狠狠撸

狠狠撸Share a Scribd company logo

US Consumer Privacy Bill of Rights 米国プライバシー権利憲章

?Download as DOCX, PDF?
?
OpenID Foundation Japan
OpenID Foundation Japan
1 of 8
Downloaded 23 times
「ネットワーク化された世界における消费者データ?プライバシー」 グローバルなデジタル経済における プライバシー保護とイノベーション促進のためのフレームワーク i-iv 目次 I. エグゼクティブサマリー II. イントロダクション:消費者データ?プライバシー?フレームワークの強み III. CPBoR の定義 IV. CPBoR の実施:執行可能な行動規範を開発するための複数ステークホルダーとのプロセス V. FTC の執行のための専門性 VI. 国際的な相互運用性の促進 VII. 消費者データ?プライバシー法の制定 VIII. プライバシー保護を改善するための政府のリーダーシップ IX. 結論 X. 付録 A CPBoR XI. 付録 B CPBoR と他の FIPPs ステートメントとの比較表 C3 オバマ大統領のステートメント 1 米国におけるプライバシーの歴史的背景 1.1 “Americans have always cherished our privacy” 「米国の人々はいつも自身のプライバ シーを大切にしてきました。」 1.2 合衆国の誕生→不法な家屋や侵入や個人的文書の閲覧禁止→郵便制度(封書の中身を見る の禁止)→新しいコミュニケーション方法(電話、コンピューター、電子メール)につい てもプライバシー保護 1.3 ブランダイス(米国最高裁判所判事 1856- 1941)”right to be let alone”(放っとかれる権 利)と定義したが、今ではそれ以上の定義 1.4 合衆国設立初期の政治パンフレット作者も現代のブロガーも同じように「匿名」での政治 スピーチが最高裁によって認められている。 1.5 インターネットやスマートフォンの出現→プライバシーの重要性が高まっている 1.5.1 イノベーションのほとんどはパーソナル情報の利用によって可能 2 CPBoR =情報時代のプライバシーのための青写真 =自身のパーソナル情報を扱う人々(組織)に何を期待すべきに関する明確なガイダンス 2.1 企業はプライバシー関連団体、人権擁護当局などと共にただちに協働をして欲しい。 2.2 オバマ政権は、この原則を進化させ連邦議会が法制度化できるよう働きかける 2.3 強力なプライバシー保護と継続的なイノベーションを実現する動的モデルを世界に投げ かける 1
3 パーソナル情報をより自由に共有できるようになった現代においても、プライバシーが時代遅 れの価値であると結論づけることに反対しなければならない。 3.1 プライバシーは、合衆国の始まりから我々民主主義の中核にあり、今かつてないほど必 要とされている。 i, ii 前文 1 トラスト =ネットワーク化されたテクノロジーがアメリカ合衆国とそれ以外の世界にもたらす社会的?経 済的ベネフィットを維持するのに必要不可欠 2 インターネットによるグローバルな接続 2.1 一人のイノベーターのアイデアがすぐに製品?サービスに育ち一日数億もの利用者にな る。されにこれが結果的に合衆国の仕事の創出と経済成長になる。 2.2 この分野でアメリカがリーダーシップを維持するには、米国企業がグローバル市場で消 費者の信頼を獲得?維持することが必要 3 消費者の信頼を維持するにはプライバシー保護がクリティカル 3.1 公開のソーシャルネットワークだろうが、機微なパーソナルデータを含む取引だろうが 関係なく、取り囲むコンテキストに属した方法で適切にデータを扱うこと 3.2 だが、消費者が企業のプライバシープラクティスが信頼を保証しているか評価すること は難しい 4 既存の消費者データ?プライバシー?フレームワーク 4.1 基本的なプライバシーの価値、コモンロー、消費者保護法、FTC のエンフォースメント 4.2 市民社会や産業界、学者、政府を巻き込んだ活発な議論 4.3 ただし、「基礎的なプライバシー原則」と「持続的なステークホルダーのコミットメント 」の 2 点が欠けている 5 ”Consumer Data Privacy in a Networked World.”(本書)が上記 2 点をカバーする 5.1 オバマ政権は、Consumer Privacy Bill of Rights に適合した法律(既存のデータ?プライ バシー法の支配下にない状態で)を通すよう議会に要請する 5.2 オバマ政権は、いろんなステークホルダーとの議論を促進する。ステークホルダーは、 CPBoR をインプリする行動規範 codes of conduct を開発する。 エグゼクティブ?サマリー 1 CPBoR 1.1 以下オバマ政権の観点からの CPBoR 1.1.1 個人によるコントロール:消費者は、企業がどのようなパーソナルデータを自分から 収集し、それをどのように使用するのかについて、制御する権利を有する。 1.1.2 透明性:消費者は、プライバシーおよびセキュリティ慣行に関する情報について、 容易に理解でき、アクセスできる権利を有する。 2
1.1.3 コンテキストの尊重:消費者は、企業がパーソナルデータを、消費者がデータを提 供したコンテキストに基づく方法で収集、使用、開示することを期待する権利を有 する。 1.1.4 セキュリティ:消費者は、パーソナルデータを安全管理し、責任を持って扱う権利 を有する。 1.1.5 アクセスおよび正確性:消費者は、使用可能な形式で、また、データの機密性とデ ータが不正確であった場合に消費者に悪影響を与える危険性に応じた方法で、個人 データにアクセスし修正する権利を有する。 1.1.6 対象を絞った収集:消費者は、企業が収集および保持するパーソナルデータについて、 合理的な制限を設ける権利を有する。 1.1.7 アカウンタビリティ(説明責任):消費者は、Consumer Privacy Bill of Rights の遵 守を保証するための適切な措置を講じた企業によってパーソナルデータが扱われる ようにする権利を有する。 1.2 CPBoR は企業がどう実施するか企業の裁量に任せる一般原則である。柔軟性はイノベー ションを促進し、企業が効率的にプライバシー問題を正すことができる。 1.3 議会が法律を通せなくても、CPBoR は有効である。 2 実行可能な codes of conduct を生み出すため複数ステークホルダーのプロセス 2.1 政権は、オープンで透明なフォーラムを開催 2.2 企業は最終的に code of conduct が採用できるか選択 2.3 ステークホルダーには、消費者が容易に codes of conduct を使用?理解できるように、消 費者団体やプライバシー擁護団体の参加が必要 3 FTC の執行の強化 3.1 責任のある企業が異なるルールで営業している競合企業より不利であることはあってな らない。 3.2 データ?プライバシー法では、政権は議会が FTC と州検事総長に CPBoR を強制する権 限を与えることを推奨する 4 グローバルな相互運用性の改善 4.1 ユーザドリブンで非集中的なインターネット環境下のパーソナルデータに関する矛盾の ない低障壁のルールによる国際的な interoperability を維持する必要。 4.2 Mutual recognition(相互承認)は、効果的な強制力と正しく定義されアカウンタビリテ ィに依存する。そのために複数ステークホルダープロセスが重要 4.3 強制力の協力(Enforcement cooperation):パーソナルデータが国境を超えるときに国 はその国民を保護できるようにする。 イントロダクション:消費者データ?プライバシー?フレームワークの強みの構築 1 大量データの話 3
1.1 大量のデータ、安価な(コンピュータ)処理力、洗練された分析技術がネットワーク社会 のイノベーションをドライブしている。 1.2 データに基づく政治活動が可能になった。 1.3 ソーシャルネットワークのデータから個人やジャーナリストが価値ある情報を報告した りフォローできるようになった。 1.4 データは政府が ID 窃盗を防止しや公共の場を安全に守るのに重要な役割を果たす。 1.5 研究者は、大量の医療データを使って病気の原因を解決する。 1.6 ネットワークオペレーターは通信データを使って光ケーブルの事故や停電、侵入者の行 動を見つけたりできる。 1.7 パーソナルデータによって、広告の取引市場は多くのオンラインサービスやコンテンツ をと届けられるようになった。 2 消費者データプライバシーの保護強化は、政権の重要な優先事項 2.1 政府での PII のあつかいについては、本フレームワークの範疇外 2.2 政府が民間組織が保有しているデータにアクセスするケースでは、パーソナルデータプ ライバシープライバシー?アクト(1974 年)が適用 3 トラストとは 3.1 我々が依存している企業(Company)や技術システムがプライバシーやセキュリティ、 reliability に関する我々の期待に答えること 3.2 Company とは 3.2.1 パーソナルデータを使用し開示し蓄積し転送する、すべての組織、企業、トラスト 、パートナーシップ、個人事業主、非法人企業、営利/非営利のベンチャーで、既 存の連邦政府プライバシー法の支配下にないところ。 4 トラストと経済成長の話 4.1 ICS(International Cyberspace Strategy, 2011 年 5 月に大統領署名)に言及 4.1.1 国際的なパートナー間で柔軟かつイノベーションが起きやすい( innovation-enhancing)プライバシーモデルを作るのに役に立てたい。 4.1.2 インターネット経済のトラストの保つことが実体経済の保護と拡大に繋がる 4.2 ロケーションサービスでのパーソナルデータの新しい活用は、適切なセーフガードが施 されていれば、需要なビジネス機会をもたらす。 4.2.1 マッキンゼー?グローバル?インスティテュート:Big Data に関する白書 4.2.2 NIST:クラウドコンピューティングの定義に関する白書 4.3 アメリカはロケーションサービスやクラウドコンピューティングのリーダーである。 4.3.1 この経済的ベネフィットを維持するためには、消費者がネットワーク技術を信頼し 続ける必要がある。 4.3.2 消費者データ?プライバシー保護の強化はこのゴールの達成に繋がる 5 トラストとコンテキストの話 5.1 トラストの維持は、社会的?文化的ベネフィットを実現する 4
