合法だからといって適正だとは限らない

企業は業界標準に準拠していることを吹聴しがちなもの。「プライバシー・シールド準拠」といったロゴ、スタンプ、あるいは何らかの表示を見たことのある人は多いだろう。私たちと同様、FTCですら数か月前に再認識させられたように、このラベルは最初から基準が満たされていることを意味するものではなく、ましてや数年後にようやく政府の査察の対象となったときに準拠することを示すものでもない。

画像クレジット:Westend61/Getty Images

Alastair Mactaggart(アラステア・マクタガート)氏は、CCPA(California Consumer Privacy Act、カリフォルニア州消費者プライバシー法)の推進を支援した活動家だが、CCPA 2.0への準拠を企業が自ら認証することを可能にする住民投票の実施を、まだ組織されていない政府機関に対して働きかけてきた。その種の広報活動は、プライバシーとセキュリティが重視されるような市場で、競争力を維持したいと考えている企業にとって必須のように思えるが、本当にそうだろうか?ビジネス上の配慮は別として、すべての既存のプライバシー関連の法律を遵守する道徳的義務はあるのだろうか?また、そのような法律への適用除外に依存するような企業は非倫理的なのだろうか?

私は、法律を遵守することと倫理的であることは同じであるという考えは認めない。片方がもう片方を自動的に意味するとも考えない。現実には、その判断は、コスト、顧客数、許容されるリスク、その他の要因に基づいた微妙なものとなる。さらに言えば、自発的な遵守を、信頼感の向上、あるいは利他主義的なものに見せかけることは、実際に消費者にとって有害なものとなる。なぜなら、現在のシステムでは、効果的でタイムリーな監視ができないし、実際に被った害に対して事後に対処するすべもないからだ。

適用除外に頼ることは非倫理的ではない

法律の遵守は倫理性とは直接関係ない。

その中心にあるのは、費用の検討と、その際の微妙な分析だ。プライバシー法は、立法者の希望とは裏腹に、白黒をはっきり付けるような施行ができるものではない。規制の対象となっていないデータの収集が、すべて非道なものというわけでもなく、自発的なものかどうかは別として、法律を遵守する企業が、すべて純粋に利他的だというわけでもない。ペナルティは金銭的負担となるものの、データ収集は多くの会社にとって収入源となる。さまざまなデータの大規模な蓄積から、知識と洞察が得られるし、他の会社も、そうしたデータにアクセスすることを必要とするからだ。

企業は、法律を遵守するためのシステムとプロセスの構築に加え、多くの場合、数千にも及ぶサービスプロバイダーとの既存の契約を改定するために必要となるコストと、そうした法律によって保護される消費者にサービスを提供できなくなることによる営業上の損失をてんびんにかける。

どの法律を適用するのか、という問題もある。ある法律を遵守することによって、免責を与えてくれていた別の法律によって提供される保護を無効にしたり、縮小させてしまう場合がある。たとえばある法律が、セキュリティを保護するために特定の情報を共有することを禁止していたとしても、別の法律は、それを開示することを要求するかもしれない。その場合、データと個人の安全性が低下してしまう。

厳格な法遵守が、プライバシーを重視する会社だという評判を高め、企業の地位を安泰にしてくれることもある。法律は最小限の基準であり、倫理は最大のものを規定することを意図している。たとえ不適合な法律であっても、それを遵守することは、文字通り会社にできる最小限のことだ。それにより、その会社は、それ以外の選択肢が選べなかったり、革新することができない状態に陥る。なぜなら、すでに期待された以上のことをしたとみなしてしまうからだ。こうしたことは、特に技術関連の法律の場合に起こり得る。というのも、立法側が、業界よりも遅れていたり、能力も低いことが多いからだ。

