FTCの「商業的監視とデータセキュリティのルールメーキング提案事前通知(ANPR)」-質問事項分析

FTC(連邦取引委員会)が、2022年8月11日に「商業的監視とデータセキュリティのルールメーキング(Commercial Surveillance and Data Security Rulemaking)」についてのアナウンスをしています。アナウンスのページ、こちらです。

連邦における統一されたプライバシー法というのが成り立ちうるのか、週ごとの断片化というのが合理的なのか、という問題を抱えたままなこともあって、ある意味、FTC がプライバシールールを定めれれば、本命ということになりますが、FTCの体制が、微妙なこともあって、今後、どのような進展を見るのか注目に値するといえるでしょう。

商業的監視とは、

「商業的監視」とは、消費者データの収集、集計、分析、保持、移転、収益化、およびその情報の直接的な派生を指します。

と定義されています(ドキュメントの13ページ)。

連邦取引委員会は、商業的監視経済において人々のプライバシーと情報を保護するために新たな規則が必要かどうかについて、一般市民の意見を求めています。

となっています。

規則提案の事前通知(Advance notice of proposed rulemaking-ANPR)、意見聴取のドキュメントは、こちらです。

サマリは、

連邦取引委員会(以下、「FTC」)は、消費者に害を及ぼす商業的監視およびデータセキュリティ慣行の普及についてパブリックコメントを求めるため、この規則制定提案事前通知(以下、「ANPR」)を発行する。具体的には、企業が (1) 消費者データを収集、集約、保護、使用、分析、保持し、 (2) そのデータを不公正または欺瞞的な方法で移転、共有、販売、または収益化する方法に関して、新しい取引規制規則または他の規制代替案を導入すべきかどうかについて意見を求めている。

となっています。

構成は、1概観、2 委員会の権限、3 委員会のプライバシーに対する現在のアプローチ、4 質問事項、5 コメントの提出、6 公聴会 という構成になっています。

簡単にみて、4 質問事項については、全体を訳出してみます。

1概観

生活のいろいろいな局面で、個人情報を提供していること、データのマネタイズがなされていること、その行為が形式的な同意の上になされていること、企業と消費者の間の情報の非対称性は、より深まっていること、これによるハームは、重大であること、さらに、ハッカー、データ窃盗がなされるとさらに問題となること、データ収集と利用は、消費者に対して重大な問題を惹起しうること、制定法によって保護されているカテゴリー(住居、雇用、健康)に基づく差別のメカニズムを生み出しつつあること、などが論じられています。

2 委員会の権限

これは、米国の連邦取引委員会法(FTC法)5条の権限、制定法における権限を執行すること、を述べています。

3 委員会のプライバシーに対する現在のアプローチ

これについては、さらに、 事案ごとの執行と一般的な政策業務、規則制定の理由にわけて論じられています。

3.1 事案ごとの執行と一般的な政策業務

FTC法5条等によってなした事案としては、以下の事案があることが紹介されています。

  • 偽って入手した消費者の電話記録の密かな収集と販売
  • 個人的な健康関連データをオンラインで公開すること
  • 個人的な健康関連データの第三者との共有、
  •  不正確なテナント審査
  • 発行者のサービスに対する消費者の批判的なオンラインレビューへの応答として、消費者の財務情報の公開
  •  消費者と消費者が通信するすべてのウェブサイトの間の仲介者として機能する広告注入ソフトウェアのプリインストールと消費者のインターネット閲覧データの収集とソフトウェア開発者への送信
  •  元パートナーの親密な写真やビデオを個人情報とともに掲載する「リベンジポルノ」の勧誘とオンライン公開、およびそうした情報を削除するための料金徴収
  •  購入者が他人の電話やコンピュータにこっそりインストールして監視する「ストーカーウェア」の開発と販売
  •  企業がユーザーから以前に収集した個人情報に対するプライバシーポリシーの重大な変更の遡及適用
  •  消費者が知らず知らずのうちにファイルを公に共有する原因となる、またはその可能性のあるソフトウェアの配布
  •  消費者の自宅に置かれたリースコンピュータのウェブカメラの密かな起動
  •  社会保障番号などの機密データを、周知の詐欺師を含む、その情報に対する正当なビジネスニーズを持たない第三者に販売
  •  テレビ視聴の機密情報を収集・共有し、妥当な期待に反する広告ターゲットを定める
  •  ソーシャルメディアアカウントのセキュリティを向上させるために電話番号と電子メールアドレスを収集したが、そのデータを欺瞞的に使用して、企業が既存の同意命令に違反して広告のターゲットを絞ること
  • 社会保障番号やパスワードリセット用の質問に対する回答など消費者の個人情報100を保護するための妥当な措置を実施せず、後に発生した侵害を隠蔽すること
  • データ保護のために採用した保護措置の不実表示