5.2 企業がパーソナルデータをその消費者が公開した状況と合致しないで公開したら、トラ ストは台無しになる 5.3 例えば、友人、家族、同僚や一般社会と情報をアクティブに共有している人は、その情 報をそのサービスや第三者、所属企業が使っていることに気づいてないかもしれない。 5.4 機微情報の許可のない開示は、個人の人権を犯し、損害や差別を引き起こす。また、不 正確だったり誤解を招く情報に基づく反応を引き起こす。さらには人生を壊滅させるよ うなアイデンティティ窃盗を招く可能性がある。 5.4.1.1 ID 窃盗の経済損失は年間 150 億ドル、FTC 調べ 6 既存の米国の消費者データプライバシーフレームワーク 6.1 プライバシーの問題を解決するのに、柔軟で効果的である 6.2 フレームワークは、業界のベストプラクティス、FTC エンフォースメント、CPO やプラ イバシー専門家のネットワークで構成されている 7 だが、ほとんどのインターネット上のパーソナルデータは、連邦政府の法の保護にない。 7.1 既存の法律は、特定のセクターしか適用されてないから 7.1.1 ヘルスケア、教育、通信、金融、未成年データの保護 7.2 政権は、既存のフレームワークのギャップを埋め広範囲のプライバシーに関する懸念に応 えていきたい 7.2.1 が、既に各セクターに適用されている法律は、矛盾が生じない限り、修正したくな い 7.2.2 政権は、議会が、既存法を追加補足したり、既存法が適用されないセクターがベー スラインに達するための立法作業をサポートする 8 包括的な消費者データ?プライバシー?フレームワーク群の目的 8.1 明確に消費者を保護し、企業がイノベーションを推進でき、コンプライアンスコストを 最小化することを目指す。 8.1.1 大統領指令 13563 “Improving Regulation and Regulatory Review”に適合するよう にする 8.2 消費者が、パーソナルデータをよりよいツールを使ってデジタル経済の中でフローさせ る方法を理解し、制御できるようにする 8.3 企業が、消費者の期待にミートし、より効果的な方法で消費者やポリシーメーカーと関 係作りができるようにする。企業が、パーソナルデータの取扱に関して異論のないプラ クティスを決める助けとなる。 8.4 国際的なポリシーフレームワークを促進することで、我々のグローバルでの競争優位性 を改善する(インタネットイノベーションのリーダとしてのアメリカ合衆国は、先進的な プライバシーポリシー作りを行う責任とインセンティブがある。) 9 以上を達成するための、消費者データ?プライバシー?フレームワークの構成 9.1 Consumer Privacy Bill of Rights 9.1.1 FIPPs をベースに、ダイナミックなインターネット環境を想定して作成 5
9.2 Enforceable codes of conduct(強制可能な行動規範)を multistakeholder processes を 通じて作成 9.3 Federal Trade Commission (FTC) の enforcement 9.3.1 不正や活動やプラクティスを防止するため 9.4 米国と諸外国のプライバシーフレームワーク間の global interoperability、相互承認 9.4.1 情報がフローする障壁を減らすため 10 Consumer Data Privacy in a Networked World(本書) 10.1 米商務省の商業インターネットポリシー ?タスクフォース作成の”Commercial Data Privacy and Innovation in the Internet Economy: A Dynamic Policy Framework (“Privacy and Innovation Green Paper” 2010 年)”の推奨によって作成 10.1.1 企業、貿易団体、プライバシー擁護団体、アカデミック、州検事総長、政府、犯 罪法の関係者などの 100 以上ステークホルダーがシンポジウム、文書、講演、非公 式ミーティングなどを通じてフィードバック 以上 6
Page 35-39: Ⅵ Enacting Consumer Data Privacy Legislation 消費者データプライバシー法の制定 (高木先生分) 政府が議会に対して法律制定を要請 A. Consumer Privacy Bill of Rightsの成文化 1. FTCと州検事総長が法律で定められた権利を直接強制できるようにする 2. 企業のCPBoR下の義務を具体化する 3. 法律用語の決定について議会と政権が協力する 4. 業界固有のcodes of conductに適用できるようにする 5. 以下を避ける。 ? 重複したり過剰に重い法律要件を加えること ? 特定技術を記述すること ? CPBoR一般に一致しているが、法ができた時点では予期出来なかったPIIを利用したビ ジネスモデルを排除すること ? 政府が犯罪や違法行為、公共の安全、国家安全保障など必要に迫られて収集することに 関して、既存の行政当局や監督機関を改正すること ? 犯罪行為を調査、起訴する法強制力を犯すこと ? 政府の情報管理や、純粋に商業分分野、コンシューマー分野のコンテキストの外にある プライバシー問題に関わる既存の法律や監督機関を改正すること B. FTCの直接のエンフォースメント権限の許可 1. 政権は、議会がFTCに対して、CPBoRをエンフォースするための権限を与えることを要請 2. 消費者と企業両方が対象 ? 企業が、プライバシーに関する義務について明確なロードマップを示せるようにする ? 消費者が、FTCが権限を持っていると知ることでベネフィットを受けれるようにする 3. 法は、手順化されたセーフガードによる具体的なエンフォースメント活動を通じて、FTC がプライバシー問題を矯正できるようにする 4. 政権は、同等の権限を州検事総長にも与えることを議会に要請する 5. 技術や商慣習が激しく変化するため、議会は柔軟な標準を作る。個別法に拝領 ? シャーマン反トラスト(独占禁止)法の領域では、取引制限の合意を禁止している ? 著作権法では、 “copies,” “devices,” “processes” technologies “now known or later developed.”などの言葉を定義 ? FTC ActにおけるFTCの権限、“unfair or deceptive acts or practices.” の禁止 6. multistakeholder processと、codes of conduct に基づくsafe harborのエンフォースメント C. Safe Harborのエンフォースメントを通じた法の確実性 1. FTCは、CPBoRに対するcodes of conductをレビューする権限を持つ 7
2. 法律は、FTCが提出されたcodes of conductをレビュー、パブコメするのに十分な期間(180 日など)を設ける。FTCがすべてのステークホルダーのコンセンサスを反映したcodeを許 可もしくは拒否する権限を制限する。承認されたcodeが技術や市場が変化しても有効かど うかレビューする期間を設ける。 3. multistakeholder process における記録(特に同意されたことに関する記録)を残す(FTC のレビューの助けになるため) 4. 政権は、以上のように、Administrative Procedure Actの下、FTC当局が公正で透明なプロ セスをもって、codes of conductをレビュー、承認することを推奨する 5. また、FTC当局が“safe harbor”(免責条項)を用意する D. 連邦政府と州政府の役割のバランス 1. 連邦政府は共通の法を先に作ることで、各州政府が、CPBoRに矛盾したり、より厳しかっ たりする法律を作るようなことがないようにする。 2. 州政府は、multistakeholder processで建設的な役割を果たす。 3. 州政府が、特定セクターを規制したくて、CPBoRに基づいて法律を作ることは自由。 E. 既存の連邦政府データプライバシー法における効果的な保護を維持する 1. 既存のセクター固有の法律を維持し、法律要件の重複を最小限にする ? 例えば、HIPPAはヘルケアプロバイダー、保険業者等のパーソナルヘルス情報の収集、 利用、開示に関して規制している(ヘルスケアのコンテキストにおいて同意された取り 扱い)。連邦データプライバシー法は、教育、クレジット情報、金融、未成年情報の収 集について適用される。 2. 重複義務がないようにする ? 既存の連邦データプライバシー法支配下の企業については義務を免除するなどを検討 ? 例えば、Gramm-Leach-Bliley Act (GLB)法は、金融機関に非公人の情報のプライバシ ーやセキュリティに予防措置を施すことを求めている。 F. セキュリティ違反通知(SBN)に関する国家基準を作る 1. 企業が許可されないでパーソナルデータを開示した場合、通知しなければいけないという 国家基準を作る。 2. SBNによって、アイデンティティ窃盗などの被害から消費者を守ることができる。 3. 現在47つの州とDistrict of Columbia幾つかのU.S. TerritoriesがSBN法を持っている。それ ぞれ内容がことなるが、国家基準でもって統一する。 8

More Related Content

US Consumer Privacy Bill of Rights 米国プライバシー権利憲章

  • 1. 「ネットワーク化された世界における消费者データ?プライバシー」 グローバルなデジタル経済における プライバシー保護とイノベーション促進のためのフレームワーク i-iv 目次 I. エグゼクティブサマリー II. イントロダクション:消費者データ?プライバシー?フレームワークの強み III. CPBoR の定義 IV. CPBoR の実施:執行可能な行動規範を開発するための複数ステークホルダーとのプロセス V. FTC の執行のための専門性 VI. 国際的な相互運用性の促進 VII. 消費者データ?プライバシー法の制定 VIII. プライバシー保護を改善するための政府のリーダーシップ IX. 結論 X. 付録 A CPBoR XI. 付録 B CPBoR と他の FIPPs ステートメントとの比較表 C3 オバマ大統領のステートメント 1 米国におけるプライバシーの歴史的背景 1.1 “Americans have always cherished our privacy” 「米国の人々はいつも自身のプライバ シーを大切にしてきました。」 1.2 合衆国の誕生→不法な家屋や侵入や個人的文書の閲覧禁止→郵便制度(封書の中身を見る の禁止)→新しいコミュニケーション方法(電話、コンピューター、電子メール)につい てもプライバシー保護 1.3 ブランダイス(米国最高裁判所判事 1856- 1941)”right to be let alone”(放っとかれる権 利)と定義したが、今ではそれ以上の定義 1.4 合衆国設立初期の政治パンフレット作者も現代のブロガーも同じように「匿名」での政治 スピーチが最高裁によって認められている。 1.5 インターネットやスマートフォンの出現→プライバシーの重要性が高まっている 1.5.1 イノベーションのほとんどはパーソナル情報の利用によって可能 2 CPBoR =情報時代のプライバシーのための青写真 =自身のパーソナル情報を扱う人々(組織)に何を期待すべきに関する明確なガイダンス 2.1 企業はプライバシー関連団体、人権擁護当局などと共にただちに協働をして欲しい。 2.2 オバマ政権は、この原則を進化させ連邦議会が法制度化できるよう働きかける 2.3 強力なプライバシー保護と継続的なイノベーションを実現する動的モデルを世界に投げ かける 1
  • 2. 3 パーソナル情報をより自由に共有できるようになった現代においても、プライバシーが時代遅 れの価値であると結論づけることに反対しなければならない。 3.1 プライバシーは、合衆国の始まりから我々民主主義の中核にあり、今かつてないほど必 要とされている。 i, ii 前文 1 トラスト =ネットワーク化されたテクノロジーがアメリカ合衆国とそれ以外の世界にもたらす社会的?経 済的ベネフィットを維持するのに必要不可欠 2 インターネットによるグローバルな接続 2.1 一人のイノベーターのアイデアがすぐに製品?サービスに育ち一日数億もの利用者にな る。されにこれが結果的に合衆国の仕事の創出と経済成長になる。 2.2 この分野でアメリカがリーダーシップを維持するには、米国企業がグローバル市場で消 費者の信頼を獲得?維持することが必要 3 消費者の信頼を維持するにはプライバシー保護がクリティカル 3.1 公開のソーシャルネットワークだろうが、機微なパーソナルデータを含む取引だろうが 関係なく、取り囲むコンテキストに属した方法で適切にデータを扱うこと 3.2 だが、消費者が企業のプライバシープラクティスが信頼を保証しているか評価すること は難しい 4 既存の消費者データ?プライバシー?フレームワーク 4.1 基本的なプライバシーの価値、コモンロー、消費者保護法、FTC のエンフォースメント 4.2 市民社会や産業界、学者、政府を巻き込んだ活発な議論 4.3 ただし、「基礎的なプライバシー原則」と「持続的なステークホルダーのコミットメント 」の 2 点が欠けている 5 ”Consumer Data Privacy in a Networked World.”(本書)が上記 2 点をカバーする 5.1 オバマ政権は、Consumer Privacy Bill of Rights に適合した法律(既存のデータ?プライ バシー法の支配下にない状態で)を通すよう議会に要請する 5.2 オバマ政権は、いろんなステークホルダーとの議論を促進する。ステークホルダーは、 CPBoR をインプリする行動規範 codes of conduct を開発する。 エグゼクティブ?サマリー 1 CPBoR 1.1 以下オバマ政権の観点からの CPBoR 1.1.1 個人によるコントロール:消費者は、企業がどのようなパーソナルデータを自分から 収集し、それをどのように使用するのかについて、制御する権利を有する。 1.1.2 透明性:消費者は、プライバシーおよびセキュリティ慣行に関する情報について、 容易に理解でき、アクセスできる権利を有する。 2
  • 3. 1.1.3 コンテキストの尊重:消費者は、企業がパーソナルデータを、消費者がデータを提 供したコンテキストに基づく方法で収集、使用、開示することを期待する権利を有 する。 1.1.4 セキュリティ:消費者は、パーソナルデータを安全管理し、責任を持って扱う権利 を有する。 1.1.5 アクセスおよび正確性:消費者は、使用可能な形式で、また、データの機密性とデ ータが不正確であった場合に消費者に悪影響を与える危険性に応じた方法で、個人 データにアクセスし修正する権利を有する。 1.1.6 対象を絞った収集:消費者は、企業が収集および保持するパーソナルデータについて、 合理的な制限を設ける権利を有する。 1.1.7 アカウンタビリティ(説明責任):消費者は、Consumer Privacy Bill of Rights の遵 守を保証するための適切な措置を講じた企業によってパーソナルデータが扱われる ようにする権利を有する。 1.2 CPBoR は企業がどう実施するか企業の裁量に任せる一般原則である。柔軟性はイノベー ションを促進し、企業が効率的にプライバシー問題を正すことができる。 1.3 議会が法律を通せなくても、CPBoR は有効である。 2 実行可能な codes of conduct を生み出すため複数ステークホルダーのプロセス 2.1 政権は、オープンで透明なフォーラムを開催 2.2 企業は最終的に code of conduct が採用できるか選択 2.3 ステークホルダーには、消費者が容易に codes of conduct を使用?理解できるように、消 費者団体やプライバシー擁護団体の参加が必要 3 FTC の執行の強化 3.1 責任のある企業が異なるルールで営業している競合企業より不利であることはあってな らない。 3.2 データ?プライバシー法では、政権は議会が FTC と州検事総長に CPBoR を強制する権 限を与えることを推奨する 4 グローバルな相互運用性の改善 4.1 ユーザドリブンで非集中的なインターネット環境下のパーソナルデータに関する矛盾の ない低障壁のルールによる国際的な interoperability を維持する必要。 4.2 Mutual recognition(相互承認)は、効果的な強制力と正しく定義されアカウンタビリテ ィに依存する。そのために複数ステークホルダープロセスが重要 4.3 強制力の協力(Enforcement cooperation):パーソナルデータが国境を超えるときに国 はその国民を保護できるようにする。 イントロダクション:消費者データ?プライバシー?フレームワークの強みの構築 1 大量データの話 3
  • 4. 1.1 大量のデータ、安価な(コンピュータ)処理力、洗練された分析技術がネットワーク社会 のイノベーションをドライブしている。 1.2 データに基づく政治活動が可能になった。 1.3 ソーシャルネットワークのデータから個人やジャーナリストが価値ある情報を報告した りフォローできるようになった。 1.4 データは政府が ID 窃盗を防止しや公共の場を安全に守るのに重要な役割を果たす。 1.5 研究者は、大量の医療データを使って病気の原因を解決する。 1.6 ネットワークオペレーターは通信データを使って光ケーブルの事故や停電、侵入者の行 動を見つけたりできる。 1.7 パーソナルデータによって、広告の取引市場は多くのオンラインサービスやコンテンツ をと届けられるようになった。 2 消費者データプライバシーの保護強化は、政権の重要な優先事項 2.1 政府での PII のあつかいについては、本フレームワークの範疇外 2.2 政府が民間組織が保有しているデータにアクセスするケースでは、パーソナルデータプ ライバシープライバシー?アクト(1974 年)が適用 3 トラストとは 3.1 我々が依存している企業(Company)や技術システムがプライバシーやセキュリティ、 reliability に関する我々の期待に答えること 3.2 Company とは 3.2.1 パーソナルデータを使用し開示し蓄積し転送する、すべての組織、企業、トラスト 、パートナーシップ、個人事業主、非法人企業、営利/非営利のベンチャーで、既 存の連邦政府プライバシー法の支配下にないところ。 4 トラストと経済成長の話 4.1 ICS(International Cyberspace Strategy, 2011 年 5 月に大統領署名)に言及 4.1.1 国際的なパートナー間で柔軟かつイノベーションが起きやすい( innovation-enhancing)プライバシーモデルを作るのに役に立てたい。 4.1.2 インターネット経済のトラストの保つことが実体経済の保護と拡大に繋がる 4.2 ロケーションサービスでのパーソナルデータの新しい活用は、適切なセーフガードが施 されていれば、需要なビジネス機会をもたらす。 4.2.1 マッキンゼー?グローバル?インスティテュート:Big Data に関する白書 4.2.2 NIST:クラウドコンピューティングの定義に関する白書 4.3 アメリカはロケーションサービスやクラウドコンピューティングのリーダーである。 4.3.1 この経済的ベネフィットを維持するためには、消費者がネットワーク技術を信頼し 続ける必要がある。 4.3.2 消費者データ?プライバシー保護の強化はこのゴールの達成に繋がる 5 トラストとコンテキストの話 5.1 トラストの維持は、社会的?文化的ベネフィットを実現する 4
  • 5. 5.2 企業がパーソナルデータをその消費者が公開した状況と合致しないで公開したら、トラ ストは台無しになる 5.3 例えば、友人、家族、同僚や一般社会と情報をアクティブに共有している人は、その情 報をそのサービスや第三者、所属企業が使っていることに気づいてないかもしれない。 5.4 機微情報の許可のない開示は、個人の人権を犯し、損害や差別を引き起こす。また、不 正確だったり誤解を招く情報に基づく反応を引き起こす。さらには人生を壊滅させるよ うなアイデンティティ窃盗を招く可能性がある。 5.4.1.1 ID 窃盗の経済損失は年間 150 億ドル、FTC 調べ 6 既存の米国の消費者データプライバシーフレームワーク 6.1 プライバシーの問題を解決するのに、柔軟で効果的である 6.2 フレームワークは、業界のベストプラクティス、FTC エンフォースメント、CPO やプラ イバシー専門家のネットワークで構成されている 7 だが、ほとんどのインターネット上のパーソナルデータは、連邦政府の法の保護にない。 7.1 既存の法律は、特定のセクターしか適用されてないから 7.1.1 ヘルスケア、教育、通信、金融、未成年データの保護 7.2 政権は、既存のフレームワークのギャップを埋め広範囲のプライバシーに関する懸念に応 えていきたい 7.2.1 が、既に各セクターに適用されている法律は、矛盾が生じない限り、修正したくな い 7.2.2 政権は、議会が、既存法を追加補足したり、既存法が適用されないセクターがベー スラインに達するための立法作業をサポートする 8 包括的な消費者データ?プライバシー?フレームワーク群の目的 8.1 明確に消費者を保護し、企業がイノベーションを推進でき、コンプライアンスコストを 最小化することを目指す。 8.1.1 大統領指令 13563 “Improving Regulation and Regulatory Review”に適合するよう にする 8.2 消費者が、パーソナルデータをよりよいツールを使ってデジタル経済の中でフローさせ る方法を理解し、制御できるようにする 8.3 企業が、消費者の期待にミートし、より効果的な方法で消費者やポリシーメーカーと関 係作りができるようにする。企業が、パーソナルデータの取扱に関して異論のないプラ クティスを決める助けとなる。 8.4 国際的なポリシーフレームワークを促進することで、我々のグローバルでの競争優位性 を改善する(インタネットイノベーションのリーダとしてのアメリカ合衆国は、先進的な プライバシーポリシー作りを行う責任とインセンティブがある。) 9 以上を達成するための、消費者データ?プライバシー?フレームワークの構成 9.1 Consumer Privacy Bill of Rights 9.1.1 FIPPs をベースに、ダイナミックなインターネット環境を想定して作成 5
  • 6. 9.2 Enforceable codes of conduct(強制可能な行動規範)を multistakeholder processes を 通じて作成 9.3 Federal Trade Commission (FTC) の enforcement 9.3.1 不正や活動やプラクティスを防止するため 9.4 米国と諸外国のプライバシーフレームワーク間の global interoperability、相互承認 9.4.1 情報がフローする障壁を減らすため 10 Consumer Data Privacy in a Networked World(本書) 10.1 米商務省の商業インターネットポリシー ?タスクフォース作成の”Commercial Data Privacy and Innovation in the Internet Economy: A Dynamic Policy Framework (“Privacy and Innovation Green Paper” 2010 年)”の推奨によって作成 10.1.1 企業、貿易団体、プライバシー擁護団体、アカデミック、州検事総長、政府、犯 罪法の関係者などの 100 以上ステークホルダーがシンポジウム、文書、講演、非公 式ミーティングなどを通じてフィードバック 以上 6
  • 7. Page 35-39: Ⅵ Enacting Consumer Data Privacy Legislation 消費者データプライバシー法の制定 (高木先生分) 政府が議会に対して法律制定を要請 A. Consumer Privacy Bill of Rightsの成文化 1. FTCと州検事総長が法律で定められた権利を直接強制できるようにする 2. 企業のCPBoR下の義務を具体化する 3. 法律用語の決定について議会と政権が協力する 4. 業界固有のcodes of conductに適用できるようにする 5. 以下を避ける。 ? 重複したり過剰に重い法律要件を加えること ? 特定技術を記述すること ? CPBoR一般に一致しているが、法ができた時点では予期出来なかったPIIを利用したビ ジネスモデルを排除すること ? 政府が犯罪や違法行為、公共の安全、国家安全保障など必要に迫られて収集することに 関して、既存の行政当局や監督機関を改正すること ? 犯罪行為を調査、起訴する法強制力を犯すこと ? 政府の情報管理や、純粋に商業分分野、コンシューマー分野のコンテキストの外にある プライバシー問題に関わる既存の法律や監督機関を改正すること B. FTCの直接のエンフォースメント権限の許可 1. 政権は、議会がFTCに対して、CPBoRをエンフォースするための権限を与えることを要請 2. 消費者と企業両方が対象 ? 企業が、プライバシーに関する義務について明確なロードマップを示せるようにする ? 消費者が、FTCが権限を持っていると知ることでベネフィットを受けれるようにする 3. 法は、手順化されたセーフガードによる具体的なエンフォースメント活動を通じて、FTC がプライバシー問題を矯正できるようにする 4. 政権は、同等の権限を州検事総長にも与えることを議会に要請する 5. 技術や商慣習が激しく変化するため、議会は柔軟な標準を作る。個別法に拝領 ? シャーマン反トラスト(独占禁止)法の領域では、取引制限の合意を禁止している ? 著作権法では、 “copies,” “devices,” “processes” technologies “now known or later developed.”などの言葉を定義 ? FTC ActにおけるFTCの権限、“unfair or deceptive acts or practices.” の禁止 6. multistakeholder processと、codes of conduct に基づくsafe harborのエンフォースメント C. Safe Harborのエンフォースメントを通じた法の確実性 1. FTCは、CPBoRに対するcodes of conductをレビューする権限を持つ 7
  • 8. 2. 法律は、FTCが提出されたcodes of conductをレビュー、パブコメするのに十分な期間(180 日など)を設ける。FTCがすべてのステークホルダーのコンセンサスを反映したcodeを許 可もしくは拒否する権限を制限する。承認されたcodeが技術や市場が変化しても有効かど うかレビューする期間を設ける。 3. multistakeholder process における記録(特に同意されたことに関する記録)を残す(FTC のレビューの助けになるため) 4. 政権は、以上のように、Administrative Procedure Actの下、FTC当局が公正で透明なプロ セスをもって、codes of conductをレビュー、承認することを推奨する 5. また、FTC当局が“safe harbor”(免責条項)を用意する D. 連邦政府と州政府の役割のバランス 1. 連邦政府は共通の法を先に作ることで、各州政府が、CPBoRに矛盾したり、より厳しかっ たりする法律を作るようなことがないようにする。 2. 州政府は、multistakeholder processで建設的な役割を果たす。 3. 州政府が、特定セクターを規制したくて、CPBoRに基づいて法律を作ることは自由。 E. 既存の連邦政府データプライバシー法における効果的な保護を維持する 1. 既存のセクター固有の法律を維持し、法律要件の重複を最小限にする ? 例えば、HIPPAはヘルケアプロバイダー、保険業者等のパーソナルヘルス情報の収集、 利用、開示に関して規制している(ヘルスケアのコンテキストにおいて同意された取り 扱い)。連邦データプライバシー法は、教育、クレジット情報、金融、未成年情報の収 集について適用される。 2. 重複義務がないようにする ? 既存の連邦データプライバシー法支配下の企業については義務を免除するなどを検討 ? 例えば、Gramm-Leach-Bliley Act (GLB)法は、金融機関に非公人の情報のプライバシ ーやセキュリティに予防措置を施すことを求めている。 F. セキュリティ違反通知(SBN)に関する国家基準を作る 1. 企業が許可されないでパーソナルデータを開示した場合、通知しなければいけないという 国家基準を作る。 2. SBNによって、アイデンティティ窃盗などの被害から消費者を守ることができる。 3. 現在47つの州とDistrict of Columbia幾つかのU.S. TerritoriesがSBN法を持っている。それ ぞれ内容がことなるが、国家基準でもって統一する。 8