インターネット上のプライバシー保護に関する各国の現状
財団法人 ニューメディア開発協会
2000年11月版(2001年10月リンク情報更新)
1.欧州の現状
1.1EU
(1)プライバシー保護の沿革
・ EUは個人情報の漏洩などに対する不安が根強く、インターネット上の個人情報を保護するための法規制を継続的に主張している。
・ 95年10月に「個人データ処理に係る個人情報の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」が公示された。
・ 97年12月に「通信部門における個人データ処理及びプライバシー保護に関する欧州議会及び理事会の指令」が公示された。
・ 98年3月には「情報ハイウェイにおける個人データ処理及び収集に係る個人情報保護のためのガイドライン案」が作成されている。
・ 98年10月24日からは95年10月公示の通称「EUデータ保護指令」が施行されている。「EUデータ保護指令(EU指令)」は第25条において、個人データに関する十分なレベルの保護が行われていない第三国への個人データの移動を禁じている。
・スウェーデンでは、米アメリカン航空に対してスウェーデン国内で収集した搭乗者の食事メニュー、健康状態を含む個人情報を米国内の予約センターに移転することを禁じている。(日本経済新聞98年11月30日朝刊より)
・
欧州評議会
は99年3月、インターネット利用者と、インターネット・サービス・プロバイダーに対し、インターネット上の個人情報保護に関する提言を発表した。
・ 99年7月29日、
欧州委員会
は、オーストリア、デンマーク、フランス、ドイツ、アイルランド、ルクセンブルグ、オランダ、スペイン、および英国の9カ国がEU指令を遵守するための法律をまだ施行していないことに対して公式に警告を発した。これら9カ国はデータ保護法令自体は持つものの、EU指令との整合性は保たれていない。デンマークとイギリスでは新たな法律が施行されているが、EU指令に適合するためには更なる法規制が必要である。フランスとドイツを含むその他の国は目下、法制定の段階にある。もし、これらの9カ国が2ヶ月以内に満足な対応をしない場合には、欧州裁判所が罰金あるいはその他の罰則を課すかもしれない。
・ 99年9月8日、欧州委員会とWorld Wide Web Consortium(W3C)はブリュッセルでミーティングを行い、W3Cが開発を進めている「プライバシー情報取り扱いに対する個人の選好を支持する技術基盤(P3P)」がEU指令の文脈で適用可能であるかどうかを検討した。
・ 2000年1月、欧州委員会は、フランス、ルクセンブルグ、オランダ、ドイツ、アイルランドの5国に対し、国内法に「EUデータ保護指令」を十分に反映させていないとして、欧州裁判所に提訴することを発表した。
(2)
最近の動き
・ 2000年7月、欧州議会は欧米間のSafe Harbor協定に追加条件を求める旨の、強制力のない決定を承認した。この決定は、「Safe Harborシステムのすべての構成要件が運用可能になり、米国の当局が欧州委員会にこの条件が満たされたことを通知するまで」Safe Harbor協定の承認を保留するというものである。さらに、欧州議会はSafe Harbor原則に対して、以下の4点を要求している。
(1)同原則の違反に関する紛争処理機関に請願を行う、個人の権利を認めること。
(2)非合法に入手したり処理されたりした個人データを削除する義務、および同原則の違反によって生じる損害を賠償する義務を企業に課すこと。
(3)そのような個人データを削除したり、賠償金を受けたりするために必要な手続きを明確にすること。
(4)欧州委員会が同原則の運用に関連した問題を検討するために、準備的な監査期間を設けること。
ただし、欧州委員会は現行のSafe Harbor協定を支持する立場を維持している。
1.2 イギリス
(1)プライバシー保護の沿革
プライバシーに関する法律
・ 98年7月に議会によって「データ保護法1998」が承認された。同法は、84年の旧法を更新し、イギリスのデータ保護規制をEUデータ保護指令の要求と整合させるものである。「データ保護法1998」は、いくつかの例外はあるが、公共部門と民間部門とを等しく規制している。同法は、第一に個人情報の電子的な処理に関するものであるが、手動で扱われる個人データ登録にも適用される。
・ データの管理者は2001年末までに、自動化された処理システムが完全に「データ保護法1998」を遵守するようにしなければならない。
・ 「データ保護法1998」のもとでは、個人データを処理する団体はデータ保護コミッショナーのもとに登録しなければならない。また、データ収集と処理の目的を明確にし、必要なデータのみを処理し、全てのデータを更新しなければならず、個人情報を必要以上に長く保持してはならない。
・ 「データ保護法1998」を実施する独立機関として、データ保護コミッショナー事務局が設立されている。データ保護コミッショナーは、個人データを処理する団体から通知を受けて登録簿に登録し、その登録簿を維持する。また、登録簿の登録内容に含まれる情報を、誰でも閲覧できるようにする。旧法のもとでは、225000の組織および企業が登録していた。
・
イギリスにはプライバシー条項を含んだその他の多くの法律がある。とりわけ医療記録に関する「医療報告へのアクセス法(Access to Medical Reports Act)」および「健康記録へのアクセス法(Access to Health Records Act)」と、消費者信用情報に関する「消費者信用法(Consumer Credit Act)」が重要である。
・ 98年11月、イギリス政府は「人権法」を採択した。同法は「人権と基本的自由を保護するためのヨーロッパ協定」をイギリスの法律に組み入れ、プライバシーの権利、言論の自由、および他の基本的人権を規定している。同法は2000年の10月から施行される予定である。
・ 99年6月、イギリスのデータ保護コミッショナーは、EU指令およびEUの97年の「通信部門における個人データ処理及びプライバシー保護に関する欧州議会及び理事会の指令」(EU通信データ指令)に対して英国企業が準備することを支援するための2つのドキュメントを発表した。1つはイギリスの「データ保護法1998」のサマリーであり、もう1つはEU通信データ指令の対象となる企業のための暫定的なガイドラインである。
・ 99年7月、イギリスの内務省は「データ保護法1998」の施行を2000年3月1日からと発表した。このアナウンスメントに加えて、内務省は同法とともに施行される補足的な法令のドラフトを発表した。
・ 2000年3月1日、「データ保護法1998」が施行された。同法により、イギリスは「EUデータ保護指令」の要求事項を遵守したことになる。
民間部門の自主規制関連
・ 99年3月、米国公認会計士協会(AICPA)と、英国、ウェールズ、スコットランド、アイルランドの公認会計士協会とは、CPAウェブトラストのシール・プログラムをこれらの国々のオンライン企業でも利用できるようにすることで合意に達した。
国際協定
・ イギリスは欧州評議会のメンバーであり、「個人データの自動処理に関する個人の保護のための協定」と、「人権と基本的自由を保護するためのヨーロッパ協定」に調印し批准している。また、イギリスはOECDのメンバーであり、OECDの「プライバシー保護と個人データの国際流通についてのガイドライン」を国内法にて反映させている。
(2)最近の動き
・ 特になし
1.3 フランス
(1)プライバシー保護の沿革
憲法の規定
・フランス憲法では、明示的にはプライバシーの権利は保護されていない。憲法裁判所は94年に、プライバシーの権利は憲法に内在的に含まれていると裁定している。
プライバシーに関する法律
・ 77年12月に、「データ処理、データファイルおよび個人の自由に関する法」が議会によって採択され、78年1月に公布された。同法は全般的に、公共部門と民間部門とを等しく規制している。
・
「データ処理、データファイルおよび個人の自由に関する法」のもとでは、公共団体による処理や医療調査のための処理に関連した多くの場合に、個人データを処理する団体は登録し、許可を得なければならない。また、情報収集の理由について個人に通知しなければならず、個人は情報処理を差し止めることができる。また、個人はアクセス権を持ち、データの修正を要求する権利を持つ。同法はEU指令と整合的にするために、現在改正中である。
・ 情報処理と諸自由のための国家委員会(Commission Nationale de L'informatique et des Libertes,CNIL)は、「データ処理、データファイルおよび個人の自由に関する法」の遵守を監督する独立機関である。同委員会はデータ処理に関わる事柄について忠告と報告をし、情報へのアクセスを保証している。また、同委員会は政府や裁判所に対する調査および監視機関となっている。同委員会は78年以来、580000件のデータ処理を登録している。
・ 99年1月19日、情報社会に関する閣僚委員会(CISI)は、プライバシー保護のための法制度のフレームワークを発表した。同フレームワークの下で、「データ処理、データファイルおよび個人の自由に関する法」はEU指令と整合的に修正され、CNIL
の役割は強化される。
国際協定
・ フランスは欧州評議会のメンバーであり、「個人データの自動処理に関する個人の保護のための協定」と、「人権と基本的自由を保護するためのヨーロッパ協定」に調印し批准している。また、フランスはOECDのメンバーであり、OECDの「プライバシー保護と個人データの国際流通についてのガイドライン」を国内法にて反映させている。
(2)最近の動き
・ 特になし
1.4 ドイツ
(1)プライバシー保護の沿革
憲法の規定
・ドイツの憲法にはデータに関連したプライバシーの権利は含まれていない。プライバシーの権利を導入しようとする試みは、東西ドイツ統一以来議論されている。なお、83年に連邦憲法裁判所は、国勢調査法に対する訴訟において、公共の利益によって制限されているものの、個人が「情報を自己決定する権利」を公式に認めている。
プライバシーに関する法律
・ドイツでは、ヘッセン州において70年に世界初のデータ保護法が採択された。
