「忘れられる権利」と「消費者プライバシー権利章典」(2012/6)
EU(欧州連合)の執行機関である欧州委員会は1月下旬、利用者がネット事業者に自分の個人情報の削除を要求できる「忘れられる権利(rights to be forgotten)」を盛り込む法案をまとめた。一方、アメリカのオバマ大統領は2月下旬、「消費者プライバシー権利章典」(Consumer Privacy Bill of Rights)の草案を公開した。
昨今のITビジネスは、個人情報を貪欲に蓄積しつつ、それを効率的に利用することで発達している。ユーザーもその便利さを享受してきたが、その裏で消費者が予想もしていなかったような事態が進んでいることは、すでにいくつか見てきた。インターネットが推進する新たなビジネスを円滑に進めつつ、個人のプライバシーを守るにはどうすればいいのか。欧米が新たな取り組みを始めたわけである。
個人情報保護へ「待ったなし」の取り組み
EUは1995年に個人データ取り扱いに関する「データ保護指令」を採択、世界的に個人データ保護への関心が高まるきっかけをつくったが(日本でも2003年に「個人情報保護法」が制定された。完全実施は2005年)、インターネット環境はその後さま変わりした。これを受けて、ユーザーの個人情報保護を強化するためと、欧州全体の経済活動をより促進するための抜本的改革を検討してきた結果、今回の法案となった。「忘れられる権利」という考え方は、EUが指令改正作業を始めた初期に提案され、今回、現実に法案に盛り込まれた。
プレスリリースによれば、抜本改革の内容は以下のようなものである。
①ユーザーがもはや不要と思う個人データ(名前、写真、メールアドレス、クレジットカード番号など)は、事業者に対して削除要請できる。
②正当な理由がない限り、事業者は削除要請に応じなくてはいけない。
③個人情報漏洩が発覚した場合、事業者はすみやかに当事者や当局に届けなくてはいけない。
④深刻な違反に対しては、事業者に最大100万ユーロ(約1億円)か、売り上げの2%の罰金を科す。
⑤各国ごとに対応が異なっていた1995年指令を一つの法に統一することで、企業は国ごとの個別対応から解放され、無駄なコストを削減、ビジネスを効率化できる。
法案は欧州議会と27加盟国の承認を得たあと、2年後に実施される。
実現までは紆余曲折
私はかつて本欄で「情報の時効」について書いた(2010年10月号)。サイバー空間は「忘れない」から便利だけれど、だからこそ、いったんネット上に載せられた個人情報をめぐって、プライバシーの侵害や名誉棄損といったやっかいな問題が生じる。一定期間を経過すれば、サイバー空間も「忘れる」ような制度設計はできないだろうか──という趣旨だった。
そのとき、アイフォンのアプリ「タイガーテキスト」を紹介したように、念頭にあったのはもっぱら技術による解決策だった。技術で作られたサイバー空間が生み出した問題を技術で解決するのは可能である。だから「サイバー空間は忘れない」という現在のデフォルトを、条件付きで「サイバー空間も忘れる」というふうに逆転できないか、と。
EUの試みは、この問題に法的に対応しようとするものだが、実現までには紆余曲折の経過があると思われる。たとえば、フェイスブックに自分の顔写真を掲載して後に削除した人は、それがコピーされた別の人のページの写真まで削除要請できるのか、削除ができる個人情報は自分がアップしたものだけか、他人がアップしたものまで及ぶのか、など。当然、「表現の自由」とも密接に関わってくる。どこまで削除を認め、どこからは認めないのかという線引きは、報道のあり方ともかかわり、非常に難しい。
Do Not Track
アメリカの「消費者プライバシー権利章典」も、ネット上の個人データの扱いについて、消費者の次に述べるような権利を確立することをめざしている。
①個人のコントロール(どのような個人情報を組織が収集し、どのように使うかをコントロールする権利)、②透明性(プライバシーとセキュリティ・ポリシーを容易に理解できる権利)、③状況(context)の尊重(消費者が提供した状況に合致した形で組織が個人情報を収集、利用、開示することを期待する権利)、④安全性(個人情報が安全かつ責任をもって扱われる権利)、⑤アクセスと正確性(適切な方法で利用可能な形式の個人情報にアクセスし、修正する権利)、⑤対象を絞った収集(企業が収集・保存する個人情報が適切な範囲のみで行われる権利)、⑥説明責任(個人情報が消費者プライバシー権利章典に従って適切に扱われることを企業に保証させる権利)。
閲覧したウエブページや広告、あるいは入力した検索キーワードなどの行動履歴からユーザー(顧客)の興味や関心を推測し、そこにターゲットを絞った広告を配信する「行動ターゲティング広告」が増えているが、消費者がその追跡(トラッキング)を拒否できる仕組みづくりもめざし、「Do Not Track」(DNT)という考えを打ち出している。
発表にあたって、オバマ大統領は「消費者は自分たちの個人データが安全であるための明確なルールを待ちわびている」と述べた。
プライバシーと個人データ保護をめぐっては、これまで欧米の取り組み方にニュアンスの違いが見られた。アメリカは、どちらかというと、ビジネス優先で、トラブル解決は裁判によって事後的に個々に処理しようとする傾向があり、ヨーロッパは、むしろ人権尊重で、問題は体系的な発想のもとに制定する包括的な法で解決しようとしてきた(1)。
この差は、今回の取り組みにもうかがわれるけれど、「忘れられる権利」、「消費者プライバシー権利章典」ともに、IT社会最新事情に対応した「待ったなし」の取り組みのように思われる。
<注>
(1)この辺は名和小太郎『個人データ保護』(みすず書房、2008年)に詳しい(P106~109)。本書は「イノベーションによるプライバシー像の変容」を追った意欲作である。夏井高人・明治大学教授が、かつて「個人情報をネットワーク上に情報化させないでもらう権利」(夏井高人『ネットワーク社会の文化と法』日本評論社、1997年)を提唱したことも思い出される。
投稿者: Naoaki Yano | 2012年06月18日 14:09