今日は、日本では未だはっきりと定義されないままの「プライバシー情報とは何なのか」が、アメリカでは新しい法律によってハッキリと明示されようとしている、というお話です。
▼New privacy bill makes your location, sexual orientation "sensitive info"(ars technica)
The bill isn't particularly long, and compared to laws in other countries, it's not particularly strict. But it does provide a decent privacy baseline in the US, providing limited protection for "covered information" and much tougher protection for "sensitive information."
プライバシー保護必要性の度合いを2段階に分けて、低い方を“covered information”、高い方を“sensitive information”と名づけ、しかもその具体的情報項目を明示したのが画期的なこの法案。
covered informationのリストがこちらで、
- The first name or initial and last name
- A postal address
- A telephone or fax number
- An e-mail address
- Unique biometric data, including a fingerprint or retina scan
- A Social Security number, tax identification number, passport number, driver's license number, or any other government-issued identification number
- A financial account number, or credit or debit card number, and any required security code, access code, or password that is necessary to permit access to an individual’s financial account
- Any unique persistent identifier, such as a customer number, unique pseudonym or user alias, Internet Protocol address, or other unique identifier, where such identifier is used to collect, store, or identify information about a specific individual or a computer
こちらがsensitive informationのリスト。
特にsensitive informationを収集する際は、express opt-in consent、つまり明示的なオプトイン型同意を取った上でないとNGという義務がついてます。
- Medical records, including medical history, mental or physical condition, or medical treatment or diagnosis by a health care professional
- Race or ethnicity
- Religious beliefs
- Sexual orientation
- Financial records and other financial information associated with a financial account, including balances and other financial information
- Precise geolocation information<
いくつかのサイトでこの法案に対する評釈を見ていると、「IP AdressとUnique biometric data(指紋などの生体情報)がcovered informationに入ってるのは緩すぎるんじゃないか?」という批判や、「geolocation information(位置情報)がsesitive informationに入ったのは厳しすぎるんじゃないか?」というあたりに注目が集まっています。
前者については議論の余地は確かにあるなと思いつつ、後者については、かねてからリアルタイムwebの世界で位置情報が公開されることは危険すぎると思っていた(だからTwitterでも現在地だけは決してつぶやかない)私としては、その感覚にとても共感します。
翻って、日本の個人情報保護法はどうかと言えば、
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいうっていう定義だけで、プライバシー度合いの定義や、それによる義務の軽重なんかも全くなし。裁判で判決を貰うまでプライバシー侵害の責任を問えるかどうかも分からない状態ですから、だいぶ遅れをとってしまった感があります。
判例を積み重ねてゆっくりと法規範を定立していくのが基本のコモンローの国アメリカが、法律で権利と義務を定める成文法の国ここ日本よりも先にプライバシーとその義務を法律でしっかり規定するというのも皮肉な話ですが、そうせざるを得ないほど、アメリカ社会では既にITが国民生活の基盤となっているということなのでしょう。
さて、日本においてプライバシーに対する問題意識が醸成され、法案ができるのは、これから何年後になるでしょうか。
しかし、Unique biometric data, including a fingerprint or retina scan がsensitive でないなんて。。。ちょっと驚きです。