高い自由度と強い執行力をあわせ持つ米国の「プライバシー保護制度」
米国の個人情報保護法制は、業種(金融、医療等)やテーマ別(迷惑メール対策、子どもの保護等)に個別法を定める“セクター形式”をとっており、我が国の個人情報保護法に相当する一般法は無い*1。一般法がないことから、対応する個別法の無い業種や分野におけるパーソナルデータの取扱いは、基本的に事業者の裁量に委ねられている。
その一方で、消費者を欺いたり、損害を与えたりするようなパーソナルデータの取扱いがなされた場合は、「消費者保護」という観点から、事業者は厳しく罰せられることになっている。この事業者を律する役割を担っているのが、米国連邦取引委員会(FTC:Federal Trade Commission)消費者保護局であり、その権限の源が、不公正・欺瞞的行為を幅広く取り締まることのできるFTC法5条である。
パーソナルデータを取り扱う米国企業は、プライバシーポリシーをウェブサイト上に掲げている。FTCは、この事業者が掲げるプライバシーポリシーが適切であるか、またポリシーと異なる運用がされていないかを、FTC法5条(不公正・欺瞞的行為)に基づいて監督しているのである。これまでも名だたるネット企業がFTCから処分を受けている(図表1)。前回紹介したGoogle社によるSafariのプライバシー設定回避事件は、まさにこのFTC5条に基づき執行された事例に該当する。
このように米国では、一般法としての個人情報保護法はないものの、FTC法5条が消費者のプライバシーを保護する制度として機能している。法令でパーソナルデータの保護措置を規定するのではなく、消費者へ約束したポリシーと異なるデータの取扱いをした場合、事後的に厳しい制裁があり得ることを示すことで、事業者に裁量を与えながらも、行き過ぎたパーソナルデータの利活用を自制させているのである。
