つい3ヶ月ほど前にPrivacy Internationalに個人情報の取り扱い慣習に問題ありと指摘されて逆切れしたgoogleが、
検索大手のGoogleは、企業が消費者データをどのように保護すべきかを定めた世界的プライバシー標準の策定において率先している一方で、個人が情報を公開されたことによって実際に損害を受けたか否かに重点を置いた救済策を提案している
なんてハテナな書き出しでAPEC Privacy Frameworkを下敷きにした世界標準を提案しているというんですが、世界的(先進国的と言ったほうが正直か)に個人情報保護法制(日本の個人情報保護法や個人情報保護指令およびEU加盟各国の関連法制など)は1980年のOECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告に示されたいわゆるOECD8原則)を基礎としています。(ちなみに米国は民間分野を包括する保護法制が存在せず、ことプライバシーに関しては個別事後の対応が続いており跳箱的には問題があると考えています)
OECD8原則は、
収集制限の原則
データ内容の原則
目的明確化の原則
利用制限の原則
安全保護の原則
公開の原則
個人参加の原則
責任の原則
を掲げて(定義は日本語訳を適宜参照されたい)おり、APEC Privacy Frameworkの、
Preventing harm 損害の予防
Integrity of Personal Information 個人情報の完全性
Notice ユーザーへの通知
Security Safeguards セキュリティの予防手段
Collection Limitations データの収集制限
Access and Correction データへのアクセスと修正
Uses of Personal Information 個人情報の利用
Accountability 説明責任
Choice 意志による選択
を比較しても表題レベル(訳はCNET版)ではさほど違いが無いように見えますが、実は詳細に見ていくとOECD8原則が掲げる個人情報の定義を本質的な部分でないがしろにしている部分が多々あり、例えば、
The APEC Privacy Framework has limited application to publicly available information. Notice and choice requirements, in particular, often are superfluous where the information is already publicly available, and the personal information controller does not collect the information directly from the individual concerned. Publicly available information may be contained in government records that are available to the public, such as registers of people who are entitled to vote, or in news items broadcast or published by the news media.
と、個人情報収集者(社)が個人から直接集めず、間接的に入手した個人情報は公に入手できる情報であるから"個人情報"とは認めないとしています。(googleみたいな事業者とある種の政府にとっては非常に便利な免責条項だな、と)
しかしOECD8原則の流れをくむ日本の個人情報保護法を例にとると、第二条に
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
と記載されている通り、PII=Personally identifiable information(個人識別情報)は網羅的に個人情報であると定義して抜け道を認めていません。
そもsも実際問題としてAPEC Privacy Frameworkに準拠した新標準をgoogleが提案してもOECD加盟各国法制が要求する水準を下回る内容のものとなってはAPEC加盟国(で、且つOECD8原則準拠の個人情報保護法制を採用していない国)以外では標準として利用不能となるでしょう。
ポーズと実態の乖離が大きな会社だな、と。
P.S.
引用元記事がアップデートされて一項分文章が増えてたんですが、跳箱が指摘したかったことが大体書いてあった。二項目のプライバシー擁護派の見解に賛同の意を表しておきます。
検索大手のGoogleは、企業が消費者データをどのように保護すべきかを定めた世界的プライバシー標準の策定において率先している一方で、個人が情報を公開されたことによって実際に損害を受けたか否かに重点を置いた救済策を提案している
なんてハテナな書き出しでAPEC Privacy Frameworkを下敷きにした世界標準を提案しているというんですが、世界的(先進国的と言ったほうが正直か)に個人情報保護法制(日本の個人情報保護法や個人情報保護指令およびEU加盟各国の関連法制など)は1980年のOECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data(プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告に示されたいわゆるOECD8原則)を基礎としています。(ちなみに米国は民間分野を包括する保護法制が存在せず、ことプライバシーに関しては個別事後の対応が続いており跳箱的には問題があると考えています)
OECD8原則は、
収集制限の原則
データ内容の原則
目的明確化の原則
利用制限の原則
安全保護の原則
公開の原則
個人参加の原則
責任の原則
を掲げて(定義は日本語訳を適宜参照されたい)おり、APEC Privacy Frameworkの、
Preventing harm 損害の予防
Integrity of Personal Information 個人情報の完全性
Notice ユーザーへの通知
Security Safeguards セキュリティの予防手段
Collection Limitations データの収集制限
Access and Correction データへのアクセスと修正
Uses of Personal Information 個人情報の利用
Accountability 説明責任
Choice 意志による選択
を比較しても表題レベル(訳はCNET版)ではさほど違いが無いように見えますが、実は詳細に見ていくとOECD8原則が掲げる個人情報の定義を本質的な部分でないがしろにしている部分が多々あり、例えば、
The APEC Privacy Framework has limited application to publicly available information. Notice and choice requirements, in particular, often are superfluous where the information is already publicly available, and the personal information controller does not collect the information directly from the individual concerned. Publicly available information may be contained in government records that are available to the public, such as registers of people who are entitled to vote, or in news items broadcast or published by the news media.
と、個人情報収集者(社)が個人から直接集めず、間接的に入手した個人情報は公に入手できる情報であるから"個人情報"とは認めないとしています。(googleみたいな事業者とある種の政府にとっては非常に便利な免責条項だな、と)
しかしOECD8原則の流れをくむ日本の個人情報保護法を例にとると、第二条に
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
と記載されている通り、PII=Personally identifiable information(個人識別情報)は網羅的に個人情報であると定義して抜け道を認めていません。
そもsも実際問題としてAPEC Privacy Frameworkに準拠した新標準をgoogleが提案してもOECD加盟各国法制が要求する水準を下回る内容のものとなってはAPEC加盟国(で、且つOECD8原則準拠の個人情報保護法制を採用していない国)以外では標準として利用不能となるでしょう。
ポーズと実態の乖離が大きな会社だな、と。
P.S.
引用元記事がアップデートされて一項分文章が増えてたんですが、跳箱が指摘したかったことが大体書いてあった。二項目のプライバシー擁護派の見解に賛同の意を表しておきます。
Big-G ちゃんは、このあたり出遅れてるんじゃまいかと思う(ので、おいらもたまにはいい子というかもしれないよ、雇うとよいかもしれないよ♪)。