米国大手スーパーのSearsは、FTC（連邦取引委員会）から、顧客のオンライン上の行動履歴に関する情報を不当に入手しており、違法であるとの指摘を受けていましたが、この問題について、両者の間で和解に達したとのことです。

　Searsは、Sears.comとKmart.comの顧客に対して、消費行動の調査であるとして、10ドルと引き換えに、あるソフトウェアをダウンロードさせたのですが、FTCによれば、そのソフトウェアはSears関係のオンライン取引だけではなく、他の会社との間のオンライン取引に含まれる情報、例えば処方箋情報や銀行口座情報、ウェブメールの送信先などの機密性の高い情報も収集していたとのことです。

　両者の和解案では、Searsは、このソフトウェアでこれまでに入手した情報をすべて廃棄し、今後は、ソフトウェアをダウンロードする前に、消費者に収集する情報の範囲を明示しなければならないとされています。

　ただ、このような消費者のオンライン上の行動履歴情報を利用したマーケティングはそれほどめずらしいものではありませんし、データマイニングの技術を利用することで、公開情報からある程度の個人情報を入手することは可能と言われています。

　しかも、Searsがソフトウェアをダウンロードした顧客に対して、事後に情報収集範囲について通知し、顧客の同意を得たにもかかわらず、FTCは違法性を追及し続けたとのことで、これは一種の「見せしめ」ではないかとの意見もあります。

　皆様も御存知のことと思いますが、米国には、日本のような包括的な個人情報保護法は存在していません。米国は、金融や医療など、分野別に定義の異なる「個人情報」を保護する法律等が並存している状況にあり、米国と日本の制度を単純比較することは非常に困難なのですが、どちらかと言えば、米国は判例で修正を加えていく「事後調整型」と言えるのかも知れません。

　いろいろな意見がありますが、最近のように個人情報やプライバシーについて関心が高まってきた背景には、1980年に採択されたOECDプライバシー・ガイドライン、そして1998年に発効したEUのデータ保護指令を挙げることができると思います。

　このEUのデータ保護指令には「第三国に対する個人データの移転」に係る規定が含まれており、当該規定では、EU諸国以外の第三国に個人データを移転する場合、当該第三国が十分なレベルの保護措置を講じていることが必要とされています。

　当時、私はベルギーに住んでいたのですが、EU域内に子会社等を有する日本の大手企業は、現地の人事関連情報を日本の本社に送っていたため、この規定にどのように対応するかが大問題となっていました。

　米国の企業についても同様の問題が発生していたのですが、米国の法体系は前述のように分野別の構造になっていたため、米国とEUの間で交渉の末、セーフハーバー協定を締結して対応することになりました。この協定により、米国企業はセーフハーバー原則に合致していることを自己認証し、米国商務省に登録等すればEUから米国に個人データを移転することが可能となります。

　ただし、当該企業が実際にはセーフハーバー原則に合致していないような場合、FTCやその他関係政府機関が制裁措置を講じることとなります。

　例えば、連邦取引委員会法第5条では、取引に関連する不公正あるいは詐欺的行為又は慣行は違法とされており、この違法とされる慣行には企業がプライバシーについて行った詐欺的な約束も含まれています。違法と判断された場合、FTCは民事的制裁措置を講じたり、停止命令を出すこととなります。

　最初に触れたSearsとFTCの間の和解も、この連邦取引委員会法第5条に関連するものです。

　なお、余談ですが、ストリートビューとプライバシー保護の関係で、日本でよく議論の対象となっているGoogleですが、Googleのプライバシーポリシーをホームページで見ますと、日本語で「告知、オプション、第三者への転送、セキュリティ、データ保全、アクセスおよび強制履行に関する米国のセーフハーバー プライバシー原則を遵守し、米国商務省のセーフハーバープログラムに登録しています」とは書かれていますが、個人情報保護法などの日本の法令を遵守する等の記述は一切ありません。もっと言えば、別に日本の個人情報保護法に違反しても、Googleに対して法的な制裁措置はありません。

　Googleは米国の法人ですので、これは当然のことなのですが、日本語で書かれていることもあって誤解されているように思います。

　ITには物理的な国境の概念が希薄ですし、オンラインでサービスを利用する時にいちいち提供企業の国籍など気にしませんが、これからは、自分のプライバシーがどの国の法律で守られているのかを真剣に考えなければならない時代になるのかも知れません。