アメリカ人は比較的何でもBreaking Newsとかいいがちですが、これはBreaking Newsかなぁと思いますので書きます。日本でも個人情報保護法の改正案が出て、いろいろ追いかけるのが大変です。
なおコレの前日にはFCCのNetwork Neutralityに関する重要決定も出ていまして、それは個人的興味から(たぶん)いずれ書くようにいたします。
2月27日金曜日、ホワイトハウスは、いわゆるConsumer Privacy Bill of Rights(CPBR。消費者プライバシー権利章典)法案(Discussion Draft)を公表しました。
法案はコチラです。
まずはCPBRとは何か、ですが、前提として、米国プライバシー法は、セクトラル方式といって、一般的包括的なデータ保護法ではなく、例えば金融なら金融、医療なら医療、子供のオンラインプライバシーならそれと、特にデータ保護の必要性の高いセクターごとに特有の個別の法律によってパッチワーク状に成り立っています。
つまり、特定のセクターに該当しない場合、連邦レベルではプライバシー法は存在しません。そのような連邦法のないエリアについては、各州法と、自主規制や拘束力があるとまではいえないソフトローで対応しております(そのようなソフトな規制でありながら、FTC(連邦取引委員会)によるエンフォースメントを食らう可能性があるとことがツライところです。これについてはいずれ書くと思います)。
CPBRとは、このように、連邦法のない民間の分野のプライバシー保護をまとめて取り扱うための基本的な原則理念のようなもので、2012年2月にオバマ政権がConsumer Data Privacy in a Networked Worldという文書の中で公表したものです。もちろん背景にはEUとの関係があります。ブツはコチラにございます。
この文書は、消費者のプライバシー権の基本理念、つまりCPBRの他に、エンフォースメント可能な行動規範(自主規制)をマルチステークホルダープロセスで実現していくこと、FTCのエンフォースメント力を強めること、そして機能面でのいっそうの国際協調を今後の理念として謳い、米国プライバシー史に一応美しい?足跡を残しました。
2012年のCPBRは、各企業が基本的に行動規範(Code of Conduct)によって正しく自主規制することを求めながら、宣言された7つの基本的内容を法律に発展させていくことを前提としていました。その7つの柱は、国際的な基盤のあるいわゆるFIPPs(Fair Information Practice Principles)をベースにしています。FIPPsについてもいずれ書くと思います。
今回の法案は、このCPBRを具体化する法律案、つまり、米国史上初の包括的連邦プライバシー法になるかもしれない、けっこうグレートな法案ということになります。
プライバシーについては今後も何度か投稿すると思いますので、ここで、米国プライバシー法全体に関するコンテンツのスキーマ(目次的なもの)を、筆者なりに整理整頓してみます(筆者の独断によるもの、かつ、修正の余地アリのものです)。
I. プライバシー/パーソナルデータとは何か(根拠、中身、歴史)
II. ルール
1 米国憲法・連邦法
A. 米国憲法 (←☆ココ)
B. 連邦法・Financial Privacy
C. 連邦法・Medical Privacy
D. 連邦法・Child’s Online Privacy
E. ……
2 州憲法・州法
3 その他の米国国内ルール/ソフトロー/ガイドライン
A. FTC法第5条
B. FIPPs
C. FTC’s Privacy Framework(March 2012)
D. NIST Framework(Feb 2014)
E. ビッグデータ:White House report & President’s Council of Advisors’ report(May 2014)
F. アプリ:FTC’s Feb 2013 staff report
G. IoTレポート
H. ……
4 国際的なルール
A. OECDガイドライン
B. EUデータ保護指令 + Safe Harbor
C. ……
III. エンフォースメント
A. 政府によるエンフォースメント
B. 私人によるエンフォースメント(民事訴訟)
今回の法案は、成立すると、「☆ココ」のAの憲法の後に入り込んでくる話だということになります。
では今回のCPBR法案、例により鬼のようなざっくりさで見て参ります。
(写真:ベイエリア周辺にいくつかある、とても美味しいPhilz Coffee)
まずは編~条文タイトルレベルを見ます。
0. 前文(目次、法の目的、定義)
I. プライバシー権利章典(Privacy Bill of Rights) (Bill of Rightsの7本柱です)
101 Transparency 透明性
102 Individual Control 個人によるコントロール
103 Respect for Context 状況・文脈の尊重
104 Focused Collection and Responsible Use 収集情報の限定と責任ある使用