・77年1月には「連邦データ保護法」が採択され、主な条項は78年1月に発効している。同法は91年に新しいデータ保護法に改正され、連邦憲法裁判所の司法的意見等が取り入れられた。
・「連邦データ保護法」はかなり厳格な法であり、連邦および州の公共機関によって収集された個人データの収集、処理および利用をカバーしている。また民間組織についても、商用および職業的目的におけるデータ処理と利用の場合に限り、個人データの収集、処理および利用をカバーしている。EU指令と整合的にするために、同法の変更を現在討論中である。また、全ての州には固有のデータ保護規定があり、州政府の公共部門をカバーしている。
・連邦データ保護委員会は「連邦データ保護法」を監督する責任を負っている。また、各州には州のデータ保護法を実施するための委員会がある。州のデータ保護法によって定められた権威者(通常は州データ保護コミッショナー)によって民間部門の監督がなされている。
・ドイツには通信のプライバシーに関する多くの法がある。96年の「電気通信業者データ保護法令」は、電気通信情報のプライバシーを保護するものである。97年の「情報および通信サービス法」はコンピュータネットワークにおいて利用される情報を保護している。同法はまた、デジタル署名に関しても規定している。
政府の動き
・ 98年11月、ドイツの5つの州政府のデータ・プライバシー機関は、ドイツ連邦政府に、データとプライバシーに関する連邦法をさらに強化するように要求している。
国際協定
・ ドイツは
欧州評議会
のメンバーであり、「個人データの自動処理に関する個人の保護のための協定」と、「人権と基本的自由を保護するためのヨーロッパ協定」に調印し批准している。また、ドイツはOECD
のメンバーであり、OECDの「プライバシー保護と個人データの国際流通についてのガイドライン」を国内法にて反映させている。
(2)最近の動き
・ 特になし
2.北米の現状
2.1 アメリカ
(1)プライバシー保護の沿革
憲法の規定
・米国の憲法には明示的なプライバシーの権利はない。
プライバシーに関する法律
・米国には包括的なプライバシー保護法はない。74年の「プライバシー法」は政府機関によって所持された記録を保護するものであり、政府機関は基本的かつ公正な情報取り扱いを行わなければならない。同法には個人情報が収集されたときの目的と整合的な「日常的な利用(routine
use)」であれば個人情報の開示を認める条項が含まれており、この条項の行政解釈によって、同法の効力はかなり弱められている。ソーシャル・セキュリティ・ナンバー(SSN)の利用の制限も、近年では多くの目的の名のもとに縮小されている。
・米国では包括的なプライバシー保護法がない代わり、セグメント方式として、部門ごとにプライバシーを保護する形をとっている。金融記録、信用報告、ビデオレンタル、有線テレビ、教育記録、自動車登録、および通話記録に関する法律がある(それぞれ、「金融プライバシー権利法(Right to Financial Privacy Act)」、「公正信用報告法(Fair Cresit Reporting Act)」、「ビデオプライバシー保護法(Video Privacy Protection Act)」、「有線プライバシー保護法(Cable Privacy Protection Act)」、「家庭教育の権利とプライバシーに関する法(Family Educational Rights and Privacy Act)」、「運転者プライバシー保護法(Drivers Privacy Protection Act)」、「電話利用者保護法(Telephone Consumer Protection Act)」)。また、「情報の自由法(Freedom of Information Act)」が66年に制定されている。
・州レベルでは、部門別の多様な法律が存在し、50州中48の州において、法律中でプライバシーの侵害に対する市民の行動権が認められている。
・米国にはプライバシー監督機関は存在しない。FTC(連邦取引委員会)は、消費者信用情報と公正な取引活動を保護する法律を監督し、実施する権限を持っている。FTCの一人の委員によって、信用事務所大手であるTransUnionがダイレクトマーケティングの目的で信用報告から得た個人情報を流用する違法行為が発見されている。
・ 98年6月4日、FTCは「オンラインプライバシーに関する議会への報告書」を提出した。同報告書はインターネット上における消費者のプライバシーを保護する手段として、自主規制がどのぐらい効果的であるかということを包括的に分析したものである。同報告書にまとめられた98年3月の調査結果は、オンラインプライバシーに関する業界の自主規制がほとんど成果を上げていないことを明るみに出した。FTCはこの調査結果を受けて、同報告書の中で子供のオンラインプライバシーを保護するための法規制を議会に勧告した。
・ FTCは98年7月に、下院の小委員会への証言の中で、オンラインプライバシー一般に関する立法モデルを提言した。その立法モデルは、産業界が自主規制のガイドラインを開発するためのインセンティブを提供し、また、個人情報を収集する商用サイトに対して4つの情報取り扱い上の原則を要求するものである。4つの情報取り扱い上の原則とは、「通知と認識」、「選択と同意」、「アクセスと参加」、「セキュリティと完全性」に関するものである。とりわけ、「選択と同意」に関する原則では、Webサイトは消費者に対して情報の利用方法に関して選択する権利を与えなければならないと規定されている。
・米国においては、民間部門をカバーするプライバシー法の導入について数年来、重要な討論がなされている。プライバシーの保護に関する100以上の法案が議会で係争中であり、それらの法案には遺伝子記録、医療記録、インターネットプライバシー、子供のプライバシー、およびその他に関する法律が含まれている。しかし、クリントン政権と民間部門の立場は、民間の自主規制で十分であり、子供のプライバシーと医療情報に関する法案を除き、新たな法律を制定すべきではないというものである。
・ 98年10月7日、個人ID情報の窃盗に対する罰則を著しく強化した法案(Bill on Identity Theft)が議会で可決された。
・ 98年10月21日に、子供から個人情報を収集・利用する際には事前に親の同意を得なければならないとする「児童オンラインプライバシー保護法(Child Online Privacy Protection Act)」が成立した。これはFTCの勧告を受けて法案化されていたものである。
・ 99年4月、FTCは「児童オンラインプライバシー保護法(COPPA)」を実施するためのドラフト・プロポーザルを発表した。
・ 99年10月20日、FTCは「児童オンラインプライバシー保護法(COPPA)」を実施するための規則を発表した。同規則は2000年4月21日から発効する。同規則は、初めの2年間に限り、子供のプライバシー侵害の恐れが大きい場合(第三者に個人情報が提供される場合など)を除いて、電子メールという簡易な親の同意手段でよいと定めている。ただし、それに加えて、親の身元を確認するような措置(「同意を承りました」という確認のメールを親に送付する、手紙や電話で親の同意を確認するなど)が取られなければならない。
・ 99年10月29日、クリントン大統領はオンラインにおける電子医療記録のプライバシーを保護する法案を提案した。
・ 2000年4月21日、「児童オンラインプライバシー保護法(COPPA)」が施行された。
政府の動き
・ 98年5月14日、ゴア副大統領はニューヨーク大学での講演において、ネット上の個人を保護するための「電子権利章典」の必要性を訴えた。ゴア副大統領は、医療記録のプライバシーを保護する努力の必要性を説き、また、各連邦機関は現行の法律を遵守していることを保証するプライバシーオフィサーを任命しなければならないと述べた。また、「米国民は自分の個人情報が開示されるかどうかを選択する権利を持つべきであり、自分の個人情報がどのように、いつ、どのくらい利用されるかを知る権利を持つべきであり、自分の個人情報を確認してそれが正確であるかどうかを知る権利を持つべきである」と述べている。
・ 98年8月、Geocitiesは利用者の個人情報を利用者の同意なしに第三者へ販売したかどで、FTCに提訴された。Geocitiesは「ユーザーの許可なく個人情報を第三者に提供することはいたしません」とWebサイト上で謳っているにもかかわらず、個人情報を売買していた。
・ 98年11月3日、Office of Thrift Supervisionは連邦政府機関として初めてプライバシー・ガイドラインを発表した。同ガイドラインは金融機関に、どのように消費者のプライバシーを保護するかについて、また「公正信用報告法」の遵守について忠告している。
・ 98年11月3日、米国商務省は、10月25日からのEU指令の施行を受けて、Safe Harbor原則のドラフトを発表した。このSafe Harbor原則は米国の多国籍企業にEU指令を遵守させるために考案されたものであり、米国はEUに対し、同原則を遵守すると宣言した企業は、EU指令第25条にある「十分な」レベルの個人データ保護を行っているとみなすことができると主張している。
・ FTCは従来、オンラインプライバシーに関する自主規制が実行可能であるかどうかの最終的な結論を98年12月末までに下すことにしていたが、そのデッドラインが99年3月に延長されることになった。FTCはOnline Privacy Allianceや、TRUSTeとBBBOnLineのプライバシーシールプログラムなどの業界の最近の努力を認めながらも、さらなる自主規制の強化が必要であるとし、企業グループに対し99年の1月までに自主規制メカニズムが広範に実施されることを証明するように圧力をかけていた。
