アメリカ西海岸に注目が集まっている。「無料」のオンラインサービスを受けるために消費者がシェアした個人情報の無制限の収集や使用、販売を、カリフォルニア州が規制したためである。長年に渡って、個人情報市場では、交渉が行われることはあまりなく、この種の個人情報の取引については、ほとんどの人が読まないであろうプライバシーポリシー内で説明されてきた。しかし、カリフォルニア州消費者プライバシー法(CCPA)は、自分の個人データにアクセスし、それを削除、転送、および、その販売を禁止することができるという画期的な権利を、消費者に与えることとなった。

 

そして、米国大陸の東海岸でも、CCPAと同様に革新的な、かつ、さらに重要な意味をもつプライバシーおよびデータセキュリティ法の制定が目指されている。ワシントンでは、議会は、史上初となる包括的なプライバシー保護とデータセキュリティ(PDS)を提供する法律制定を真剣に検討しているのだ。予期せぬ事態が重なっており、議会が2020年11月末に「消費者オンラインプライバシー権利法(COPRA)」というPDS法を現実に可決する可能性は、今までになく高くなっている。

 

詳細情報

CCPAもCOPRAも、最初のPDS法では決してない。約12の連邦法には、PDSに関連する条項が含まれている。しかし、それぞれが対象とする範囲は狭く、プライバシーとデータセキュリティの問題に広く適用できるものはない。以下に列挙するように、PDS法はパッチワークのように断片的である:

 

  • CAN-SPAM(Controlling the Assault of Non-Solicited Pornography and Marketing/迷惑メールの規制を定めた法律)
  • COPPA(Children’s Online Privacy Protection Act/自動オンラインプライバシー保護法)
  • FACTA(Fair and Accurate Credit Transactions Act/公正かつ正確な信用取引のための法律)
  • FCRA(Fair Credit Reporting Act/公正信用報告法)
  • HIPAA(Health Insurance Portability and Accountability Act/医療保険の相互運用性と説明責任に関する法律)
  • RFPA(Right to Financial Privacy Act/金融プライバシー権法)
  • TCPA(Telephone Consumer Protection Act/電話消費者保護法)

 

また、その他の関連規制もある。

 

  • DNC(Do-Not-Call/電話勧誘拒否制度)
  • Graham-Leach-Bliley Privacy Rule and Safeguards Rule(金融サービス近代化法)
  • Red Flags Rule(個人情報盗難防止に関する規制)
  • TSR(Telemarketing Sales Rule/テレマーケティング販売規制)

 

上記すべての法の草分けとなるFTC法(米国連邦取引委員会法)第5条は、これらの法律とその施行の基礎となっている。長年、FTC(米国連邦取引委員会)は、違反事業者に対する執行努力を主導し、業界にガイドラインを提供してきた。

 

FTCの消費者の保護に関する2012年レポートでは、事業者に向けたベストプラクティスが示されている。同レポートでは、推奨事項として、プライバシー・バイ・デザイン(製品開発のすべての段階における消費者のプライバシーを考慮する必要性)、トラッキング拒否メカニズム、透明性の向上などが挙げられている また、2012年に、FTCは、議会に対し、一般的なプライバシー法、データブローカー規制法、データセキュリティおよび違反通知法の制定を検討することを推奨した。

 

既存のPDS法は、恐ろしく複雑な連邦法に分散されているだけではない。さらに、50の州の法律にわかれている。50の州議会すべてが、データセキュリティ侵害法を可決しており、改正を続けている。一連の州法は、実店舗においては、比較的扱いやすいものであった。しかし、今ではコンプライアンスの悪夢となっている。非常に多くのPDS法が存在し、Tolkienが想像したかもしれないような解決策の必要性が生じている。それは、すべてを網羅し規制する1つの法律である。驚くべきことに、議会は、COPRAという形態を持ち出し、それを実現するためにステップアップしたように思われる。

 

なぜ、今なのか? 1つは、シリコンバレーが狙われやすい政治的標的となっているからである。FacebookとGoogleの築いている莫大な富は、消費者が無料のオンラインサービスと個人データの公正な取引において、公正な対価を得ていないことを示唆している。

2つ目は、FTCは、これらの各企業に対してデータプライバシー侵害に対する訴訟を提起したが、民主党の議員がより公正な行動を促すにはあまりにも低い金額だと民主党議員が失笑した金額で和解していることである。

3つ目は、ケンブリッジアナリティカ・スキャンダルによって、如何に、プロファイリングが不正な目的に利用される可能性があるかが明確になったことだ。

4つ目に、欧州連合のGDPRによって、消費者が自分の個人情報をコントロールすることを可能にするモデルが提示されたことである。欧州のPDS法は無視される可能性があるが、カリフォルニア州が単独で、GDPRよりさらに踏み込んだ法律を制定したことは米国議会にとっては屈辱的である。そして、企業は、各州が規定する50の包括的(かつ矛盾する)PDS法に対応しなければならない脅威に晒されることとなった。

 

全米を対象とする法律制定の必要性

急速に進化する現在の州法執行の分野では一般的なことであるが、通常は連邦法に反対する企業が、各州法への対応を回避するために、連邦法を望んでいる。昨年の春、4つの主要なオンライン広告取引組織(4A’s/アメリカ広告代理店協会、ANA/全米広告主協会、IAB/ネット広告協会団体、NAI/ネット広告サービス業界団体)がトップの法律専門家と連合を組み、議会と連携して包括的な消費者データのプライバシーとセキュリティに関する法律を支持した。その連合組織であるPrivacy Americaは、FTC内に新しいデータ保護局を設置することを推奨している。

 

何年もの間、オンライン広告業界は自主規制により連邦規制を回避しようとし、消費者にオンラインターゲティングからオプトアウトするメカニズムを提供してきた。しかし、ユニバーサルなDo-Not-Track(DNT/追跡拒否機能)オプションへの取組みは失敗に終わった。主要なブラウザは、DNT設定を追加したが、WebサイトにはDNT設定を追加する法的義務はないからである。

 

一般的に消費者は、広告でサポートされているウェブサイトでは、オンラインコンテンツが「無料」であることを理解している。しかし、広告が追加の収入源となっているeコマースサイトにも広告は表示され、従来の広告サポートモデルは拡張されている。 消費者が、ウェブサイトに支払われる広告インベントリの価格が、そのサイトのオーディエンスの絞り込みと相関関係にあることを理解しているかどうかはわからない。

 

広告テクノロジーにより、広告主から委託された広告代理店による各広告インプレッション(表示される各広告スペース)へのリアルタイムでの入札送信が可能となった。また、アドテックによって、消費者は、トラッカーのブロックだけでなく、広告を完全にブロックすることも可能になっている。アドブロッカーを使用する各消費者は、フリーライダーとなり、ウェブサイトには、ブロックされていない広告インプレッションからより多くの収益を生み出さなければならないというプレシャーをかける。その結果、アンチアドブロッキング技術を購入するために、コンテンツ制作費を削る事態になっている。

 

匿名ブラウジングとIPアドレスを変更する機能を提供するテクノロジーもある。ソフトウェア開発者は、プライバシー強化ツールを開発し続けており、最もテクノロジーに精通した消費者は、これらの自助手段を利用して自分のプライバシーを保護している。しかし、それ以外の消費者はどうなるのだろうか?

 

現在、上院商業委員会に2つの立法案が提案されているが、COPRAは何とか脚光を浴びることとなった。上院の支持議員の要望に応えた「民主党法案」であるCOPRAは、米国のすべての事業セクターに適用される包括的なDPS制度を構築することを目指している。

 

提案されているCOPRAによって、アメリカの消費者が自分の個人データに対する権利を有していることが初めて証明されることになる。COPRAの下で保証される権利には、データにアクセスする権利、データを移動する権利、データの共有と販売を制限する権利、およびそのデータを処理する権利を付与(または保留)する権利が含まれる。

 

COPRAには、多くの提案が含まれている。しかし、残念なことに、議会の評価をあげなければならない運命にある討議草案と同程度の立法法案にすぎない。以下は、この法案または別の法案において、立法プロセスを生き残る可能性が高いと考えられる条項である:

 

  • データの一部を管理する消費者の一連の権利の確認
  • 消費者の権利をビジネスに提供する情報以外にも拡大して及ぶとする「対象となるデータ」の定義。
  • データにアクセスし、レビューし、修正する消費者の権利。
  • 個人データの一部の販売をコンロールする消費者の権利。
  • 消費者に関する個人データの少なくとも一部がどこから発信されたかを企業が開示する義務。
  • プライバシーポリシーの掲載、トレーニングの作成、および企業の履行に関する適切な連邦機関への報告を含む、データを保持する企業の消費者に対する強制義務。

 

歴史的な背景を考慮すると、他の提案規定は通過する可能性が低いと思われる。両議会で可決される法律は、消費者がその出所に関わらずすべての個人データを管理する包括的な権利、つまり、包括的な「オプトイン」PDS制度、データを自由に移動する権利、損害賠償の私的請求権を含むことはまずないだろう。

 

ニュースで世間を騒がせた1つの規定(しかし、それは懐疑的に取り上げられた)は、プライバシーとデータセキュリティの問題を処理するために、FTC内に新局を設置するという提案である。FTCが、30年近くにわたってPDSに関する最も一貫した規制機関であったことは事実である。その歴史を考えると、PDSの規制機関がFTCの管轄となることは論理的であることも事実である。

 

しかし同様に、最近の経緯でも、懐疑的な見方がされている。FTCは、消費者金融慣行の新しい規制機関を管轄する理想的な機関であったが、最終的に、CFPB(米国消費者金融保護局)がFTC内に設置されることはなかった。さらに、懐疑的であるもう一つの理由は、FTC委員が連邦議会で証言し、議員に新局設置に反対するように要望する奇妙な光景があったことである。

 

共和党の法案は、州法を未然に抑え込むという点で民主党の法案とは大きく異なり、CCPAと同様に、私的請求権を認めていない。共和党と民主党の両方の法案は、FTCにより多くのリソースを提供するためのリップサービスであった。

 

eコマース企業のチェックリスト

私たちが直面している歴史的な瞬間、つまり、PDS法成立に向けた差し迫った状況、独自のアプローチをとり急速に法制定を進める全州、そして、法律を通過させることができない議会の象徴的な不能を考えると、eコマースビジネスは何をすべきだろうか?

ここにいくつかの提案をしたい:

 

  • データ監査の実施。何のデータを持っているのか、どこから収集したのか、どこに保存しているのか、どこへ転送するのか?必要のないデータは、収集を停止する。これは、基本的なデータの健全性を保つのに必要なことである。
  • インバウンドとアウトバウンドの両方向における契約を締結。
  • データストレージ契約のデータセキュリティ条項を確認。 契約条件について、驚くほど不適切な契約条件が存在する可能性がある。
  • データ侵害保険を確認。
  • データ侵害が発生した場合の契約上の義務を確認。無制限の補償に注意しなければならない。
  • 自社の現時点での実際の法的責任が何であるかを確認。EUでビジネスを行う場合は、GDPRに準拠する必要がある。(GDPRの専門家である米国弁護士に依頼すること)カリフォルニアでビジネスをしている、またはカリフォルニアに事業所がある場合は、CCPAに準拠しなければならない。自社が関連する州法を確認すること。州法は、GDPR、CCPA、または今後制定される連邦法よりも、ビジネスに直接的な影響がある。
  • 既存のPDS法および規制のコンプライアンスをアップデート。現在のところ上記の連邦法と規則のパッチワークが、準拠すべき法律である。既存の法律を順守することで、ワシントンで今後制定されるあらゆる連邦法へ対応を回避することは全く可能である。少なくとも、コンプライアンスプログラムを更新または改良することは、次に制定される大規模な法律に取り組むための優れた基盤となる。
  • 事態が明らかになる前に、今すぐ、PDSに大きな投資をしなければならない場合、例えば、コンプライアンスプログラムをゼロから開始するとしよう。最善の策は、現在の連邦P DS法と地元の州法の要件を遵守することである。連邦または州の規定が明確に適用されない場合には、選択するための情報源としてCCPAを使用できる。(たとえば、現行連邦法では、企業がWebサイトにプライバシーポリシーを公開したり、Webサイトにプライバシーポリシーリンクを配置したりすることを明示的に要求していない。しかし、CCPAではそうなるだろう。最終的に可決される連邦法では、CCPAの両方の要件が規定されると予測すべきである。)

 

どのようなケースでも、自社の状況がどうであれ、適切な助言を提供する経験豊富なコンプライアンス弁護士を見つけることが重要である。多くのeコマース企業は、その問題があまりにも負担となっているため、コンプライアンスプログラムについての議論を避けている状態だ。

 

真実としていえるのは、包括的なコンプライアンス構造を構築するためにゼロから始める必要は全くないということである。それは、コンプライアンス弁護士が現時点で必要なコンプライアンスポリシー、後で対応すればいいもの、不要なものを特定することで、優先順位付けをサポートしてくれるからである。

 

※当記事は米国メディア「E-commerce Times」の1/28公開の記事を翻訳・補足したものです。