ホーム > InfoCom Law Report 2014 >
InfoCom Law Report
2014年6月10日掲載

米国におけるDo Not Trackへの対応状況とカリフォルニア州の取組み

(株)情報通信総合研究所
法制度研究グループ
藤井秀之

1.はじめに

現在米国ではウェブ上での履歴情報の収集の選択可否ができる「Do Not Track」の導入が推進されており、特に米国カリフォルニア州は、それを規則化する法律も策定されている。本レポートでは、現在の米国におけるDNTの取組状況と、カリフォルニア州の取組みについて紹介をする。

2. 米国政府のDNTの取組と事業者の対応状況

米国政府の取組

米国では、オンライン検索や履歴等のデータの収集や利用について消費者が選択できる仕組みをウェブブラウザに導入する、いわゆるDo Not Track(以下DNT)の導入が推奨されており、プライバシー規制を担う連邦取引委員会(以下FTC)が2010年から中心となって取り組んでいるところである(※1)。例えば、FTCは2012年3月に「Protecting Consumer Privacy in an Era of Rapid Change」というレポートを公表し、ビジネス事業者への提案事項として以下の点を指摘している(※2)。

企業は消費者に対し、誰に対してどのような情報が共有されるのかを決定できる選択肢を提供する必要がある。これには消費者がオンライン行動の追跡コントロールを単純かつ簡単にできるDo Not Trackメカニズムが含まれる必要がある。

また先日の本レポート記事、「パーソナルデータの匿名化に関する米欧の議論動向〜最新公表レポートから」で取り上げた2014年5月1日にホワイトハウスが公表した「ビッグデータ:機会の獲得と価値の維持」レポートにおいても、消費者は「データがいつ、どのように収集されるのかコントロールすることができる「Do Not Track」ツールに大きな関心を持っている(※3)」と記載されており、現在も政府として強い関心を持って取り組んでいることがわかる。

事業者の対応状況

民間事業者からはWorldwide Web Consortium(W3C)やDigital Advertising Allianceといった事業者団体が中心となってDNTの統一基準の策定の検討を進めている。ただし、DNTの対応が求められる企業側は政府側からのDNT導入の要望に対して必ずしも足並みを揃えて対応できていないのが現状だ。

モジラ社のFirefox、マイクロソフト社のInternet Explorer、アップル社のSafari、グーグル社のChromeといった代表的なウェブブラウザは、ユーザーがDNTの設定可否を選択できる機能を導入しているが、この信号を受けとる側のウェブページやオンラインサービスの運営事業者の多くは、ユーザーがウェブブラウザで登録したDNT信号を尊重した対応をしていないのが現状だ。例えば、Future of Privacy Forumが公開しているDNTを尊重して対応している企業一覧によると対応していることを明示している企業は10数社しかなく、そのうち世界的に有名な大企業としてはツイッター社等のごく一部の企業に限られていることが分かる(※4)。

さらには、DNTの導入初期時から尊重して対応してきた大手企業の一つであるヤフー社のプライバシーチームは、2014年4月30日にDNT設定を削除する内容の下記ブログ記事を公開した(※5)。

本日をもって、ヤフーにおけるウェブブラウザのDo Not Track設定は利用できなくなります。我々はDo Not Trackを導入した最初の主要IT企業として、どのようにしてユーザーフレンドリーな基準を構築できるかに関し、議論をリードする立場としてこれまで取り組んできました。しかしながら、現時点では効果的で、使いやすく、幅広いIT企業に採用されるような単一基準であるとみなすに至っていません。

現在はDNT以外にもユーザーが追跡拒否できるツールが多数あるため、ヤフー社を始めグーグル社やフェースブック社等の企業は、DNTという単一のプライバシー基準に対応する方向ではなく、各社独自にプライバシー対応を実施しているのが現状だ。

3. カリフォルニア州オンラインプライバシー保護法とその改正

上述の通り、政府のプライバシー政策や指針に対し、多くのウェブ企業、オンラインサービス事業者は共通の指針に基づいたプライバシー対策を実施できていない。そういった状況等を踏まえ、多数の企業が本拠地を置くカリフォルニア州政府はより踏み込んだプライバシー政策を実施し、法制化することで規制を強化しようとしている。

以下では、その根拠法でもあるカリフォルニア州のオンラインプライバシー法、特に2013年にいわゆるDNT関連機能への対応が規定された2013年改定法についてまとめる。

○2003年カリフォルニアオンラインプライバシー保護法

2003年に制定されたカリフォルニアオンラインプライバシー保護法(以下CalOPPA)は、カリフォルニア州住民の「個人識別可能情報(personally identifiable information)」を収集するウェブサイトやオンライン事業者に対し、プライバシーポリシーに記載すべき要件を規定した全米初の法律として知られている。本法律では、事業者がプライバシーポリシーにおいて何を実施しているのか説明すること、及び説明したとおりに実施することを求めるものである。