105 Security セキュリティ
106 Access and Accuracy アクセスと正確性
107 Accountability 責任
II. エンフォースメント
201 FTCによるエンフォースメント
202 州司法長官によるエンフォースメント
203 民事制裁金
III. プライバシー権利章典実施のための行動規範(Code of Conduct)
301 セーフハーバー
IV. その他
401 本法律による専占(州法に対する優越)
402 FTCの権限の維持
403 私人の提訴権
404 他の法律の適用
405 対象事業者の定義の例外
406 施行日
407 分離・独立性(Severability)
権利章典の内容の具体化、エンフォースメント、セーフハーバーという大きく3本柱になっていることが分かります。
なお、セーフハーバーとは、石井夏生利先生の『個人情報保護法の現在と未来』によりますと、税務や規制などで、企業の行動が違法や違反とされない範囲を示したルールをいい、当局が企業活動に包括的規制を敷く際に、適法な範囲が明確でなければ、企業は予見可能性を得られないため、安全策を取って活動自体を避けるようになるが、そのような事態を避けるため、セーフハーバーを設けて、適法性の範囲を明確にする慣行が米国を中心に取り入れられている、と説明されています。
ちなみに、石井先生のこの本は、現状、最新かつ最強のグローバル・プライバシー本ではないかと思います。以下の訳語もできるだけ同書の用語に従っています。
では筆者の気になったところを中心に、個別の内容です。
***********************************************************************
前文 (第1~3条 略)
第4条 定義
(a) パーソナルデータ
(1) 一般:パーソナルデータとは、対象事業者の管理するデータで、一般に公衆には適法に入手可能でなく、対象事業者により、特定の個人にリンクし、もしくは実務上リンクし得るもの、又は個人に関連するもしくは個人が日常使用する機器にリンクしたデータをいい、以下を含むがこれらに限られない:
(A) 氏名(イニシャル)
(B) 住所又はEメールアドレス
(C) 電話番号又はファックス番号
(D) social security number, tax identification number, パスポート番号、運転免許番号、その他の政府発行ID番号
(E) 指紋や声紋のような生体識別情報
(F) 数字又はアルファベットの組み合わせによるものを含むネットワークデバイス識別情報;
金融機関口座番号、クレジットカード番号、ヘルスケアアカウント番号、リテールアカウント番号等を含む取引上発行されるID番号;
自動車車体番号、ナンバープレート番号等を含む車体識別情報;
個人のサービスアカウントのアクセスのために必要なセキュリティコード、アクセスコード又はパスワード
(G) 個人のコンピュータ利用又は通信機器に関する識別/特定/記述的情報
(H) 対象事業者により、収集、生成、処理、使用、開示、保管又は維持され、かつ、上記のいずれかにリンクし又は実務上リンクし得るデータ
(2) 例外
(A) 匿名化データ (要件略)
(B) 削除データ
(C) 従業員情報 (詳細略)
(D) サイバーセキュリティデータ パーソナルデータには、サイバーセキュリティ危機に関する調査、被害緩和、又はサイバーセキュリティ危機もしくは事故への対応のために収集、処理、生成、使用、維持もしくは開示されたCyber Threat Indicatorsで、これらの目的のために処理されるものを含まない。
***********************************************************************
パーソナルデータは、①特定の個人にリンクし又はリンクし得るデータと、②機器にリンクしたデータを含みます。
Cyber Threat Indicatorsという用語が出て来ています。
***********************************************************************
(b)~(j) 略
(k) 状況・文脈(Context)
Contextとは、対象事業者によるパーソナルデータ処理を取り巻く状況をいい、以下のものを含むが、これに限られない:
(1) 個人と対象事業者の間の直接のやりとりの程度と頻度;
(2) (1)に掲げるやりとりの性質と履歴
(3) 対象事業者がどのようにして収集したパーソナルデータを処理するかについての、当該対象事業者の商品又はサービスの合理的なユーザーが有するであろう理解の程度(対象事業者により提供された通知によるものを含む)
(4) 対象事業者が提供する商品又はサービスの幅、個人による当該商品又はサービスの使用、個人に対する当該商品又はサービスの便益、および対象事業者が当該商品又はサービスに使用するブランド名
(5) 対象事業者の商品又はサービスを利用する個人のプライバシーに関する好みで対象事業者が知っている情報