政策分野ごとの活動としては

などがあります。

3.2 規則制定の理由

規則制定の理由としては、以下の事項があげられています。

  1. FTC法にによる救済の限定(最初の違反には、罰金を課せられないこと)
  2. 商業的監視および緩慢なセキュリティに対する制裁としては、救済が不十分であること
  3. ハームのある商業的監視や緩慢なセキュリティ実務に対しては、評価が低くなりがちであること
  4. 委員会のリソースには、制限があること

4 質問事項

委員会は、(a) 有害な商業的監視およびデータセキュリティの緩い実務の性質と普及状況、(b) 消費者と競争にとってのこうした慣行のコストと相殺される利益のバランス、ならびに任意の潜在的貿易規制規則のコストと利益、(c) 有害かつ普及している商業的監視およびデータセキュリティの甘い慣行から消費者を守るための提案、についてパブリックコメントを募集しています。

質問事項の構造は、以下のような感じで図示されます。

個々の具体的な項目は、以下のとおりです。

a. 商業的監視行為や緩いセキュリティ対策は、どの程度消費者に害を及ぼすか?

本ANPRは、物理的セキュリティ、経済的損害、心理的損害、風評被害、不要な侵入に関するものを含め、緩いデータセキュリティや商業的監視行為から生じる潜在的な消費者の損害のほんの一部について言及しているに過ぎません。

1. 企業はどのような手法で消費者を監視しているのか?

2. 消費者データを保護するために、企業はどのような手段を用いているか?

3. これらの措置や慣行のうち、どれが普及しているか。ある分野では、他の分野より普及している慣行があるか。

4. (もしそうなら)これらの商業的監視行為が消費者にどのような損害を与えるか、あるいは消費者に損害を与えるリスクを増大させるか。

5. 消費者が容易に見分けがつかない、あるいは特定できないような危害があるか。それはどのようなものか。

6. 消費者が容易に定量化または測定できないような危害があるか。それらはどのようなものか。

7. 委員会は、これらの商業的監視の害や潜在的な害をどのように特定し評価すべきか。委員会は、害や害のリスクの主張を立証するために、どのような証拠や手段に依拠すべきか。

8.委員会がその調査を通じて対処できなかった危害の分野や種類があるとすれば、それはどのようなものか

9. 委員会は、潜在的な身体的損害、心理的損害、風評被害、不要な侵入など、間接的な金銭的損害に適切に対処してきたか?

10. どのような種類のデータが潜在的取引き規制ルールの対象となるべきか。例えば、個人を特定できるデータ、機密データ、保護されたカテゴリとその代理に関するデータ、デバイスにリンクできるデータ、非集計データなどに限定すべきか?あるいは、潜在的なルールはデータの種類にとらわれないものにすべきか。

11. あるとすれば、どのような商業的インセンティブやビジネスモデルが、緩いデータ・セキュリティ対策や有害な商業的監視行為につながるか? ある種の商業的インセンティブやビジネスモデルは、他のものよりも消費者を保護する可能性が高いか? 企業は消費者に害を与えないことを保証するために、どのようなチェックに頼っているか(もしあれば)。

