「Do Not Track」(オンライン行動の追跡拒否)をはじめ、米国のプライバシー保護に関する規制は、民間事業者による自主規制を基調としている。これは米国が、事業者の創意工夫を尊重し、パーソナルデータ活用によるイノベーションを阻害しないよう配慮していることが背景にある。一方、プライバシー侵害を起こした事業者に対する制裁は、日本よりもはるかに厳しい措置が執られることがあり、自主規制とはいいながら、その実効性担保の仕掛けが米国では機能している。今回は、米国のプライバシー保護の執行の仕組みを解説するとともに、今後の自主規制の行方について考えていく。
高い自由度と強い執行力をあわせ持つ米国の「プライバシー保護制度」
米国の個人情報保護法制は、業種(金融、医療等)やテーマ別(迷惑メール対策、子どもの保護等)に個別法を定める“セクター形式”をとっており、我が国の個人情報保護法に相当する一般法は無い*1。一般法がないことから、対応する個別法の無い業種や分野におけるパーソナルデータの取扱いは、基本的に事業者の裁量に委ねられている。
その一方で、消費者を欺いたり、損害を与えたりするようなパーソナルデータの取扱いがなされた場合は、「消費者保護」という観点から、事業者は厳しく罰せられることになっている。この事業者を律する役割を担っているのが、米国連邦取引委員会(FTC:Federal Trade Commission)消費者保護局であり、その権限の源が、不公正・欺瞞的行為を幅広く取り締まることのできるFTC法5条である。
パーソナルデータを取り扱う米国企業は、プライバシーポリシーをウェブサイト上に掲げている。FTCは、この事業者が掲げるプライバシーポリシーが適切であるか、またポリシーと異なる運用がされていないかを、FTC法5条(不公正・欺瞞的行為)に基づいて監督しているのである。これまでも名だたるネット企業がFTCから処分を受けている(図表1)。前回紹介したGoogle社によるSafariのプライバシー設定回避事件は、まさにこのFTC5条に基づき執行された事例に該当する。
このように米国では、一般法としての個人情報保護法はないものの、FTC法5条が消費者のプライバシーを保護する制度として機能している。法令でパーソナルデータの保護措置を規定するのではなく、消費者へ約束したポリシーと異なるデータの取扱いをした場合、事後的に厳しい制裁があり得ることを示すことで、事業者に裁量を与えながらも、行き過ぎたパーソナルデータの利活用を自制させているのである。
この記事は参考になりましたか?
- この記事の著者
-
小林 慎太郎(コバヤシ シンタロウ)
株式会社野村総合研究所 ICT・メディア産業コンサルティング部 兼 未来創発センター 上級コンサルタント専門はICT公共政策・経営。官公庁や情報・通信業界における調査・コンサル ティングに従事。情報流通が活発でありながら、みんなが安心して暮らせる社会にするための仕組みを探求している。著書に『パーソナルデータの教科書~個人情報保護からプライバシー保護へとルールが変わる~』(日経BP)がある。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア