はじめに
本稿では、合衆国における個人情報保護法制と、その最近における動向について、簡単に整理しておきたい。それは、近時において、後述のとおり大きな注目を集めている。
一般に、合衆国の法制度は、州と連邦に分けられる。
個人情報保護に関する州法は多様であるから、ここでは検討の対象から外し、以下、連邦の法制度に限定して説明する。不法行為としてのプライバシー権については、別途、機会があれば取り上げることにする。
連邦における公的部門と民間部門に関する保護の法的枠組み
連邦の公的部門を対象とする包括法として、Privacy Act(1974年)が制定されている。
これに対し、民間部門を対象とするものについては、個別法が複数存在するだけで、包括法は存在しておらず、原則として自主規制に委ねられている。そのため、セクトラル(個別分野)方式と呼ばれている。
我が国の場合、官民双方を対象とする基本法(個人情報保護法の基本法部分)と、官民それぞれを対象とする包括法(個人情報保護法の一般法部分と、行政機関個人情報保護法及び独立行政法人等個人情報保護法)が制定されている(詳細は拙著
「個人情報保護法の知識〈第2版〉」参照)。
したがって、合衆国の連邦法と、我が国の場合を比べると、個人情報保護法制に関する基本構造が大きく異なっている。
なお、EUと合衆国との間のセーフハーバールールについては後述する。
連邦の主要な個別法
連邦の主要な個別法として、次のものがある。
・公正信用報告法(Fair Credit Reporting Act, FCRA)
・金融サービス近代化法(Gramm-Leach-Bliley Act, GLBA)
・ 児童オンラインプライバシー保護法(Children's Online Privacy Protection Act, COPPA)
・スパム対策法(CanSPAM Act)
・Telemarketing and Consumer Fraud and Abuse Prevention Act(DoNotCall)
・ 家庭教育プライバシー法(Family Educational Rights and Privacy Act, FERPA)
・ 金融プライバシー権法(Right to Financial Privacy Act)
・ プライバシー保護法(Privacy Protection Act, ECPA)
・ ビデオプライバシー保護法(Video Privacy Protection Act, VPPA)
・ 電話加入者保護法(Telephone Consumer Protection Act)
・ 医療保険の相互運用性及び説明責任に関する法律
(Health Insurance Portability and Accountability Act, HIPAA)
・ 電気通信法(Telecommunications Act)
自主規制とFTCの役割
連邦における自主規制は、主としてプライバシーポリシー等を作って公表する方式である。
ポリシーに反する行為は、消費者による批判の対象となるだけでなく、一種の不公正又は欺瞞な行為、慣行に該当して、FTC法5条の対象となる。
いわば、企業が消費者に対してポリシーによって示していることと、実際の当該企業の行動が異なっていることが、不公正又は欺瞞的であると評価されるのである。その限度では、我が国の景品表示法と類似した制度を利用していることになる。
FTCとは何か
FTC(Federal Trade Commission:連邦取引委員会)は、基本的には調査・法執行機関である。
FTCは、もともと連邦の独占禁止法(反トラスト法、競争法)を管轄する組織であった。
根拠法である連邦取引委員会法(Federal Trade Commission Act:FTC法)は、1890年のシャーマン法(Sherman Act)、1914年のクレイトン法(Clayton Act)とあわせて、反トラスト法の「基本3法」と呼ばれている。
シャーマン法とクレイトン法は、司法省反トラスト局(Antitrust division, Department of Justice)が執行機関である。これに対し、FTCは、FTC法とクレイトン法の執行を行う。合衆国の反トラスト法制度の概要については、公正取引委員会
「米国(United States)」を参照されたい。
しかし、FTCは、それに加えて、消費者保護を管轄するようになり、1970年以降になると、その関係で個人情報保護を管轄するようになった。1970年に施行されたFair Credit Reporting Act(FCRA)の執行機関となったことを端緒としている。
本稿執筆時点で、FTCには、5人のコミッショナーの下に、競争局(the Bureau of Competition)、消費者保護局(the Bureau of Consumer Protection)、経済局(the Bureau of Economics)が置かれており、プライバシー・個人情報保護は消費者保護局が担当している。
コミッショナーは、連邦議会の上院の承認の下に、大統領が任命する。
FTC法5条違反の「不公正又は欺瞞な行為、慣行」(unfair or deceptive acts or practices)」に対し、FTCは主として排除措置(cease and desist order)と民事制裁金(civil money penalty)を課す。
これらに関する同意命令(consent order)に同意しない者に対して、FTCは行政審判を行う。
FTCは取引規制規則(Trade Regulation Rules)の制定も行う。その例として、テレマーケティング規制のためのTelemarketing Sales Ruleがある。
