【編集部注】執筆者のChristine Bannanは、2016年度のEdelson PC Consumer Privacy Scholarship奨学生で、ノートルダム大学ロースクールの第三学年に所属。Electronic Frontier Foundationリーガルインターン。
モノのインターネット(IoT)が普及する中、消費者は企業による監視やデータ漏えいに屈しないためにも、セキュリティや個人情報保護対策の改善を訴えなければならない。しかし、変化を訴える前に消費者はまず現状を知る必要があり、そのためには各企業の透明性の向上が必要になってくる。
IoTの最も危険な部分は、消費者がどんなデータがどのような経路で集められているかわからないため、気付かないうちに少しずつ個人情報をさらけ出してしまっているということだ。モバイルアプリやウェアラブルデバイス、その他のWi-Fiに接続された製品が市場の「スマートじゃない」デバイスを代替していくにつれ、消費者は自分たちを監視する機能を備えた製品しか購入できなくなってしまっている。消費者にとって家電をアップグレードすること自体は普通のことだが、新しいデバイスが自分たちを監視することになるとは気付かないことがほとんどだ。
先日、電子フロンティア財団(Electronic Frontier Foundation、EFF)に所属する活動家が、Samsung製Smart TVのプライバシーポリシーとジョージ・オーウェルの「1984」内の一節との不安になるような類似点をツイート上で指摘した。Samsungのプライバシーポリシーには、消費者に対して製品の近くで公にできないような内容の会話をしないようにという注意書きがされていたため批判が殺到し、Samsungは問題となったプライバシーポリシーを変更の上、Smart TVのデータ収集方法について明らかにしなければならなかった。
しかし、ほとんどの人が購入したデバイスやダウンロードしたアプリのプライバシーポリシーを読まないばかりか、もし読もうとしてもポリシーのほとんどが法律用語で構成されているので、普通の消費者には理解できないようになっている。同様に理解不可能な利用規約がデバイスには通常同梱されていて、そこには消費者が製品で損害を被ったとしても裁判所で争うことができないように強制的仲裁条項が含まれているのだ。その結果、消費者のプライバシーは損なわれ、本当の意味での改善策もない状態で放置されてしまっている。
企業の透明性の向上は急を要する課題であり、IoTを利用する消費者のプライバシー向上のための施策の基礎となってくるだろう。そして企業の透明性の向上は、業界の自主規制か政府による規制にもとづいて、各企業がデータを収集する前に消費者から十分な情報提供に基づいた同意を得なければならないようにすることで実現できるだろう。
消費者はどのようなデータが集められ、それがどのように利用されているかという情報を要求しなければいけない。
ほとんどの場合、消費者がプライバシーの向上を求めれば業界団体がそれに応じるだろう。例えば、新車購入者がスマートカーのセキュリティや個人情報の扱いに不安を抱いているという調査結果への対応として、自動車工業会(Alliance of Automobile Manufacturers:自動車メーカー12社から成る業界団体)はプライバシーに関する基本原則をつくり、各社が従うことになった。
企業は業界全体で通用するサイバーセキュリティや保有データの最小化に関するベストプラクティスを構築し採択することで自己規制を行うことができる。ユーザーデータを収集するのであれば、収集する側の企業がデータ保護の責任を負わなければならない。逆に言えば、データ保護の責務を負いたくないのであれば、最初からデータを集めなければいいのだ。
Fitbitのように、自社のテクノロジーとプライバシー情報が密接に絡み合った企業も存在する。業界毎の自己規制を導入する利点は、顧客のニーズや集めるデータの敏感さに基づいた各業界の基準を設定できることにある。
多層構造のプライバシーポリシーこそ多くの企業で採択されるべきベストプラクティスで、クリエイティブ・コモンズ・ライセンスがその良いモデルとなり得る。クリエイティブ・コモンズ・ライセンスは、「法典」レイヤー、「一般人が理解できる」レイヤー、「機械が理解できる」レイヤーの3つの層から構成されている。
「法典」レイヤーは、実際のポリシーとして弁護士によって制定され、裁判官が参照することになるもの。「一般人が理解できる」レイヤーは、平均的な消費者が理解できるように、プライバシーポリシーを平易な文章で簡潔にまとめたもの。そして「機械が理解できる」レイヤーは、ソフトウェアやサーチエンジン、その他のテクノロジーが理解できるようなコードを指し、消費者が許可した情報にのみアクセスできるように設定されたものになるだろう。
このようなベストプラクティスは、消費者のプライバシーを保護する上で大きな進歩となるだろうが、それでも十分とは言えない。さらに企業が消費者との約束に法的責任を負うようにならなければいけないのだ。多くの業界で、利用規約に紛争前の強制的仲裁条項を含むのが一般的になっている。この条項によって、消費者は裁判で賠償を求めることができなくなってしまうものの、このような条項は判読できないほど小さく印刷されており、消費者はそれに気付かない場合がほとんどだ。
また、消費者金融保護局(Consumer Financial Protection Bureau)によって、集団訴訟を禁じた仲裁条項がさらに公益を害していることが判明した。というのも、裁判を通じて企業で何が行われているかを知るようになることが多いため、訴訟無しでは消費者がそのような情報を手に入れることができないのだ。そのため当局は、大方の消費者向け金融商品やサービスについて強制仲裁条項を禁じることを提案した。
教育省も私立の教育機関に対して、紛争前強制的仲裁契約の利用を禁止し、彼らの食い物にされてしまっている生徒に学校を訴える権利を与える制度を提議した。連邦取引委員会も、IoT製品を扱う企業による紛争前強制的仲裁契約の利用を禁じるような制度の発案を検討すべきだ。
この問題は無数の業界に関係し、様々なプライバシー問題に示唆を与えるとても複雑なものであるため、有効な解決策を考案するにあたって、消費者、企業、政府の3者が協力し合わなければならない。消費者はどのようなデータが集められ、それがどのように利用されているかという情報を要求しなければいけないし、企業は消費者の期待に沿ったベストプラクティスを構築する必要がある。
そして連邦取引委員会は、自社で策定したプライバシーポリシーに反する企業に対して、不正を正し、消費者への説明責任を果たさせるような法的措置をとるべきだ。さらにはプライバシーが侵されたときに消費者が訴因を持てるよう、紛争前強制的仲裁条項の禁止についての検討を行うことにも期待したい。
しかしそれよりも前に、消費者はIoTデバイスがどのようなデータを集めているのかについて知ろうとしなければならない。
[原文へ]
(翻訳:Atsushi Yukutake/ Twitter)
