ビッグデータ時代のプライバシー保護に向けた動きが、米国、EUで慌ただしくなっている。
米オバマ政権は「消費者プラバシー権利章典法」の草案を公開したものの、産業界、消費者団体の双方から批判が噴出。
さらに相前後して、検討が続くEUの「個人データ保護規則」の修正案、とされる文書が流出。当初案から後退した、とこちらも批判の矢面に。
By vintagedept under Creative Commons license (CC BY 2.0)
プラバシー保護では〝仲間外れ〟と言われる日本も、個人情報保護法を全面施行から10年ぶりに改正すべく、改正法案が10日に閣議決定された。
ただ、一体何が変わるのか、門外漢にはなかなかわかりにくい内容になっている。〝仲間外れ〟解消への道は、まだ遠そうだ。
●「プライバシー権利章典」
ホワイトハウスが「消費者プライバシー権利章典法」の草案を公開したのは2月27日だ。
オバマ政権は2012年2月23日に、デジタル時代の消費者プライバシー保護政策として、「権利章典」の概要を打ち出しており、2年がかりでとりまとめたものが今回の草案だ。
(1)透明性(2)個人のコントロール(3)文脈(目的)の尊重(4)収集制限と責任ある利用(5)セキュリティ(6)アクセス権と正確性(7)説明責任、という「権利章典」の基本方針は、概要の段階からほぼ踏襲。
これらに違反した場合には、連邦取引委員会(FTC)による制裁、もしくは州検事総長による民事訴訟の対象となる、という構成になっている。
罰金の総額は2500万ドル(約30億円)以下、とされている。
●産業界と消費者団体
タイトルにも「討議草案(ディスカッション・ドラフト)」と表記してあるが、早速、産業界、消費者団体、さらには連邦取引委員会などからも、批判の声が上がっているようだ。
まずは消費者団体や人権団体。
消費者同盟(CU)や電子フロンティア財団(EFF)、民主主義・テクノロジーセンター(CDT)などの14団体は、3月3日、オバマ大統領宛ての書簡を公開。
「『権利章典』は消費者のプライバシー保護について、企業に幅広い抜け道を認めている」などと草案の問題点を指摘している。
一方の産業界。
2000社以上が加盟する米家電協会(CEA)は、「この提案は米国のイノベーションを阻害し、有益なサービスや製品の可能性をつぶしてしまいかねない」と懸念を表明。
グーグル、フェイスブック、アマゾン、ヤフー、ツイッターなど41社が加盟するインターネット協会(IA)も、「協会のメンバーは、ネット上のユーザー保護について、いずれも先進的な取り組みを行っている。(中略)今、提示されている広範な法案は、不必要で曖昧な規制の網をかけるものだ」などと批判の声明を出した。
さらに、クリスチャン・サイエンス・モニターによると、連邦取引委員会のコミッショナー、ジュリー・ブリルさんは、今の草案では、データブローカーなどの業者への抜け穴があるとし、「消費者プライバシー権利章典の中に、消費者保護をきちんと位置づける必要がある」と述べたという。
●EU規則案の流出
米消費者団体などがオバマ大統領への書簡を公表したのと同じ3月3日、EUでも動きがあった。
2012年1月に欧州委員会が提案し、プライバシー法制の大幅改正となる「個人データ保護規則」の、現時点での修正案とされるものが、ネットで暴露されたのだ。
EUのプライバシー保護の枠組みとしては、1995年制定の「個人データ保護指令」がある。これは、EUの加盟各国が、この指令に基づいて法整備を行うというガイドラインのようなものだ。
これに対して「個人データ保護規則」は、ビッグデータ時代に対応する、EUの統一法として審議が続いてきた。
2014年3月には欧州議会本会議で可決。現在は、閣僚理事会での承認に向けた作業が行われている。
その審議過程の修正案を、ネットの人権擁護団体の欧州デジタルライツ(EDRi)、アクセス、プライバシー・インターナショナル、パノプティコン財団が共同で暴露。「規則案が〝抜け殻〟にされている」と糾弾したのだ。
EDRiなどによれば、閣僚理事会での修正案では、「企業が〝正当な利益(レジティメット・インタレスト)〟の範囲内と判断すれば、データ利用が可能になってしまう」と言う。
つまり、個人データを集める際の、目的の範囲内に利用を制限するという、プライバシー保護の大原則が骨抜きになっている、と指摘。
さらに、個人(データ主体)による、自分に関するデータへのアクセス権とデータの透明性を規定した条文が、修正案では丸ごと削除されている、などと指摘している。
ウォールストリート・ジャーナルによると、規制緩和に向けて、ドイツの企業などがロビー活動に動いているようだ。
●日本の位置
日本はどうか。
2013年9月から1年以上にわたり、IT総合戦略本部の有識者会議「パーソナルデータに関する検討会」で、現行の個人情報保護法の改正を議論してきて、昨年6月に改正大綱、12月に改正案骨子を提示。
改正のポイントの一つであった「個人情報」の定義については、「指紋データ、顔認識データ」「携帯電話番号、旅券番号、運転免許証番号」なども「個人識別符号」として、「個人情報であることを明確化」することで決着したようだ。
一方で、ホームページなどで告知し、本人が事後的に利用拒否をできる(オプトアウト)の手段を用意すれば、本人同意なしに利用目的を変更できる、としていた「利用目的の制限の緩和」は、「OECD プライバシーガイドライン に適合しない」との指摘もあり、見送られたようだ。
ただ、現行法では「利用目的を変更する場合には、変更前の利用目的と[相当の]関連性を有すると合理的に認められる範囲を超えて行ってはならない」としている「利用目的の特定」について、改正案では「相当の」の3文字を削り、変更可能な利用目的の範囲を〝広げる〟内容になっている。
ただ総体として、いわゆる「税と社会保障の共通番号(マイナンバー)」の監督機関である三条委員会、特定個人情報保護委員会を改組し、日本版プライバシー・コミッショナーである「個人情報保護委員会」を設立すること以外、何がどう変わるのか、変わらないのか、門外漢にはさっぱりわからない。
JR東日本のスイカ乗降履歴販売問題を受けて、「匿名加工情報」の取り扱い規定があったり、ベネッセの顧客情報大量漏洩事件を受けて、「トレーサビリティ確保のための記録義務規定」や「個人情報データベース提供罪」ができたりと、〝絆創膏〟的な規定が目につく。
取り扱う個人情報が5000件以下の小規模事業者も新たに法規制の対象となるが、それがどれほどのインパクトを持つのかもよくわからない。
何より、「個人識別符号」の中身は政令にゆだね、「匿名加工情報」の基準についても個人情報保護委員会の「規則」にゆだね、とキモの部分はすべて先送りになっている。
●ガラパゴスとプライバシー
スノーデン事件以降、ごたついているように見えるEUと米国だが、個人データの移転を認める「セーフハーバー協定」の枠組みが壊れたわけではない。
米国の「消費者プライバシー権利章典」やEUの「個人データ保護規則」に異論が出ているといっても、「プライバシー外交」(堀部政男・一橋大名誉教授)から〝仲間外れ〟の状態にある日本とは、別次元の話だろう。
この先、プライバシー外交の〝仲間外れ〟から、さらにプライバシー政策の〝ガラパゴス〟へと、独自進化の隘路に入り込まないといいのだが。
(2015年3月9日「新聞紙学的」より転載)