米国におけるオンライン･プライバシー問題への取組み -7-

　1995年10月、EUはデータ･プロテクションに関する総合的なディレクティブ（指令）を承認した。この中でプライバシー問題については、各国に3年以内（98年10月まで）に法制化による保護を開始することを求めるとともに、"adequate"なレベル（つまりEUと同程度）のプライバシー保護を達成していない国に対するEUの個人情報の移転を禁ずると規定した。これに対して自主規制で対応しようとしている米国は反発したが、何らかのガイドラインを策定することで折り合うと言うことで了解した。そうは言いながらも米国には、EUでもそのような法規制をすることは難しいはずとの観測もあり、例えば98年8月25日に、大統領顧問のアイラ･マガジナー氏は、民間団体主催のインターネット関連の会合で、「EU指令については、まだEU15カ国のうち3カ国しか法案を通していないなど、足並みが揃っているわけではなく、再考させることはできると信じている」と語ってさえいる。

　しかし、本件の責任を負っているDOCは、EUとの交渉を継続し、98年11月4日に、国際貿易担当次官のデビッド･アーロン大使から産業界へのレターと言う形で、セーフハーバー原則の案をEUとの間で見出したとの発表を行った。（http://www.ita.doc.gov/ecom/menu.htm）

　米国、EUともこれに対する意見を求めて修正を加えつつ、さらに交渉を続けて、99年4月19日、再度アーロン大使からほぼ同様の形式をとりつつ、セーフハーバー原則の第2次案の発表がなされた。同原則案は11月の案とほとんど変わらず、7つの項目の名称もそのままであり、概要は以下の通りである。

1. 通知：企業は個人データ収集の目的や苦情連絡先を通知しなければならない
2. 選択：個人は個人データを企業が使ったり第3者に提供したりする際にその可否を選択できる
3. 第3者への提供：提供される第3者も1、2を満たしていなければならない
4. 安全：企業は個人データの紛失、誤使用、不正アクセス、改変などが起きないよう安全に管理しなければならない
5. データの一貫性：個人データは収集された目的に沿った形での加工のみ許される
6. アクセス：個人は企業が持つ個人データにアクセスし、必要な修正などを行うことができる
7. 強制措置：個人から苦情を受けた場合の調査、救済、制裁の仕組みを作る

　発表に際してDOCは、米国の民間のプライバシー･プログラムを遵守していれば、それで問題ないとのコメントもつけて、このセーフハーバー原則に参加することで得られるベネフィットを、以下のように説明している。

1. EUの15メンバー国がUS/ECの了解に従う
2. この了解により、セーフハーバー内の企業は十分なデータ保護をしているとの仮定が作られ、それらの企業へのデータの流れは継続する
3. 米国企業への苦情は、原則に従っていないという苦情に限る。欧州の消費者はまず米国企業に対して苦情対応を要求し、もし果たされない場合、デュープロセスにより米国企業の苦情対応が保証される。
4. 全般的に、欧州コミッションだけが、メンバー国の代表と協力しつつ、EU国から米国企業へのデータの流れをさえぎることが出来る。
5. 米国企業はセーフハーバー原則を導入するための猶予期間を持つことになる。

　DOCとEU DGX Vはそれぞれ5月10日までに民間の意見を求め、数週間の協議を行った後、6月21日に予定されている米−EUサミットで最終合意に至ることにしたいとしている。5月14日時点で米国では50を超える意見が寄せられているが、概ね好意的であり、特に求めているのは猶予期間を長く取って欲しいと言うところである。しかし、5月27日付けのニューヨーク･タイムズ紙では、米EUの隔たりは大きく（例えば猶予期間を米国は2年は欲しいとしているところ、EUは半年としているなど）、6月のサミットでの合意は難しいなどの報道もなされており、先行きは必ずしもはっきりしていない。但し、米国のプライバシー･ツァー（大統領任命のプライバシー問題顧問）のピーター･スワィア氏は、双方ともまとめなければならないという強いインセンティブがあり、意見の隔たりなど"small stepping stone"に過ぎないと、当方からの質問に答えてくれた。

　なお、このピーター･スワィア顧問は、3月に大統領から任命され、5月1日からOMB（管理予算局）に籍を置くChief Counselor for Privacyに就いている。もともとはオハイオ州立大学の法学部教授で、最近はDOCのアーロン大使の特別顧問としてセーフハーバー交渉を支えていた人物である。OMB自体は連邦政府機関のプライバシー保護問題に対する責任を有しているが、同顧問は政権全体のプライバシー政策の調整にも当たることになるようである。と言っても、プライバシー問題はFTCやDOCがずっと中心的な役割を果たしてきていることから、OMBに席を置く顧問ということでは、かつてのEコマース全体を見るマガジナー顧問や、Y2Kのコスキネン顧問のような広い権限はふるえないのではないかとの観測もあるようである。しかし、いずれにしても個人を指名して全体の調整の責任を与えるというクリントン政権のやり方は、以前も言ったように大変効果的なやり方ではないだろうか。でも、早速プライバシー擁護団体から苦情をぶつける標的とされているようであり、例えば「The Center for Democracy and Technology」（http://www.cdt.org）は、CIAや厚生省など連邦政府機関の約半分の22機関がきちんとしたプライバシー･ポリシーをホームページに掲げていないのは問題との手紙を同顧問宛てに送ったりしている。

おわりに

　オンライン･プライバシー問題について調べていると、無頓着だった私もやや心配になってきた。毎日何時間もインターネットに入り込んで、あちらこちらを飛び回っているし、仕事柄？いかがわしいサイトにも立ち入ったりしているので、もし私をプロファイリングするとしたら、どんな人物と言うことになってしまうのか。それに、クリントン大統領がそうならないようにすると言ったところだが、もし銀行で融資を受けようとして窓口で、「あなたは先週受けれた人間ドックで肝臓の再検査が必要と言われていますから、融資はお断りします」などと言われたら絶句してしまうだろう。確かに、それに近いことは現実に起こっているはずである。プライバシー保護をがんじがらめにすべきとは思わないが、米国くらい真剣な対話が徹底的に行われることがやはり必要なのだろう。

(出典等)
本文中に表示しているものの他、FTC、DOC等米政府のウェブサイト以外に、主に参照した資料、サイト等は以下の通り。

1. "Privacy Law In the U.S.A.," Ronald B Standler, 1997 (http://www.rbs2.com/privacy.htm )
2. "Washington Report: Privacy Legislation: Which Route for the 106th ," Robert R. Belair, Washington Report, April 1999 (http://www.privacyexchange.org.news/archives/usn/washreport9904.html)
3. "Protecting privacy and Security of Personal Information in the Global Electronic Marketplace," Peter Gray, Internet Consumers Organization (http:www.ftc.gov/bcp/icpw/comments/ico2.htm)
4. 法源：論文及び資料：新保史生 (http://www.fumio.org/research/papers.html)
5. Americans for Computer Privacy http://www.computerprivacy.org/
6. Electronic Privacy Information Center http://epic.org/
7. Internet Privacy Coalition http://www.privacy.org/ipc/
8. Privacy and American Business http://www.pandab.org/
9. PrivacyExchange.org http://www.privacyexchange.org/