FTC、新たな プライバシー規制 制定の動きを本格化:「現在の同意の枠組みは抜け穴があり、不十分だ」

DIGIDAY

米連邦取引委員会(以下、FTC)が9月8日、ビジネス目的での消費者データの収集、使用、共有に関して、新たなプライバシー規制を提案するかどうかを判断する情報収集プロセスを次のステップに進めた。

FTCがこの日実施したのは、「商業的監視とデータセキュリティ」に関する初の公聴会だ。この会合で、FTCは専門家や市民の代表者からデータプライバシーに関する懸念について話を聞くとともに、規制すべきケースや規制が企業や消費者にもたらす可能性のある影響について提案を受けた。

この公聴会は、8月の「規則制定案の事前通知」(ANPR)の公開に続くものだ。FTCが規制を制定するには、このような会合を含む長いプロセスを経なければならない。FTCでは、新たな国内法が制定されるかどうかにかわらず、新たなデータプライバシー規制に必要な情報を収集するために、多数の質問に対して市民からの意見を集めている。

また、今回の公聴会は米議員らがデータプライバシーに関する連邦法案を検討しているなかで行われることとなった。もっとも、FTCは法的闘争を仕掛けたり和解を勝ち取ったりするなど、すでにその力を発揮してきた(8月29日には、アイダホ州に本拠を置くデータブローカーのコチャバ[Kochava]を位置情報データの販売で提訴している)。

消費者プライバシーに関する懸念

公聴会では、人種、収入、性別、年齢などの個人情報に基づいて、消費者を区別する目的でデータが用いられることへの懸念が、消費者や業界の専門家から指摘された。消費者保護団体によれば、住宅ローンやクレジットカードの加入や求人への応募など、あらゆる機会で人々の審査に影響が及ぶ可能性があるという。

政治経済研究合同センター(Joint Center for Political and Economic Studies)のプレジデント、スペンサー・オーバートン氏は、住宅差別に関する裁判でMeta(メタ)と米司法省が6月に和解した件を引き合いに出しながら、次のように述べている。「求人広告はもっぱら男性向けで、女性は遠ざけられることがある。新築住宅の広告はもっぱら白人向けで、黒人やラテン系は遠ざけられることがある」。

電子プライバシー情報センター(EPIC)の副所長、カトリーナ・フィッツジェラルド氏は、メールやオンライン検索などの新たな形式に対応するには、新しいプライバシー法が必要だと主張した。Googleは広告ターゲティングのためにメールや検索履歴を追跡しているが、郵便物や電話といった古い通信手段で同じことをすれば違法になるはずだと、同氏はいう。

一方、米ジャーマン・マーシャル財団で「デジタルイノベーションおよびデモクラシーイニシアチブ」のディレクターを務めるカレン・コーンブルー氏は、中絶手術ができる病院をオンラインで検索して訪れる人々をテクノロジーで追跡、特定できる時代に、ロー対ウェイド事件の判決(中絶の権利を認めた判決)が覆されたことは、オンライン活動がプライバシーをどれほど脆弱にするのかを「多くの人に知らしめた」と述べている。

また、米国には消費者に関する機密データの購入を外国政府に禁じる法律がないため、「国家安全保障に抜け穴がある状況」だと、OECD(経済協力開発機構)の米国大使を務めた経験もある同氏は指摘した。

さらにコーンブルー氏は、「現在の同意の枠組みでは不十分だ」と述べたうえで、次のように語っている。「私たちユーザーがオンラインで取引する企業は、私たちとのあいだに情報の非対称性がある。にもかかわらず、職業上厳しい倫理的制約や法的義務を課せられている医師や弁護士のように、自分たちが持っている広範な個人情報をその個人の利益になるように行動する義務は負わされていない」。

小売業者は、消費者との関係を維持したり業界で他社と競争したりするためにデータを利用しているが、全米小売協会(NRF)のバイスプレジデント兼上級政策顧問を務めるポール・マルティノ氏は、ブランドの評判を維持したいという考えが、より強力なデータ慣行を推進するインセンティブになると話す。ただし、消費者にとって馴染みの薄いサードパーティのデータブローカーは、その狙いやアクセスしているデータが消費者にわからないため、「はるかに大きなリスク」になり得ると指摘した。

「サードパーティ企業は、顧客にサービスを提供している企業のように、消費者の利益に沿った形で責任を持ってデータを利用しようというインセンティブがない。彼らは、自分たちが収集、処理しているデータの所有者である消費者との長期的な顧客関係を求めていないからだ」。

データプライバシーを強化する方法

公聴会の参加者たちからは、責任あるデータ利用に向けた企業の対応や法律の取り組みについても、さまざまな提案がなされた。たとえば、パブリッシャーの業界団体デジタルコンテンツ・ネクスト(Digital Content Next)のCEO、ジェイソン・キント氏は、消費者が自分の望むプライバシー設定を企業に伝える方法を新たな州法で定めれば、役に立つかもしれないと語った。だが、規制の範囲を広げすぎると、消費者が企業とデータに基づく関係を構築したいと考えても不可能になると、マルティノ氏は警告している。

非営利団体パートナーシップ・オン・エーアイ(Partnership on AI)のCEO、レベッカ・フィンレイ氏は、機械学習などのためにデータの収集や利用を文書化するプロセスを構築している企業であれば、規制の影響を測定できる可能性があると語った。そうなれば、組織の内外で説明責任と透明性を確保するための「基盤」が作られることになる。

「そのためには、特性のチェックリストを作成したり、潜在的な数学的または技術的モデルを構築したりするだけでは足りない。機械学習システムの検討や設計から、開発や導入までをカバーする管理システムとプロセスを構築しなければならない」と、フィンレイ氏は述べている。

また、モジラ(Mozilla)の最高セキュリティ責任者であるマーシャル・アーウィン氏は、規則を破った企業に金銭的なペナルティを与えるべきだと述べ、それが「本質的な変化を現実に引き起こす」ことになると語った。ただし、すべての人に同じルールで行動するよう求めることも重要だと、キント氏は言う。そのうえで、有利な立場にある企業はさらに厳しい基準に従うべきだと同氏は語った。

「デジタル広告市場は、水風船に似ているかもしれない」と、キント氏は話す。「小売サイトやパブリッシャーなど、それぞれのプレイヤーがより高いレベルの基準に向かって前進すれば、広告市場はそのようなユーザーを見つけてターゲットにできる場所へ移っていくだけだ」。

[原文:The Rundown: The FTC begins its fact-finding process for potential data privacy rules with its first public forum

Marty Swant(翻訳:佐藤 卓/ガリレオ、編集:黒田千聖)

Source

タイトルとURLをコピーしました