|
米国のFTC(Federal Trade Commission)が昨年秋に成立し、2000年4月施行のChildren's Online Privacy Protection Actを実施するための細則(rule)を発表しました。本体はpdfファイルで90ページもあるのでプレスリリースを見てみました。 この法律では子どもの個人情報をオンライン上で取得することについて様々な制限を課しています。 細則として最も注目されていたのは"verifiable parental consent"とはどのような方法を指すかでした。子どもの個人情報を取得するには「証明可能な親の同意」が必要なのですが、具体的にはどのような方法が必要かは法は規定していないからです。 ニューヨークタイムス(By JERI CLAUSING)が "A number of companies had argued that e-mail from a parent should be considered sufficient proof of parental consent, saying that other methods can be too costly for small Internet start-ups. But privacy advocates countered that e-mail is too easy to forge, especially by children who are often much more tech-savvy than their parents." と指摘しているように、産業界は電子メールでの確認が確実であり、他の方法は費用がかかり過ぎると言い、人権保護の立場からは親よりパソコンに詳しい最近の子どもたちは簡単にごまかしてしまうと主張するという問題があるわけです。 この点についてFTCのルールは「スライド制」という方法を採用しました。 For a two-year period, use of the more reliable methods of consent (print-and-send via postal mail or facsimile, use of a credit card or toll-free telephone number, digital signature, or e-mail accompanied by a PIN or password) will be required only for those activities that pose the greatest risks to the safety and privacy of children -- i.e., disclosing personal information to third parties or making it publicly available through chatrooms or other interactive activities. For internal uses of information, such as an operator's marketing back to a child based on the child's personal information, operators will be permitted to use e-mail, as long as additional steps are taken to ensure that the parent is providing consent. つまり、2年間に限って、2つの異なる方法をとっていきます。まず、個人情報をサードパーティーに渡す場合とチャットなどの利用のように子どもに危険な場合は、もっと信頼性の高い同意方法が必要です。次にその情報を内部的に使用するに過ぎない場合は、親の同意を確認する付加的ステップが取られる限り、電子メールを使うことが許されます。 ニューヨークタイムスによればこの方法は人権派も産業界も受け入れているようです。つまり現状では、その場で親の確実な同意を得る手段が技術的にも制度的にもないため、危険の程度に応じて同意の方法を変え、しかも技術の発展を期待して2年間という据え置き期間を認めるという方法がより現実的かつ両者が受け入れうる妥協点というわけです。 ニューヨークタイムスでも Ron Plesser, a Washinton lawyer who worked with the Direct Marketing Association and other groups, called the rules a good compromise that recognizes the fast-changing technology of the Internet. "I believe that they are a balanced approach to kids privacy," he said. としています。 このほかにこの細則では、いくつかの例外を定めています。 The rule sets forth several exceptions to the requirement of prior parental consent that permit operators to collect a child's e-mail address for certain purposes. For example, no consent is required to respond to a one-time request by a child for "homework help" or other information. In addition, an operator can enter a child into a contest or send a child an online newsletter as long as the parent is given notice of these practices and an opportunity to prevent further use of the child's information. 例えば宿題のためなどのように1回限りのリクエストのためにメールアドレスを収集すること。あるいはコンテストやニュースレターについてはそれについて親が知らされることと親がそれ以上の使用を止める機会が与えられる限り親の同意がなくても良いとされています。 また、学校の活動については ◇Role of Schools in Obtaining Consent for Students The Federal Register notice accompanying the rule makes clear that schools can act as parents' agents or as intermediaries between Web sites and parents in the notice and consent process. 教師に親を代理する権限あるいは仲介者としての地位を認めています。ここでも現実的な選択をしているわけです。 実はこれを単なる妥協というのは実は正確ではなく、ここにプライバシーの本質の一部が表れていると見るべきです。つまり、個人情報を厳格に守るだけでは、実際の社会的活動が困難になってしまいます。プライバシーの権利も合理的な必要性とのバランスの上で認めなければならないという権利としては当然の性質を持っているわけです。但し、このバランスは非常に難しく、判断を誤ると人権侵害に陥りますが、今回のFTCのルールは合理的なものと言えるでしょう。 このほかに細則ではプライバシーの告知の掲示の仕方についても言及しています。 ◇Privacy Notice on the Web Site A Web site operator must post a clear and prominent link to a notice of its information practices on its home page and at each area where personal information is collected from children. The notice must state the name and contact information of all operators, the types of personal information collected from children, how such personal information is used, and whether personal information is disclosed to third parties. The notice also must state that the operator is prohibited from conditioning a child's participation in an activity on the child's disclosing more personal information than is reasonably necessary. In addition, the notice must state that the parent can review and have deleted the child's personal information, and refuse to permit further collection or use of the child's information. つまり、まずホームページ(トップページです)に明確かつ目立つように掲示するとともに、個人情報を収集する各ページへの掲示も要求しています。また、そこにはオペレータの名前とコンタクト方法、子どもから集める個人情報の類型と使用方法、サードパーティに開示されるかどうかについて書かねばなりません。 さらに、告知には合理的に必要な範囲を超えて子どもが個人情報を打ち明けることをそこへの参加の条件としてはならないことを明記しなければなりません。また、親が収集した子どもの個人情報を検閲し、それを削除できること及びそれ以上の収集・使用を拒否することができることも明記しなければなりません。 このことは最近わが国でもプライバシーポリシーを掲載するサイトが増えており、その際の参考になると思います。 この細則がただちにわが国のインターネット界に影響を与えるとは考えにくいのですが、わが国のポルノ業者が脱法的(実は違法)に米国にサイトを移動したように、米国の業者がサーバをわが国に移転するなどの状態が生じた場合には、わが国の子どもの個人情報の取り扱いについて議論が生ずる可能性があるでしょう。 |