12. 緩いデータ・セキュリティ対策と有害な商業的監視は、異なる分野(例えば、健康、金融、雇用)あるいはインターネット経済の異なるセグメントあるいは「スタック」において、異なる種類の消費者(例えば、若者、労働者、フランチャイジー、中小企業、女性、ストーキングやDVの被害者、人種的少数者、高齢者)を傷付ける。例えば、金融や医療におけるデータセキュリティ侵害から生じる被害は、ソーシャルメディア上の差別的な広告に関するものと異なる可能性があり、教育技術に関わるものとは異なる可能性がある。新しい貿易規制ルールの可能性があるとすれば、異なるセクター間の異なる消費者の損害にどのように対処すべきか?新しい貿易規制規則が明確な制限や禁止を定めるべき違法な商業的監視行為があるとすれば、それはどのようなものか。ある危害に対して、セクター別のアプローチよりも包括的な規制アプローチの方が優れているとすれば、それはどの程度か。

b. 商業的監視行為や緩いデータセキュリティ対策は、どの程度、10代の若者を含む子供に害を与えているか。

13. 委員会は、10代の若者を含む子供たちに影響を与える商業的監視行為や緩いデータセキュリティ対策について意見を求めている。子供やティーンエイジャーが特に脆弱であったり、影響を受けやすかったりする慣行や対策はあるか?例えば、子供やティーンエイジャーは、個人情報の共有を促すように設計された慣行によって操られる可能性が大人よりも高いのだろうか。

14. 子どもやティーンエイジャーのデータに関わる商業的な監視行為で、最も懸念されるのはどのような種類のものか。例えば、ティーンエイジャーは大人よりも風評被害を予測する能力が低いという特徴があることを考えると、新しい取引規制ルールは、COPPAが13歳未満の児童に提供しているのと同様の方法で、ティーンエイジャーにどの程度まで消去メカニズムを提供すべきか?COPPAの下で要求される以上のどのような措置が、有害な商業的監視行為からティーンエイジャーを含む子どもを最もよく守ることができるか?

15. サイトやサービスが未成年者を対象としていない場合でも、プライバシー保護設定をデフォルトで提供しないなど、企業が子どもやティーンエイジャーにプライバシー保護を提供しないことが不公正行為になるとしたら、どのような状況か。例えば、多数の児童から情報を収集するサービスは、サービスが児童を対象としているか否かにかかわらず、児童に強化されたプライバシー保護を提供するよう求められるべきか。児童やティーンエイジャーを対象としていないサービスについても、利用者の年齢を判別するための措置を講じ、未成年者のための追加的な保護を提供することを義務付けるべきか。

16. 児童やティーンエイジャーを対象としていないにもかかわらず、児童保護のための措置や設定を実施しているサイトやサービスがあるとすれば、それはどのようなものだろうか。

17. 消費者を操作してオンライン活動を長引かせる技術(例:ビデオの自動再生、無限または無限のスクロール、定量的な大衆人気)は、子供やティーンエイジャーの商業的監視を促進するか?もしそうなら、どのように?企業が子どもやティーンエイジャーにこうした技術を使用することが不公正な行為であるとすれば、それはどのような状況か?例えば、子供やティーンエイジャーの臨床的なうつ病、不安、摂食障害、自殺念慮と関連する証拠や研究にもかかわらず、企業がこれらの技術を使用する場合、それは不公正または欺瞞的行為となるか。

18. 取引規制のルールは、子どもの異なる年齢層(例えば、13歳から15歳、16歳から17歳など)をどの程度まで区別すべきか?

19. 画面やディスプレイの背後にある商業的監視の仕組みが明確でない中、親の同意は子どものオンラインプライバシーを確保する有効な方法か。委員会が検討すべき他の保護や仕組みがあるとすれば、それはどのようなものか。

20. 子供や十代の若者のデータを扱う企業間市場は、どの程度拡大しているか。この観点から、新たな取引規制の規則において、子供や十代の若者の個人情報の移転、共有、収益化に関する明確な制限を設けるべきか。

21. 企業が収集した情報の利用を、子どもやティーンエイジャー、あるいはその保護者が申し込んだ特定のサービスに限定すべきか?親の同意に関係なく、子供やティーンエイジャーにパーソナライズされた広告を出すことについて、新しい規則で明確な制限を設けるべきか?もしそうなら、どのような根拠で?子ども向けのパーソナライズド広告から生じる弊害は何か?児童やティーンエイジャーに向けたパーソナライズド広告から生じる不公正または欺瞞的な慣行があるとすれば、それはどのようなものか?

