WirelessWire News The Technology and Ecosystem of the IoT.

by Category

海外プライバシー・パーソナルデータ関連情報(2014/12/09号)

2014.12.09

Updated by WirelessWire News編集部 on December 9, 2014, 18:00 pm UTC

201412091800-1.jpg

クッキーに代わってネット広告で用いられてきたdevice fingerprintをEUが規制に乗り出してきた。そのほか、プライバシー保護強化の流れと、それに企業や国家がどう向き合うべきか、示唆に富んだニュースが多い。各ニュースの詳細については、原文のリンクを参照されたい。

制度・法律

抜け穴となっていたdevice fingerprintを明確にクッキーと同一視する流れ。今後はデバイスやブラウザに、同手法のオプトインまたはオプトアウトが実装されることになるかもしれない。

EU規制当局がクッキーに次ぐユーザー追跡技術「device fingerprint」に警鐘、規制する方向に動き出す
Europe's next privacy war is with websites silently tracking users
EUの保護指令第29条作業部会は、クッキーとは異なる方法で密かにユーザーを追跡する手法についてレポートし、規制すべきとの意見を明らかにした。「device fingerprint」はIPアドレスなど複数の情報を組み合わせることで、クッキーを使わずにモバイル端末を特定する技術で、現在は特に規制されていない。29条作業部会は、この技術をクッキーと同等と見なし、ユーザーの許諾を得て利用すべきとの意見を公表した。最終的な規制は、各国の規制当局の判断にゆだねられるが、イギリスのデータ保護規制機関は規制すべきとコメントしている。

未成年が過去の過ちを取り消せ、また未来において過つ可能性を最小限にする措置。

カリフォルニアでネット上の未成年保護新法がまもなく施行、事業者は対応を迫られる
United States: California Enacts Law Protecting Minors Digital Privacy Rights
カリフォルニア州では、ネット上で未成年のプライバシーを保護する新法がまもなく施行される。同法は未成年の投稿を随時削除できる方法を準備することのほか、未成年への広告を制限している。このため対象サイトが「未成年向け」かどうかが重要となり、サービス提供者は自らのサイトが、未成年を対象とするかどうかを明確にし、新法に応じた対応が必要となってくるため注意が必要となる。

個人情報の利用による企業の経済的利益を否定せず、保護とのバランスを説いている。

個人情報は個人の財ではないがコントロールする権利がある、29WP議長がインタビューに応える
Isabelle Falque-Pierrotin : ≪Ceux qui pensent etre proprietaires de nos donnees se trompent?≫
保護指令第29条作業部会(29WP)のファルク-ピエロタン議長が、個人情報に関する質問に答えた。特にプロファイリングについては、その精巧さから規制当局としても無視できないもの。当事者は一定のコントロールする権利があるが、それは企業の経済的利益を追求する権利とのバランスが必要だとしている。また、サービス規約とEU法が矛盾している場合はEU法が上位となり、EU外の企業が提供するサービスであってもEU法による個人情報保護が及ぶという。

予定されていたガイドラインが公開。予想されていたとおり、EU外のサービスへの適用など検索エンジン側(=グーグル)に厳しい対応を求めるものに。

EU当局が「忘れられる権利」の執行ガイドラインを公開、グーグルの現在の実施内容とはズレも
EU wants 'right to be forgotten' ruling to extend worldwide
EU当局が公開した「忘れられる権利」の執行に当たって検索エンジン事業者を対象にしたガイドラインでは、「.com」などのEU外のドメインのサービスも適用対象としている。これに対してグーグルは、ガイドラインはまだ見ていないが「注意深く検討する」とコメント。また、保護規則第29条作業部会のピエロタン議長は、削除対象となったURLの管理者に対してグーグルが通知したことを「通常はすべきではない」と否定的なコメントをしている。

こちらはガイドラインの本文。詳細を知りたい場合はこちらを参照のこと。

欧州司法裁判所が「忘れられる権利」のガイドライン公開、対応する検索エンジンに一定の基準を示す
GUIDELINES ON THE IMPLEMENTATION OF THE COURT OF JUSTICE OF THE EUROPEAN UNION JUDGMENT ON "GOOGLE SPAIN AND INC V. AGENCIA ESPANOLA DE PROTECCION DE DATOS (AEPD) AND MARIO COSTEJA GONZALEZ" C-131/12
欧州司法裁判所は「忘れられる権利」の執行に関するガイドラインを公開。それによれば、検索エンジン事業者は個人情報を扱うサイトとして通常のウェブサイトとは区別されることが明記されている。また削除を求める個人と社会との利益のバランスも重視しており、公人に関する闇雲な削除は推奨していないほか、情報元のウェブサイトからの削除も認めていない。そのほか、削除を実施する検索エンジンはEUだけでなく.comも該当しすること、削除したことを情報元へ通知する義務がないこと、などが記されている。

諜報機関といえども特権的立場ではいられない。国益と市民の権利との間にバランスが見いだせるか。

NSAが市民のプライバシー保護を推進する担当官を創設、透明性の向上を目標に掲げる
New NSA Privacy Chief Promises Transparency
アメリカ国家安全保障局(NSA)は、レベッカ・リチャーズ氏を「市民の自由およびプライバシー」担当官に任命。同役職は、スノーデン事件で判明したNSAによる市民のプライバシー侵害に対し、ホワイトハウスの勧告によって創設された。同氏はオンラインでの会見においてNSAを弁護士ながらも、「NSA内部にプライバシー保護のプロセス」ことや「透明性の向上」などを自身の目標として掲げた。

BCRは、欧州でビジネスをするためには、今後不可欠となる方向。前向きな取り組み自体が市場に評価されることも見込める。

HP社、データ越境に関するEUとAPEC両方の認定を取得した最初の企業に
Hewlett-Packard First To Win Certification for BCRs, CBPRs
ヒューレット・パッカード社は、国境を越えてパーソナルデータを取り扱うための2つのルール、EUのBCRとAPECのCBPRの両方に認定された最初の企業となった。HPは、BCRがまだ法的に実現していない2003年から準備を始めたが、当初はプロセスなどが不明確で、最初にBCRを取得した企業であるGEは非常に時間を要した。だが、現在のBCR取得は大幅に円滑になったという。また、BCRの方がより堅固なフレームワークだと考え、先にBCRのための対応から始め、続いてAPEC-CBPRを取得した。

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら