マサチューセッツ州選出のエド・マーキー上院議員とコネチカット州選出のリチャード・ブルメンソール上院議員は、「エッジプロバイダーによるネットワーク違反行為の阻止のための顧客オンライン通知(CONSENT)法案」を提出した。この法案は、「エッジプロバイダー」(オンラインサービス)がユーザーデータを使用、共有、または販売する際に、明確なオプトインによる許可を求めることを目的としている。この法案は、欧州連合(EU)の一般データ保護規則(GDPR)に類似した法律を米国に導入する可能性がある。
データ使用のオプトイン要件
これまで、オンラインサービス企業は、明示的な許可を得ることなくユーザーデータの追跡や収集を行ってきました。Google、Microsoft、Facebookなど、ここ数年でこれらの企業が行った大きな変化のいくつかは、主にEUにおける調査や法整備の直接的な結果でした。
1998年の児童オンラインプライバシー保護法の下院起草者でもあるマーキー上院議員やブルーメンソール上院議員など、一部の米国上院議員は現在、オンラインサービスがユーザーのデータを収集または使用する前に明確な同意を得ることを義務付ける同様の法案を米国が可決することを望んでいる。
マーキー上院議員は次のように述べた。
アメリカは、企業ではなく消費者が自らの個人情報や機密情報を管理できるプライバシー権法を制定する権利を有しています。Facebookをはじめとするオンライン企業によるプライバシー侵害の急増は、もはや危機的な状況に達しており、同意を国の法として確立する法律が必要です。自主的な基準だけでは不十分です。すべてのオンライン企業が遵守し、アメリカ国民を保護し、説明責任を果たせるよう、法的なルールを制定する必要があります。ブルーメンソール上院議員の協力に感謝するとともに、長らく待望されていたプライバシー権法の成立に向け、超党派で同僚議員と協力できることを楽しみにしています。
より具体的には、CONSENT法は次のようになります。
エッジプロバイダーは、ユーザーの個人情報を使用、共有、または販売する際に、ユーザーからオプトインの同意を得る必要があります。エッジプロバイダーは、合理的なデータセキュリティ慣行を開発する必要があります。エッジプロバイダーは、ユーザーの個人情報の収集、使用、および共有についてユーザーに通知する必要があります。エッジプロバイダーは、違反が発生した場合にユーザーに通知する必要があります。これらの要件は、FTCによって強制されます。
ISPはCONSENT法の対象外
この法案は消費者の権利を擁護する法案として独自の位置を占めているように見えますが、「ネットワークプロバイダー」(ISP)には影響を与えないことを明確に示す形で書かれています。法案では、オンラインサービスを「エッジプロバイダー」と頻繁に呼んでいますが、これはISPが法案を議論する際によく使う用語です。
Google、Netflixなどのオンラインサービス企業が2014年のネット中立性規則の可決に取り組んで以来、ISPは、オンラインサービスはユーザーに関する好きなだけデータを収集できるのに、ISPはできないのは不公平だと不満を言い始めている。
こうした苦情は、FCCがブロードバンドのプライバシーフレームワークも可決しようとしていたときに急増した。このフレームワークでは、ISPは、顧客がすでに料金を支払っている基本的なインターネットサービスの提供を超えてユーザーのデータを利用する場合は、事前にユーザーの同意を求めることが義務付けられている。
ISP は、FCC の新委員長アジット・パイ氏の協力を得てこれらの規則を破ることができた後、消費者に全面的に「同じ保護」を提供するよう政治家に働きかけ始めました。
チャーター氏は最近こう語った。
チャーターは、個人がどこでオンラインを利用しようと、どのようにオンラインサービスを利用しようと、同じ保護が受けられることを知る権利があると考えています。異なるポリシーが一貫性のない保護をもたらすことは、混乱を招き、オンライン上でのやり取りに対する消費者の信頼を損ない、経済成長の原動力としてのインターネットの未来を脅かします。そして、インターネットサービスプロバイダー(ISP)にとって、これはビジネスにとって悪影響です。そこで私たちは、議会に対し、プライバシーとデータセキュリティの保護を強化し、私たち自身を含むインターネットエコシステムに関わるすべての人に同じ基準を適用する統一法を可決するよう強く求めています。
CONSENT法がISPが成立を望んでいた法律であるかどうかは、筆者が20年にわたりプライバシー重視の法案を提出してきた経験を考えると、まだ明らかではない。しかし、GDPRと同様に、消費者データを扱うすべての企業(ISP、Equifaxなどの信用調査会社など)に影響を与えない理由はないにもかかわらず、この法律がエッジプロバイダーのみを対象としているように見えること、そしてその点が明確に示されていることは疑問である。
