/

米国「プライバシー権利章典」の衝撃 出遅れた日本

(経営コンサルタント クロサカタツヤ)

 米国ホワイトハウスが大統領名で「消費者プライバシー権利章典」の草案を2012年2月に公開。ネット上などにある様々なプライバシー情報を活用したビジネスの産業振興を狙う姿勢が、より鮮明になった。この権利章典は米国以外の企業や消費者にも大きな影響を及ぼしかねない。プライバシー情報の扱いに対照的な考え方を示す欧州は、米国との意見調整に乗り出し、3月に共同声明を発表。日本は出遅れた格好だ。通信・放送・ネット分野を中心に戦略立案や資本調達に関するコンサルティングを手がける企(くわだて)のクロサカタツヤ氏に、各国へのプライバシー権利章典の影響などを解説してもらった。(日経コミュニケーション編集部)

大統領名で打ち出した「消費者プライバシー権利章典」(A Consumer Privacy Bill of Rights)[注1]の草案は、プライバシービジネスの構造化を目指して米国が官民一体で打ち出したもの。この規制の枠組みは、影響範囲が海外にまで広がる可能性がある。

これは、プライバシーデータやビッグデータが大きな経済価値を生み出すとの期待が高まる中で、世界に大きなインパクトを与える一手となるかもしれない。日本の産業界や規制当局は、そのインパクトと影響を分析する必要がある。消費者保護の観点から、消費者自身も関心を持ち続けることが重要だ。

「消費者の判断で追跡拒否できる」が基本方針

まずは簡単に、消費者プライバシー権利章典草案の内容を読み解いてみよう。主な目的は、「ネット上のプライバシーデータの扱いについて、個人(消費者)の権利を確立すること」となっている(図1)。具体的に言うと、消費者が自身のプライバシー情報をコントロールできること、民間事業者(企業)によるプライバシー情報取り扱いの透明性が確保されること、データがセキュアに取り扱われることなどが、権利として確立されるべきだとしている。

図1 米国が2012年2月に大統領名で打ち出した「消費者プライバシー権利章典」(A Consumer Privacy Bill of Rights)の草案の骨子

なかでも注目すべきは、事業者によるネット上の追尾・追跡(トラッキング)を消費者が拒否できる「Do Not Track」(以下DNT)という概念を明確化し、権利章典の基本方針とした点だろう。

DNTについては、2010年頃から米連邦取引委員会(FTC)[注2]が、オンラインプライバシーに関する基本方針として掲げてきた。FTCは以前からネットに関係する事業者に対し、この方針に従うよう求めていた。例えば行動ターゲティング広告[注3]のためのユーザー行動の追跡を、消費者自身の判断で拒否(オプトアウト)できるサービス設計を強く推奨してきた。また消費者も、プライバシーデータの管理権限を自身が持てるよう、Webブラウザーにそうした機能が搭載されるべきだと主張してきた。

今回、権利章典の基本方針としてDNTの概念が採択されたことで、オンラインプライバシーに関して米国が「オプトアウトの徹底」を全体方針とすることが明示されたといってよい。これは一見すると消費者保護強化のように受け取れる。だが逆に、「消費者がオプトアウトを宣言しない限り」、プライバシーデータやビッグデータが極めて活発に利用されることが予想される。プライバシー関連ビジネスの産業振興を狙う米国の立場がより鮮明になったといえる。

[注1]原文はhttp://www.whitehouse.gov/sites/default/files/privacy-final.pdfで確認できる。
[注2]Federal Trade Commission。独占禁止法や消費者保護法を管轄する米国の政府機関。
[注3]ユーザーの行動や操作の履歴を分析し、それぞれのユーザーにマッチした広告を配信する手法。

プライバシービジネスの世界覇権狙う米国

政治によるトップダウンの後に、民間事業者が業界ルールとベストプラクティスで呼応する――。米国では、こうした方法で規制を具体化し、産業構造を官民一体でデザインすることが多い。幅広い領域でとられている手法であり、今回のようなプライバシー関連ビジネスも同じアプローチに基づく(図2)。