・99年4月19日、米国商務省は個人情報の国際間の移動に関する米国とEU間の論争を解決する手段として、Safe Harbor原則の改訂版を発表した。同改訂版は、1998年11月に発表された旧ドラフトに対する不満や意見を反映している。米国の企業がsafe harbor原則を遵守することによる利益は、(1)欧州委員会の認識に従って、EUの全ての加盟国がsafe harbor原則を「十分な」レベルの個人情報保護とみなすこととなる。(2)個人データの国際間の移動に際して「十分な」レベルの個人情報保護を行わなかったとして欧州の市民から訴えられることはない。訴えられるのは、米国企業が宣言したプライバシー・ポリシーを守らなかった場合に限られる。(3)safe harbor原則を遵守する企業は、個人データの国際間移動に際していちいち許可を申請する必要がない。あるいはそのような申請は自動的に許可される。(4)企業は消費者からの苦情に対して迅速に対応する手段をもつことができる。(5)企業が同原則を実施するための猶予期間が設けられている。同原則の発表に伴って、商務省は、米国の企業が保持する個人情報に本人がアクセスするための手段や、国際間の個人データ移動に関する苦情を解決するための手段について調査したFAQドキュメントを発表している。同改訂版で挙げられている7つの原則とは、(1)通知、(2)選択、(3)データの開示、(4)セキュリティ、(5)データの完全性、(6)アクセス、(7)実施である。50以上の米国と欧州の消費者団体のパートナーシップであるTransatlantic Consumer Dialogueは同原則に対し、効果的な実施メカニズムと、違反した場合の補償が欠如しており、また消費者に「理不尽な」負荷をかけるとして批判している。
・ 99年5月、クリントン政権は議会に対し、金融情報のプライバシーを守り、銀行の積極的な販促活動から消費者を保護する手段を改善するように要請した。大統領はこの中で、関連会社間での個人の金融情報の共有を制限し、医療記録へのアクセスを制限し、アイデンティティ詐称を厳重に取り締まるように提言している。大統領は既存の法律の欠陥として、企業が関連会社間ではデリケートな個人情報を共有できることを指摘し、法律を改正すべきだとしている。
・ 99年5月時点では、米国とEUの代表は、6月21日の米国・EU首脳会議までに米国企業がEU指令を遵守する方法に関して合意に達するだろうとしていた。最も論争の的となっている問題は、米国の企業によって保持されている個人情報への欧州の消費者のアクセスが保証されるかどうかということと、業界の自主規制がどの程度の役割を果たすのかということである。EU指令の第29条で規定されたワーキング・パーティーは、意見書において、Safe Harbor原則の施行を監督する機関の権限がどの程度のものか明らかにするように米国側に要求している。
・ 99年6月、Office of Management and Budget(OMB)は覚書を発表し、省庁および連邦行政機関の長に対して、9月1日までに明確なプライバシー・ポリシーをWebサイト上に掲示するように指示した。
・ 米国商務省と欧州委員会は、ドイツのボンで99年6月21日に開催された米国・EU首脳会議において、米国企業がEU指令を遵守するための個人情報保護原則の導入へ向けた計画が記された報告書を提出した。両者は同報告書をもとに99年秋までに個人情報保護原則の詳細を決定することで合意した。EU指令に関する両者間の合意は、またも先送りされることとなった。
・ 99年7月13日、FTCは過去1年間の自主規制の進展をレビューする報告書「自主規制とオンライン上のプライバシー」において、インターネット上のプライバシーを規制する法律の制定を見合わせるように議会に勧告した。FTCは同報告書において、ジョージタウン大学のメアリー・カルナン教授が99年3月に実施した商用サイトに関する調査結果を引き合いに出しながら、オンライン企業のプライバシー保護に向けた努力について一定の評価を与え、「インターネット上の消費者プライバシーを保護するための最良の方法は効果的な自主規制であると考える。FTCは引き続き、プライバシー保護プログラムの開発と、その効果的な適用の仕組みの開発へ向けた取組みが継続されるように監視していきたい」と述べている。
カルナン教授の同調査においては361のWebサイトの個人情報取り扱いが調べられ、そのうちの93%のサイトが何らかの個人情報を収集しており、66%のサイトが個人情報取り扱いに関して何らかの表示を行っていることがわかった。また、44%のサイトがプライバシー・ポリシーの掲示を行っているが、FTCが掲げる4つの個人情報取り扱い原則((1)通知と認識、(2)選択と同意、(3)アクセスと参加、(4)セキュリティと完全性)を実行するサイトは10%にすぎなかった。
また、カルナン教授はトップ100サイトについても同様の調査を行っており、こちらの調査結果では、99%のサイトが何らかの個人情報を収集しており、93%のサイトが個人情報取り扱いに関して何らかの表示を行っていた。また、81%のサイトがプライバシー・ポリシーの掲示を行っているが、FTCが掲げる4つの個人情報取り扱い原則を実行するサイトは22%にすぎなかった。
・ 99年9月17日、米国の商務次官は年内、できれば12月の米国・EU首脳会議までに、個人情報保護原則に関してEUと合意に達したいとの見解を示した。この個人情報保護原則とは米国企業が欧州の消費者の個人情報を欧州外に移動できるようにするものである。EUは依然として欧州の消費者が米国の保有する自分の個人情報にアクセスできることを保証するように要求しているが、米国企業は実施のコストを理由に難色を見せている。また、EUは米国企業がEU指令に違反した場合、欧州の消費者が何らかの権限を持った機関を頼ってプライバシーの問題に対処できることを保証するように要求している。また、欧州委員会は、米国がEU指令に違反した場合、米国の国内法の下で連邦通信委員会(FCC)が自分で処理するように求める提言を行っている。一方、米国政府と米国企業は、欧州政府が米国政府が提案するSafe
Harbor原則を受け入れることを望んでいる。
・ 99年11月8日、FTCはオンラインプロファイリングに関する公開ワークショップを開催した。EPIC、Junkbuster、Privacy Journal、
、Privacy Times、CMEはFTCに対し、インターネット広告業者によるオンラインプロファイリング(ユーザーに関する情報の収集)を禁止するよう要請した。
・ 99年11月15日、米国商務省はSafe Harbor原則ドラフトの改訂版を発表した。
・ 99年12月3日、EU指令の第29条で規定されたワーキングパーティーは米国のSafe Harbor原則ドラフトの改訂版に対する意見を発表した。同ワーキンググループはSafe Harbor原則が、EU域内の現行の個人情報保護法と比較して不十分であることを指摘している。
・ 2000年3月に、一年以上に渡るEUと米国の交渉は、米国の提案するSafe Harbor原則について米国商務省と欧州委員会がSafe Harbor協定として同意する形で決着をつけている。同協定では、米国企業は(1)EUの規制者による公式な監督を受けるか、または(2)FTCにより監督される自主規制体制を取るか選択できる。
・ FTCが2000年3月に米国の商用Webサイトに関して行った調査(調査報告書は5月に発行)では、民間部門の自主規制によってはプライバシー保護の十分な成果が上がっていないことを示す結果が出た。この調査結果によってFTC
はついに態度を硬化させ、民間部門全体を規制するオンライン・プライバシー保護法の制定を推進する立場を取るようになった。
民間部門の自主規制関連
・ 民間部門では、97年6月に、Webサイトに対するプライバシーマーク付与機関としてTRUSTeが立ち上げられている。AOL、Compaq、CyberCash、Ernst & Young LLP、Excite、IBM、MatchLogic、Microsoft、Netcom、Netscape等がスポンサーとなっている。2000年5月現在、プライバシーシールを付与されたWebサイトは1200サイトである。
・ Direct Marketing Association(DMA)は97年に、ダイレクトマーケティング業者向けにプライバシー・ガイドライン("Marketing Online: Privacy Principles and Guidance")を発表している。同ガイドラインでは、ダイレクトマーケティング業者がインターネットマーケティングにおいて守るべき4つの原則が挙げられている。その4原則とは、(1)オンラインでの通知(2)オプトアウト(3)マーケティング目的の電子メール(4)子供からのデータ収集に関する原則である。
・ 98年6月にAOL、
Microsoft、Netscape
、DMAなど80以上の企業及び業界団体からなるグループである
Online Privacy Alliance(OPA)が発足し、民間部門による自主規制を促進している。同グループは「オンライン・プライバシー・ポリシーのためのガイドライン(Guidelines for Online Privacy Policies)」を発表している。同ガイドラインでは、OPAの加入団体が守るべき原則として、以下の5つが挙げられている。(1)プライバシー・ポリシーの採用と実施(2)通知と開示(3)選択と同意(4)データ・セキュリティ(5)データ品質とアクセス。
・ 98年8月に設立されたPrivacyBank.comはP3Pに類似した仕組みを用いて、Web利用者がWebサイトへの個人情報の提供を自分自身で管理するためのシステムを提供している。Webサイト側の顧客(ベンダー)としては、Dell、Ebay、Barnes and Noble、Yahoo! Mailなど多くの有力企業が加入している。PrivacyBank.comの提供するこのシステムは大まかに見て次の2つの機能を持っている。
(1)Web利用者のプライバシーを保護する。(P3Pと同様の仕組み――インフォームド・コンセント)
(2)ベンダーサイトにおけるフォーム入力を自動化する。
Web利用者はPrivacyBank.comのサイトで個人情報と、Webサイトに個人情報を提供する際の条件(プリファレンス)とを登録する。一方、ベンダーサイトは個人情報取り扱い方針(プラクティス)を設定している。Web利用者がベンダーサイトの個人情報入力ページを訪問し、登録した個人情報をフォーム上に自動入力する操作を行うと、自分のプリファレンスとWebサイトのプラクティスとの間で照合が行われ両者が適合した場合には個人情報が送信される。
