FTCはデータ保護規制機関であるべきか
〜FTC100周年シンポジウムに参加して

１．はじめに

米国の連邦取引委員会（Federal Trade Commission: FTC）は今年で制定から100周年を迎え、現在関連して様々な記念イベントやシンポジウム等が開催されているところである。その一つとして、George Washington Law Review主催のシンポジウム「The FTC at 100: Centennial Commemorations and Proposals for Progress」が2014年11月8日に開催された。

筆者はタイミング良く同時期にワシントンDCに滞在していたこともあり、本シンポジウムに参加する機会に恵まれた。本記事では、シンポジウムの一つのセッションとして設けられた「消費者保護とプライバシー機関としてのFTC」というパネルにおいて、現在の米国におけるプライバシーやセキュリティ等のデータ保護に対するFTCの役割に関する議論がなされていたので、以下簡単にその概要を紹介したい。

２．シンポジウムの概要と議論内容

本シンポジウムは制定から100週年を迎えたFTCの過去・現在・未来について議論するGeorge Washington Law Review主催のもので、「FTCと行政法」、「FTCと競争法」、「消費者保護とプライバシー機関としてのFTC」、「FTCの将来」の４部構成で開催された（※1）。

各パネルの参加者が非常に豪華で、各分野の実務家や著名な学識有識者がパネラーとして参加しており、冒頭のFTC委員長Edith Ramirez氏の開会挨拶に始まり、各パネルには現行あるいは過去のFTCコミッショナーやFTCスタッフが参加し、学識有識者も、コロンビア大学ロースクールのTim Wu教授や、プライバシー研究者のDaniel J. Solove教授等が参加する等、非常に豪華なメンバーでのパネルが開催された。

プライバシー問題とFTCの議論についても「消費者保護とプライバシー機関としてのFTC」というタイトルでセッションが設けられ、各専門家からのプレゼンおよび議論が行われた。

本セッションの参加者は以下のとおり。

• Maureen K. Ohlhausen (FTC Commissioner)
• Daniel J. Solove (John Marshall Harlan Research Professor of Law, The George Washington University Law School)
• Woodrow N. Hartzog (Associate Professor, Samford University, Cumberland School of Law)
• David Vladeck (Professor of Georgetown University Law Center)
• J. Howard Beales, III (Professor of Strategic Management and Public Policy, The George Washington University School of Business)
• Timothy J. Muris (University Foundation Professor of Law, George Mason University Law School)
• Lydia Parnes (Partner, Wilson Sonsini, Goodrich & Rosati), Moderator

本セッションでは、元FTC消費者保護局長であるLydia Parnes氏がモデレーターとして、約75分間、各パネリストによるプレゼンとディスカッションが行われた。各パネリストから様々な刺激的な問題提起がなされていたが、ここではOhlhausenコミッショナーのプレゼンおよび、Solove教授、Hartzong教授の合同プレゼンの主なポイントについて簡単に紹介し、現在の米国におけるFTCのプライバシー規制に関するホットイシューについてまとめることとしたい。

３．主な議論内容

3-1. Ohlhausenコミッショナーのプレゼン

　Ohlhausenコミッショナーのプレゼンの主題は「Unfairness（不公正）」で、FTCの不公正に基づく法執行の在り方についてであった。
　FTCはプライバシーやセキュリティ等のデータ保護の問題対する法執行にあたっては、FTC法第5条に基づいて法執行を行う。

FTC法第5条(a)
(1)商取引における又は商取引に影響を及ぼす不公正な競争方法、及び、商取引における又は商取引に影響を及ぼす不公正若しくは欺瞞的行為又は慣行は、本法により違法と宣言する。

本法に基づき、問題となっている事案が「不公正若しくは欺瞞的行為又は慣行」に該当するかどうかをFTCが判断をし、該当するとみなした場合は法執行されることになる。

今回、Ohlhausenコミッショナーがプレゼンで焦点をあてたテーマは、この第5条のうち「不公正」な行為又は慣行をどのように判断していくかという点であった。この背景には、現在FTCにおいて第5条、特に不公正に基づくデータ保護問題に対し法執行する事への議論が起こっていることが背景にある。その事例の一つとしてOhlhausenコミッショナーが取り上げたのが、2014年3月にApple社に対する同意命令が確定した事案である（※2）。

本事案は、アップル社が児童のアプリ内課金の親の同意なく行っていた事案である。アップル社はアプリ課金を行う際にパスワードを1度しか求めなかったことにより、親への通知を怠ったこと、さらに、その後も15分間は児童が親の同意なく無制限で課金アイテムを購入できるようになっていた。さらに、パスワードを入力すると購入が完了することを全く説明しないまま、親に対し、児童のアプリ内でのパスワード入力を促す画面を頻繁に表示させ、これにより親の同意なく何百ドルもの課金がなされていたという被害が多発するという問題があった。これに対しFTCはアプリ課金に関し十分や同意がなく課金できるようになっていたことを不公正だとして同意命令に達した。

しかしながら、この決定に関しては、本決定に関わった4名のコミッショナー（Ramirez委員長、Brillコミッショナー、Ohlhausenコミッショナー、Wrightコミッショナー）のうち1名（Wrightコミッショナー）が反対しており、FTC内でもどのような場合に不公正と認定すべきかについては議論が分かれていることがOhlhausenコミッショナーのプレゼンからも説明があった。

