Information Society and Co-regulation このページをアンテナに追加 RSSフィード

2013-07-03

[][]総務省「スマートフォン安心安全強化戦略(案)」について

 報道等にもございました通り本日7/3、総務省からスマートフォン安心安全強化戦略(案)」という非常に重要な文書が発表されておりました。実はこれまで内容あまりフォローできておらずなのですが(汗)、とりいそぎ拝読した限り今後のプライバシー共同規制観点からも非常に重要な内容が含まれておりますので以下その点中心に簡単に私的要約+備忘録感想メモです。情報政策クラスタ的には本文35-52pを中心に読まれるとよいかと思いました。

利用者視点を踏まえたICTサービスに係る諸問題に関する研究会提言「スマートフォン安心安全強化戦略」(案)に対する意見募集

 まずは関連する内容から

 以上の「超マルチレイヤー」「多元分散統御型」共同規制構造を図示するとおよそ下記のようになるかと思います

f:id:ikegai:20130703182357j:image

 さて以下は雑駁な感想です。論文インスピレーションが色々と。

 ここのところ国際会議国内会議報告やら諸々取材対応が続いて完全に消耗し切ってたのですが(とか言いながら7月6日の土曜朝はNHK「ニュース深読み」でもプライバシーのこと話したりします)、こちら拝読しててかなり元気が出てきました。関係者のみなさま本当にお疲れさまでした!がんばって実装の参考になりそうな論文色々書かせて頂きます(たぶん)、、、!

2013-06-05

[][]林紘一郎先生他『インターネット時代の「通信の秘密」再考』について

 林紘一郎先生他『インターネット時代の「通信の秘密」再考』報告書、先ほど湯淺先生のところで見かけて早速拝読しました。24p以降の「憲法論」「事業法」「非対称」それぞれの視点から検討、そして27p以降の「改善のための7提案」が特に必読と思われます。7提案の中では、特に「4.2 「他人の秘密」「通信の秘密」「パーソナルデータ」の三層構造」=通信内容と通信履歴+αの区分的規律、そして「4.4 クラウドビジネスの規律」「4.5 コミットメント責任」が必読と思われます

http://lab.iisec.ac.jp/~hayashi/Report.pdf

 31pに「市場で起きる問題は、市場で解決するのが原則であり、約款や業界団体の基準のような自主的規制に任せることを基本とすべきであるが、nudge する(やさしくつつくことで気づかせる)までは許されると思われるので、第三者評価認証制度とコミットメント責任の組み合わせが有効かと思われる。」と書かれている通り、基本的にこの問題も共同規制しか解決し得ない問題です。共同規制≒nudged-self-regulation。サンスティンの定式化なのです。アメリカはこういうやり方が当たり前すぎるのであえて「共同規制」という言葉をあまり使ってこなかったけど、最近は通信規制でもプライバシーでもかなりこの言葉出てきてますね。

 そのエンフォースメントがFTC法5条方式含めたコミットメント責任によって担保されるべきというのは基本的に僕もそう思うのですが、共同規制課題は「コミットメントしない人たち」をいかにして切り分けて規律するか。僕はこの点については、(競争法的観点からも)いわゆる「セーフハーバー方式」が最有力の解法の一つだと思っております。この点近々拙稿も出版されるはずですが、また別のネタをいくつか進行中です。

 あとは今回は基本的に対象外の模様ですが、刑事訴訟法との関係も共同規制的にやっていくしかないですね。プリザーベーションやリテンション方法・対象・期間、そして開示は「どこまで」「どう」やるか含めて、やっぱり民間でマルチステイクホルダー自主規制ルール作って政府が承認するという「プロセス」と「権力分立」を、しっかり法律の中に書いて行く必要があるのだと考えています

実践 行動経済学

実践 行動経済学

2013-06-03

[][]Two information policy papers by KANTEI, METI

 

 めずらしく一日二本目のポストプライバシーのシンポ聞きにきてるんですが、外国人先生方がメインゲストなので英語最近の日本のプライバシー政策についてアップデート情報

 

In last month, the Japanese government published the two important information policy papers, besides the MIC's one I mentioned here (http://d.hatena.ne.jp/ikegai/20130521/p1).

 

1) The Japanese KANTEI (Prime Minister of Japan and His Cabinet) officially published a new national IT strategy paper.

http://www.kantei.go.jp/jp/singi/it2/info/h250524-public.pdf

This is very comprehensive (and a little bit too general) strategy, but there are two interesting topics for us.

  • 6p: Fostering PSI (Public Sector Information) open data: PSI should be published in machine-readable format
  • 7p: Enhancing big data utilization and privacy protection: Advancing international harmonization and establishing the new independent privacy commissioner (see also my recent blog post on the MIC's proposal)

 

The KANTEI is the coordinator of the Japanese overall IT policy, so tasks described here will be advanced by the all other government agencies. With regard to PSI open data, ministries and local governments has been distributing PSIs in disjointed formats and schemes. Privacy protection law and policy is in the almost same situation. I'm expecting this paper can harmonize and integrate them.