・ 98年10月12日から10月末まで、主要インターネット企業であるAOL、Excite、Infoseek、Lycos、Microsoft、Netscape、Snap、Yahoo!の8社が、TRUSTeと共同で、Privacy Partnershipと銘打ったキャンペーンを行った。各社はWebサイト上にキャンペーンを促進するバナー広告を掲載し、インターネット上でのプライバシーの権利に関する情報を消費者に提供した。
・ 98年10月、TRUSTeは新たに子供向けのプライバシーシールプログラムを立ち上げた。同プログラムは、シールを提示しているWebサイトが厳格な子供向けプライバシー基準に従っていることを親に保証するものである。Yahooligans!が同プログラムを熱烈に支持している。
・ 98年10月、American ExpressはEU指令の施行に応えて、米国のコンピュータシステム上で保管されている欧州の消費者の名前をダイレクトマーケティングの目的で利用しないという約定を社内部門間に設けている。
・ 98年10月、AT&T、BellAtlantic、IBM、AOL、Microsoftなど約60の企業からなるInternet Allianceはプライバシーガイドラインを発表した。Internet Allianceはインターネット産業が信用と信頼を築くことを支援する活動を行っている。
・ Council of Better Business Bureausの子会社であるBBBOnLineは98年12月からWebサイト上でプライバシー・シール・プログラムへの申請を受け付け始めた。Council of Better Business Bureausは企業の自主規制の分野で85年間の歴史を持つ団体であり、その経験をインターネットに活かす。同プログラムは99年早々に立ち上げられ、加入企業にプライバシー・ガイドラインの遵守を求める。申請受け付け開始から約1週間で約60社から申し込みがあり、99年内に1500社の加入を見込んでいるという(日本経済新聞98年12月18日朝刊より)。
・ 99年3月にBBBOnLineはプライバシー・シール・プログラムを開始した。2000年5月現在で450サイト以上のライセンシーがある。
・ Intelは99年3月2日よりPentiumIIIの出荷を始めたが、PentiumIIIには予め製造番号「プロセッサー・シリアル・ナンバー」が記録されている。この製造番号に対し、米国の複数のプライバシー保護団体が「消費者のWeb上での行動を監視する危険な技術」として強く反対しており、このうちCDT、EPIC等の4団体は2月26日に、FTCに要望書を提出し、プロセッサー・シリアル・ナンバーの是非の調査と、調査終了までのPentiumIIIの製造と出荷の差し止めを求めた。また、EPIC等の3団体は、インテルに投資をしている主要な投資信託基金にも抗議書簡を郵送、投資活動の中止やプロセッサー・シリアル・ナンバー搭載の見直しを迫るよう働きかけた。インテルはこうした動きに対してある程度の譲歩を見せ、プロセッサー・シリアル・ナンバーをオンのままにするかオフに変更するかを指定できるユーティリティソフトをWebサイト上などで配布している。
・ 99年3月、MicrosoftのOffice97で作成した文書にハードウェアID番号を書き込む機能があることが発覚した。Microsoftはこのような書き込みを防ぐユーティリティソフトをWebサイト上で配布した。
・ 99年3月、MicrosoftはWindows98のユーザー登録の際に利用者のPCからハードウェアID番号を収集しており、それらを自社サイトのMicrosoft.comに転送していることが発覚した。Microsoftは、Microsoft.comがそのようなハードウェアID番号を受信しないようにすること、今後発売されるWindows98について登録機能を修正すること、利用者がWindows98のレジストリからハードウェアID番号を削除するためのソフトをWebサイト上で提供するなどの対応を行うと発表した。
・ 99年3月、American Advertising Federation(AAF)は中小企業が信用できるオンライン・プライバシー・ポリシーを作成すること支援するプログラムを開始した。同プログラムはサンプルとなるプライバシー・ポリシーを42000の中小企業に配布した。サンプルのプライバシー・ポリシーはOPAのガイドラインと整合的なものである。
・ 99年3月、IBMは、明確なプライバシー・ポリシーを掲示していないWebサイトに対しては、6月1日以降はWeb広告を出さない旨を発表した。IBMはMicrosoftに次ぐ巨額の広告費をインターネット広告に投じている。
・ 99年3月、PrivaSeekはオンラインショッピングの際の消費者のプライバシー保護と利便性を顧慮したインターネットツール"PersonaXpress"を発売した。同ツールは利用者に個人情報と、個人情報をWebサイトに提供する際の条件とを登録してもらい、参加するWebサイトでのフォーム入力を簡易化する。利用者はWeb上で匿名性を保つことができるような設定もできるし、自分の興味のある製品のマーケティングを行う企業に個人情報を提供するような設定を行うこともできる。また、利用者はWebサイトでの割引料金と引き換えに、自分の個人情報を提供する、いわば「個人情報販売機能」もある。Webページのパーソナライゼーションにも対応している。
・ 99年4月、MicrosoftのIE5.0に、利用者があるWebページを「お気に入り」に登録するとそのことをWebサイトに知らせる機能があることが発覚した。
・ 99年4月、NCRは企業が米国、欧州等の個人情報保護ガイドラインを遵守することを支援するプライバシー・センターを設立した。同センターは、顧客企業がどのようなプライバシー保護を行うべきか、またそのようなプライバシー保護手段の実施方法についてコンサルティングを行う。
・
プライバシー擁護団体のCenter for Democracy and Technology(CDT)の99年4月の調査によると、連邦行政機関のWebサイト46サイトのうちプライバシー・ポリシーを掲示しているサイトは約3分の1にすぎなかった。CDTはOMBに対して、各行政機関にプライバシー・ポリシーの掲示を通達するように促し、従わない行政機関については情報技術関連の予算を削減することを提案した。
・ 99年5月、PrivaSeekは、開発者たちが協力してプライバシー保護に係るアプリケーションを開発するオープンフォーラムである、Java Privacy Framework(JPF)の結成を発表した。JPFは、消費者が自分の個人情報のコントロールを保ちながら多種多様なインターネット・アプリケーションを利用できるようにするための技術標準の開発に従事する。
・ 99年5月、MicrosoftはWebサイト上でプライバシー・ウィザードを公開した。このウィザードを用いることにより、Webサイトは容易にプライバシー・ポリシーを作成することができる。また、このウィザードにより作成されたプライバシー・ポリシーは、P3Pにも対応している。すなわち、同ウィザードはインターネット利用者が読むためのHTML版のプライバシー・ポリシーと、P3Pのソフトウェアが処理するためのXML版のプライバシー・ポリシーとを同時に作成することができる。99年6月現在、同ウィザードを用いて、2000以上の企業が自サイトのプライバシー・ポリシーを作成している。
・ 99年5月、Transatlantic Business Dialogue(TABD)は99年次の中間報告書を発表した。TABDは、グローバルな通商問題に関する話し合いを促進するために設立された、欧州と米国の産業の間のパートナーシップである。同報告書は最近のEUと米国間の通商問題に焦点を当て、各国政府に法規制が通商にもらたす影響についてよく吟味するように忠告している。同報告書では電子商取引に関して以下のような提言を行っている。(1)政府と産業の両者にとって容認できるsafe harbor原則の確立(2)EU指令のフレキシブルな実施(3)業界団体が作成する業界ごとの行動規約の使用(4)契約的ソリューションと、業界の自主規制の促進(5)技術的・ポリシー的問題に関する諮問および産業界との協力。
・ National Consumers League(NCL)の99年5月の調査によると、7%の消費者がオンラインでクレジットカード情報に関わる詐欺や誤用の被害を受けていることがわかった。米国民の88%がプライバシー情報の侵害に不安を持っており、58%は非常に危惧を抱いている。米国民が71%はソーシャル・セキュリティ・ナンバーについて特に強く保護を望んでおり、金融資産情報については64%、保健・医療情報が54%、購買活動に関する情報が43%という調査結果となっている。
・ IBMは明確なプライバシー・ポリシーを掲示しているWebサイトのみに広告を出す方針を打ち出しているが、99年6月、Microsoftもこの活動に参画することになった。Microsoftは、2000年までに包括的なプライバシー・ポリシーを掲示しないWebサイトには、同社の広告掲載を中止するという。
・ 99年6月、オプトイン電子メールマーケティング企業であるYesMailは、消費者に断りもなくスパム・メールを送りつけてくるマーケティング業者と自社との違いを強調するために、アンチ・スパム・アウェアネス・キャンペーンを立ち上げた。同社はTRUSTeのライセンシーであり、インターネットにおける唯一合法的なダイレクトマーケティング形態はオプトイン制であると考えている。
・ 99年7月、DMAは"DMA Privacy Promise toAmerican Consumers"というキャンペーンを立ち上げた。同キャンペーンでは、加盟するマーケティング業者は個人情報を第三者に提供する場合には消費者に通知を行い、消費者にそのようなプログラムからオプトアウトする機会を提供することが求められる。また、マーケティング業者はDMAが保持する削除リストに従って消費者リストをふるい分けしなければならない。今後DMAは、顧客を装うことや、苦情に対する対処、Webサイトへの定期的な訪問、その他の技術を用いた監視プログラムによって"DMAPrivacy Promise to American Consumers"を強化する。また、同協会はDMAプライバシー・ガイドラインの遵守を徹底させるために、同協会に加盟するマーケティング業者の99%から、同ガイドラインを遵守することの誓約を取り付けている。