図2 米国が進めるプライバシー情報を扱ったビジネスの構造化

官民一体でデザインするアプローチでは、事業者が何らかのアライアンス(提携・協力体制)を形成しやすくなる。プライバシーデータやビッグデータ利用に関する共同規制[注4]を設けることになり、それに準拠できない事業者を市場から排除しやすい。そのうえ、残った事業者は政治(つまり民意)のお墨付きを得ることとなり、正当性をうたって事業を進められる。

足並みをそろえることでデファクトスタンダードとして位置付けられやすくなるというメリットもある。これが世界に先んじれば、米国発の規制が、世界市場でデファクトスタンダードとしての影響力を持つことになる。

今後、米国内では権利章典に沿った規制強化が進む。既に民主・共和両党から、同分野に関する法案が数多く議会に提出されている。そして、米国連邦政府が制定した法制度となれば、新興国を含め、多くの国がそれを参照する可能性が高い。

事業者のアライアンスによる共同規制は、その枠組みごと海外に輸出され、米国外に波及していくかもしれない。既に金融やヘルスケアといった分野では、このような枠組みごとの海外輸出の実績がある。米国発の規制に粛々と対応を迫られるケースが出てきかねない事態となっている。

アプリストアのプライバシー保護では主要6社が合意

米国では、今回の消費者プライバシー権利章典のほかにも、個人情報/プライバシー分野の施策が相次いで打ち出されている。一例が、ホワイトハウスが権利章典を発表する前日の2月22日に発表された、米カリフォルニア州の施策だ。

カリフォルニア州のカマラ・ハリス司法長官は、米国のモバイル関連主要企業6社と、モバイル・アプリストアにおけるプライバシー保護を強化することで合意したと発表した。この6社とは、米アップル、米グーグル、米アマゾン・ドット・コム、米ヒューレット・パッカード、米マイクロソフト、カナダのリサーチ・イン・モーション(RIM)である。

[注4]政府が枠組みを設定したり、監視・罰則権限を保持したりすることによって、柔軟な自主規制のメリットを生かしつつ、確実に目的を達成していく政策手法のこと。

6社との合意の対象は、各社のストアで販売するモバイルアプリと、アプリストアそのものの運営にまたがる。アプリおよびサービスを提供するコンテンツプロバイダー(アプリ開発者)に、カリフォルニア州で制定された「オンラインプライバシー保護法」(California Online Privacy Protection Act)[注5]を順守させるというものだ。コンテンツプロバイダーは、プライバシーポリシーを明示することや、収集する個人情報の形態や利用、共有の状況を、ダウンロード前に明示することを義務付けられる。

6社の合意は、カリフォルニア州の住民が利用するサービス全般を対象とする。つまりカリフォルニア州在住の顧客を有する限り、日本をはじめとした世界中のコンテンツプロバイダーに、その影響が及ぶことになる。

米国とは対照的な「事前同意」路線を進む欧州

規制を整備して、プライバシー関連ビジネスを進めやすい環境をいち早く整えようとする米国に対し、同じようなタイミングで欧州もプライバシー保護策に関するアクションを取り始めた。

欧州委員会は2012年1月末、現在の「EUデータ保護指令」[注6]の改訂版となる「EUデータ保護規則」(General Data Protection Regulation)の原案[注7]を公表した。ここでは米国が打ち出したオプトアウト路線とは対照的な、徹底したオプトイン(情報収集前の事前の同意取得)の強化によって規制を推し進めようとしている(図3)。

図3 EUが2012年1月に公表した「データ保護規則」(General Data Protection Regulation)の原案

この原案では、オプトインの原則を改めて明確にするとともに、個人情報保護に違反した場合には「全世界での年間売上高のうち最大で0.5%までを過料として科すべき」といった罰則規定の厳格化を提案している。

また同規則では、「忘却される権利」という新たな概念が示されている。忘却される権利とは、オプトアウトの徹底はもちろん、一定期間を経過したデータは事業者が自主的に消去すべきという概念である。

米国とEUの「対立」は政治レベルで決着か

実際のところ、EUデータ保護規則の制定にはハードルがあり、賛同を得られるかどうかは、まだ見通せない。例えば忘却される権利について、政府や企業に比べて個人の権利が強くなりすぎるため、産業振興や政策運営に支障を来すとの懸念が一部で示されている。

また欧州内で、プライバシー情報の利活用に積極的な英国から異論が出されることも予想される。

ただ、今回のデータ保護規則の原案からは「可能な限りリスクの芽は摘む」という欧州の姿勢が如実に表れたことは間違いない。

[注5]カリフォルニア州が定めた法律。個人を特定できる情報を収集する商用Webサイトやオンラインサービスの運営者に対し,プライバシーポリシーを明示的にユーザーに示すことを要求する。
[注6]1995年にEUが策定した個人情報の保護に関する指令のこと。EU域内で求められる個人情報保護の基準を定め、各国にこれに準じた立法を求めた。
[注7]原文はhttp://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdfで確認できる。

プライバシー侵害の芽を摘もうとオプトインを重視する欧州と、産業振興をもくろむオプトアウト重視の米国。両者はいずれも同じ消費者保護を指向しているものの、思想的には対極をなしている(図4)。

図4 米国と欧州のプライバシー規制の対立構図

ただし、こうした現状を踏まえ、米国とEUは3月19日、「両方のアプローチを尊重する」という共同声明を発表した。プライバシー侵害の共同監視などについても言及している。対立の根本的な解消は容易ではないが、過去には「セーフハーバー原則」[注8]として政治レベルで決着させた例がある。3月19日の共同声明でもセーフハーバー原則はさらなる相互運用を進めるのに有効だとしている。

周回遅れの日本の対応

問題は、今の日本はこの駆け引きに参加すらできない可能性があること。日本では政権トップの現状認識も含め、この議論について欧米いずれと比べても周回遅れの状況にある。

いま何が争点になっているのか、それと産業構造がどう結び付いているのか、そこにどんな経済的価値が存在するのか。政権中枢レベルで理解できている人は、筆者が知る限り残念ながらほとんどいない。

こうした停滞は、日本企業のグローバル化にも障害になってきている。日本はコミッショナー制度を有していないため、プライバシーコミッショナー会議[注9]にも正式参加できていない。日本が遅々とした対応に甘んじている間に、東欧の小国にさえも先を越されるほどの状況になっている。この事実は、日本の国際競争力の弱さを端的に示すものであり、深刻な事象として受け止めなければならない。

今からにわかにアクションをとることもできず、現実的な対応としては、当面は欧米の動きを注視するよりほかはない。特に米国発の情報通信サービスは、Android(アンドロイド)を含め既に日常に広く深く浸透しており、影響は大きい。

日本の社会と市場のことなら、そこに暮らす我々にとって何が心地よい状態なのか、ほかならぬ我々自身が決めなければならない。消費者を保護するうえでは、事業者や専門家はもちろん、消費者自身が関心を持ち続けることが重要になる。

[注8]EUと米国商務省との間で結ばれた協定のこと。米国企業はEUデータ保護指令の基準を満たす対策をとっていることを米国商務省に申告することで、EUデータ保護指令順守とみなされ、EU域内でのデータ利用が可能になる。
[注9]プライバシーに関わる問題を集め、どのように対応すべきか判断する第三者機関のこと。多くの国や地域でプライバシーコミッショナーが存在し、国際会議などには、プライバシーコミッショナーが代表となって出席するケースが多い。
クロサカ タツヤ
 企(くわだて)代表取締役。1975年生まれ。慶應義塾大学・大学院(政策・メディア研究科)修了。三菱総合研究所を経て、2007年に独立。現在は戦略立案や資本調達に関するコンサルティング、政府系プロジェクトの支援などに携わる。

[日経コミュニケーション 2012年4月号の記事を基に再構成]

すべての記事が読み放題
有料会員が初回1カ月無料

セレクション

トレンドウオッチ

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
新規会員登録 (無料)ログイン