合法だからといって適正だとは限らない

企業は業界標準に準拠していることを吹聴しがちなもの。「プライバシー・シールド準拠」といったロゴ、スタンプ、あるいは何らかの表示を見たことのある人は多いだろう。私たちと同様、FTCですら数か月前に再認識させられたように、このラベルは最初から基準が満たされていることを意味するものではなく、ましてや数年後にようやく政府の査察の対象となったときに準拠することを示すものでもない。

画像クレジット:Westend61/Getty Images

Alastair Mactaggart(アラステア・マクタガート)氏は、CCPA(California Consumer Privacy Act、カリフォルニア州消費者プライバシー法)の推進を支援した活動家だが、CCPA 2.0への準拠を企業が自ら認証することを可能にする住民投票の実施を、まだ組織されていない政府機関に対して働きかけてきた。その種の広報活動は、プライバシーとセキュリティが重視されるような市場で、競争力を維持したいと考えている企業にとって必須のように思えるが、本当にそうだろうか?ビジネス上の配慮は別として、すべての既存のプライバシー関連の法律を遵守する道徳的義務はあるのだろうか?また、そのような法律への適用除外に依存するような企業は非倫理的なのだろうか?

私は、法律を遵守することと倫理的であることは同じであるという考えは認めない。片方がもう片方を自動的に意味するとも考えない。現実には、その判断は、コスト、顧客数、許容されるリスク、その他の要因に基づいた微妙なものとなる。さらに言えば、自発的な遵守を、信頼感の向上、あるいは利他主義的なものに見せかけることは、実際に消費者にとって有害なものとなる。なぜなら、現在のシステムでは、効果的でタイムリーな監視ができないし、実際に被った害に対して事後に対処するすべもないからだ。

適用除外に頼ることは非倫理的ではない

法律の遵守は倫理性とは直接関係ない。

その中心にあるのは、費用の検討と、その際の微妙な分析だ。プライバシー法は、立法者の希望とは裏腹に、白黒をはっきり付けるような施行ができるものではない。規制の対象となっていないデータの収集が、すべて非道なものというわけでもなく、自発的なものかどうかは別として、法律を遵守する企業が、すべて純粋に利他的だというわけでもない。ペナルティは金銭的負担となるものの、データ収集は多くの会社にとって収入源となる。さまざまなデータの大規模な蓄積から、知識と洞察が得られるし、他の会社も、そうしたデータにアクセスすることを必要とするからだ。

企業は、法律を遵守するためのシステムとプロセスの構築に加え、多くの場合、数千にも及ぶサービスプロバイダーとの既存の契約を改定するために必要となるコストと、そうした法律によって保護される消費者にサービスを提供できなくなることによる営業上の損失をてんびんにかける。

どの法律を適用するのか、という問題もある。ある法律を遵守することによって、免責を与えてくれていた別の法律によって提供される保護を無効にしたり、縮小させてしまう場合がある。たとえばある法律が、セキュリティを保護するために特定の情報を共有することを禁止していたとしても、別の法律は、それを開示することを要求するかもしれない。その場合、データと個人の安全性が低下してしまう。

厳格な法遵守が、プライバシーを重視する会社だという評判を高め、企業の地位を安泰にしてくれることもある。法律は最小限の基準であり、倫理は最大のものを規定することを意図している。たとえ不適合な法律であっても、それを遵守することは、文字通り会社にできる最小限のことだ。それにより、その会社は、それ以外の選択肢が選べなかったり、革新することができない状態に陥る。なぜなら、すでに期待された以上のことをしたとみなしてしまうからだ。こうしたことは、特に技術関連の法律の場合に起こり得る。というのも、立法側が、業界よりも遅れていたり、能力も低いことが多いからだ。

さらに言えば、何が倫理的であるかを決める人も、時間、文化、権力の力学によって異なってくる。全員を対象とする法律の文面を厳格に遵守するのは、同じデータでも異なる業界の企業は違った使い方をする、ということを考慮しないことになる。企業は、どのフレームワークを自発的に遵守すべきなのか、という疑問を抱くこともなく、1つのフレームワークに適合しようとするものだ。「そんなの簡単だ。最も高位で、強力で、厳格な標準を選べばいい」という声が聞こえてきそうだ。そうした形容詞は、みんな連邦プライバシー法について語る際に使われる言葉だ。とはいえ「最高位の」「最大の」「最強の」といった語は、すべて主観的であり、独立して存在できるものではない。特に国家がプライバシー法を、あれこれ寄せ集めて提示してきた際には注意を要する。

マサチューセッツ州は、影響を受けた消費者に対して、企業が詳細を提供することを禁止している。それが、「最大の」消費者保護を提供することだという人はいるに違いない。その一方で、カリフォルニア州が示す規範のように、可能な限り詳しい情報を提示することこそ、「最大の」保護を提供することだと信じている人たちもいるはずだ。どちらが正しいのだろうか?しかも、複数の州をまたいだデータの収集が行われる可能性も考慮しなければならない。そうしたことが起こった場合、どちらの法律が、そのような個人に適用されるのだろうか?