・99年7月、BankingIndustry Technology Secretariat(BITS)は、銀行がプライバシーとセキュリティの高い標準に適合することを支援するセキュリティ研究機関を開設した。同研究機関は、アンチウィルスソフト、ブラウザ、ファイアウォール、OS、およびセキュリティ・パッケージのような情報技術製品を評価し、許諾された製品に対して「BITS検査済みマーク」を発行する。
・ 99年7月、OPAは、メディア・メトリックス社の調査によるトップ500サイトのうち、容易に目にとまるプライバシー・ポリシーを掲示していない企業に対して、個人情報の用途について消費者に通知し、選択権を与えるように要請した。OPAは約100の企業に手紙を送り、その中で、業界の既存のプライバシー・ガイドラインに適合するようなポリシーを掲示し、責任あるオンライン企業に仲間入りするように促している。
・ 99年7月15日、ジョージタウン大学の医療プライバシー・プロジェクトのワーキンググループは、医療情報の機密性を保護するための11の提言を含んだ報告書を発表した。
・99年7月、U.S.Bancorpは顧客の個人情報を違法に販売したかどでミネソタ州の司法長官によって訴えられていたが、この度、和解に応じ、ミネソタ州に50万ドルを支払い、250万ドル余りを慈善団体に寄付することにした。同銀行は、非金融商品のマーケティグ目的で、顧客情報をテレマーケティング企業に販売していた。
・ 99年7月のCenter for Media Education(CME)による子供向けサイトの分析によれば、子供から個人情報を収集する多くのWebサイトでは、自サイトの個人情報取り扱い方針を通知しておらず、また、子供の個人情報の収集時に親の同意を得ていなかった。最も有名な子供向けサイトのうち88%が個人情報を収集しており、74%がプライバシーに関する通知を行っていたが、親の同意を得ているサイトは26%に過ぎなかった。
・ 99年7月、CDTは上院の小委員会に対し、大部分の商用サイトが公正な情報取り扱い原則を遵守していないことを証言した。最近の世論調査、ジョージタウン大学のインターネット・プライバシー・ポリシー調査、および3つのプライバシー・シール・プログラムの結果を分析した短い報告書において、CDTは十分なプライバシー・ポリシーを掲示したWebサイトは例外的であり、既存の自主規制プログラムはまだ消費者に効果的なプライバシー保護を与えていないと述べている。
・ 99年7月、IBMは、企業が堅固なプライバシー・ポリシー、個人情報保護の手続きおよび技術の設計と履行を通して消費者の信頼を構築することを支援する、コンサルティングサービスを開発した。このプログラムは、IBMのグローバル・サービスの一環であり、プライバシー・ワークショップや他のツールを用いて、企業が個人情報の責任ある利用のための戦略を決定し、マネジメント・アクション・プランを策定することを支援する。
・ 99年7月、Computer Systems Policy Project(CSPP)というグループに属するApple、Dell Computer、Hewlett-Packard、IBM、Sun Microsystems、Unisysおよびその他の企業のチーフ・テクノロジストは、電子商取引の諸問題に対し規制を課す前に技術的な解決策を図るように米政府に要請する報告書を作成した。
・ 99年7月、Entertainment Software Rating Board(ESRB)は、新たなシール・プログラムを立ち上げた。同プログラムのライセンシー第1号はElectronic Artsである。ESRBのプライバシー・オンライン・プログラムは詳細なプライバシー原則のセット、ライセンシーのWebサイトの個人情報取り扱いおよび論争解決プログラムの定期的なレビューを基盤としている。同プログラムの目的は、「児童オンラインプライバシー保護法」、FTCのオンライン・プライバシー・ガイドライン、およびインタラクティブ・デジタル・ソフトウェア協会のプライバシー原則の要求事項をライセンシーが遵守していることを保証することにある。
・ 99年8月、BBBOnLineとUnderwriters Laboratories(UL)は、BBBOnLineのライセンシーがBBBOnLineのプライバシー・プログラムの要求事項を遵守しているかどうかを検証するためのプログラムを設立することで合意した。ULは認証サービスおよびコンプライアンス・アセスメント・サービスを提供する国際的な組織である。ULは今秋から、ランダムに選択した企業を訪問し、そのWebサイトのプライバシー・ポリシーや個人情報取り扱い、個人情報保護のための手続きがBBBOnLineのプラバシー・プログラムの要求事項を遵守しているかどうかを検証することになる。
・ 99年8月、ジョージタウン大学の医療プライバシー・プロジェクトのワーキンググループは、米国各州の医療関連のプライバシー法規についての包括的な研究を発表した。
・ 99年8月24日、Bank of America、Chase Manhattan、Microsoft、Intel、IBM、Compaq、HP、Motorola、NCR、AMD、KPMG、TRUSTe等の16の企業・団体は、電子商取引におけるセキュリティ、信用、プライバシーの問題に対処するイニシアティブとして、ISTPA(International Security, Trust, and Privacy Alliance)の立ち上げを発表した。ISTPAは最初に、インターネットにおけるプライバシー保護の問題に着手する。類似した20以上のイニシアティブの中で、ISTPAはとりわけ技術的な標準に焦点を当てている。ISTPA設立の目的は、ポリシー上、実践上の様々な見解を、プライバシー保護の技術に反映させることである。Chaseの上級副社長によると、ISTPAはプライバシー保護製品の方向性を評価し、その舵取りを行っていく。ISTPAは有力なプライバシー保護技術としてP3Pを検討しており、今後ISTPAはP3Pの実用化や商品化を推進する可能性がある。NCRの副社長は、P3Pを実施するにあたってどのような技術が必要なのかを見極めたいと述べている。ISTPAの目標は企業のプライバシー・ステートメント(プライバシー・ポリシー)の実践を自動化するような技術を開発することであるという。NCRの副社長はまた、プライバシー・プリファレンス情報を登録したスマートカードがオンラインプライバシーを提供する役割を果たすのではないかと言っている。
・ 99年9月のNFO Interactiveの調査報告書によると、消費者やバイヤーにオンラインでの商品購入を促進させる5つの主要な属性は、(1)個人情報のプライバシーを守るという信用(2)商品購入の際のセキュアな環境(3)専門的な信頼性(4)コンテンツの更新(5)注文した商品のタイムリーな配送であった。同調査は4523人のオンライン消費者(バイヤーを含む)を対象に行われた。
・ 99年10月、NovellはDigitalMeというオンラインツールを無償公開した。これは、利用者の個人情報をNovell社のサーバ上で集中的に管理し、meCardという電子的な名刺を複数用意することにより相手や用途に合わせて開示する個人情報を選択できるようにしたツールである。登録した個人情報をWebページ上のフォームに自動入力する機能も持つ。
・ 99年10月4日、enonymous.comはネット上の1万以上のWebサイトに対し、プライバシー保護の度合いに応じて5段階のレイティング値を付与し、サイトを訪問した時にそれらのレイティング値を表示するソフト"enonymous advisor"をユーザに公開した。
・ 99年10月5日、Lucent Technologiesは“proxymate.com”という消費者向けプライバシー・サービスのベータ版をリリースした。この無料のサービスにより、ユーザーは通常はWebサイトに送られる情報をブロックし、サイト登録用の偽名を作ることができる。また、フォームへの自動入力機能や、ジャンクメール・フィルター機能も備えている。proxymate.comは、2000年7月でサービスを終了している。
・ 99年10月、EPICはFTCが消費者から受けたプライバシーに関する苦情の情報公開を求めて、FTCを提訴した。
・ 99年10月、TRUSTeは子供向けのプライバシー・シール・プログラムがFTCのCOPPA実施規則で要求される事柄に適合するようにプログラムの修正を開始した。同プログラムがライセンシー企業にとっての「セーフハーバー(同法の遵守を保証する安全地帯)」となることを目指す。
・ 99年10月末には、RealNetworksの音楽再生ソフトRealJukeboxが各利用者の音楽鑑賞履歴(どんなCDを再生したか等)をGUIDとともに同社のサーバに送信していることが発覚し、同社は翌月に集団代表訴訟を起こされた。2000年7月時点では係争中である。
・ 99年11月22日、IBMはアジア太平洋地域のWebサイト運営者に対して、プライバシーステートメントを掲載するように要請した。2000年3月以降は、IBMがインターネット広告を出稿する際の条件とするという。
・ 2000年2月10日に米プライバシー保護団体のEPICは、オンライン広告企業のDoubleClickが自社の掲示したプライバシーポリシーに反して、同社の広告ネットワークを通じてオンラインで収集した利用者の匿名の閲覧情報と、利用者個人を識別できる情報(同社が買収したAbacus Directの所有する情報)とを組み合わせて利用しているとして、FTCに調査を要請している。同社は1999年11月に、オフラインのカタログマーケティング企業Abacus Directを買収し、プライバシー保護団体等から批判を受けている。
国際協定
・ 米国はOECDのメンバーであるが、OECDの「プライバシー保護と個人データの国際流通についてのガイドライン」を反映させた法律を、いまだ多くの民間部門で制定していない。
