グローバル・エレクトロニック・コマース
フレームワーク発表から１年（前半）-7-

プライバシー保護については、5月14日の時点で、ゴア副大統領がプライバシー・アクション・プランを明らかにしている。これは、

1)個人の医療記録の開示等に係る個人の権利等を定めた法規制を導入すること、
2)企業が個人情報を無断で用いることを防ぐため、個人が苦情を申し立てることのできる新しいウェブサイトをFTCが運営すること、
3) 連邦政府機関が持つ個人情報の適切な利用確保のため、行政管理予算局（OMB）が各機関をレビューし、ガイドラインを策定すること、
4) インターネット上でのプライバシー（特に子供のプライバシーに焦点を当てて）の自主規制による保護の可能性と限界について、政府、産業界、消費者等が集まって議論するための「プライバシー・サミット」を商務省が開催すること、等を柱とするものであった。

　これに続きFTCは、6月4日、連邦議会に「プライバシー・オンライン」と題する報告書を提出した。それによると、1,400のウェブ・サイトを調査した結果、その92%がユーザーから個人情報を集めているが、それがどう使われるかを通知しているサイトは14%にしか過ぎず、さらに包括的なプライバシー・ポリシーを提示しているサイトとなると2%になってしまう。また212の子供向けサイトについては、89%が個人情報を集めているが、情報を提供する際に親の承諾を求めているサイトは23%に過ぎず、親による情報の修正と利用のコントロールが可能なサイトはわずか10%となっている。これらの結果についてFTCは、業界によるこれまでの自主規制努力は全く不十分とし、少なくとも12歳以下の子供から個人情報を集めるときには親の承諾を得なければならないとする法律を制定すべきとの提言を行っている。

さて、前述したデーリー商務長官の6月22日の講演の中で明らかにされていたように、翌日から商務省主催のプライバシー・サミットが開催されるのにぎりぎり間に合う形で、22日、50以上のIT関連企業、団体が「オンライン・プライバシー・アライアンス（OPA）」の結成を発表した。メンバーとして、IBM、マイクロソフト、AT&T、AOL、ヤフーなどインターネットの中核となる企業が入っているほか、AEA、ITAA、ITIなどのIT関連の主立った団体が加盟していることから、そのカバーする範囲は相当に広いと考えられる。OPAはオンライン上での個人プライバシーの保護につき、業界を挙げて推進することを目的とするもので、そのためのガイドラインや特に子供のプライバシーのセーフガード原則などを発表している。
（http://www.privacyalliance.org）

さてこのガイドラインでは、まず企業や団体などのウェブ・サイト運営者が各自でプライバシー・ポリシーを策定し、それをウェブ・サイトで明示するとし、少なくとも以下の項目が明示されていることが必要であるとしている。

◆ 集められる個人情報の内容
◆ その情報の用途
◆ その情報を提供する可能性のある第3者
◆ 情報の収集、利用、提供に関し個人に与えられる選択肢
◆ データの安全性についてのコミットメント
◆ データの品質の維持や消費者からのアクセスを確保するためのメカニズム
◆ もし個人が情報提供を拒否した場合の帰結
◆ 情報収集に関する責任体制
◆ 情報収集に関するコンタクト先

ガイドラインは個人への選択肢の付与を重視しており、個人は集められた個人情報が本来の収集の目的外で使われるような場合は、それがどのように使われるのか、どのような第3者へ提供されるのか等を知らされ、同意するかどうか検討する機会が与えられるべきで、最低でもそのような利用を拒否できる機会が与えられなければならないとしている。また、データの安全性については、サイト運営者は、データの紛失、誤使用、改ざんなどに対し適切な措置を取るとともに、情報を第3者に提供する場合は、その第3者にも同様の措置を取らせることが必要である。またデータが、間違っていたり更新が必要だったりした場合に、それらを修正する、あるいは消費者に直ちにアクセスしてもらって修正できるようなメカニズムを設けるべきで、それは容易かつ、別な人に改ざんなどを許さないような安全なものである必要があるとしている。

