「ネットワーク化された世界における消費者データ・プライバシー」グローバルなデジタル経済における

プライバシー保護とイノベーション促進のためのフレームワーク

i-iv 目次

I. エグゼクティブサマリー

II. イントロダクション：消費者データ・プライバシー・フレームワークの強み

III. CPBoRの定義

IV. CPBoRの実施：執行可能な行動規範を開発するための複数ステークホルダーとのプロセス

V. FTCの執行のための専門性

VI. 国際的な相互運用性の促進

VII. 消費者データ・プライバシー法の制定

VIII.プライバシー保護を改善するための政府のリーダーシップ

IX. 結論

X. 付録A　 　CPBoR

XI. 付録B　 　CPBoRと他の FIPPsステートメントとの比較表

C3 オバマ大統領のステートメント

1 米国におけるプライバシーの歴史的背景

1.1 “Americans have always cherished our privacy” 「米国の人々はいつも自身のプラ

イバシーを大切にしてきました。」

1.2 合衆国の誕生→不法な家屋や侵入や個人的文書の閲覧禁止→郵便制度（封書の中身を見

るの禁止）→新しいコミュニケーション方法（電話、コンピューター、電子メール）に

ついてもプライバシー保護

1.3 ブランダイス（米国最高裁判所判事 1856- 1941）”right to be let alone”（放っとか

れる権利）と定義したが、今ではそれ以上の定義

1.4 合衆国設立初期の政治パンフレット作者も現代のブロガーも同じように「匿名」での政

治スピーチが最高裁によって認められている。

1.5 インターネットやスマートフォンの出現→プライバシーの重要性が高まっている

1.5.1イノベーションのほとんどはパーソナル情報の利用によって可能

2 CPBoR

＝情報時代のプライバシーのための青写真

＝自身のパーソナル情報を扱う人々（組織）に何を期待すべきに関する明確なガイダンス

2.1 企業はプライバシー関連団体、人権擁護当局などと共にただちに協働をして欲しい。

2.2 オバマ政権は、この原則を進化させ連邦議会が法制度化できるよう働きかける

2.3 強力なプライバシー保護と継続的なイノベーションを実現する動的モデルを世界に投げ

かける

1

3 パーソナル情報をより自由に共有できるようになった現代においても、プライバシーが時代

遅れの価値であると結論づけることに反対しなければならない。

3.1 プライバシーは、合衆国の始まりから我々民主主義の中核にあり、今かつてないほど必

要とされている。

i, ii 前文

1 トラスト

=ネットワーク化されたテクノロジーがアメリカ合衆国とそれ以外の世界にもたらす社会

的・経済的ベネフィットを維持するのに必要不可欠

2 インターネットによるグローバルな接続

2.1 一人のイノベーターのアイデアがすぐに製品・サービスに育ち一日数億もの利用者にな

る。されにこれが結果的に合衆国の仕事の創出と経済成長になる。

2.2 この分野でアメリカがリーダーシップを維持するには、米国企業がグローバル市場で消

費者の信頼を獲得・維持することが必要　

3 消費者の信頼を維持するにはプライバシー保護がクリティカル

3.1 公開のソーシャルネットワークだろうが、機微なパーソナルデータを含む取引だろうが

関係なく、取り囲むコンテキストに属した方法で適切にデータを扱うこと

3.2 だが、消費者が企業のプライバシープラクティスが信頼を保証しているか評価すること

は難しい

4 既存の消費者データ・プライバシー・フレームワーク

4.1 基本的なプライバシーの価値、コモンロー、消費者保護法、FTCのエンフォースメント

4.2 市民社会や産業界、学者、政府を巻き込んだ活発な議論

4.3 ただし、「基礎的なプライバシー原則」と「持続的なステークホルダーのコミットメン

ト」の 2 点が欠けている

5 ”Consumer Data Privacy in a Networked World.”（本書）が上記 2 点をカバーする

5.1 オバマ政権は、Consumer Privacy Bill of Rightsに適合した法律（既存のデータ・プ

ライバシー法の支配下にない状態で）を通すよう議会に要請する

5.2 オバマ政権は、いろんなステークホルダーとの議論を促進する。ステークホルダー

は、CPBoRをインプリする行動規範 codes of conductを開発する。

エグゼクティブ・サマリー

1 CPBoR

1.1 以下オバマ政権の観点からのCPBoR

1.1.1個人によるコントロール ：消費者は、企業がどのようなパーソナルデータを自分か

ら収集し、それをどのように使用するのかについて、制御する権利を有する。

1.1.2透明性　 　：消費者は、プライバシーおよびセキュリティ慣行に関する情報について、

容易に理解でき、アクセスできる権利を有する。

2

1.1.3コンテキストの尊重　 　：消費者は、企業がパーソナルデータを、消費者がデータを提

供したコンテキストに基づく方法で収集、使用、開示することを期待する権利を有

する。

1.1.4セキュリティ　 　：消費者は、パーソナルデータを安全管理し、責任を持って扱う権利

を有する。

1.1.5アクセスおよび正確性　 　：消費者は、使用可能な形式で、また、データの機密性と

データが不正確であった場合に消費者に悪影響を与える危険性に応じた方法で、個

人データにアクセスし修正する権利を有する。

1.1.6対象を絞った収集 ：消費者は、企業が収集および保持するパーソナルデータについ

て、合理的な制限を設ける権利を有する。

1.1.7アカウンタビリティ（説明責任）　 　：消費者は、Consumer Privacy Bill of Rights

の遵守を保証するための適切な措置を講じた企業によってパーソナルデータが扱わ

れるようにする権利を有する。

1.2 CPBoRは企業がどう実施するか企業の裁量に任せる一般原則である。柔軟性はイノ

ベーションを促進し、企業が効率的にプライバシー問題を正すことができる。

1.3 議会が法律を通せなくても、CPBoRは有効である。

2 実行可能な codes of conductを生み出すため複数ステークホルダーのプロセス

2.1 政権は、オープンで透明なフォーラムを開催

2.2 企業は最終的に code of conductが採用できるか選択

2.3 ステークホルダーには、消費者が容易に codes of conductを使用・理解できるように、

消費者団体やプライバシー擁護団体の参加が必要

3 FTCの執行の強化

3.1 責任のある企業が異なるルールで営業している競合企業より不利であることはあってな

らない。

3.2 データ・プライバシー法では、政権は議会が FTCと州検事総長にCPBoR を強制する権

限を与えることを推奨する

4 グローバルな相互運用性の改善

4.1 ユーザドリブンで非集中的なインターネット環境下のパーソナルデータに関する矛盾の

ない低障壁のルールによる国際的な interoperabilityを維持する必要。

4.2 Mutual recognition（相互承認）は、効果的な強制力と正しく定義されアカウンタビリ

ティに依存する。そのために複数ステークホルダープロセスが重要

4.3 強制力の協力（Enforcement cooperation）：パーソナルデータが国境を超えるとき

に国はその国民を保護できるようにする。

イントロダクション：消費者データ・プライバシー・フレームワークの強みの構築1 大量データの話

3

1.1 大量のデータ、安価な（コンピュータ）処理力、洗練された分析技術がネットワーク社

会のイノベーションをドライブしている。

1.2 データに基づく政治活動が可能になった。

1.3 ソーシャルネットワークのデータから個人やジャーナリストが価値ある情報を報告した

りフォローできるようになった。

1.4 データは政府が ID 窃盗を防止しや公共の場を安全に守るのに重要な役割を果たす。

1.5 研究者は、大量の医療データを使って病気の原因を解決する。

1.6 ネットワークオペレーターは通信データを使って光ケーブルの事故や停電、侵入者の行

動を見つけたりできる。

1.7 パーソナルデータによって、広告の取引市場は多くのオンラインサービスやコンテンツ

をと届けられるようになった。

2 消費者データプライバシーの保護強化は、政権の重要な優先事項

2.1 政府での PIIのあつかいについては、本フレームワークの範疇外

2.2 政府が民間組織が保有しているデータにアクセスするケースでは、パーソナルデータプ

ライバシープライバシー・アクト（1974 年）が適用

3 トラストとは

3.1 我々が依存している企業（Company）や技術システムがプライバシーやセキュリ

ティ、reliabilityに関する我々の期待に答えること

3.2 Companyとは

3.2.1パーソナルデータを使用し開示し蓄積し転送する、すべての組織、企業、トラス

ト、パートナーシップ、個人事業主、非法人企業、営利／非営利のベンチャーで、

既存の連邦政府プライバシー法の支配下にないところ。

4 トラストと経済成長の話

4.1 ICS（International Cyberspace Strategy, 2011 年 5 月に大統領署名）に言及

4.1.1国際的なパートナー間で柔軟かつイノベーションが起きやすい（innovation-

enhancing）プライバシーモデルを作るのに役に立てたい。

4.1.2インターネット経済のトラストの保つことが実体経済の保護と拡大に繋がる

4.2 ロケーションサービスでのパーソナルデータの新しい活用は、適切なセーフガードが施

されていれば、需要なビジネス機会をもたらす。

4.2.1マッキンゼー・グローバル・インスティテュート：Big Dataに関する白書