さらに言えば、何が倫理的であるかを決める人も、時間、文化、権力の力学によって異なってくる。全員を対象とする法律の文面を厳格に遵守するのは、同じデータでも異なる業界の企業は違った使い方をする、ということを考慮しないことになる。企業は、どのフレームワークを自発的に遵守すべきなのか、という疑問を抱くこともなく、1つのフレームワークに適合しようとするものだ。「そんなの簡単だ。最も高位で、強力で、厳格な標準を選べばいい」という声が聞こえてきそうだ。そうした形容詞は、みんな連邦プライバシー法について語る際に使われる言葉だ。とはいえ「最高位の」「最大の」「最強の」といった語は、すべて主観的であり、独立して存在できるものではない。特に国家がプライバシー法を、あれこれ寄せ集めて提示してきた際には注意を要する。

マサチューセッツ州は、影響を受けた消費者に対して、企業が詳細を提供することを禁止している。それが、「最大の」消費者保護を提供することだという人はいるに違いない。その一方で、カリフォルニア州が示す規範のように、可能な限り詳しい情報を提示することこそ、「最大の」保護を提供することだと信じている人たちもいるはずだ。どちらが正しいのだろうか?しかも、複数の州をまたいだデータの収集が行われる可能性も考慮しなければならない。そうしたことが起こった場合、どちらの法律が、そのような個人に適用されるのだろうか?

現在、政府機関は十分な監視を実施できない

運営者自身が法に準拠しないことが分かっているウェブサイトに、証明書を貼り付けることは、FTCによって不公平で詐欺的な行為とみなされている。しかし通常FTCには、初めての違反に対して罰金を課す権限がない。またFTCは、企業に対して消費者への補償を命じることができるものの、損害額を算出するのはかなり難しい。

残念ながら、プライバシー侵害による損害は、法廷で証明するのがさらに困難だ。もし勝訴したとしても、獲得した賠償金の大部分は弁護士のところに行ってしまい、個人が受け取る金額は、雀の涙ほどとなってしまう。最高裁判所が、「Clapper v. Amnesty Intern., USA. 133 S. Ct. 1138 (2013)」や「Spokeo, Inc. v. Robins, 136 S. Ct. 1540 (2016)」といった実際の判決で示しているように、詐欺の疑いや、データの損失、誤用によって起こった予想外の損害は、多分に推測的なもののため、訴訟を維持するのも難しい。

利用可能なリソースがほとんどない中、結果を求めて交渉する上で、このことがFTCを弱い立場に置くことになる。司法権は制限されており、銀行や非営利団体を統制することもできないため、FTCができることは、かなり限られているのだ。FTC長官のNoah Phillips(ノア・フィリップス)氏の言葉を借りれば、これは連邦プライバシー法のようなものを制定しない限り、変えることができない。データの利用と、それによる損害に明確な制限を設け、訴訟においては、そうした制限を強制する大きな権限をFTCに与えるものだ。

さらに、こうした法的な制約に加えて、FTCはプライバシーを扱う人員がが不足している。約40人の常勤の専任スタッフが、3億2000万人以上の米国人のプライバシー保護に当たっているのが実情だ。FTCがプライバシーを適切に規制するには、より多くの弁護士、より多くの捜査官、より多くの技術者、そして最先端のITツールを必要としている。それらがなければ、他の案件に対する人員不足を犠牲にしても、特定の調査に資金をつぎ込み続けるしかない。

監視機能を民間企業へアウトソーシングしても、今よりうまくいくとは限らない。理由は単純で、そうした認証は、特に最初の段階では、かなり高く付く。その結果、中小企業の競争力を損なうことになるからだ。さらに、企業内のプライバシー専門家や法務チームとは異なり、認証会社では、法律を文字通りに解釈しようとする傾向が強く、特定の業務におけるデータ利用法のモデルの微妙な違いに対応しようとはしない。

既存の救済策では消費者の損害に対処できない

例えば、ある政府機関が強制措置を実施することになったとしよう。現状では、そうした政府機関が持つ罰則の拘束力では、消費者が被った損害に適切に対処することができない。なぜなら、プライバシー法を遵守することは、するかしないかのオンオフではなく、しかも現在の制度が、金銭的な補償に重点を置いたものだからだ。

たとえ、法律を遵守するための行動が、あらかじめ定められていたとしても、遵守できるようになるには何年もかかり、遵守できていなかった期間に生じた結果に対処できない。

情報開示に基づく積極的な同意を得ていなかったとして、CNIL(情報処理と自由に関するフランスの国家委員会)がVectuaryに正式に警告した例を見てみよう。Vectuaryは、モバイルアプリのユーザーから位置情報データを収集し、小売業者にマーケティングサービスを提供していた。自主規制の協会、IABのTransparency and Consent Framework(透明性と同意のフレームワーク)を実装して開発した意思確認管理プラットフォームを使用したものだった。この警告が特に注目を集めたのも当然だ。Vectuaryは、確立された事業者団体のガイドラインに従っていたにもかかわらず、その同意が無効と見なされたからだ。

この結果CNILは、この方法によるデータの処理を停止し、その期間中に収集したデータも削除するよう、Vectuaryに通告した。この決定は、同社にシステムを再構築することを余儀なくさせたので、1つの勝利としてカウントしてもいいだろう。しかし、そうすることが可能な予算を持っている会社は、どれくらいあるのだろう。そもそも、規制に対処するためのリソースを持っているかどうかも怪しいというのに。さらに言えば、対応には時間がかかる。その間のビジネスモデルはどうなってしまうのか? 政府機関が定めた準拠までの期限の間、準拠していない状態が続くことは、論理的に許されるのだろうか?元のデータが削除されたとしても、すでにデータを共有した関係者や、そのデータを前提に構築した推察は、どうすることもできない。

自己申告による偽のプライバシー・シールド準拠対応策について検討してみると、さらに先行きが暗い。企業のサイトにあるプライバシー・シールドのロゴは、その会社としては、国境を越えたデータ転送が適切に保護されていて、なおかつ転送先の関係者は責任を持ってそのデータを扱うものと、その会社は考えている、ということを基本的に宣言している。従って、ある企業が、そうした基本的な宣言を偽って行なったり、一部の要求事項を満たすことができないことがわかった場合には、そのようなデータ転送は停止させる必要がある。もし、そうした転送が、その会社が提供するサービスの一部であった場合には、そのようなサービス自体を顧客に提供することを、直ちに停止するだけでいいのだろうか?

実際には、必ずしも適用されない法律を遵守しないことを選択するのは、顧客のことを気にかけていないとか、不道徳気にしないといった問題ではないだろう。文字通り「そういう仕組になっていない」ということ。それに、遵守しようとすること自体、消費者にとって何の利益も生み出さないのだ。それは、最終的に重要な、消費者のためになるのだろうか?

【編集部注】著者のPolina Arsentyeva(ポリナ・アルセンティエワ)は、かつて商事関係訴訟を担当する弁護士で、現在はデータ保護を専門としている。フィンテック企業やスタートアップ企業に対して、透明性を保ちつつプライバシーを守る革新的なデータの使用方法について助言している。なお、この記事で表明された見解は著者個人のものであり、彼女の会社、投資家、顧客、その他とは無関係だ。

原文へ

(翻訳:Fumihiko Shibata)

シリコンバレーが恐れる米カリフォルニア州のプライバシー法

シリコンバレーが戦々恐々としている。

米カリフォルニア州ではあと3カ月強でプライバシー法が変わる。2020年1月1日に発効するカリフォルニア州消費者プライバシー法(CCPA)だ。ここ数年で最も大きな変更となる。同州の4000万人の住民だけでなくシリコンバレーのすべてのテクノロジー企業が広くプライバシー保護の恩恵にあずかる。

この法律はヨーロッパのGDPR(EU一般データ保護規則)に似ている。消費者に、企業が取得した情報を知る権利、その情報を削除する権利、およびその情報の売却を拒否(オプトアウト)する権利を与える。

カリフォルニア州の居住者にとっては非常に強力な規定だ。消費者は企業が取得した自分の情報にアクセスできる。企業はユーザーに関する驚くべき量のデータを収集している。ケンブリッジアナリティカが良い例だ。Facebookから数百万人のプロフィールページのデータを取得し選挙の結果を左右しようとした。ここ数カ月でGDPRが課した重い罰金を見れば、シリコンバレーのテクノロジー企業はCCPA施行後に多額の罰金が課される可能性を視野に入れる必要がある。CCPAの施行が適用されるのは、法律発効6カ月後だ。