(2)最近の動き
・ 2000年6月、IBM等の主要インターネット企業は「プライバシー・リーダーシップ・イニシアティブ」というプライバシーに関する消費者啓蒙プログラムを立ち上げた。同プログラムの目標は、消費者の不安に対処する企業のプライバシー・プラクティスを作ることや、消費者による個人情報の管理を容易にする技術の開発や、アカウンタビリティ・プログラムの改善や、企業と消費者向けプライバシー啓蒙キャンペーンの実施などである。
・ 2000年6月に経営破綻したオンライン玩具小売業のToysmart.comが、プライバシーポリシーに反して第三者に約26万人分の顧客情報を売却しようとしたために、7月10日にFTCにより提訴された。FTCは結局同社と和解し、同社サイトと一括して購入する企業のみに顧客情報の売却を認め、売却先の企業は購入した顧客情報についてはToysmartのプライバシーポリシーを変更してはならないという条件を付した。Toysmart.comに対するFTCの動きを受けて、2000年9月にamazon.comは同社のプライバシーポリシーを修正し、同社が買収される場合には売却先に同社の顧客情報も提供されることを明記した。
・ 2000年7月には、Netscape Communicatorに含まれるスマートダウンロード機能が、利用者に通知することなく各利用者のダウンロード情報(ファイルの名前とダウンロード元を特定する情報)を、GUIDを含むクッキーとともにNetscapeのサーバに送信しているとして、AOLおよびNetscapeはニュージャージー州のWebサイト管理者により集団代表訴訟を起こされた。原告側は、Netscape社が各利用者のファイル転送履歴を含むプロファイルを作成することができると主張している。
・ 2000年7月、米業界団体のInternet Advertising Bureau(IAB)は、加盟しているオンライン広告業者向けに消費者の個人情報を保護するためのガイドラインを発表した。
・ 2000年8月、Toysrus.comのサイト上で収集される個人情報(氏名、住所、ショッピングカート情報)がデータ分析企業であるCoremetricsのデータベースに送信されていることが発覚した。Toysrus.comはプライバシーポリシーにおいて、そのような個人情報取扱いについて言及していなかった。Toysrus.comはCoremetricsにデータの分析を委託していた。両社に対しては集団代表訴訟も起こされている。(http://www.hotwired.co.jp/news/news/20000809103.htmlを参照した。)
・ 通常、利用者のPCに格納されたクッキーはそれを送信したドメインのサーバにしか返信されない。しかし、2000年8月に、Microsoftが巧妙な手段を用いて、クッキーに含まれるGUIDをドメインの異なる同社の関連サイトの間で送受信していることが米PCHelpにより発見された。GUIDとはクッキーの中の識別子やIPアドレスに基づいて作成された文字列等、利用者個人(あるいは個々のハードウェア)を識別する情報である。MicrosoftのプライバシーポリシーではこのようなGUIDの共有により利用者を識別するメカニズムについて説明がなされていなかっため、現在修正版が作成されている。
・
インターネット技術標準化団体W3Cは、2000年10月18日に「プライバシー情報取扱いに対する個人の選好を支持する技術基盤」P3P仕様書のラストコール・ワーキングドラフトを公開した。P3Pとは、インターネットを含むネットワーク上のプライバシー保護を目的とした技術標準であり、同標準を用いて、Webサイトはプライバシーポリシーを標準化された、マシンリーダブルな形式(XML形式)で記述することができる。また、利用者側では、P3P対応のクライアントツールまたはブラウザによって、個人情報収集画面においてWebサイトのプライバシーポリシーを参照したり、予め登録しておいたプリファレンス(個人情報の開示条件)とポリシーとを照合して、個人情報を開示するか否かの判断を半自動で行ったりすることができる。W3Cは6月21日にはニューヨークにてP3P Interopを主催し、P3Pに準拠して開発されたシステム間の相互接続性をテストし、企業や政府、マスコミに対してP3Pの有用性のデモンストレーションを行った。
・ BBBOnLineは2000年11月30日より、日本情報処理開発協会(JIPDEC)のプライバシーマーク制度とのシール相互承認制度を開始する予定である。
2.2 カナダ
(1)プライバシー保護の沿革
憲法の規定
・カナダの憲法や、権利と自由に関する章典には明示的なプライバシーの権利は含まれていない。
プライバシーに関する法律
・ 83年7月1日に、「情報へのアクセス法」と「プライバシー法」が可決され、この2法は公共部門によって所持されている非個人情報および個人情報へのアクセス権を個人に提供している。
・
「プライバシー法」は個人情報の秘密性、収集、修正、開示、保持、および利用を規制する条項を含んでいる。個人は、情報を保管している機関に直接に情報へのアクセスを要求できる。アクセスできる情報には、文書記録、ビデオ、およびコンピュータファイルが含まれる。また、政府による個人記録の取り扱いには公正な情報取り扱い規則が適用される。
・
「プライバシー法」により定められたプライバシー・コミッショナーは、個人情報の利用または誤用から生じる論争を解決し、プライバシー法の条項の遵守を保証する権限を持つ。プライバシー・コミッショナーは拘束力をもった命令を出す能力はないが、個人が不適切にアクセスを拒否されたと思われる場合には、連邦裁判所にレヴューを求めることができる。
・
「プライバシー法」のもとでは、プライバシーファイルの登録簿が必要であり、政府の管理化にある、個人情報を含むファイルは全て登録されなければならない。プライバシー・コミッショナーはこの登録簿を毎年更新し、公共の閲覧を可能にしなければならない。
・ カナダ政府は、2000年までに政府部門とともに連邦の規制下にある民間部門もカバーする包括的なプライバシー法を制定する計画を発表している。この提案では、銀行や電気通信、輸送のような連邦の規制下にある企業を治める法律に、カナダ規格協会(Canadian Standards Association)の「個人情報の保護のためのモデル規約」(96年3月)におけるプライバシー原則を導入している。法案は98年の10月1日に発表されている。
・ 98年10月1日、カナダ産業相は、「個人情報保護と電子文書法」という新しい法案を発表した。同法案は、連邦の規制下にある民間企業に対し、カナダ規格協会によって作成されたプライバシー原則を基盤としたプライバシー規約に従うように求めるものである。この法案のもとでは、個人情報の収集は必要不可欠な目的での収集に限られ、個人の同意なくしては第三者に開示することはできない。
・
連邦法では規制されない部門をカバーする新しい法律を採用しようとする、州単位の努力もある。
・「電気通信法」は、頼みもしない通信に対する規制を含む、個人のプライバシーを保護する条項をもつ。「銀行法」、「保険会社法」、および「信託と融資法」は、消費者によって提供された情報の利用に対する規制を含んでいる。
・「個人情報保護と電子文書法」は99年夏の議会の休会の前には採択されなかった。政府は休み明けの9月に、再び成立化に向けた活動を行う。
・ 99年10月28日、「個人情報保護と電子文書法」はカナダの下院を通過した。同法案は民間部門に対して厳格なプライバシー規制を敷くものである。同法は企業による個人情報の収集、利用、提供、保持を制限するものであり、企業は高い水準の正確性とセキュリティを保ち、利用者にアクセス権を提供することが求められる。プライバシー・コミッショナーには、同法の違反に関する苦情を受理し、調査を行い、仲裁や法的な手続きを通じて論争解決する権限が与えられる。保険業界と健康医療業界は同法案を現在の形のままで通すことに対して反対しており、何人かの上院議員はいくつかの厳しい条項を緩めるような修正案を提出することが予期されている。
・ 2000年4月4日、カナダの下院は包括的なプライバシー法を可決した。同法は商用目的で個人情報を利用する企業を広範に規制するものである。同法は2001年1月1日より施行される。従来はISP等のオンライン企業は収集した消費者の個人情報をマーケティング業者等の第三者に販売することができたが、同法により、消費者の明示的な同意が必要になる。
政府の動き
・カナダ・オンタリオ州のプライバシー・コミッショナーとオランダのデータ保護機関は99年5月に発行した報告書の中で、Web上のエージェント技術が重大なプライバシー問題をもたらす恐れがあると警告している。同報告書では、エージェント技術の使用によって、あるWebサイトで個人情報を提供するか否かの意思決定が自動化されてしまい、利用者が自分の個人情報の開示に対するコントロールを失うことを危惧している。
・ 99年5月、カナダのプライバシー・コミッショナーは、従来の社会保険番号カードをスマート・テクノロジーを用いた国民IDカードで置き換える計画に対して異を唱えた。ヒューマン・リソース委員会への書状の中で、同コミッショナーは国民IDカードシステムの設立は、個人のプライバシーの侵害をもたらす恐れがあると警告している。同委員会は昨年、社会保険番号の広範囲な濫用に関する調査を受けて、社会保険番号システムの刷新を提言していた。社会保険番号は1960年代から、失業保険や年金業務において利用されていたが、今日では、何ら法的な権利がないにもかかわらず、本人確認目的で政府の他の多くのプログラムや、何千もの企業によって利用されている。社会保険番号はまた、ID泥棒たちによって、偽の保険金請求する際等に利用されている。政府の作業部会は目下このような問題を調査しており、1999年末までに報告書を発行する予定である。プライバシー・コミッショナーは、国民IDカードは伝統的な自治の概念に反すると述べている。