4.2.2NIST：クラウドコンピューティングの定義に関する白書

4.3 アメリカはロケーションサービスやクラウドコンピューティングのリーダーである。

4.3.1この経済的ベネフィットを維持するためには、消費者がネットワーク技術を信頼し

続ける必要がある。

4.3.2消費者データ・プライバシー保護の強化はこのゴールの達成に繋がる

5 トラストとコンテキストの話

5.1 トラストの維持は、社会的・文化的ベネフィットを実現する

4

5.2 企業がパーソナルデータをその消費者が公開した状況と合致しないで公開したら、トラ

ストは台無しになる

5.3 例えば、友人、家族、同僚や一般社会と情報をアクティブに共有している人は、その情

報をそのサービスや第三者、所属企業が使っていることに気づいてないかもしれない。

5.4 機微情報の許可のない開示は、個人の人権を犯し、損害や差別を引き起こす。また、不

正確だったり誤解を招く情報に基づく反応を引き起こす。さらには人生を壊滅させるよ

うなアイデンティティ窃盗を招く可能性がある。

5.4.1.1 ID 窃盗の経済損失は年間 150 億ドル、FTC 調べ

6 既存の米国の消費者データプライバシーフレームワーク

6.1 プライバシーの問題を解決するのに、柔軟で効果的である

6.2 フレームワークは、業界のベストプラクティス、FTCエンフォースメント、CPOやプ

ライバシー専門家のネットワークで構成されている

7 だが、ほとんどのインターネット上のパーソナルデータは、連邦政府の法の保護にない。

7.1 既存の法律は、特定のセクターしか適用されてないから

7.1.1ヘルスケア、教育、通信、金融、未成年データの保護

7.2 政権は、既存のフレームワークのギャップを埋め広範囲のプライバシーに関する懸念に

応えていきたい

7.2.1が、既に各セクターに適用されている法律は、矛盾が生じない限り、修正したくな

い

7.2.2政権は、議会が、既存法を追加補足したり、既存法が適用されないセクターがベー

スラインに達するための立法作業をサポートする

8 包括的な消費者データ・プライバシー・フレームワーク群の目的

8.1 明確に消費者を保護し、企業がイノベーションを推進でき、コンプライアンスコストを

最小化することを目指す。

8.1.1大統領指令 13563 “Improving Regulation and Regulatory Review”に適合する

ようにする

8.2 消費者が、パーソナルデータをよりよいツールを使ってデジタル経済の中でフローさせ

る方法を理解し、制御できるようにする

8.3 企業が、消費者の期待にミートし、より効果的な方法で消費者やポリシーメーカーと関

係作りができるようにする。企業が、パーソナルデータの取扱に関して異論のないプラ

クティスを決める助けとなる。

8.4 国際的なポリシーフレームワークを促進することで、我々のグローバルでの競争優位性

を改善する（インタネットイノベーションのリーダとしてのアメリカ合衆国は、先進的

なプライバシーポリシー作りを行う責任とインセンティブがある。）

9 以上を達成するための、消費者データ・プライバシー・フレームワークの構成

9.1 Consumer Privacy Bill of Rights

9.1.1FIPPsをベースに、ダイナミックなインターネット環境を想定して作成

5

9.2 Enforceable codes of conduct（強制可能な行動規範）をmultistakeholder

processesを通じて作成

9.3 Federal Trade Commission (FTC) のenforcement

9.3.1不正や活動やプラクティスを防止するため

9.4 米国と諸外国のプライバシーフレームワーク間のglobal interoperability、相互承

認

9.4.1情報がフローする障壁を減らすため

10 Consumer Data Privacy in a Networked World（本書）

10.1 米商務省の商業インターネットポリシー　・タスクフォース作成の”Commercial Data

Privacy and Innovation in the Internet Economy: A Dynamic Policy Framework

(“Privacy and Innovation Green Paper” 2010 年)”の推奨によって作成

10.1.1 企業、貿易団体、プライバシー擁護団体、アカデミック、州検事総長、政府、犯

罪法の関係者などの 100以上ステークホルダーがシンポジウム、文書、講演、非公

式ミーティングなどを通じてフィードバック

以上

6

Page 35-39: Ⅵ Enacting Consumer Data Privacy Legislation

消費者データプライバシー法の制定 (高木先生分)