法がシリコンバレーを震え上らせているのも不思議ではない。そうあるべきだ。

米国の大手テクノロジー企業はほとんどがカリフォルニアにあるから、ロビー活動を行いCCPAの弱体化を試みたのも当然だ。GDPRより重い義務を州の新法に入れて欲しくなかったのだ。

大規模なロビー活動にもかかわらず、カリフォルニア州議会はほとんど法案を修正せずに可決した。州内のテクノロジー企業には悔しい結果だったに違いない。

「ケンブリッジ・アナリティカの件を受けて、テクノロジー企業が自らの“非”を認め消費者利益を最優先する方向に舵を切ったと考えるのは早い」と、ACLU(米国自由人権協会)のNeema Singh Guliani(ニーマ・シン・グリアーニ)氏は昨年、法案成立直後に述べた。「連邦規制に従うよう見せかけているが、実際にはトランプ政権と議会を巻き込み州レベルの消費者プライバシー保護を弱めようとしている」。

法律が可決された後、テクノロジーの巨人たちは最後の切札を出した。より包括的な連邦法案の推進だ。

広範なロビー活動を通じて、世の中へ発信するメッセージをコントロールすることができる。連邦法案は、カリフォルニア州の新しいプライバシー法の規定を一部無効にする弱体化された法律だ。連邦法案が通れば、膨大な費用をかけて異なる州の法律を守る努力をせずに済むという面もある。

ちょうど今月、AmazonのJeff Bezos(ジェフ・ベゾス)氏、IBMのGinni Rometty(ジニー・ロメッティ)氏、SAPのBill McDermott(ビル・マクダーモット)氏を含む51人の最高経営責任者のグループが、上級議員へ宛てた連邦法案を求める公開書簡に署名し、「消費者はそれほど賢くないため、居住する州によってルールが異なる場合には、おそらく理解できない」と主張した。

次に、Dropbox、Facebook、Reddit、Snap、Uber、ZipRecruiterをメンバーに含むInternet Association(インターネット協会)も、連邦プライバシー法を推進している。「今が行動する時だ」と同協会は表明した。年末までに同協会がその気になれば、カリフォルニア州のプライバシー法は施行が適用される前に沈められる可能性がある。

テクノロジー企業のCEOや上級幹部で構成する全国的かつ超党派のネットワークであるTechNetも連邦プライバシー法を求めている。どんなプライバシー法であっても「企業は法律を順守すべきだが、同時にイノベーションも追求できる」ことを保証すべきだと主張しているが、その根拠は示していない。メンバーには、Kleiner PerkinsやJC2 Venturesなどの大手ベンチャーキャピタル、Apple、Google、Microsoft、Oracle、Verizon(TechCrunchの親会社)などの大手テクノロジー企業が入っている。

テクノロジーの巨人と通信会社が協力するとき、何か怪しいことが起こっている。だが、誰かをだましているわけではない。

「テクノロジー業界が連邦法案を推進し始めたのが、CCPAを弱体化させようとする試みがカリフォルニア州議会によって否定された直後なのは偶然ではない」と、ACLU北カリフォルニア支部の弁護士であるJacob Snow(ジェイコブ・スノー)氏はTechCrunchに語った。「テクノロジー企業は連邦法を推進して州のプライバシー法を一掃しようとする企てはやめて、2020年1月1日からカリフォルニア州民がCCPAの下でプライバシー権を行使できるよう保証すべきだ」。

CCPAの発効前に議員ができることはほとんどないが、テック大企業の挑戦を止めることはできない。

シリコンバレーのテック大企業とそのロビイストが本腰を入れたら、カリフォルニア州民がCCPAの恩恵を享受できるのは短い間になってしまうかもしれない。ただ、消費者が一度でも勝利を収めたことが慰めになるはずだ。

画像クレジット:ウィキメディアコモンズ

[原文へ]

(翻訳:Mizoguchi)