具体的には本法は以下の項目をプライバシーポリシーに記載することを求めている。

  • サイトやサービス上で収集されるユーザーや閲覧者の個人識別可能情報の種別
  • 事業者が他事業者に共有する可能性がある個人識別可能情報の種別
  • サイトやサービス上で収集されるユーザーや閲覧者の個人識別可能情報の確認や、変更を要求する機能がある場合、その方法の説明
  • ユーザーや閲覧者に対して、プライバシーポリシーの変更を周知する方法の説明
  • プライバシーポリシーの有効日

また、本法では、上記の要件を満たしていないと通知された事業者は30日の猶予期間が与えられ、その間にプライバシーポリシーを修正することと規定されている。

○2013年改正CalOPPA

カリフォルニア州議会は2013年9月にCalOPPAを改正する、いわゆる「トラッキングの透明性(tracking transparency)」法案(※6)(AB 370)を可決した(2014年1月施行)。本法は、ウェブサイトやオンラインサービスの事業者に対し、プライバシーポリシーにおいて以下2点の開示を求めている。

  • ウェブブラウザのDNT信号、あるいは他のメカニズムに対しどのように対応するか。
  • 事業者のウェブサイトやサービスにおいて他の事業者がオンライントラッキングを実施しているか。

ここで着目すべき点は、本法では必ずしもDNTへの対応が求められているのではなく、「類似のメカニズム」も含まれている点である。本点につき、一部では「DNT法」として注目されたこともあるが、実際にはDNTあるいはその他メカニズムへの対応が求められる内容であり、その点注意すべきである。なお、本内容を規定する条文(第22575条)を仮訳したため、詳細については別紙1を参照頂きたい。

○司法長官府ガイドラインの公表

改正CalOPPAが2014年1月以降に施行され、ウェブサイトやオンラインサービスの事業者は自社のプライバシーポリシーをこれまで以上に明確かつ分かりやすく開示することが求められるようになった。そのためカリフォルニア州司法長官府は、具体的にどのようにプライバシーポリシーを作成すればよいのかのガイドラインを作成し、2014年5月21日に公表した(※7)。本ガイドラインは、改正CalOPPAを踏まえ、事業者がどのようなプライバシーポリシーを作成すべきかのポイントをまとめたものである。具体的には、可読性やオンライントラッキング(DNT)、データ利用や共有、アカウンタビリティといった観点でどのような観点に注意すべきかが分かりやすくまとめられている。なお、本ガイドラインについてはエグゼクティブ・サマリー及び提案の主要部分を別紙2に仮訳した。

4. まとめ

現在米国におけるDo Not Trackに関する議論は、上述のヤフーの撤退からも明らかな通り、一つの転換点を迎えている。現状各社独自のビジネス戦略を踏まえたプライバシーポリシーを策定しており、統一的なDNT対応を行う仕組みを導入・普及させることは非常に難しい状況にあるといえるだろう。連邦議会においても、2013年2月に第113連邦議会に「オンライン上の追跡拒否法案(※8)」が提出されているが、本法案の制定も現在のところは不透明な状況である。

そのような状況を踏まえ、カリフォルニア州は改訂ColOPPAにおいては、DNTだけでなく「他のメカニズム」を要件に加え、それら機能をプライバシーポリシーにおいて明記することで導入を義務付けるアプローチをとっている。今後州政府は今回公表したガイドライン等を用いて具体的に事業者のプライバシーポリシーのレビューや審査等を行うとしているため、このカリフォルニア州での取組みがどの程度企業にとってインパクトを持つのか、今後のDo Not Trackの行方と合わせて注視しておく必要がある。

※1 http://www.ftc.gov/news-events/media-resources/protecting-consumer-privacy/do-not-track

※2 http://www.ftc.gov/news-events/press-releases/2012/03/ftc-issues-final-commission-report-protecting-consumer-privacy

※3 Whitehouse, “Big Data: Seizing opportunities, preserving values,” (2014), p.62
http://www.whitehouse.gov/sites/default/files/docs/big_data_privacy_report_may_1_2014.pdf

※4 Future of Privacy Forum, “Companies That Have Implemented Do Not Track”,
http://allaboutdnt.com/dnt-public-commitments.html

※5 http://yahoopolicy.tumblr.com/post/84363620568/yahoos-default-a-personalized-experience

※6 http://leginfo.legislature.ca.gov/faces/billNavClient.xhtml?bill_id=201320140AB370

※7 https://oag.ca.gov/sites/all/files/agweb/pdfs/cybersecurity/making_your_privacy_practices_public.pdf

※8 http://beta.congress.gov/bill/113th-congress/senate-bill/418

  • Do Not Track
  • カリフォルニア州
  • CalOPPA

このエントリーをはてなブックマークに追加
▲このページのトップへ
InfoComニューズレター
Copyright© 情報通信総合研究所. 当サイト内に掲載されたすべての内容について、無断転載、複製、複写、盗用を禁じます。
InfoComニューズレターを書籍・雑誌等でご紹介いただく場合は、あらかじめ編集室へご連絡ください。