政府が議会に対して法律制定を要請

A. Consumer Privacy Bill of Rightsの成文化

1. FTCと州検事総長が法律で定められた権利を直接強制できるようにする

2. 企業のCPBoR 下の義務を具体化する

3. 法律用語の決定について議会と政権が協力する

4. 業界固有の codes of conductに適用できるようにする

5. 以下を避ける。

重複したり過剰に重い法律要件を加えること

特定技術を記述すること

CPBoR 一般に一致しているが、法ができた時点では予期出来なかった PIIを利用した

ビジネスモデルを排除すること

政府が犯罪や違法行為、公共の安全、国家安全保障など必要に迫られて収集すること

に関して、既存の行政当局や監督機関を改正すること

犯罪行為を調査、起訴する法強制力を犯すこと

政府の情報管理や、純粋に商業分分野、コンシューマー分野のコンテキストの外にあ

るプライバシー問題に関わる既存の法律や監督機関を改正すること

B. FTCの直接のエンフォースメント権限の許可

1. 政権は、議会が FTCに対して、CPBoRをエンフォースするための権限を与えることを要

請

2. 消費者と企業両方が対象

企業が、プライバシーに関する義務について明確なロードマップを示せるようにす

る

消費者が、FTCが権限を持っていると知ることでベネフィットを受けれるようにす

る

3. 法は、手順化されたセーフガードによる具体的なエンフォースメント活動を通じて、FTC

がプライバシー問題を矯正できるようにする

4. 政権は、同等の権限を州検事総長にも与えることを議会に要請する

5. 技術や商慣習が激しく変化するため、議会は柔軟な標準を作る。個別法に拝領

シャーマン反トラスト（独占禁止）法の領域では、取引制限の合意を禁止している

著作権法では、　“copies,” “devices,” “processes” technologies “now known or

later developed.”などの言葉を定義

FTC Actにおける FTCの権限、“unfair or deceptive acts or practices.” の禁止

6. multistakeholder processと、codes of conduct に基づく safe harborのエンフォー

7

スメント

C. Safe Harborのエンフォースメントを通じた法の確実性

1. FTCは、CPBoRに対する codes of conductをレビューする権限を持つ

2. 法律は、FTCが提出された codes of conductをレビュー、パブコメするのに十分な期間

（180 日など）を設ける。FTCがすべてのステークホルダーのコンセンサスを反映した

codeを許可もしくは拒否する権限を制限する。承認された codeが技術や市場が変化し

ても有効かどうかレビューする期間を設ける。

3. multistakeholder process における記録（特に同意されたことに関する記録）を残す

（FTCのレビューの助けになるため）

4. 政権は、以上のように、Administrative Procedure Actの下、FTC当局が公正で透明な

プロセスをもって、codes of conductをレビュー、承認することを推奨する

5. また、FTC当局が“safe harbor”（免責条項）を用意する

D. 連邦政府と州政府の役割のバランス

1. 連邦政府は共通の法を先に作ることで、各州政府が、CPBoRに矛盾したり、より厳し

かったりする法律を作るようなことがないようにする。

2. 州政府は、multistakeholder processで建設的な役割を果たす。

3. 州政府が、特定セクターを規制したくて、CPBoRに基づいて法律を作ることは自由。

E. 既存の連邦政府データプライバシー法における効果的な保護を維持する

1. 既存のセクター固有の法律を維持し、法律要件の重複を最小限にする

例えば、HIPPAはヘルケアプロバイダー、保険業者等のパーソナルヘルス情報の収

集、利用、開示に関して規制している（ヘルスケアのコンテキストにおいて同意さ

れた取り扱い）。連邦データプライバシー法は、教育、クレジット情報、金融、未成

年情報の収集について適用される。

2. 重複義務がないようにする

既存の連邦データプライバシー法支配下の企業については義務を免除するなどを検討

例えば、Gramm-Leach-Bliley Act (GLB)法は、金融機関に非公人の情報のプライバ

シーやセキュリティに予防措置を施すことを求めている。

F. セキュリティ違反通知（SBN）に関する国家基準を作る

1. 企業が許可されないでパーソナルデータを開示した場合、通知しなければいけないとい

う国家基準を作る。

8

2. SBNによって、アイデンティティ窃盗などの被害から消費者を守ることができる。

3. 現在 47つの州と District of Columbia幾つかの U.S. Territoriesが SBN法を持ってい

る。それぞれ内容がことなるが、国家基準でもって統一する。

9