 

2) The Japanese METI (Ministry of Economy, Trade and Industry) published a new report on "personal data" protection and its industrial utilization. The word METI's "Personal Data" is very very hard to explain in english (this is different from the concept of the EU Data Protection Directive's one), so please understand it as a general concept referring to the information that can be linkable to an individual person.

http://www.meti.go.jp/press/2013/05/20130510002/20130510002.html

This report is mainly focusing on the issues related to privacy policy (or privacy notice). As broadly known, privacy policy of web services/smartphone applications are very hard (or impossible) to read for the most of the average users. To solve this problem, the METI is proposing the new measures;

 

  • Standardizing the privacy policy format: developing the common "Label" and "Icon" for the purpose of providing understandable information on usage of personal data
  • Establishing new entity that reviews and certificates privacy protection activities of companies (It seems like different from the "independent privacy commissioner")

 

In the EU, recently the CNIL and the other national privacy commissioners ordered the Google to change their privacy policy into "multi-layerd" and user-friendly description. The METI's "Label" proposal seems to be similar one.

http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2012/20121016_letter_to_google_en.pdf

2011-12-28

[]EU行動ターゲティング広告業界団体の自主規制案が大苦戦中

 少し間が空いてしまいましたが、引き続き『情報社会と共同規制』では第5章「行動ターゲティング広告のプライバシー保護」で取り扱ったEUのプライバシー政策関連でこれまた重要な動きがありました。

 先のポストで取り上げたデータ保護指令全面改正ドラフトでは、行動ターゲティング広告に関わるクッキー等の取り扱いは含めず電子プライバシー指令で引き続き対応していくことが確認されていた(ドラフト89条)ことを書きましたが、そちらの電子プライバシー指令に関わるクッキーの取り扱いについて、「行動ターゲティング広告業界団体の自主規制案を29条作業部会がリジェクトした」件についての詳細なopinionが出されました。

 少々文脈が複雑なので拙著をかいつまんで背景からご説明致しますと、EUではクッキーを利用した行動ターゲティング広告につき、2002年当初の電子プライバシー指令(2002/58/EC)の5条(3)において「ユーザーの端末(terminal equipment)に蓄積された情報は、当該ユーザーがその利用目的等についての明確かつ包括的な情報を与えられている場合に限り利用可能であり、ユーザーはその利用を拒絶する権利を持たねばならない」として、オプトアウトでの対応を規定しておりましたところ、

 2009年の通信関連指令大改正に伴う電子プライバシー指令改正(2009/136/EC)において同条は「ユーザーの端末に蓄積された情報は、当該

ユーザーがその利用目的等についての明確かつ包括的な情報を与えられた上で同意を得た場合に限り利用可能である」と書き換えられ、オプトインでの対応が求められることになりました。

 この改正については関連業界からは当然大きな抵抗が起き、いまだ改正指令自体が数カ国でしか国内法化がされていない状況が続いておりましたが、中でも英国では、オンライン広告業界団体が中心となって「あくまでオプトアウトにこだわった」自主規制案を作り、それを英国内個人情報保護当局に承認してもらう共同規制の体制作りに向けた努力を続けておりました(このへんまで5章で紹介しました)。

 この動きは英国を超えてEU域内のオンライン広告業界全体に広がっており、2010年ごろからEUレベルでの広告業界団体European Advertising Standards Alliance (EASA)とInternet Advertising Bureau Europe (IAB)が中心となり同じく「あくまでもオプトアウトにこだわった」自主規制原則を策定し、EUレベルでの共同規制の構築に向けてEU当局の承認を求める作業を進めておりました(背景では欧州市場規制強化を止めたい米国のIT企業勢がスポンサーになっていると聞いています)。

 雑駁に要約しますとこれは「改正電子プライバシー指令の文言ではオプトインが原則と書いてあるけれど、それではライフログ商売が成り立たないので、オプトアウトでの自主規制を業界全体としてちゃんと責任持ってやっていくので、それをもってオプトインは勘弁してください」ということを業界側が欧州委員会にお願いに行っていたという話なのですが、今回の29条作業部会のopinionは、それに対して「いや、やっぱりオプトインじゃないとダメだ」という回答を明確に返したということになります

(さすがに「ダメだ」だけでは「それじゃ一体どうすれば、、」という話になってしまますので、29条作業部会としても上記opinionのp.9-10にてオプトイン同意取得の方法論としていわゆるポップアップ型の他、バナー型やブラウザのデフォルト設定等のいくつかの類型を示しており、正しいオプトインのやり方として参考になります。)

 この自主規制原則が認められるかどうかは、EUにおける行動ターゲティング広告産業の将来を実質的に占う試金石とも言えるものだったので注目しておりましたが、やはりEUのプライバシー重視の姿勢は強硬の模様です。もちろん業界側としてもまだ完全に諦めたわけではなく、引き続きギリギリのラインを巡る鞘当が行われていくものと思いますが、業界側としてはかなり厳しい戦いを強いられることになりそうです。