・ 99年7月、カナダのオンタリオ高等裁判所は、Beaverhome.comに対する判決において、スパムメールは「ネチケットの原則に違反する」と宣言した。Beaverhome.comはカナダの小さな家具会社であり、自社製品の販促目的で頼みもしない電子メールを送付していた。論争は、NexxオンラインというWebホスティングサービスのプロバイダーが、Beaverhome.comがスパムメールの送信をストップすることを拒否した後に、同Webサイトを削除したことが引き金となった。Beaverhome.comはNexxが契約を違反したと申し立てたが、ウィルソン裁判官は、オンライン・マーケッティング業者はサービスプロバイダーと契約を結ばないかぎりスパムメールを利用してはならないとする判決を下した。カナダには現在、頼みもしない商用電子メールの利用を禁止する法律はないが、同判決は標準的なネチケットに含まれる不文律に基づいて法的判断を下すことの先例となるものである。
・ 99年7月、ケベック州の情報アクセス委員会(CAI)は同委員会のイニシアティブや成果をレビューする年次報告書を発表した。同委員会は、北米で唯一民間部門も管轄するプライバシー機関である。CAIは1998年度に公共部門に対する118の苦情と民間企業に対する184の苦情を受け付けており、調停を通してそのうち76(公共部門)、186(民間部門、前年度のものを含む)の苦情を解決している。
・ 2000年5月、カナダのプライバシーコミッショナーは年次報告書を発表した。同報告書は、Human Resources Development Canadaという機関がLongitudinal Labour Force Fileと呼ばれる秘密の政府データベースを所有していることを明るみに出した。同データベースには各カナダ人につき2000以上の情報が記録されている。
民間部門の自主規制関連
・ 98年9月、カナダインターネットプロバイダー協会(Canadian Association of Internet Providers)は利用者の個人情報の管理と開示に関する自主的なプライバシー規約のドラフトを公表した。同協会のドラフトには、カナダ規格協会の「個人情報の保護のためのモデル規約」における原則の多くが含まれている。
(2)最近の動き
・ 特になし。
3.アジアの現状
3.1 韓国
(1)
プライバシー保護の沿革
憲法の規定
・
韓国の憲法はプライバシーの保護と通信の秘密とを規定している。
プライバシーに関する法律・ガイドライン
・ 94年の「公共機関により管理された個人情報の保護に関する法」はOECDのプライバシーガイドラインを基盤としている。同法は、公共機関によって所持されている、コンピュータ上の個人情報の管理を規定している。同法のもとでは、公共機関はデータ収集を制限し、データの正確性を保証し、ファイルの公共登録を維持し、情報のセキュリティを保証し、個人情報は収集した目的でのみ利用しなければならない。同法は行政自治部によって実施されている。
・ 産業資源部は98年5月に、デジタル取引環境におけるプライバシーの保護を含む、電子商取引に関する立法のための一連のガイドラインを提案している。また、産業資源部は98年中の「電子商取引に関する基本法」の制定を求めていた。
・ 信用報告は95年の「信用情報の利用と保護に関する法」によって保護されている。郵便物のプライバシーは「郵便サービス法」によって保護されている。
・ 99年1月に「電子商取引に関する基本法」が成立した。同法は第3章において、「電子商取引に携わる事業者は、電子商取引を通じて収集した個人情報を、情報主体の事前の同意を得ずに、収集時の目的と異なる目的で利用したり、第三者に提供してはならない」と規定している。個人は自分の個人情報にアクセスしたり、修正したり、削除したりする権利をもち、情報を保持する事業者はセキュリティの責務を負う。
政府の動き
・ 98年11月23日、韓国と米国はインターネット上の電子商取引を共に促進して行くことで合意し、共同声明を発表した。両者はインターネット上の個人データ、プライバシーおよび知的所有権を保護するためにコラボレートすることを約束した。
国際協定
・ 韓国はOECDのメンバーであり、OECDの「プライバシー保護と個人データの国際流通についてのガイドライン」を国内法にて反映させている。
(2)最近の動き
・ 特になし
3.2 マレーシア
(1)
プライバシー保護の沿革
憲法の規定
・
マレーシア憲法はプライバシーの権利について明確には認めていない。
プライバシーに関する法律
・
エネルギー・通信郵便省は、「国家電子商取引基本計画」の一環として、個人データを法的に保護する個人データ保護法を法案化している。同省の事務局長によれば、同法案の目的は電子ネットワークを通して送信されるデータの収集・処理・利用における機密性と完全性を保証することである。同省は、OECDガイドライン、EU指令、およびイギリス・香港・ニュージーランドのプライバシー関連法令を同法案のモデルとしている。
同法案は99年中に議会に提出される見込みである。
(2)最近の動き
・特になし
3.3 シンガポール
(1)プライバシー保護の沿革
憲法の規定
・
シンガポールの憲法はイギリスのシステムを基盤としており、明示的なプライバシーの権利を含まない。
プライバシーに関する法律
・
シンガポールにはデータ保護に関する、あるいはプライバシーに関する全般的な法はない。
民間部門の自主規制関連
・ 98年9月、ナショナルインターネット諮問委員会(NationalInternet Advisory Board)は業界主導の自主規制である「インターネット取引の消費者の個人情報と通信の保護のための電子商取引規約」を提案している。同規約のもとでは、サービス提供者は取引記録と利用者個人情報の機密性を保証しなければならず、法の要求がないかぎり通信を傍受してはならない。また、利用者に通知し、データ移動を差し止めたり、データを修正・削除したりする権利を提供しないかぎり、個人情報の収集は制限されており、個人情報の開示は禁じられている。同規約は業界主導のコンプライアンス機関によって実施されることになっている。規約を遵守するサービス提供者は「プライバシー規約コンプライアンスシンボル」を使用することができる。
・ 98年12月、シンガポール最大のインターネット企業協会であるオンライン技術協議会(Online Technologies Consortium)は、TRUSTeのプライバシー・シール・プログラムを支持すると発表した。同協議会の200のメンバーはTRUSTeのプライバシー・シール・プログラムを導入し、個人データ収集についてのプライバシー・ポリシーを提示することに同意している。同協議会はアジア企業の協議会として初めて、TRUSTeのプログラムを支持したことになる。
(2)最近の動き
・ 2000年1月、シンガポール情報通信開発局(Infocomm Development Authority of Singapore)はISPによるコンピュータのスキャンを規制するガイドラインを発表した。これは、自治省がシンガポール最大のISPであるSingNetの20万人の利用者のコンピュータをスキャンしたことが発端となって、策定に至ったものである。
・ CommerceNet Singapoleでは、CommerceTrustという一連のトラストマーク・プログラムを手がけている。同社は、汎アジア、そして世界の企業向けに、オンライン消費者個人情報を保護するためのベンチマークとなるプラットフォームを開発する目標をもっており、CommerceTrustはその一つの手段である。CommerceTrustは、シンガポールでの先行事業が成功裡に立ちあがっており、汎アジア、世界へ向けてプロジェクトを拡大中である。これら一連のトラストマーク・プログラムのコアとなるプロジェクトがPrivacyTrustである。PrivacyTrustは、オンラインのみならず、オフラインの店舗等での個人情報取扱いについても対象とするシール制度である。
4.大洋州の現状
4.1 オーストラリア
(1)
プライバシー保護の沿革
憲法の規定
・オーストラリアでは、連邦憲法も州憲法もプライバシーに関する明示的な条項を含まない。
プライバシーに関する法律
・ 88年に「プライバシー法」が制定され、89年1月に施行されている。「プライバシー法」はOECDのプライバシー・ガイドラインを基盤として、連邦公共部門に適用されており、州政府や民間部門には一般的には適用されていない。しかし、政府が発行したタックスファイル番号、および消費者信用情報の規制においては民間部門にも適用されている。同法は個人情報の収集、利用および蓄積に関する厳格な法である。
・「プライバシー法」により、プライバシー・コミッショナー事務所が設立された。プライバシー・コミッショナー事務局は、苦情の処理、コンプライアンスの検証、政府その他への忠告等、広範な機能をもっている。90年12月にはプライバシー改正法が可決され、信用情報に関するプライバシー・コミッショナーの権限が拡張されている。また97年には、いくつかの法のもとで、また政府の要求に応えて、プライバシー・コミッショナーの責任領域が拡大した。
・ 98年8月にプライバシー改正法案が上院調査委員会の議題となった。同法案は、プライバシー原則の適用範囲を、連邦政府にサービスを提供する下請業者へ拡張するものであった。
・ 96年3月に政権を握った自由党・国民党連合は、民間部門において世界最高水準のプライバシー保護を導入すると誓約し、96年の9月には司法長官省がコンサルテーションペーパーを発行し、そのレスポンスとして100以上の提案が寄せられた。しかし、97年4月に首相は突然、政府は立法せず、自主規制に依存することが好ましいとの声明を出した。
・ 98年12月16日、オーストラリアの司法長官と情報技術相は、共同声明において、民間部門をカバーするような包括的な「共同規制によるプライバシー保護」の法律を連邦政府が導入する旨を発表した。同法案は99年6月時点で既に作成されており、プライバシー・コミッショナーによって97年から98年にかけて作成されたプライバシーガイドライン「個人情報の公正な取扱いのための国家的原則」に準拠している。同法案は99年末か2000年初めに議会に提出される。
・ 99年5月、オーストラリアのプライバシー・コミッショナーは、企業や個人が運営しているWebサイトを対象としたプライバシー・ガイドラインを発表した。
・ 99年10月21日、プライバシー・コミッショナー事務局は11回目となる年次報告書を発表した。今回の報告書は、とりわけ医療プライバシー問題に焦点を当てている。