22. 新しい規則では、特定の収集方法のリスクに応じて、児童から収集した情報を保護するための異なる義務を課すべきか。

23. コンテンツマッチング技術など、児童性的虐待の資料の拡散を阻止するための潜在的な規則は、消費者のプライバシーにどのような影響を与えるか

c. 委員会はコストと利益のバランスをどのようにとるべきか?

24 委員会は、現行の慣行と対応する規制の相対的な費用と便益について意見を求めている。商業的監視とデータセキュリティの観点から、委員会はこのバランス調整にどのように取り組むべきか。このような会計処理において、どのような変数や結果を考慮すべきか。重要ではあるが、重要なコストや便益として定量化するのが難しい変数や成果は何か。委員会は、定量化が困難なコストと便益に十分な重みを与えることをどのように確保すべきか。

25. 既存又は新たに出現した商業的監視及びデータ・セキュリティ慣行の相対的コストと便益を評価するための適切な時間軸は何か。規制の相対的な便益とコストを評価するための適切な時間軸は何か。

26. データ・セキュリティや商業的監視に関する新しい取引規制のルールは、どの程度まで技術革新を妨げたり高めたりするか? そのような規則は、ある種の製品、サービス、アプリケーションの開発を他のものよりどの程度促進したり妨げたりするか?

27. データセキュリティや商業監視に関する新しい取引規制のルールは、競争を阻害するか、強化するか? あるルールは、競争を阻害するような形で、ある企業または一連の企業の潜在的な支配力を強化するか?もしそうなら、どのように、どの程度までか?

28. コストと便益の分析は、子供に関する情報との関連で異なるべきか。異なるとすれば、それはどのようなものか。

29. 商業的監視またはデータセキュリティに関する新たな規則の発布を控えることの利点またはコストは何か

d. 有害な商業的監視またはデータセキュリティ慣行が蔓延している場合、委員会はどのように規制すべきか.

ⅰ一般的な規則制定

30. 委員会は、商業的監視とデータセキュリティに関する第18条の規則制定を追求すべきか。既存の法的権限と自己規制を含む法外な措置はどの程度まで十分か。自主規制の原則は有効であるとすれば、どの程度までか。

ⅱデータセキュリティ

31. 委員会は、データセキュリティに関する第18条の規定作りを開始すべきか。委員会は、新しい取引規制の規則が合理的なデータセキュリティをどのように要求し、または奨励するのに役立つかについて特に意見を求めている。

 32. 例えば、新規則は、対象データのセキュリティ、機密性、完全性へのリスクから保護するために、暗号化技術を含む管理的、技術的、物理的なデータセキュリティ対策を実施するよう企業に要求すべきか。その場合、どのような対策が必要か?また、そのような対策はどの程度詳細であるべきか?そのような措置の実施を阻害する証拠があるか。

33. 新規則は、消費者データセキュリティに関する欺瞞的な主張の禁止を成文化し、それにより、初めて違反した場合に民事罰を求める権限を委員会に与えるべきか。

34. COPPA または GLBA Safeguards Rule に基づくデータセキュリティ要件は、セクター間または他の特定セクターにおけるデータセキュリティに関するより一般的な取引規制ルールの建設的な指針となるか?

 35. 委員会は、すでにデータセキュリティ要件を含む州および連邦レベルの他の法律(例えば、COPPA)を考慮すべきか。考慮する場合は、どのようにするか。委員会は、データセキュリティに関する他の政府の要求事項(例えば、GDPR)を考慮すべきか。その場合、どのように?3

36. 委員会は、企業に対して、自社のデータ業務が明確なセキュリティ基準を満たしていることを証明するよう、どの程度まで要求すべきか。その場合、FTCと第三者機関のどちらがそのような基準を設定すべきか。

ⅲ 消費者データの収集、使用、保持、移転

37. 企業は消費者のバイオメトリクス情報をどのように収集しているか。企業は、どのような種類の生体情報を収集するのか。企業は、どのような目的でそれを収集し、使用しているか。消費者は通常、その収集と利用を認識しているか。これらの慣行の利点と弊害は何か?

