AOLと個人情報保護

ZDNNとUSATodayがAOLのプライバシーポリシーが個人情報保護の観点から問題になっていることを伝えています。
The nation's leading access provider recently started sending e-mails to customers informing them that the privacy preferences they signed up for a year ago -- the ones telling the company not to collect or distribute information about their accounts or online habits -- have "expired."
AOL said that if subscribers want their preferences to remain in place, they must again fill out what is known as an "opt out" form. If they do nothing, information about their accounts and Web habits may be distributed to marketers and other interested parties.

AOLの会員は、会員の口座やオンラインでの行動に関する個人情報を収集しない、あるいは他に配布しないというプライバシーの優先権を１年前のサインアッブで取得しているのですが、これを終了するというメールをAOLが発信しています。もし、プライバシーに関するこの優先権を存続させたいのであれば、再度"opt out" formに記入しなければならず、それをしなければ個人情報をマーケッターや利害関係者に配布することができるというものです。

これに対してはプライバシー保護団体からも批判されていますが、国際的に認められている個人情報保護のスタンダードから見た場合も疑問があります。
すなわち"opt out" formに記入しないことが同意あるいは承諾に当たるといえるかが疑問です。なんらかの事情でAOLからのメールを受信できないあるいは読まなかった人に同意の意思がないことは明かです。しかし、そうでない場合でも各スタンダードは次のように定めています。
米国のsafe harborでは
2. CHOICE: An organization must offer individuals the opportunity to choose (opt out) whether and how personal information they provide is used or disclosed to third parties (where such use is incompatible with the purpose for which it was originally collected or with any other purpose disclosed to the individual in a notice). They must be provided with clear and conspicuous, readily available, and affordable mechanisms to exercise this option.
と個人情報の利用又は第三者への提供してよいか、どのようにするかについて選択権を与えられなければならないのですが、それはすぐに使えて手頃な手段でなければならないとしています。
EU指令では直接的には７条で Article 7
Member States shall provide that personal data may be processed only if:
(a) the data subject has given his consent unambiguously．
また、情報移転の禁止の例外を定めた２６条では
1) the data subject has given his consent unambiguously to the proposed transfer,
と明確な同意が必要であるとしています。これについて今年４月に来日したアンドレ・プルム、ルクセンブルグ経済法研究所所長はその講演の中で「同意は疑う余地のないかたちで与えられたものでなければらならず、同意があったかどうかの事実についての疑念もまた、例外を不適用にする。このことは、おそらく、多くの、同意が黙示的な状況(例えば本人が移転について認識を有していて、それに反対をしていなかったというような)は、この例外によって力バーされることはない。」としています。
さらにわが国のJIS Q 15001でも同意について「情報主体が，収集，利用又は提供に関する情報を与えられた上で，自己に関する個人情報の収集，利用又は提供について承諾する意思表示。情報主体が子供の場合は，保護者の同意も得るべきである」と定義しています。"opt out form"に記入しないことを黙示の意思表示とするのは困難でしょう。

また、同意の前提としてユーザに示される内容についても各国のガイドラインは詳細に定める傾向にあります。包括的な同意は同意としての効果を生じないのです。その点、AOLがユーザに送ったメールの内容が明らかでないため判断が困難ですが、この点についても考えておくことが必要です。このように privacy policy を制定すれば足りるものではなく、その内容が諸国のガイドラインに従わなければなりません。わが国のホームページにもprivacy policy を掲載するところが登場しはじめていますが、中には、各国の一般的なガイドラインから見て疑問なものも少なくありません。

AOLは米国で圧倒的なシェアを誇るISPであって、そのprivacy policyだけにEUとの話し合いに影響を与えることは必至でしょう。
但し、さらにうがった見方をすれば、AOLは行き詰まっているEUとの話し合いに対して米政府を援護しているとも考えられないことはありません。EUがいつまでも米国案に妥協しないのであれば、AOLのような既成事実がどんどん出来上がってしまうことを交渉材料にしようとしていると考えるのは外交交渉に対する偏見でしょうか？

戻る