米国ルイジアナ州選出のジョン・ケネディ上院議員とミネソタ州選出のエイミー・クロブシャー上院議員は、透明性の向上、データ漏洩時の消費者の救済策の強化、企業が消費者を保護するプライバシーポリシーに準拠することを保証することを目的とした2018年ソーシャルメディアプライバシーおよび消費者権利法案を提出した。
Facebookとケンブリッジ・アナリティカのプライバシースキャンダルを受けて、米国議会は消費者のプライバシー保護強化に向けて動き出しているようだ。欧州連合(EU)の新しい一般データ保護規則(GDPR)も5月に施行されるため、議会はそれに追随する必要があると考えているのかもしれない。
より具体的には、この新しい法案は、アメリカのプライバシー権に関する法律の以下の点を改善することを目的としています。
サービス利用規約を平易な言葉で記載することを義務付ける、ユーザーが自分に関する情報のうち何がすでに収集され共有されているか確認できるようにする、ユーザーが自分のデータにさらにアクセスして制御できるようにする、消費者にデータの追跡と収集を無効にしてオプトアウトし自分の情報を非公開にする権利を与える、プライバシー侵害があった場合、ユーザーに 72 時間以内に通知することを義務付ける、プライバシー侵害が発生した場合にユーザーに救済策を提供する、オンライン プラットフォームにプライバシー プログラムを導入することを義務付ける。
クロブシャー上院議員は次のように述べた。
企業は日々、アメリカ国民から収集したデータから利益を得ていますが、消費者は自分の個人情報、オンライン行動、プライベートメッセージがどのように利用されているかについて、全く知らされていません。消費者には個人データを管理する権利があり、それはつまり、データの収集と追跡を拒否する権利、そしてプライバシー侵害が発生し個人情報が漏洩する可能性がある場合には72時間以内に警告を受ける権利を持つことを意味します。デジタル空間は、私たちのプライバシーを犠牲にして、無法地帯のような状態を続けることはできません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
明示的な同意は不要
この法案の規定の多くは、既にGDPRに準拠しているように見えます。しかし、はるかに重要な規定が一つ欠けているようです。それは、企業がデータを収集する前に明示的な同意を求めること(ユーザーはオプトアウトではなくオプトインを選択する必要があります)を義務付けるというものです。
そのため、2018 年のソーシャル メディア プライバシーおよび消費者権利法は GDPR からいくつかの優れたアイデアを借用していますが、消費者にデータとその情報の収集方法を制御する権限を与えるという点では、GDPR には遠く及びません。
「CONSENT法」は消費者にとって依然として有利
CONSENT法は完璧ではありません。先ほども述べたように、この法案はISPではなく「エッジプロバイダー」やオンラインサービスにのみ影響を与えるように、特別な配慮をしているように見えます。
しかし、マーキー議員の法案には、ソーシャルメディア・プライバシー・消費者権利法と同様の透明性とデータ漏洩開示に関する規定が多数盛り込まれている一方で、オンライン企業はユーザーデータを収集する前に同意を求めることが義務付けられている。さらに、企業はあらゆる種類のデータ収集および第三者とのデータ共有についてユーザーに通知することが義務付けられている。
CONSENT法がそのまま維持される限り、この2つの法案は統合できるかもしれません。そうでなければ、プライバシー権の強化を重視するなら、CONSENT法こそ上院議員に投票を呼びかけるべき法案です。
理想的には、両案ともISP、あるいは消費者データを扱うすべての事業者をターゲットにするのが良いでしょう。EUのGDPRはまさにこのアプローチを採用しました。米国の消費者はソーシャルメディアやその他のオンライン企業に対する新たな保護を得られるかもしれませんが、ISPが有料顧客から収集したデータを自由に共有・販売できるのであれば、そのメリットは期待したほど大きくないでしょう。
