今週は、EUの「忘れられる権利」運用に向けた動き、iOS 8におけるiCloudの新しいプライバシーポリシーなどについてとりあげる。各ニュースの詳細については、原文のリンクを参照されたい。
制度・法律
「忘れられる権利」の適切な運用に向けて、各国ごとに対応にばらつきがないようにガイドラインを定める動き。
EU、「忘れられる権利」の申し立てに対するガイドライン策定に向けて議論(EUR ACTIVE)
EU preparing guidelines for 'right to be forgotten' complaints
欧州当局は、自分の名前で検索した結果の削除を検索エンジンに拒否された人々から、各国規制担当者へ不服申し立てがなされた場合のガイドラインを作成している。今年11月末を目標に策定され、市民からの申し立てをカテゴリーごとに分類することで、当局による市民の情報アクセス権とプライバシーとの比較検討を支援するためのもの。これまでGoogleには12万件を超える削除要請が寄せられているが、仏CNILおよびデータ保護指令第29条作業部会のイザベル・ファルク・ピエルロタン氏は「Googleの対応は一貫性を欠く場合がある」とコメントしている。
上記の議論の流れを受けて、担当者による適切な運用を支援するツールを用意することが決定。
プライバシー保護を前提としたシステム開発のガイドラインは、事業者側のリスク回避のためにも必要。
米国立標準研究所が、プライバシーエンジニアリングのガイドライン策定に向けた議論を開始(INSIDE PRIVACY)
NIST Works on Building Privacy Engineering Guidelines
アメリカ国立技術標準研究所(NIST)は、プライバシーエンジニアリングのガイドライン策定に向けてワークショップを実施。このガイドラインは個人情報を扱う情報システムのデベロッパーを対象にしたもので、利用者のプライバシー侵害リスクを減らすため、デベロッパーがリソースの適切な配分と管理を実行することを目指している。NISTが提案するプライバシーエンジニアリングの基準は、1)利用者側が個人情報の収集と取り扱いについてあらかじめ納得できる条件を提示しておくこと、2)利用者が収集された個人情報を後から修正可能なこと、3)収集された情報へのアクセスと開示に適切な制限を設けること、という3点からなっている。
シンガポールでも、日本での施行時と同様に、しばらくは混乱が続くのだろう。
シンガポールで個人情報保護法が成立(asiaone)
Personal Data Protection Act clarified
シンガポールでは2014年7月2日から個人情報保護法が全面的に施行された。これ以降、クレジットカード会社は、慈善団体による寄付募集のダイレクトメールをカードの請求書に同封することができなくなった。寄付以外のマーケティング目的のパンフレットでも同様に扱われ、今後企業はこうしたマーケティングを行うためにはあらかじめ顧客から同意を得る必要がある。また、7月2日以前からこうしたマーケティング活動を行っていた事業者に限っては継続できるが、顧客に対してオプトアウトの手段を用意しなければならない。
Googleに対する欧州側からのプレッシャーが続いている。
さまざまな場面でスノーデン事件の影響が続いている。ドイツでは自国の事業者による他国政府への協力に対して調査を表明。
ドイツの主要通信会社が米英の盗聴に協力、独当局が調査を表明(Fierce Wireless Europe)
Leading German telcos face NSA, GCHQ spy probe
独当局は、米国NSAおよび英国GCHQが、ドイツテレコムを含む主要通信会社から情報を取得していたとして、詳しく調査する予定だという。エドワード・スノーデンの告発に端を発するプライバシー侵害騒動が波及したもので、ドイツテレコム等は証拠がないとしているが、衛星オペレータのStellar PCSは認めているという。NSAとGCHQは「トレジャーマップ」というプログラムで防諜を行い、その活動地点は疑惑が報じられている企業の所在地と一致しているという。
ビジネス
Appleから政府に対する反発の動きか。ただしiCloudの扱いはそのままのため、一般ユーザーにとっては大きな変化はないのかもしれない。
iOSデバイス内の保存データを暗号化、本人以外は復元不可能に(New York Times)
Apple Says iOS 8 Update Keeps Data Private, Even From the Police
アップルは、iOS 8へのアップデートによってiOSデバイス内に暗号化した形で保存されたデータが、ユーザーが設定したパスコード以外で復号化が不可能であることを明らかにした。従来は警察の捜査令状がある場合、ユーザーのパスコードがなくてもAppleによってデータの復元が可能だったが、それが原理的に不可能になった。ただし、iCloud上に保存したデータは、政府からの要請により提供できる。同時にアップルは新しいプライバシーポリシーを発表、同社が収集する情報としない情報について明らかにし、また政府からの情報提供要請への同社の対応手順も明らかにしている。一方で、顧客情報の第三者提供をビジネスにしないことも明言している。
欧州でビジネスをする米国企業のコンプライアンスへの取り組みが、事業上の強みになるという事例。
欧州での事業展開にはデータ・プライバシーへ包括的な取り組みが重要(Forbes)
Data Privacy -- Embrace The Positives
EU米国間では、データ・プライバシー保護に関してセーフハーバー規則に基づいた取り決めがなされており、それに従って欧州で事業展開する米国企業は多い。だが、欧州ではセーフハーバーを認めない国もあり、さらにEU以外の国では全く認められない。NetApp社では、法務部門が主導して情報保護プログラムを策定。セーフハーバーだけに頼らずに、独自のコンプライアンス方針をとる戦略的決断によるもの。包括的なデータプライバシープログラムはコストが掛かるが、適切に設計と運用を行えば競争優位になるだろう。
自動車のプローブデータの可能性は各所で論じられているが、データの収集と利用に際してユーザーへの説明と同意に関する議論は足りていない。
ネット接続した自動車が生み出すデータ収集への懸念(The Telegraph)
The car of the future will create 'history'
自動車のネットワーク接続により利便性が高まる一方で、自動車の運転履歴が新たなデータ・プライバシーの懸念を生み出している。今後、自動車の運転前の安全確認と同時に、プライバシーポリシーへの同意が必要となるかもしれないが、メーカーによる情報共有に関する説明はあいまいな表現が多く、理解な不十分なまま包括的な同意を与えてしまう可能性が高い。規制当局による情報保護の枠組みは堅牢だが、新しくデータ収集機能を備えたデバイスでは利用者側の理解が足りないために、問題も起きやすい。
調査・ケーススタディ
フランスのプライバシー・コミッショナーへの個人への申し立てで、もっとも多いのはインターネット・通信分野に関するもの。