・ 99年12月、オーストラリア政府は民間部門を対象としたプライバシー法案の提出を2000年の2月に延期することを決めた。
・ 2000年4月、オーストラリア政府は、上記のプライバシー改正(民間部門)法案を提出した。同法案は、企業に対し一定のプライバシー保護規則に従うように求めるものである。しかし、同法案には例外事項が多いため、プライバシー擁護論者たちはその実効性に懐疑的である。
民間部門の自主規制関連
・ 98年11月、オーストラリアのインターネット産業協会(Internet Industry Association)
は、データ保護法の立法に対する支持を首相への公開状において宣言している。
・ Australian Business Advisors(ABA)が99年4月に行った調査によると、オーストラリアのトップ79サイトのうち、プライバシー・ポリシーを掲示しているサイトはたった5%にすぎず、さらに、ランダムな129サイトのうち個人情報を不当に開示しないことを謳ったサイトは6%にすぎないことがわかった。
(2)最近の動き
・ 特になし。
5.その他
5.1 OECD
(1)プライバシー保護の沿革
・ 80年9月23日、OECDは「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告(Guidelines governing the Protection of Privacy amd Transborder Flows of Personal Data)」を採択している。同勧告の付属文書であるガイドライン(いわゆるOECDプライバシーガイドライン)では、個人情報の収集と管理に関して以下の8つの原則を挙げている。
・収集制限の原則(Collection Limitation Principle)
・データの質の原則(Data Quality Principle)
・目的明確化の原則(Purpose Specification Principle)
・利用制限の原則(Use Limitation Principle)
・安全保護の原則(Security Safeguards Principle)
・公開の原則(Openness Principle)
・個人参加の原則(Individual Parcipation Principle)
・責任の原則(Accountability Principle)
・ 85年4月11日、OECDは「国際データ流通に関する宣言(Declaration on Transborder Data Flows)」 を発表している。
・ 97年10月、OECDは「電子環境におけるOECDプライバシーガイドラインの実施:インターネットに焦点を合わせて」という報告書を作成している。同報告書はOECDメンバーの各国政府に、OECDプライバシーガイドラインがデータ収集や処理に関わるいかなる技術に対しても適用できることを再確認することなどを提案している
・ 98年2月16〜17日、OECDとOECDの諮問委員会であるBIAC(Business and Industry Advisory Committee)は「グローバルネットワーク化した社会におけるプライバシー保護」に関するワークショップを開催している。同ワークショップでは、グローバルネットワーク化しつつある社会におけるプライバシーの保護および個人データの国際流通に関係した問題について議論がなされた。また、OECDプライバシーガイドラインがグローバルネットワークの文脈においてどのように実施されるのかということが吟味された。
・ 98年10月7〜9日、カナダ政府主催により、オタワにおいてOECD電子商取引閣僚級会議が開催された。同会議では、課税原則、消費者保護をめぐる法規制、電子認証の国際規格制定などについて協議され、閣僚宣言が採択された。閣僚宣言は電子商取引について、プライバシー保護、消費者保護、課税のあり方、電子認証の4分野を柱とするものであった。プライバシー保護については、EUと米国の主張が宣言(「グローバルネットワークにおけるプライバシー保護に関するOECD閣僚宣言」)に併記されるかたちとなった。また、国際機関、各国政府、民間部門が果たすべき役割を明記した行動計画も策定された。
・ 99年3月4日、OECDのICCP(情報通信コンピュータ政策委員会)の情報セキュリティとプライバシーに関するワーキング・パーティーは、「国際間データ流通:オンライン環境下の契約によるプライバシー保護問題解決手法について」のドラフトを作成している。98年のOECD電子商取引会議における閣僚宣言には「オンラインの国際間データ流通に対する契約的ソリューションの使用および契約的ソリューションモデルの開発を促進する」という項目が盛り込まれているが、同ドラフトではこのようなソリューションを導入するにあたって対処すべき諸問題が議論されている。同ドラフトではこのような契約的ソリューションの先例として、EUデータ保護指令のデータ輸出規定や、ICC(国際商工会議所)の国際間データ流通の契約に関するモデル条項が引き合いに出されている。また、日米のプライバシーマーク制度が国際間のデータ流通についても応用できることや、技術的なソリューションとしてW3CがP3Pを開発していること等が述べられている。
・OECDは99年7月、プライバシー・ポリシー・ステートメント・ジェネレーター(ウィザード)のドラフトVer.2を発表した。Webサイト管理者は同ウィザード上でWebサイトの個人情報取扱いに関する質問に答えていくことによって、OECDプライバシーガイドラインに沿ったプライバシー・ポリシー・ステートメントを作成することができる。このウィザードはOECDプライバシーガイドラインのオンラインでの普及促進を目的としている。
・OECDは99年12月8日、「電子商取引における消費者保護のためのガイドラインに関する理事会勧告」を採択した。同ガイドラインはBtoCの電子商取引に従事する企業に対し、OECDプライバシーガイドラインの8原則に従うこと、98年のOECD閣僚宣言を考慮に入れることを求めている。また、頼みもしない商用電子メールからオプトアウトする権利を消費者に与えるように求めている。
(2)最近の動き
・OECDは2000年7月頃、Ver.2に対するOECD各加盟国からのフィードバックを受けた後、プライバシー・ポリシー・ステートメント・ジェネレーターの完成版をOECDのWebサイトで公開した。
5.2 GBDe
・ 99年1月14日に「電子商取引に関する国際ビジネス会議(Global Business Dialog on Electronic Commerce,GBDe)」という名の企業同盟の初会合がニューヨークで開かれ、AOL会長やタイム・ワーナー会長をはじめ、米国、欧州、アフリカ、アジアから各国の電子商取引に関わる主要企業100以上が参集した。GBDeでは、課税問題や消費者信用、個人情報保護、知的財産権、電子認証とセキュリティなど、電子商取引のフレームワークを構成する9つの項目を検討し、99年の3月から4月までに報告書の形で結論を出す予定であり、これを産業界の意見として各国政府やEU、WTO(世界貿易機関)などの国際機関に提案することになっている。このGBDe設立の発起人はEU副議長のバンギュマン氏であるが、その提案に同氏の友人であるベルテルスマンのミッデルホフ社長が応え、各国の主要企業にミッデルホフ社長が呼びかけてGBDeを立ち上げることとなった。その際、米国では提携しているAOLを手始めに有力企業を取り込んでいき、日本では通産省を経由して、NEC、富士通、東芝、東京三菱銀行、三井物産などに呼びかけメンバーに引き入れたという。
・ 99年6月7日、GBDeは個人データ保護に関するポリシー・ペーパーの最終ドラフトを作成した。同文書ではOECDガイドラインに基づいたガイドラインとして、以下の5原則が挙げられている。
(1)プライバシー・ポリシーの採用と実施…コンプライアンス・プログラムの形式での履行、管理職や関係する社員の教育
(2)個人データの収集の原則…収集目的の明確化、オプトアウトのメカニズム
(3)個人データの利用と開示の原則…原則として、個人データの利用と開示は収集時の目的と整合的でなければならない
(4)データのセキュリティの原則…責任の保証、個人データの保護
(5)データの質とアクセスの原則…個人データの正確さの保証、データ主体のアクセス、修正、削除の権利
また、個人データ保護は民間部門のリーダーシップを通じて最も効果的に実行され、効果的な自主規制実施プログラムの確立がこのリーダーシップにとって必須であるとしている。
・ 99年9月13日、GBDeはパリで第1回総会を開き、電子商取引で問題となる9分野について議論を行い、提言を発表した。個人情報保護に関しては、以下のような提言を行っている。
(1)企業と政府はGBDeの5原則の促進とプライバシー・ポリシーの実施のために協力するべきである。
(a)企業は業界にとって最善な個人情報保護手段を選択するべきである。
(b)めまぐるしく変化する電子商取引の世界において、政府の規制は必ずしも十分な個人情報保護手段とはならない。また、政府が国際間のデータ移動を制限することは、自由な通商の発展にマイナスの影響を及ぼす。
(c)企業と政府は協力してGBDeの5原則の教育と促進を行い、電子商取引に携わる企業のプライバシー・ポリシーの実施を保証することで、消費者が個人データ保護の重要性を理解できるようにしなければならない。
(2)自主規制メカニズムの開発と使用の促進
(a)個々の企業はシール・プログラムか、自主宣言プログラムかどちらかを選択する責任を負っている。
(b)政府は自主規制を促進する役目を果たさなければならない。インターネットにおける個人情報保護に関して、実世界における以上に厳しい規制を課してはならない。
(c)企業と政府は協力して自主規制メカニズムを開発するべきである。
また、Web上の小売業者向けにGBDe版の「トラストマーク」を設立するという提言も行っている。GBDeは、消費者とWeb企業との間の論争を解決したり、仲裁したりする業界主導の組織を設立するという提案を、6ヶ月以内に提示するつもりである。
(c)2000 NEW MEDIA DEVELOPMENT ASSOCIATION