(6) 個人が対象事業者に求める商品又はサービスの提供のために処理されることが予想されるパーソナルデータの種類
(7) 個人が対象事業者に求める商品又はサービスの改善又はマーケティングのために処理されることが予想されるパーソナルデータの種類
(8) 通常のビジネス記録(会計処理、監査、税務、[中略]請求等一般的に許容される目的で収集されたデータ)として処理されることが予想されるパーソナルデータの種類
(9) 対象事業者の商品又はサービスを使用する個人の年齢および知的素養(対象事業者の商品又はサービスが未成年又は高齢者向けかどうかを含む)
(10) 対象事業者により管理されるパーソナルデータが一般に公開される程度
(11) 対象事業者により管理されるパーソナルデータがマスキングされている程度
(l)~(n) 略
***********************************************************************
Contextの評価根拠事実です。個別具体的な状況に応じて、ケースバイケースに判断されることが想定されていると思われます。これが不明確として批判の対象になっているようです。
「プライバシーに関する好み(preference)」は、先日の記事に書いたIoTレポートでも言及されていました。
***********************************************************************
第1編 プライバシー権利章典
101 透明性
一言で言うと、対象事業者は、プライバシーおよびセキュリティのプラクティスについて、簡潔、分かりやすい表現で、正確、明確、適時にそしてはっきりと、個人に対してNoticeを提供し、そのNoticeへの便宜かつ合理的なアクセスを提供しなければならない。
102 個人によるコントロール
一言で言うと、対象事業者は、個人に対し、プライバシーリスク及び個別の状況・文脈に応じて、パーソナルデータ処理に関する合理的なコントロール手段を提供しなければならない。
個人は同意を撤回できるし、その場合対象事業者はパーソナルデータの消去又は匿名化によって対応する。
対象事業者は、プラクティス又はサービスに関し、それまでのパーソナルデータの収集、使用、頒布又は維持に影響を与えるような重要な変更があった場合には、個人に事前に明確かつ、はっきりとした当該変更についての記載を提供し、かつ、それまでに収集したパーソナルデータに関しては、個人に対し、当該重要な変更によって生じ得るプライバシーリスクを緩和するための補完的コントロール(明示の積極的同意を含む)を与えなければならない。
103 状況・文脈(Context)の尊重
(a) 対象事業者は、状況・文脈に照らし、合理的な方法でパーソナルデータを処理する場合には、本条の適用は受けない。個人の要求を充足するパーソナルデータの処理は、状況・文脈に照らし、合理的であると推定する。
(b) 対象事業者は、状況・文脈に照らし、合理的とはいえない方法でパーソナルデータの処理をする場合には、プライバシーリスク分析を行わなければならない(これには潜在的なプライバシーリスクの吟味のためのデータの出所、システム、情報フロー、提携事業者及びデータのレビューならびに分析の使用を含むがこれに限られない)。この場合において、対象事業者は、プライバシーリスクを緩和するため、高度化された透明性及び個人によるコントロール(Heightened Transparancy and Individual Control)の提供を含む合理的な手段を講じなければならない。
(c) ただし、例外として、状況・文脈に照らし合理的とはいえない方法でパーソナルデータを分析する場合において、FTCによって承認されたプライバシー・レビュー・ボード(Privacy Review Board)の監督の下で当該分析がなされ、かつ、一定の要件(略)を充足する場合には、高度化された透明性及び個人によるコントロールを提供しなくてもよい。
(d) 状況・文脈に照らし合理的とはいえず、その結果複数の個人に対する不利益を生じる方法でパーソナルデータを分析する場合、対象事業者は、本項に定めるパーソナルデータの分析が、年齢、人種、肌の色、宗教、性別、性的志向、性的同一性、障害又は国籍に基づく差別的不利益を与えないかどうかを判断するため、差別的影響分析(Disparate Impact Analysis)を行わなければならない。
104 収集情報の限定と責任ある使用
一言で言うと、対象事業者は、状況・文脈に照らし、合理的な方法でのみパーソナルデータを収集、保管、使用でき、パーソナルデータの収集、保管、使用の運用の決定に際し、プライバシーリスクを最小化するよう十分検討しなければならない。
105 セキュリティ
一言で言うと、対象事業者は、内外のプライバシーリスクを特定し、パーソナルデータの合理的な保護手段を用意・実施し、定期的に当該保護手段の評価・調整を行わなければならない。
106 アクセスと正確性
