米国「プライバシー権利章典」の衝撃　出遅れた日本

大統領名で打ち出した「消費者プライバシー権利章典」（A Consumer Privacy Bill of Rights）［注1］の草案は、プライバシービジネスの構造化を目指して米国が官民一体で打ち出したもの。この規制の枠組みは、影響範囲が海外にまで広がる可能性がある。

これは、プライバシーデータやビッグデータが大きな経済価値を生み出すとの期待が高まる中で、世界に大きなインパクトを与える一手となるかもしれない。日本の産業界や規制当局は、そのインパクトと影響を分析する必要がある。消費者保護の観点から、消費者自身も関心を持ち続けることが重要だ。

まずは簡単に、消費者プライバシー権利章典草案の内容を読み解いてみよう。主な目的は、「ネット上のプライバシーデータの扱いについて、個人（消費者）の権利を確立すること」となっている（図1）。具体的に言うと、消費者が自身のプライバシー情報をコントロールできること、民間事業者（企業）によるプライバシー情報取り扱いの透明性が確保されること、データがセキュアに取り扱われることなどが、権利として確立されるべきだとしている。

なかでも注目すべきは、事業者によるネット上の追尾・追跡（トラッキング）を消費者が拒否できる「Do Not Track」（以下DNT）という概念を明確化し、権利章典の基本方針とした点だろう。

DNTについては、2010年頃から米連邦取引委員会（FTC）［注2］が、オンラインプライバシーに関する基本方針として掲げてきた。FTCは以前からネットに関係する事業者に対し、この方針に従うよう求めていた。例えば行動ターゲティング広告［注3］のためのユーザー行動の追跡を、消費者自身の判断で拒否（オプトアウト）できるサービス設計を強く推奨してきた。また消費者も、プライバシーデータの管理権限を自身が持てるよう、Webブラウザーにそうした機能が搭載されるべきだと主張してきた。

今回、権利章典の基本方針としてDNTの概念が採択されたことで、オンラインプライバシーに関して米国が「オプトアウトの徹底」を全体方針とすることが明示されたといってよい。これは一見すると消費者保護強化のように受け取れる。だが逆に、「消費者がオプトアウトを宣言しない限り」、プライバシーデータやビッグデータが極めて活発に利用されることが予想される。プライバシー関連ビジネスの産業振興を狙う米国の立場がより鮮明になったといえる。

政治によるトップダウンの後に、民間事業者が業界ルールとベストプラクティスで呼応する――。米国では、こうした方法で規制を具体化し、産業構造を官民一体でデザインすることが多い。幅広い領域でとられている手法であり、今回のようなプライバシー関連ビジネスも同じアプローチに基づく（図2）。

官民一体でデザインするアプローチでは、事業者が何らかのアライアンス（提携・協力体制）を形成しやすくなる。プライバシーデータやビッグデータ利用に関する共同規制［注4］を設けることになり、それに準拠できない事業者を市場から排除しやすい。そのうえ、残った事業者は政治（つまり民意）のお墨付きを得ることとなり、正当性をうたって事業を進められる。

足並みをそろえることでデファクトスタンダードとして位置付けられやすくなるというメリットもある。これが世界に先んじれば、米国発の規制が、世界市場でデファクトスタンダードとしての影響力を持つことになる。

今後、米国内では権利章典に沿った規制強化が進む。既に民主・共和両党から、同分野に関する法案が数多く議会に提出されている。そして、米国連邦政府が制定した法制度となれば、新興国を含め、多くの国がそれを参照する可能性が高い。

事業者のアライアンスによる共同規制は、その枠組みごと海外に輸出され、米国外に波及していくかもしれない。既に金融やヘルスケアといった分野では、このような枠組みごとの海外輸出の実績がある。米国発の規制に粛々と対応を迫られるケースが出てきかねない事態となっている。

米国では、今回の消費者プライバシー権利章典のほかにも、個人情報/プライバシー分野の施策が相次いで打ち出されている。一例が、ホワイトハウスが権利章典を発表する前日の2月22日に発表された、米カリフォルニア州の施策だ。

カリフォルニア州のカマラ・ハリス司法長官は、米国のモバイル関連主要企業6社と、モバイル・アプリストアにおけるプライバシー保護を強化することで合意したと発表した。この6社とは、米アップル、米グーグル、米アマゾン・ドット・コム、米ヒューレット・パッカード、米マイクロソフト、カナダのリサーチ・イン・モーション（RIM）である。

6社との合意の対象は、各社のストアで販売するモバイルアプリと、アプリストアそのものの運営にまたがる。アプリおよびサービスを提供するコンテンツプロバイダー（アプリ開発者）に、カリフォルニア州で制定された「オンラインプライバシー保護法」（California Online Privacy Protection Act）［注5］を順守させるというものだ。コンテンツプロバイダーは、プライバシーポリシーを明示することや、収集する個人情報の形態や利用、共有の状況を、ダウンロード前に明示することを義務付けられる。

6社の合意は、カリフォルニア州の住民が利用するサービス全般を対象とする。つまりカリフォルニア州在住の顧客を有する限り、日本をはじめとした世界中のコンテンツプロバイダーに、その影響が及ぶことになる。

規制を整備して、プライバシー関連ビジネスを進めやすい環境をいち早く整えようとする米国に対し、同じようなタイミングで欧州もプライバシー保護策に関するアクションを取り始めた。

欧州委員会は2012年1月末、現在の「EUデータ保護指令」［注6］の改訂版となる「EUデータ保護規則」（General Data Protection Regulation）の原案［注7］を公表した。ここでは米国が打ち出したオプトアウト路線とは対照的な、徹底したオプトイン（情報収集前の事前の同意取得）の強化によって規制を推し進めようとしている（図3）。

この原案では、オプトインの原則を改めて明確にするとともに、個人情報保護に違反した場合には「全世界での年間売上高のうち最大で0.5%までを過料として科すべき」といった罰則規定の厳格化を提案している。

また同規則では、「忘却される権利」という新たな概念が示されている。忘却される権利とは、オプトアウトの徹底はもちろん、一定期間を経過したデータは事業者が自主的に消去すべきという概念である。

実際のところ、EUデータ保護規則の制定にはハードルがあり、賛同を得られるかどうかは、まだ見通せない。例えば忘却される権利について、政府や企業に比べて個人の権利が強くなりすぎるため、産業振興や政策運営に支障を来すとの懸念が一部で示されている。

また欧州内で、プライバシー情報の利活用に積極的な英国から異論が出されることも予想される。

ただ、今回のデータ保護規則の原案からは「可能な限りリスクの芽は摘む」という欧州の姿勢が如実に表れたことは間違いない。

プライバシー侵害の芽を摘もうとオプトインを重視する欧州と、産業振興をもくろむオプトアウト重視の米国。両者はいずれも同じ消費者保護を指向しているものの、思想的には対極をなしている（図4）。

ただし、こうした現状を踏まえ、米国とEUは3月19日、「両方のアプローチを尊重する」という共同声明を発表した。プライバシー侵害の共同監視などについても言及している。対立の根本的な解消は容易ではないが、過去には「セーフハーバー原則」［注8］として政治レベルで決着させた例がある。3月19日の共同声明でもセーフハーバー原則はさらなる相互運用を進めるのに有効だとしている。

問題は、今の日本はこの駆け引きに参加すらできない可能性があること。日本では政権トップの現状認識も含め、この議論について欧米いずれと比べても周回遅れの状況にある。

いま何が争点になっているのか、それと産業構造がどう結び付いているのか、そこにどんな経済的価値が存在するのか。政権中枢レベルで理解できている人は、筆者が知る限り残念ながらほとんどいない。

こうした停滞は、日本企業のグローバル化にも障害になってきている。日本はコミッショナー制度を有していないため、プライバシーコミッショナー会議［注9］にも正式参加できていない。日本が遅々とした対応に甘んじている間に、東欧の小国にさえも先を越されるほどの状況になっている。この事実は、日本の国際競争力の弱さを端的に示すものであり、深刻な事象として受け止めなければならない。

今からにわかにアクションをとることもできず、現実的な対応としては、当面は欧米の動きを注視するよりほかはない。特に米国発の情報通信サービスは、Android（アンドロイド）を含め既に日常に広く深く浸透しており、影響は大きい。

日本の社会と市場のことなら、そこに暮らす我々にとって何が心地よい状態なのか、ほかならぬ我々自身が決めなければならない。消費者を保護するうえでは、事業者や専門家はもちろん、消費者自身が関心を持ち続けることが重要になる。

[日経コミュニケーション 2012年4月号の記事を基に再構成]