プライバシー保護の原則になるか FTCの報告書公開
米連邦取引委員会(FTC)がオンラインプライバシーの保護に関する新たなガイドラインを発表した。1年以上を費やしてまとめた報告書で、対象範囲を、モバイル、データ仲介のブローカーなど多方面に拡大し、議会に新しい法律の制定を求めている。これに対し、電子フロンティア財団(EFF)などのプライバシー保護団体は一定の評価を示しているが、「インターネット経済を理解していない」との批判も一部から出ている。
■開発段階からプライバシー保護を
最終報告書の名称は「Protecting Consumer Privacy in an Era of Rapid Change: Recommendations For Businesses and Policymakers」で、112ページに及ぶボリュームがある。2010年12月に発表したプライバシー保護についての枠組みを基に、プライバシー権利に関するコンセプト、商務省のレポートなどを反映させた。
中核は、(1)製品やサービスの開発段階からプライバシー保護を組み込む、(2)消費者にわかりやすい形で選択肢を提供する、(3)透明性――の3つの原則だ。(1)は後付けのプライバシーではなく、製品が出来上がるまでの全ステップで、データ収集や維持に関する制限を設けるなどの対策を入れるという内容だ。
(2)は、消費者自らが、どのデータを誰と共有するかを決定できるようにするものだ。先にまとめた枠組みにも盛り込まれていたが、既に「Do Not Track」(追跡拒否)の導入などWebブラウザベンダーによる自主的な実装が進んでいると評価している。
一方で、枠組みに対する企業や団体からの意見を反映。制限の対象となる企業を、年間5000人以上の個人データを集める企業や組織に限定するなどの変更も行った。
■「Do Not Track」からモバイルやデータブローカーまでを網羅
FTCはメインのアクション項目として、(1)「Do Not Track」、(2)モバイル、(3)データブローカー、(4)ISP、OSやブラウザベンダー、SNSなどのプラットフォームプロバイダー、(5)強制力のある自己規制規範―――の5つを挙げている。
(1)の「Do Not Track」はブラウザのHTTPリクエストのヘッダに特有のパラメーターを付加して、広告企業による個人情報追跡を消費者が拒否できる仕組みだ。「Firefox」「Internet Explorer」「Google Chrome」など主要ブラウザが実装しており、Google、Yahoo!、Microsoftなどのオンライン広告側も対応を明らかにしている。FTCは産業界の自主的な取り組みを評価し、「2012年中に使いやすく、効果的なDo Not Trackオプションが提供されるだろう」と述べている。
(2)のモバイルについては、将来議論が進む分野と位置づけている。モバイルでサービスを提供する企業に対し、情報開示を含むプライバシー保護を改善するよう求めた。今後、ワークショップなどを通じて、小さな画面でどうやって開示するかを探る意向だ。
(3)のデータブローカーは消費者の個人情報を収集、保存・蓄積、販売する事業者で、ChoisePoint、LexisNexisなどの企業がある。こうした事業者には、透明性のある活動を呼びかけている。具体的には、Webサイトを立てて、どのように個人情報を収集・利用しているのかなど自分たちの活動を消費者にわかりやすく説明するよう求めている。
(5)はこのガイドラインが及ぼす影響にかかわるものだ。ガイドラインは、オンライン広告企業、検索エンジン、ソーシャルネットワークサービス、ブラウザベンダー、OSベンダー、ISPなどを対象とするが、FTCには規制の権限はない。FTCは今後、商務省や関係者と協業して業界向けの行動規範を作成してゆく。この行動規範に従うとしながら、順守できなかった企業に調査介入などの可能性が出てくる。
FTCは、企業に対してはガイドラインの自主的な順守を呼びかけ、議会に対しては法制化を促している。
■意外に低い消費者の関心
ガイドラインに対する関係者の反応はどうだろう。
支持派には消費者保護団体が多い。eWeekなどによると、Consumer WatchdogはDo Not Track、データ仲介業者などの取り組みについて称賛した。
EFFも「ユーザーを中心に据えた柔軟性のあるプライバシー報告書となった点に満足している」としたが、この指針が現実世界にどのぐらいの効力があるのかを注意深く見守る必要があるとしている。
例えば、「Do Not Track」はW3C(World Wide Web Consortium)で標準化が進められているが、Digital Advertising Allianceなどの業界団体の影響力をどれだけ最小化できるかに疑問を投げかける。これは、FTCで委員を務めるJ. Thomas Rosch氏も表明している懸念だ。また、データ仲介についても、Webサイトを設けての透明性に楽観できないとの見解を示し、「現時点でオプトアウトを提供していない業者もいる」などと指摘している。
反対意見は、PC Worldがいくつかの声を拾っている。その1人、シンクタンクInformation Technology and Innovation Foundation(ITIF)のセキュリティ/プライバシー専門家、Daniel Castro氏は「FTCはインターネット経済の根本を理解していない」と厳しく批判する。
Castro氏は、規制がインターネットで得られる効率性やイノベーションの制限につながるとし、「消費者はプライバシーを保護する選択肢を与えられるべきだ。しかし、トレードオフとコストも理解しておくべきだ」と述べている。例えば、「Do Not Track」によって適切な広告が表示されなくなること、顧客データを利用した新しいイノベーションも生まれにくくなること、が危惧されるとしている。
セキュリティ分析調査のPonemon InstituteのLarry Ponemon氏は、消費者は自分の好みに関する情報を開示することを、あまり厭わないと主張する。Ponemon Instituteの年次調査によると、インターネットサービスの利用にあたってプライバシー問題を真剣に心配している消費者は10%にも満たない。65%は、気にはなるが、だからといって使い方を変えようとは思わない程度で、まったく気にしない人が25%という。