38. 委員会は、顔認識、指紋、その他の生体認証技術を使用する、あるいは使用を促進する商業的監視行為を制限することを検討すべきか。もしそうなら、どのように?

39. 委員会は、具体的に列挙されたサービス(金融、医療、検索、ソーシャルメディアなど)を提供する企業が、個別化広告やターゲット広告のような特定の商業監視行為に従事する事業を所有または運営することをどの程度まで制限すべきか? もしそうなら、どのように?消費者は一般的に広告で賄われるサービスに0ドルを支払うことを考えると、このような規則の相対的なコストと便益はどうなるのか。

40. インターネット企業が第三者広告主に請求する料金を正当化するために依拠する指標は、どの程度正確か。新しいルールは、市民権法によってすでに課されている制限を超えて、標的型広告やその他の商業的監視行為をどの程度まで制限すべきか(もしあるとすれば)。もしそうなら、どのように?そのような規則は、どの程度、消費者に害を与え、企業に負担を与え、技術革新や競争を阻害し、合法的なコンテンツの流通を冷え込ませるか?

41. 新しい規則が何らかの形でファースト・ターゲットやサード・パーティ・ターゲットを制限した場合、企業はどのような代替広告手法に転換するか。

42. ターゲット広告と比較した場合、コンテクスト広告はどの程度費用対効果があるか?

 43.新しい取引規制ルールは、企業の消費者データの収集、利用、保持にどの程度まで制限を課すべきか。例えば、データ最小化要件や目的制限、すなわち企業が消費者データをある定義された時点を超えて収集、保持、使用、転送することを制限することを制定すべきであろうか。あるいは同様に、消費者個人が明確に求めている特定のサービス、またはその特定のサービスと互換性のあるサービスを提供するために必要な範囲でのみ消費者データを収集、保持、使用、転送するよう企業に要求すべきであろうか。もしそうなら、どのように?また、どのような用途が適合するかは、どのように判断・定義すればよいのか。さらに、委員会は、どのデータが特定の目的の達成に関連し、それ以上でないかをどのように見分けることができるのか。

44. これとは対照的に、新たな取引規制の規則では、企業が消費者データを収集・保有する期間を、そのデータの使用目的の違いとは無関係に制限すべきであろうか。その場合、当該規則は関連する期間をどのように定義すべきか。

45. 目的限定規則に従って、消費者がある目的のために提供したデータが、その特定の目的のためにのみ使用されたかどうかを、委員会は、もしあれば、どのように見分けるべきか。さらに、委員会は、消費者が明示的にデータを提供した目的とは異なるが、それと両立する消費者データの利用をどの程度まで認めるべきか。

46. また、新しい規則では、特定の業務やサービスに対してのみ、データの最小化や目的の制限を課すべきであろうか。例えば、委員会は、金融、医療、検索などの必須サービスに対するデータ使用に制限を課すべきであろうか。その場合、どのようにするか。

47. データ最小化要件または目的制限は、消費者データのセキュリティをどの程度まで保護するか。

48. データ最小化の要件または目的の制限は、アルゴリズムによる意思決定またはその他のアルゴリズムによる学習ベースのプロセスまたは技法をどの程度まで不当に妨げるか。データの最小化または目的制限の規則がもたらす利益は、その規則が消費者や企業にもたらす潜在的な害とどの程度比例しないか。

49. 商業的監視行為の規模、情報の非対称性、そのような規則が遵守を確保するために委員会に要求する組織的リソースを考慮すると、データ最小化要件や目的制限はどの程度管理可能なのか。その相対的な有効性について、他の管轄区域は何を教えてくれるのか。

50. データの最小化または目的の制限は、消費者が現在負担していないサービスやコンテンツにアクセスする能力にどのような影響を及ぼすか。逆に、委員会がそのような制限を課さない場合、消費者が負担するとすればどのようなコストか。

51. 消費者データの収集、利用、保持、移転、収益化に関して、商業的監視行為が明確な基準を満たしていることを証明するよう、委員会は企業にどの程度まで要求すべきか? また、その基準は、FTC、第三者機関、またはその他の団体のいずれが設定するのか。