一言で言うと、対象事業者は、個人の請求により、その管理する請求者に関するパーソナルデータへの合理的なアクセスを提供しなければならず、また、パーソナルデータの正確性を担保する手続を設け、実施しなければならない(後者については、パーソナルデータの収集源が政府の公開された記録又は個人本人である場合には適用されない)。
また、対象事業者は、個人から請求があった場合に、パーソナルデータの正確性又は完全性を争い、解決する方法を提供しなければならない。対象事業者は、個人に対する不利益なアクションにつながり得ないような目的でパーソナルデータを使用又は開示している場合には、パーソナルデータの訂正を拒絶でき、この場合、一部の例外を除き、訂正請求者の請求と許諾により、45日より短い合理的期間内に、当該パーソナルデータを破壊又は削除しなければならない。
(訂正や削除については、この他対象事業者の義務が限定される例外規定アリ。略)
107 責任
一言で言うと、対象事業者は、従業員のトレーニング、プライバシー・データ保護に関する内部的・外部的な評価等、そのパーソナルデータの運用に関して本法所定の義務を遵守するため、適切な手段をとらなければならない。
***********************************************************************
かなりざっくりですが、以上が「権利章典」の具体化部分です。
Heightened Transparancy and Individual Control、Privacy Review Board、Disparate Impact Analysis等が出てくる103条、対象事業者が訂正拒絶できる場合と、その場合に個人にパーソナルデータの削除を求める権利を定めた106条あたりは興味深いです。
***********************************************************************
第2編 エンフォースメント
201 FTCによるエンフォースメント
(a) 第1編に違反する行為は、不公正又は欺瞞的な行為として、FTC法第5条に違反するものとみなす。
(b) よって対象事業者は、FTCのエンフォースメントを受ける。ただし、民事制裁金については、対象事業者がいちばん初めにパーソナルデータを生成又は処理してから18ヶ月以内の行為は除外。
(c) 本法は、FTC法第5条(a)(2)によりFTCの所管となる個人、組合又は会社に適用される。FTC法の定めにかかわらず、NPOにも適用される。
(d) 本法のエンフォースメントにあたり、FTCは特定のデバイスソフトウェア又はハードウェアを含むいかなる特定の製品、テクノロジーの配備又は使用も義務付けない。
202 州司法長官によるエンフォースメント
(a) Civil Action 州司法長官は、相当数の州民が被害を受け又は受けようとしていると合理的に信じるとき、州民を代表してCivil Actionを連邦地裁(専属管轄)に提起できる。FTCが介入しない限り、請求できる唯一の救済方法は、差止めである。
(b)(1) 州司法長官は、(a)に定めるアクションを開始する少なくとも30日前に、FTCに対し、訴状、証拠、その他の情報の写しを通知する。
(2) この通知を受けたFTCは、(A)Civil Actionに介入し、(B)介入した上で主導し、あるいは(C)参加せずに州司法長官に手続を委ねることができる。
(3) 州司法長官が、州民の保護のため、即時にアクションを進めることが必要だと信じるときは、州司法長官は、FTCに対し、当該アクションに関するレビューを急ぐよう求めることができる。
(4) 裁判所は、本法の定める法的要件に関し、FTCの解釈を十分尊重しなければならない。
(c) 本条の規定により、州司法長官の種々の調査権限は制限されない。
203 民事制裁金
(a) 差止めに加え、対象事業者が現実の認識を持ち、又は客観的状況に照らして認識があったと正当に認められるとき、対象事業者は民事制裁金の責任を負う。民事制裁金の金額は、悪質性、同種行為歴、支払能力、事業継続への影響、その他の事情によって決定される。
民事制裁金の金額の計算は;
(1) $35000を超えない額 × 違反日数
(2) FTC が対象事業者に一定の通知を行った場合で、同通知受領後45日以内に対象事業者が異議を提起しなかった場合には、$5000を超えない額 × 被害消費者数
(3) 民事制裁金の総額上限は$2500万
(b) インフレ時には民事制裁金の金額を調整する。
***********************************************************************
第2編は、FTCの権限根拠となる規定です。民事制裁金の金額は直観的には低額なような気がします。
かなり無駄を省いたつもりでも予想どおり長くなってしまいました。続きや雑感、全方面からの無慈悲な批判等については、次の機会に書きたいと思います。
個人的には、全体として、スッキリとしたプライバシー保護のかたちから、事業者に対する配慮?に引っ張られて幾分いびつに仕上がったというような印象を受けました。
それでは今日はここで失礼します。
(今日は3月11日。震災のことを忘れません。)