 一方米国では最近のいわゆるDo Not Track法案などを見ても基本的にはオプトアウトの仕組みを強化していく方向で対応する模様で、我が国としても昨年2010年5月の総務省「配慮原則」によって米国型の仕組みを暫定措置として採用していくことが確認されましたが、EUの側がこのような強硬姿勢を堅持するとなると、所管の消費者行政課としてもこれから先EU型(オプトイン)と米国型(オプトアウト)の「どちらを採るか」という判断は、悩ましいものになっていくだろうなあと思います

 ちなみに米国型を続けるとしてもオプトアウトの強化策は日本ではまだほとんど手が付いていないところなので、いずれを採るにしても自主規制関連の仕事は多くなるところです。最低限でもEU・米国共に構築を進めている業界団体レベルでの一括オプトアウトの仕組みは必要になってくると思います

2011-12-13

[]EUデータ保護指令の全面改正草案リーク

 というわけで最初のポストは、『情報社会と共同規制』第5章「行動ターゲティング広告のプライバシー保護」で主に取り扱ったプライバシー政策の中でも、特にEUの個人情報保護指令であるデータ保護指令(data protection directive、95/46/EC)についての動きです。データ保護指令については1995年に制定されて以来デジタル時代の変化に対応するための改正の必要性がここ数年議論されてきており、来年2012年1月にはその全面改正草案が公開される予定だったのですが、なんと先日その草案が誰かによってリークされてしまいました。

 

http://www.statewatch.org/news/2011/dec/eu-com-draft-dp-reg-inter-service-consultation.pdf

 

 まず何より大きいのは加盟国が国内法で対応を行うこととなる指令(directive)から、発行と同時に域内における強制力を持つ規則(regulation)への変更が前提になっているところです。その他主な改正内容だけ挙げても話題の「忘却される権利(right to be forgotten)」の導入や医療・遺伝・生体認証等センシティブな情報定義と取扱区別の明確化、29条作業部会の強化改組、越境的個人データ流通を円滑化するための拘束的企業ルール(BCR)の見直し、データ管理者と対象の力関係が甚大な場合への対応などを含めた「同意」の実質性の強化、年間利益の5%を上限とした罰則金などなどなど本当に多岐に及びますが、その辺は英語の解析記事も多いのでそちらに譲るとして、本書の関係から特に重要なのものとしては以下の2点が挙げられると思います

 

・第一に、ドラフト89条で確認されているように、今回は電子プライバシー指令(e-privacy directive、2002/58/EC、2009年に2009/136/ECで大幅改正)との統合が視野に入っていないことです。本書5章で取り扱ったような行動ターゲティングに主に用いられるブラウザのクッキーや、DPI(deep packet inspection)に関わる通信の秘密等は基本的に引き続きE-Privacyの方の指令で担保されることになります。ここしばらくネット関係プライバシーの話題としては行動ターゲティング広告関係がホットだったのでその方向の改正もあるのかなと予想していたんですが、行動ターゲティングやライフログの問題はいまだレギュレーションで取り扱えるほどのコンセンサスが存在しておらず、引き続き各国の取組と産業界の自主規制の進展を注視していく段階という現状認識なのかな、と思います。もちろんまた電子プライバシー指令の方の改正が入ることもあるのかもしれません。

 

・第二に、ドラフト35条で現行27条にあった産業界の行動規定(Code of Conduct)の取扱についての記述を大幅に拡充しコミッションの承認等の手続きを詳細化していること、そしてドラフト36条でcertificationの規定を新設しEUレベルでのプライバシー・マーク的なものを促進するとしているなど、自主規制・共同規制方法論を積極的に活用していく姿勢が示されていることです。これは単一のレギュレーションで全産業分野を包括的に取り扱うことにはやはり限界があることに一定の配慮を示したものだと考えられます。レギュレーション化によって確かに「各国毎の」規律の差異はなくなりますが、(ある意味では日本の個人情報保護法について各省庁が数十のガイドラインを作成していることと同じように)今後EUレベルでの「産業セクター毎の」自主規制・共同規制が形成され、実質的なセクトラル型の(いわば「タテ」から「ヨコ」への)ルール形成が少なからず進展していくことになるのではないかと思ったりしています特に忘却される権利はドラフト15条で表現の自由等の例外を含めてそれなりの分量を使って記述していますが、やはりそれだけからウェブサイト等はじめとする色々な企業の具体的な振る舞いを指定できているわけはなく、この権利の実現にこそ共同規制手法が駆使されることになるのではないかと予想(期待)しています

 

 この件は1月に正式なドラフトが出てきた後にもまた詳しく検討して参ります。色々と批判は多くてどの程度の大改正になるかはまだまだわかりませんが、もし大筋でもリーク文書の通りになるとすればそもそも現行指令を大きく参考にしている日本法も改正の機運が大きく出てこざるを得ないところだろうと思いますし。