したのはあくまで報告書であり、企業のプライバシー・ポリシーの雛形を直接論じてはいない。

********************************************************
Copyright © 2006-2012 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする