Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

最近時の米国連邦政府・機関や州のプライバシー保護強化に向けた新たな展開(その1)

2012-02-27 16:09:46 | 個人情報保護法制



 2月23日、ホワイトハウスが発表した「ネットワーク世界の消費者のプライバシー保護強化の包括的枠組み」については、わが国のメディアでも大きく取上げられた。
 米国が突然のようにこのようなプライバシー憲章を持ち出した背景は去る1月25日に EU委員会司法担当委員ヴィヴィアン・レディングがEU市民のオンライン・プライバシー強化とEU内の企業のデジタル経済の向上を目指して2010年以来取組んできた「1995年データ保護指令の包括的改正案」等を正式にリリース
「Commission proposes a comprehensive reform of data protection rules to increase users' control of their data and to cut costs for businesses」したことが第一に挙げられよう。
(筆者注1)

 筆者は、この問題につき去る2月17日、某学会の研究会で報告し(筆者注2)、近々その内容をブログにまとめるべく作業を進めていた。その作業中に米国の具体的な動きが急速に展開したので、急遽順番を変えて米国の最新動向を優先的にまとめることにした。特に、Googleが3月1日実施予定する新プライバシー・ポリシーや利用規約に関する問題は、オバマ政権の政策強化問題だけでなく、米国の全州司法長官会議、人権擁護団体、ITビジネス事業者(MozillaやMicrosoft)、アカデミー研究者等の追及は米国外も含め大きな社会問題となりつつある点が留意すべき事項であり、本ブログでも出来るだけ具体的な内容を織り込んで解説したい。

1.ホワイトハウスが発表した「ネットワーク世界の消費者のプライバシー保護強化の行政上の包括的枠組み(Consumer Data Privacy in a Networked World:A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy: Administration’s framework 」の内容
○“Administration’s framework”として次の4つの主要素があげられている。
(1) 消費者のプライバシーにかかる権利章典(A Consumer Privacy Bill of Rights)
・Individual Control(Consumers have a right to exercise control over what personal data companies collect from them and how they use it.)
・Transparency(Consumers have a right to easily understandable and accessible information about privacy and security practices)
・Respect for Context(Consumers have a right to expect that companies will col¬lect, use, and disclose personal data in ways that are consistent with the context in which consumers provide the data.)
・Security(Consumers have a right to secure and responsible handling of personal data.)
・Access and Accuracy(Consumers have a right to access and correct personal data in usable formats, in a manner that is appropriate to the sensitivity of the data and the risk of adverse consequences to consumers if the data is inaccurate)
・Focused Collection(Consumers have a right to reasonable limits on the personal data that companies collect and retain)
・Accountability(Consumers have a right to have personal data handled by com¬panies with appropriate measures in place to assure they adhere to the Consumer Privacy Bill of Rights)
(2)強制力を持った行動規範策定にための複数関係者(IETF,W3C, ICANN等)関与手続の一層の育成(筆者注3)
(3)連邦取引委員会(F.T.C.)の法執行権限の一層の強化
(4)インターネット環境の下でのグローバルなプライバシー保護監視の相互運用性の確保

○その他のAdministration’s frameworkとして次の事項があげられている。
2.連邦議会に権利章典に則った内容の包括的なプライバシー保護法の制定の働きかけ
3.連邦と州の保護法や保護体制の整合性強化
4.既存の各連邦保護法の機能の維持
5.以下略す

○ホワイトハウスが今回出した連邦議会に対する規制強化立法の働きかけの有効性について、米国の人権擁護NPOである「Consumer Watchdog」の見方は厳しい。
 すなわち同団体は連邦議会事務局が公表する毎四半期ごとのデータをもとに、インターネットビジネス界の巨人であるGoogleの連邦議会ロビイストのハンティング状況をまとめて公開している。ここで、貴重なデータであり、また米国の議会の企業との人的なつながりや、日常のロビー活動につき正確に理解する上で最も基本な点であるので、2011年第2四半期のデータに基づき、その要約を行っておく。