その他、FTCは、いくつかの個別法について法執行の役割も担当している。公正信用報告法等である。
セーフハーバールール
EUと合衆国との間のセーフハーバー協定に基づき、商務省が定めるセーフハーバー原則を遵守すれば、その企業は95年のEUデータ保護指令をクリアできるというものである。
この指令は、EU域内諸国に対し一定水準の個人情報保護に関する国内法の制定を求める一方で、EU域内から第三国へのデータ移転を原則禁止している。第三国へのデータ移転が認められるためには、当該第三国における個人情報保護水準の十分性が、EUによって認められなければならない。
この協定は、セーフハーバー原則を遵守する合衆国の民間企業に対し一定の手続きによって十分性が認定されるとするものである。
合衆国の商務省が定めるセーフハーバー原則は、次のとおりである。
① 告知:利用目的等の告知
② 選択:オプトイン、オプトアウトの機会の提供
③ 第三者への提供:告知と選択の原則の適用等
④ セキュリティ
⑤ データの完全性
⑥ アクセス;開示、訂正、変更、削除請求
⑦ 執行
その仕組みは、企業は、セーフハーバー原則を遵守することを宣言し、プライバシーポリシーを公表する、セーフハーバー原則の遵守の確約書を商務省に提出し、商務省は当該企業名等をウェブサイトに掲載するというものである。
セーフハーバーについても、遵守を約束した企業において、そのポリシーに違反する行為が発覚した場合、FTC法5条違反の「不公正又は欺瞞な行為、慣行」として、排除措置・課徴金等の対象となる。
しかし、あくまでも宣言するかどうかは企業の任意に委ねられている。ただ、EUデータ保護指令をクリアすることを希望する合衆国の企業にとっては、この方法によることが有利である。
連邦における近時の動向
ホワイトハウスは、2012年2月に政策大綱「ネットワーク化された世界における消費者データプライバシー」(Consumer Data Privacy in A Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy)を公表した。
その中で「消費者プライバシー権利章典」(A Consumer PrivacyBill of Rights)を示している。さらにその中では、公正情報行動原則(FIPPs: Fair Information Practice Principles)を適用するよう提唱されている。
FTCも同年3月に報告書「急速に変化する時代における消費者プライバシーの保護」(Protecting Consumer Privacy in an Era of Rapid Change)を発表した。
しかし、これら自体が法令というわけではない。いずれも、最終的には連邦議会に対して立法化を呼びかける内容となっている。
それとともに、自主規制の枠組みとしての活用が提言されている。その関係では、自主規制として行動規範を採用して遵守を宣言した企業が違反すれば、FTC法5条違反となる。しかし、その採用は現時点では任意のものであり、企業側に採用義務があるわけではない。
以上に示されているように、「消費者プライバシー権利章典」や上記FTC報告書が、現時点において法的拘束力を有しているものではないことに、注意すべきである。
結びに代えて
本稿で説明してきたことをまとめると、次のとおりとなる。
すなわち、合衆国の連邦における民間部門を対象とする個人情報保護法制は、個別法が存在する個別分野を除けば、各企業がポリシーを公表することによる自主規制を原則とするものである。
ポリシー違反はFTC法5条違反となり、FTCによる法的措置の対象となる。自主規制と、その実効性担保を、ポリシーをキーワードにして調和させようとした、きわめて興味深い法制度である。
しかし、連邦の場合も、あくまでも自主規制である以上、各企業はポリシーを策定すべき法的義務を負うものではない点に限界がある。セーフハーバーの仕組みは、合衆国の民間企業に対しポリシー公表に向けて一定のインセンティブを付与するとともに、EU域内からのデータ移転を円滑にするものである。
このような枠組みの下においては、対象となる企業が、プライバシーポリシーを公表していなければ、FTC法5条の発動は困難である。それが、民間部門を対象とする包括法を有しないことの特徴となっている。
この点が、かねてより合衆国のプライバシー保護団体等から批判されてきた。つまり、個人情報保護に関し自主規制ベースでは限界があるとして、立法化が求められてきたわけであるが、法規制を嫌って、これに抵抗する勢力も根強い。しかし、消費者によるプライバシー侵害訴訟が与える影響も、見過ごせないところである。
こうした中で合衆国政府は「消費者プライバシー権利章典」等によって、立法化を連邦議会に対し提唱するに至った。連邦議会が、今後、これに対しどのように対応するか、注目されるところである。
補足-日本法とポリシー
我が国の個人情報保護法制は、ポリシーについて明示規定を置いていない。「政府の基本方針」にはポリシーについて言及している部分があるが、それには拘束力はなく任意であり、違反に対するペナルティもない。
ただ、18条によって個人情報取得の際に利用目的が、24条1項によって保有個人データに関する一定事項が、公表等の対象とされているだけである。公表等を怠った場合には、主務大臣による法的措置の対象となる。
しかし、この公表等については、形骸化しているとの声も強く、透明性を図るために十分か、制度的な再検討が求められよう。
参 考
Federal Trade Commission Act (FTC法)
ホワイトハウス・政策大綱「ネットワーク化された世界における消費者データプライバシー」(原文)
FTC報告書「急速に変化する時代における消費者プライバシーの保護」(原文)
(以上)
最近のコメント