13歳未満の子供（以下、子供）のプライバシー保護に関する原則は、以下のようになっている。

◆ 子供のオンラインでのコンタクト情報は、事前に親の許可を得るか、あるいは、親に対する直接のノーティフィケーションとしてその情報の利用方法を明示するかをしないで集めてはならない。その場合、親は情報の利用や子供の活動への参加自体を拒否できる機会が与えられなければならない。このオンラインでのコンタクト情報は子供の要求に応える場合のみ利用可能とし、目的外で親の事前の許可なくして、再コンタクトのために利用してはならない。
◆ 子供のオフラインでのコンタクト情報は、事前の親の許可を得なければ集めてはならない。
◆ 事前の親の許可なく、子供から集めた個人情報を第3者に提供してはならない。
◆ 子供が自分のコンタクト情報を、親の許可なく公共に掲示したり他へ提供したりできるような機会を与えてはならない。子供向けのサイトは、子供がコンタクト情報を掲示したりしないよう最善の努力をする。
◆ 特別なゲーム、商品や活動への期待感を煽ることによって、その活動に参加するのに必要な情報以上のものを子供が漏らすようにし向けるようなことはしない。

さて、デーリー長官に叱咤されたこともあってか、OPAは、9月15日予定のところを7月21日に早めて、プライバシー保護に関するボランタリー・エンフォースメント・プログラムを発表している。このプログラムは、第3者機関によるガイドラインの遵守状況の監査を中核とするもので、遵守していると認められたウェブ・サイトには、消費者にわかりやすい合格のシールを表示することができるというものである。このシール・プログラムは、

1)シールをどこにいても受けられ、
2)包括的であり、
3) ウェブ・サイト運営者が容易に取得のためのアクセスができ、
4) 安価で取得し易く、
5) 権威があり、
6) シールの供給者（つまり第3者機関）が苦情処理まで行う能力を有している、などを特長として持たせるとしている。

監査は、サイト運営者の自己査定も含め、定期的にあるいは抜き打ちでも行い、ガイダンスから外れてしまっている場合には、改善を要求し、一定期間で改善されない場合は、シールを取り消すなど、権威を持たせるものとする。また、消費者からの苦情については、シール供給者が、サイト運営者と消費者に対して、苦情処理メカニズムを提供することとし、まずサイト運営者と消費者の間での問題解決を図らせ、それができない場合はシール供給者がメカニズムに従って解決に当たる。さらに、このシール・プログラムは、サイト運営者と消費者に、オンライン・プライバシーについて啓蒙をすることを含む。そのためには、シール受領サイトの公表や、シールが取り消された場合の公表、定期的監査の結果報告やさらにはガイドラインの遵守を拒むサイト運営者の政府機関への通報なども行うとしている。

さて、これらOPAの駆込み的な提言は、マガツィナー氏も、「このプログラムは我々が要求してきたものを全て満たすもので、後は実際にそうなっていくかをモニターすれば良いだけ。」と評価しているが、プライバシー擁護団体などは全てボランタリーというのではどこまでできるか疑問としている。そもそも、合格シールをサイトに示すというようなことは、OPAより1年早く設立された類似の非営利団体のTRUSTeも既に行っており、要はどこまで広くかつ厳格に行い得るかというところなのだろう。（因みにTRUSTeの承認シールは米国のヤフーやIBMなどのサイトのプライバシーのページを開くと表示されている。）

いずれにせよ、プライバシー問題は、このOPAの提言により大きな進展を見せたように思えるが、まだ商務省のプライバシー保護に関する最終報告が出されていないし、FTCが勧告している子供のプライバシー保護のための法制化も、どのようになっていくかは不明である。商務省の報告については、そのベースとなる「プライバシー保護の効果的な自主規制の要素」と題する商務省の外局である国家通信情報局（NTIA）内の文書が6月5日に公開され、7月5日までにこれに対する意見が求められている。全て商務省のサイトで読むことができるがあまりにも膨大であるため、最終報告が出てから見ることにしたい。
（http://www.ntia.doc.gov/ntiahome/privacy）