 前年同期比65%増の206万ドル(約1億6,480万円)となり、従来からロビー活動に熱心なIT企業として知られる米マイクロソフト(MS)(前年同時期並みの185万2,000ドル)を上回った。グーグルは反トラスト法等を巡って、当局の矢面に立つ場面が増えており、ワシントンへの気配りがより重要になっている。なお、ライバル企業である米フェイスブックの活動費は32万ドル(約2,560万円)でMSに比べ1桁小さいものの前年同期の5倍以上に増えている。
 また、米国では議会に対する働きかけに関し特に「ロビイスト」と呼ばれる陳情専門家を通じて行うとともに、企業の広報や対外活動の窓口に立つことが一般的である。(筆者注4)
 実は米国企業の場合、このロビイストには社内専担部門(lobby shop)(筆者注5)と外部会社と契約する場合がある。Googleの場合、第2四半期の外部委託費用は“Podesta Group Inc.”には15万ドル(約1,200万円)、“Dutko Worldwide”(12万ドル)、“Franklin Square Group”(9万ドル)、“Liberty Partners grpou”(6万ドル)等である。
 さらに、Googleが連邦議会に登録した主要ロビイスト名とその経歴をまとめておく。(InsideGoogleのブログから一部引用)
アラン・デヴィッドソン(Alan Davidson)は、現在Googleの公共政策・政府問題担当部長である。2005年に人権擁護団体(Center for Democracy and Technology:CDT)から参加した。以前には、連邦議会技術評価局(U.S.Conress Office of Technology Assessment)やホワイトハウス・政策開発局(White House of Policy Development)に勤務していた。
パブロ・チャベス(Pablo Chavez)は、ジョン・S・マケイン(John S.McCain)上院議員の主席顧問弁護士および上院商務・科学および運輸委員会(Senate Committee on Commerce,Sciece and Transportation)の上級法律顧問であった。
・ ヨハンナ・シェルトン(Johann Shelton)は、上級公共政策法律顧問で2007年に参加した。2005年から2007年の間、下院エネルギー・商務委員会の法律顧問であった。以前は、2001年から2003年の間は民主党リッチ・ブーシェ議員(Rick Boucher: ライフル協会から約6万ドルの政治献金を受けており、ライフル協会からA+のランク付けをされた議員でもある)の顧問弁護士、1998年から2001年の間は連邦通信委員会(FCC)のスタッフ弁護士であった。以下のロビイストについての解説は略す。

 なお、米国ではロビー活動は民間企業だけでなくあらゆる利害関係者が行っている。しかし、その活動内容の透明性を担保すべく「議会ロビー活動公開法(Lobbying Disclosure Act of 1995)」「1971年改正連邦選挙運動法(Federal Election Campaign Act of 1971)」に基づき議会事務局にロビイスト名やロビー活動費等の登録が義務付けられている。

 これと関連する連邦議会の一部超党派議員とGoogleとのやり取り、EU指令第29条専門委員会とGoogleのやり取りの詳細については別途言及する。

2.カリフォルニア州司法長官カマラ・D・ハリス(Kamala D.Harris)がスマートフォン、タブレット等のモバイルアプリケーション・プラットフォーム大手6社との間でカルフォルニア州のプライバシー保護法(筆者注3)に則したプライバシー・ポリシー策定にかかる合意を行った旨公表
 同司法長官府サイトが2月22日にリリースしたものである。

○現状は、ほとんどのプラット・フォームはプライバシー・ポリシーを含んでいないことから策定を義務付ける州保護法に明らかに違反するとして、このたびの措置に踏み切ったものである。6社の内訳は、Amazon,Apple,Google,Hewlett-Packard,Microsoft,Research in Motion
○同司法長官は、本合意後6か月目にモバイル環境の下でのプライバシー保護にかかるアセスメント評価を行う。

3.全米司法長官会議のGoogleのCEO宛新プライバシー・ポリシーにかかるオプト・アウト権等の保証に関する懸念表明意見書
 2月23日、全米司法長官会議(National Association of Attorneys General:NAAG)のメンバー36名が連名で、Googleが圧倒的なシェアを有する多様なサービス提供の中で、アンドロイド利用顧客のプライバシー権を保護すべく「opt-in」の機会を提供しないだけでなく、十分に意義を持つ「opt-out」権を保証していないと指摘し、この問題に関する正式回答を遅くとも2月29日までに行うよう求めた。

4.米国人権擁護NPOであるEPICやEFF等によるGoogleの新プライバシー・ポリシー実施規制強化の法的な動き等
(1)EPIC(Electronic Privacy Information Center)の対応と連邦地裁の決定
 EPICサイトは次の通り報じている。
「2月24日、ワシントン特別区連邦地方裁判所は、EPIC(Electronic Privacy Information Center)のFTC(連邦取引委員会)に対する民事訴訟(緊急差止命令:Temporary Restraining Order)や仮差止命令:Preliminary Injunctive Order)請求に対し、「2011年10月13日のFTCとGoogleの“Google Buzz”に違法性にかかる「改善合意命令」を強化する決定は行政機関であるFTCの自由裁量に委ねるべき問題で、司法審査にはなじまない」という理由で破棄した(命令理由書(Memorandum Opinion)参照)。しかしながら、同裁判官はさらに「裁判所はGoogleの新プライバシー・ポリシー等が当該合意命令を破るか、それらが他の法的必要条件に反するだろうかどうかという問題については言及していない」と述べた。また、同裁判官は「FTC(この問題が目下調査中であると本法廷に助言した)は、最終的に法執行行為を行うこともありうる」と述べた。
したがって、EPICは同法廷が連邦機関であるFTCに最終命令を出すよう求める控訴をワシントン特別区連邦控訴裁判所に求めるべく、本決定に対して控訴手続きを取る予定である。」

(2)ACLU(米国自由人権協会)の1月25日のリリース文(抜粋して仮訳)
「Googleの新しいプライバシー・ポリシーはあなたのために何を作るでしょうか?」
○あなたがコンピュータ、タブレットまたはアンドロイド利用端末等デバイスに関わらず利用するため自分のGoogleアカウントに署名すると、常にGoogleはあなたに関する個人情報を収集します。これは今回新たな点ではありません。 しかし、2012年3月1日以降、あなたが1つのGoogleが所有するサイトで行うことは、あなたが別のGoogleが所有するサイトでどんな内容を見るかもしれないかについて大きく影響してくるでしょう。
○Googleのサービス商品とエンジニア部門の責任者は、公式ブログにおいて次のような新たなサービス機能を持つと説明しています。「Googleのサイトで横断的に個人のプロフィールを統合する結果、Googleはあなたが、「アップル」端末で「ジャガー」または「ピンク」を検索入力すると、あなたがその日に見たカレンダーや検索履歴をもとに見てあなたがあなた自身の位置に基づきミーティングに遅れるということを思い出させるといった関連する情報を提供すると説明しました(お母さん、覚えていてありがとう)。さらにGoogleはあなたの友人の名前の正確なスペルについての提案を行うようになります。」
○新しいポリシーによるメリットを見るのは簡単ですが、今回の改正についてのその他の含意(implications)を覚えておくのはより重要な点です。
 例えば、あなたは今までに両親、配偶者、友人や医師にも話したくなかった何かをGoogleで検索したことがありますか?また、 今までにあなたが世界に放送して欲しくなかったメール上の個人的な会話をしたことがありますか?
この新しい検索サービスの統合に伴い、あなたのメール内容はあなたがGmailで見ている広告のみに限られなくなるでしょうし、あなたの検索している用語はそれ以外の広告に影響を及ぼすことになるでしょう。3月1日付けで、あなたのメール内容と検索用語は、あなたがどんなGoogleサイトで何を見ているかに影響を及ぼすかもしれません。
ここで、あなたが友人や家族と行った私用の電子メールの会話や個人的なGoogle検索結果に基づくであると予想される広告が突然ユーチューブ・ビデオに現れるのを想像してみてください。 ひゃー(Yikes)!でしょう。
この場合、あなたはGoogleアカウントからサインをもって抹消する時間はありません。オプト・アウトは保証されていないのです。」

(3)EFF(Electronic Frontier Foundation):Googleの新プライバシー・ポリシーが施行される前にいかに自身の検索履歴を抹消するか(How to Remove Your Google Search History Before Google's New Privacy Policy Takes Effect )
 EFFサイトで具体的手順について図解入り解説している。

  *****************************************************************************************

(筆者注1) 報告テーマは「EU1995年個人情報保護指令の全面改正・規則制定とクラウド等IT技術等に応じた保護強化策および米国Google等プライバシーに対する脅威問題」である。

(筆者注2) 合意書には明記されていないが、ここでいう保護法とは「California Online Privacy Protection Act of 2003 (OPPA)」である。

(筆者注3) ホワイトハウスの枠組みの中で提案されているマルチ・ステイクホルダーや強制力を持つ行動規範によるプライバシー強化については、 「Consumer Watchdog」等人権擁護団体からは以下のような懸念意見も出されている。
①そこでいわれている“Do Not Track”の実践に向けた産業界の取組み目的は、厳格な形での“Do Not Track”の標準化の実現を目指す“World Wide Web Consortium:W3C”の役割を無効化することになりかねない。
②公正な情報公開の実践原則に基づく消費者のプライバシー権利章典は重要であり、執行可能な行動規範が問題となりうる。プライバシー保護立法の基本線は異なる内容になるかも知れない。すなわち、ホワイトハウス報告はマルチ・ステイクホルダーによる行動規範策定討議:FTCが執行時の根拠となる行動規範の策定作業は、商務省はインターネット企業や消費者擁護団体等を集めて行われるであろう。問題は、グーグル、マイクロソフト、YahooやFacebook等はいつもの通りいかに規則の内容を骨抜きに取組むことである。マルチ・ステイクホルダーの手順による効果には懐疑的であるが、その試み自体は信頼に足ると考える。
 その検討手順について、我々、人権擁護団体は2月23日、11団体連名で「マルチ・ステイクホルダー手順策定原則(Principles for Multi-Stakeholder Process)」を公表した。

(筆者注4) この部分は2011年7月30日付け日本経済新聞の記事「米グーグル、ロビー活動費、IT業界で最高水準に」を元に筆者が加筆した。なお、企業等の連邦議会事務局へのロビー活動報告の詳細は、上院事務局(Secretary of the Senate Office of Public Records)、下院(Clerk of the House of Representatives legislative Resource Center)のデータベースで閲覧が可である。例えば、Googleの2010年第4四半期の報告内容(報告責任者はパブロ・チャベス)の明細を参照されたい。

(筆者注5) 米国のロビイスト制度上、企業における雇用契約締結権限はCEOや担当VPであるのであるが、実際は住宅バブルのおおもとであったフレディ・マックの例では直接担当外のVPとの間で行っている例が関係機関から報告されている。

(筆者注6) Administration’s frameworkの中ではEU指令の抜本改正等との関連を直接引用している箇所はない。しかし、その両者を比較すれば基本線は同一であり、米国企業のEU対策戦略にかかる点は否めないであろう。

******************************************************************************************
Copyright © 2006-2012芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする