日本のパーソナルデータ法制の行く末を、また大きく変えそうなものが出てきました。米国ホワイトハウスによる「消費者プライバシー権法(CONSUMER PRIVACY BILL OF RIGHTS ACT)」案です。


CONSUMER PRIVACY BILL OF RIGHTS ACT(ADMINISTRATION DISCUSSION DRAFT)

CPBR


内容をざっくり読んで要約すると以下のような感じ。法案に記載の順に、特に気になる部分を中心に抽出してみました。
速報につきスピードを優先しましたので、間違いあればご指摘いただけるとありがたいです。

・定義の明確化(SEC. 4. Definitions)
「パーソナルデータ」「非識別化データ」「パーソナルデータ取扱事業者」「取得」「コントロール手段」「削除」「コンテクスト」等の言葉の定義を明確化

・透明性の担保(SEC. 101. Transparency)
パーソナルデータの取扱い方針および実践内容について、わかりやすい説明とタイミングで明示・通知をする義務を設定

・消費者の情報コントロール権(SEC. 102. Individual Control)
消費者にパーソナルデータへのアクセス手段を提供し、消費者の請求から45日以内の同意撤回権・削除権を与え、利用目的を変更する際には明示的同意の再取得(オプトイン)を義務とする等、消費者に合理的な範囲での情報コントロール権を持たせる

・コンテクストの尊重(SEC. 103. Respect for Context)
コンテクストに沿わないパーソナルデータの分析利用については、第三者機関としてのFTCによる監査・承認が得られた場合に限り可能とする

・明確な取得と責任のある利用(SEC. 104. Focused Collection and Responsible Use)
利用し終わったパーソナルデータについては、合理的な期間内に削除、廃棄、非識別化

・セキュリティの確保(SEC. 105. Security)
内外のリスク分析を行った上で情報セキュリティを確保し、プライバシーアセスメントを定期的に実施する

・アクセス権と正確性(SEC. 106. Access and Accuracy)
SEC. 102記載の権利の具体的手段の提供

・説明責任(SEC. 107. Accountability)
従業員教育等、体制の構築、パーソナルデータ取扱関係者との契約の締結義務等

・執行力の担保(SEC. 201. Enforcement by the Federal Trade Commission)
州検事総長・FTCによる訴追権、課徴金を設定

・自主規制によるセーフハーバールール(SEC. 301. Safe Harbor Through Enforceable Codes of Conduct)
自主規制としての“Codes of Conduct”を作成しFTC承認等を得ることで、本法の一部適用除外を受けることも可能とする


米国メディアも蜂の巣をつついたような状態ですが、法案を評価する声と懸念の声に分かれているようです。主だったところのリンクを貼っておきます。

Here’s a draft of the consumer privacy “Bill of Rights” act Obama wants to pass(Gigaom)

White House Drops ‘Consumer Privacy Bill Of Rights Act’ Draft(Tech Crunch)

White House Proposes Broad Consumer Data Privacy Bill(The New York Times)

The White House’s draft of a consumer privacy bill is out — and even the FTC is worried(The Washington Post)

Proposed privacy bill protects industry more than it does people(Engadget)


マイクロソフトは早くも、同法案を評価する旨の声明をCPO名義で出していました。

White House proposal elevates privacy, transparency discussion(Microsoft)


私の感想としては、パーソナルデータの定義が明確化されるところや、連邦法が出来ることによってマイナーな州法の乱立が避けられるだろう点は評価したいところです。ただ正直なところ、個人の情報コントロール権がこのような形ではっきり書かれるとは、まったくの予想外でした。
一方で、上記リンクの米国内報道でも指摘があるとおり、自主規制(Codes of Conduct)によるセーフハーバールールが企業にとっての「対抗策」(メディアによっては“抜け穴”と評されている)として残されてもいるようですので、そこについては検証を深めなければと思います。


それにしても、日本のパーソナルデータ法制の立法事務局は、こういう米国の動きをきちんと察知できていたのでしょうか。直近の報道などを見ていると、どうもそのようには思えず、そしてまたこの法案を見て右往左往し議論が振り出しに戻るのかと思うと、頭が痛くなってきます。