FTCの不公正判断にあたっては、現在1980年にFTCがInternational Harvester社に対する法執行事案の際に公表したポリシーステートメントが参照される（※3）。不公正の判断にあたっては、「実質的な損害があるか」、「合理的に避ける事ができないか」、「競争上の観点からの利点はあるか」の3段階で不公正を認定するという、いわゆる3段階テストと呼ばれる基準があるが、本ポリシーステートメントでは、第一に「実質的な損害」がもっとも重要な基準になると指摘されている。Ramirez委員長やBrillコミッショナー、OhlhausenコミッショナーはApple社のケースでは、生じた実際の被害（同意なく多額の請求をされた顧客が一定数いる）をみて「実質的な損害」があると判断し、同意命令に賛成をしている。

一方で、Wrightコミッショナーは、不公正であるかどうかは、費用便益分析によって、得られる便益以上の損害がでているかどうかによって判断すべきだと主張し、今回のケースではその分析が十分にされていないと主張する（※4）。WrightコミッショナーはApple社の多くのユーザーは、その煩わしくないよう設計されたシンプルなデザインから便益を受けているとし、果たしてその便益を損なうような変更を求めるほど、「実質的な損害」があったといえるのかという点を疑問視している。さらには、この問題に対して法執行してしまうと、企業は大多数のユーザーの声を踏まえたプラットフォームの構築をしても、ごく一部の少数のユーザーの全ての問題に対処することを見越した複雑な製品を作ることを強制することになる、イノベーションが阻害される恐れがあると指摘し、本同意命令に反対をしている。

これに対して、OhlhausenコミッショナーはWrightコミッショナーの問題意識を理解しつつも、例えば本事案はAppleのプラットフォーム全体に対し修正を求めるもののではなく、ひとつの請求問題に対してのみに焦点を当てているので、その指摘は当てはまらないといった指摘をし、同意命令の必要性を指摘している（※5）。
本事案に対する具体的な各コミッショナーの発言内容については直接各コミッショナーの声明文を確認頂きたいが、Ohlhausenコミッショナーは本事例だけをみても、FTC法第5条の不公正に基づく法執行に対する判断、特に何を持って実質的な損害とみなすかは非常に難しいと指摘しつつ、それでも従来の不公正判断基準を参照しながら、引き続き慎重に分析、判断していくことが重要であると指摘していた。

3-2. Solove教授、Hartzong准教授の合同プレゼン

　Solve教授、Hartzon准教授は現在FTCの過去のデータ保護に関する法執行事例を分析し、FTCがデータ保護の規制機関であるべきかどうかについてのプレゼンをしていた。本報告のベースには、分析結果をまとめた以下の2本の論文が参照されている。

• Hartzog, Woodrow and Solove, Daniel J., The Scope and Potential of FTC Data Protection (July 1, 2014). 83 George Washington Law Review, 2015, Forthcoming. Available at SSRN: http://ssrn.com/abstract=2461096
• Solove, Daniel J. and Hartzog, Woodrow, The FTC and the New Common Law of Privacy (August 15, 2013). 114 Columbia Law Review 583 (2014). Available at SSRN: http://ssrn.com/abstract=2312913

本セッションでは、これら論文の内容をもとに、FTCは今後もプライバシーやセキュリティの問題に対し法執行していくべきかという問題意識に対する見解を提示していた。

なお、なぜこの問題が今問われているのかの背景には、データ保護の問題に関しFTC法第5条に基づき法執行された企業が裁判所に対し、FTCはその権限を有しないという訴えを起こしていることがあげられる。具体的には、現在争われているFTC v. Wyndham及び、FTC v. LabMDの2件の訴訟である。ここでは本事案についての説明は省略するが、本2社のセキュリティに関する問題に対し、FTCは法第5条に基づき法執行した。それに対し、この2社は、FTCはその権限がないとし訴訟を起こし、FTCのデータ保護分野に関する法執行権限に対する問題提起がなされ、大きな議論となっている。この議論に関しては、米国議会においても、2014年7月24日に下院の監視・政府改革委員会において「FTCの第5条権限について」というテーマでFTCが第5条権限に対してデータ保護問題に対して法執行することについての公聴会が開かれ、LabMD社のCEOやHartzog准教授が証言をしている（※6）。

このように、現在米国ではFTCはプライバシーやセキュリティ等のデータ保護の問題に対して法執行することに関する議論が起こっており、Solove教授、Hartzog准教授はこれら問題に対し、過去の法執行事例を改めて分析した上で、一つの回答を提示している。Solove教授、Hartzog准教授のこの問題に対する回答を一言で言うと、「FTCは今後もデータ保護の領域に対して法執行できるし、今後よりその法執行領域を拡大していくべきだ」ということである。この根拠については上述の論文を参照頂きたいが、過去のFTCの法執行事例を分析した上で、FTCは確かに巨大な権限を有しているが、その権限を非常に控えめに行使していることや、FTCは現在のデータ保護の問題に取り組むに辺り不可欠な組織となっており、FTCなしにはEUとのセーフハーバースキームや他の国際間での取り決めが危険にさらされてしまうことなどを理由に挙げている。

４．まとめ

以上、現在のFTCのプライバシーやセキュリティ等のデータ保護問題に関する現在の議論状況について、FTC100周年シンポジウムで聴講した内容をもとに、ごく一部分のみではあるが、米国において議論となっている問題について簡単にまとめた。なお、本テーマについては、今月発売の弊誌InfoCom REVIEW第64号に掲載されている「ビッグデータ時代における米国のデータ保護規制の動向―FTCによる最近の法執行事例から−」においてもまとめたところである。本記事を読んで米国FTCの最近の法執行状況に関心を持たれた方は、是非本誌レポートも合わせて参照いただきたい。