現在、政府機関は十分な監視を実施できない

運営者自身が法に準拠しないことが分かっているウェブサイトに、証明書を貼り付けることは、FTCによって不公平で詐欺的な行為とみなされている。しかし通常FTCには、初めての違反に対して罰金を課す権限がない。またFTCは、企業に対して消費者への補償を命じることができるものの、損害額を算出するのはかなり難しい。

残念ながら、プライバシー侵害による損害は、法廷で証明するのがさらに困難だ。もし勝訴したとしても、獲得した賠償金の大部分は弁護士のところに行ってしまい、個人が受け取る金額は、雀の涙ほどとなってしまう。最高裁判所が、「Clapper v. Amnesty Intern., USA. 133 S. Ct. 1138 (2013)」や「Spokeo, Inc. v. Robins, 136 S. Ct. 1540 (2016)」といった実際の判決で示しているように、詐欺の疑いや、データの損失、誤用によって起こった予想外の損害は、多分に推測的なもののため、訴訟を維持するのも難しい。

利用可能なリソースがほとんどない中、結果を求めて交渉する上で、このことがFTCを弱い立場に置くことになる。司法権は制限されており、銀行や非営利団体を統制することもできないため、FTCができることは、かなり限られているのだ。FTC長官のNoah Phillips(ノア・フィリップス)氏の言葉を借りれば、これは連邦プライバシー法のようなものを制定しない限り、変えることができない。データの利用と、それによる損害に明確な制限を設け、訴訟においては、そうした制限を強制する大きな権限をFTCに与えるものだ。

さらに、こうした法的な制約に加えて、FTCはプライバシーを扱う人員がが不足している。約40人の常勤の専任スタッフが、3億2000万人以上の米国人のプライバシー保護に当たっているのが実情だ。FTCがプライバシーを適切に規制するには、より多くの弁護士、より多くの捜査官、より多くの技術者、そして最先端のITツールを必要としている。それらがなければ、他の案件に対する人員不足を犠牲にしても、特定の調査に資金をつぎ込み続けるしかない。

監視機能を民間企業へアウトソーシングしても、今よりうまくいくとは限らない。理由は単純で、そうした認証は、特に最初の段階では、かなり高く付く。その結果、中小企業の競争力を損なうことになるからだ。さらに、企業内のプライバシー専門家や法務チームとは異なり、認証会社では、法律を文字通りに解釈しようとする傾向が強く、特定の業務におけるデータ利用法のモデルの微妙な違いに対応しようとはしない。

既存の救済策では消費者の損害に対処できない

例えば、ある政府機関が強制措置を実施することになったとしよう。現状では、そうした政府機関が持つ罰則の拘束力では、消費者が被った損害に適切に対処することができない。なぜなら、プライバシー法を遵守することは、するかしないかのオンオフではなく、しかも現在の制度が、金銭的な補償に重点を置いたものだからだ。

たとえ、法律を遵守するための行動が、あらかじめ定められていたとしても、遵守できるようになるには何年もかかり、遵守できていなかった期間に生じた結果に対処できない。

情報開示に基づく積極的な同意を得ていなかったとして、CNIL(情報処理と自由に関するフランスの国家委員会)がVectuaryに正式に警告した例を見てみよう。Vectuaryは、モバイルアプリのユーザーから位置情報データを収集し、小売業者にマーケティングサービスを提供していた。自主規制の協会、IABのTransparency and Consent Framework(透明性と同意のフレームワーク)を実装して開発した意思確認管理プラットフォームを使用したものだった。この警告が特に注目を集めたのも当然だ。Vectuaryは、確立された事業者団体のガイドラインに従っていたにもかかわらず、その同意が無効と見なされたからだ。

この結果CNILは、この方法によるデータの処理を停止し、その期間中に収集したデータも削除するよう、Vectuaryに通告した。この決定は、同社にシステムを再構築することを余儀なくさせたので、1つの勝利としてカウントしてもいいだろう。しかし、そうすることが可能な予算を持っている会社は、どれくらいあるのだろう。そもそも、規制に対処するためのリソースを持っているかどうかも怪しいというのに。さらに言えば、対応には時間がかかる。その間のビジネスモデルはどうなってしまうのか? 政府機関が定めた準拠までの期限の間、準拠していない状態が続くことは、論理的に許されるのだろうか?元のデータが削除されたとしても、すでにデータを共有した関係者や、そのデータを前提に構築した推察は、どうすることもできない。

自己申告による偽のプライバシー・シールド準拠対応策について検討してみると、さらに先行きが暗い。企業のサイトにあるプライバシー・シールドのロゴは、その会社としては、国境を越えたデータ転送が適切に保護されていて、なおかつ転送先の関係者は責任を持ってそのデータを扱うものと、その会社は考えている、ということを基本的に宣言している。従って、ある企業が、そうした基本的な宣言を偽って行なったり、一部の要求事項を満たすことができないことがわかった場合には、そのようなデータ転送は停止させる必要がある。もし、そうした転送が、その会社が提供するサービスの一部であった場合には、そのようなサービス自体を顧客に提供することを、直ちに停止するだけでいいのだろうか?

実際には、必ずしも適用されない法律を遵守しないことを選択するのは、顧客のことを気にかけていないとか、不道徳気にしないといった問題ではないだろう。文字通り「そういう仕組になっていない」ということ。それに、遵守しようとすること自体、消費者にとって何の利益も生み出さないのだ。それは、最終的に重要な、消費者のためになるのだろうか?

【編集部注】著者のPolina Arsentyeva(ポリナ・アルセンティエワ)は、かつて商事関係訴訟を担当する弁護士で、現在はデータ保護を専門としている。フィンテック企業やスタートアップ企業に対して、透明性を保ちつつプライバシーを守る革新的なデータの使用方法について助言している。なお、この記事で表明された見解は著者個人のものであり、彼女の会社、投資家、顧客、その他とは無関係だ。

原文へ

(翻訳:Fumihiko Shibata)