52. 現在、デフォルトで、消費者が他の企業によるクッキーと他の永続的識別子の使用をブロックできるようにしている企業は、どの程度、競争を阻害しているか。そのような措置は、もしあるとすれば、消費者のプライバシーをどの程度保護するか。新しい取引規制ルールは、例えば、相互運用性または消費者データへのアクセスを要求することによって、そのような行為を禁止すべきであろうか。あるいは、企業が他の企業の消費者データへのアクセスを制限することを許可したり、奨励したりすべきなのか。このような規則は、本 ANPR の他の箇所で議論されている一般的な懸念や潜在的な救済策とどのような関係になるのか。

ⅳ 自動化された意思決定システム

53. アルゴリズムによる誤りはどの程度普及しているか。アルゴリズムによる誤りはどの程度まで避けられないのか。もし避けられないのであれば、住宅、クレジット、雇用などの重要な分野で企業が自動意思決定システムを採用することの利点とコストはどの程度か?新たな取引規制のルールがない場合、企業はアルゴリズムによるエラーをどの程度まで軽減することができるか?

54. アルゴリズム・エラーを測定する最善の方法は何か。アルゴリズム・エラーは、他のセクターよりもあるセクターでより顕著に、あるいはより頻繁に発生しているのか?

55. 企業が自動意思決定システムのアウトプットを重視することで、その信頼性が過大評価されていないか。もしそうなら、アルゴリズム・エラーが発生した場合、消費者被害を拡大させる可能性があるか?

56. 新しい規則では、アルゴリズムによるエラーを防止するための具体的な措置を企業にどの程度まで求めるべきであろうか。その場合、どのような手段をとるべきか。委員会は、企業に対して、自動化された意思決定への依存が正確性、妥当性、信頼性、エラーに関する明確な基準を満たしていることを評価・証明するよう求めるべきと考えるが、もしそうであれば、どの程度までか?もしそうであれば、どのように?そのような基準は誰が設定するのか、FTCか第三者機関か?あるいは、新規則は、企業が公表している事業方針に従って、商業的監視行為の正確性、有効性、信頼性を評価し、証明することを求めるべきか。

 57. 自動意思決定システムから消費者が恩恵を受けるとすれば、それはどの程度か。誰が最も恩恵を受ける可能性が高いか。誰が最も損害を受けやすいか、あるいは不利益を被る可能性が高いか。このような慣行は、どの程度までFTC法第5条に違反するか。

58. 新しい規則は、企業の自動的な意思決定が、非英語圏のコミュニティを詐欺や不正なデータ操作からより良く守ることに役立ち得るか?もしそうなら、どのように?

59. 新しい規則が特定の自動的意思決定手法を制限する場合、それに代わる代替手法があるとすれば、どのようなものか。これらの代替技術は、代替となる自動的意思決定よりもエラーの可能性が低いか。

60. FTC法第5条に違反する結果を生み出す、あるいは促進する自動意思決定システムの開発、設計、利用を新規則で禁止あるいは制限すべきとすれば、それはどの程度までか。そのようなルールは経済全体に適用されるべきか、それとも一部の分野のみに適用されるべきか。後者であれば、どの分野か?これらのルールは、分野によって異なる構造とすべきか?もしそうなら、どのように?

61. 製品へのアクセス、製品の特徴、製品の品質、価格設定における自動的意思決定の制限は、どのような影響を及ぼすか。また、代替的な価格設定があるとすれば、それはどのようなものであろうか。

62. ターゲット広告における自動化システムの利用を制限する際に、憲法やその他の法的な問題が生じる可能性があるとすれば、どのような法理論がそれを支持するか。

63. 企業がサービスをパーソナライズしたり、ターゲット広告を配信する方法に関する規則を委員会が公布・施行することは、憲法修正第1条によってどの程度禁止されるか、あるいは禁止されないか、もしあるとすれば、それはどの程度か。

64. 通信法第 230 条(47 U.S.C. 230)は、企業が自動意思決定システムを使用して、特にサービスをパーソナライズしたり、ターゲット広告を配信する方法に関する規則を委員会が公布したり執行したりすることを、禁止するとしたらどの程度か。

v. 保護カテゴリーに基づく差別

65. アルゴリズムによる差別は、人種、性別、年齢などの保護されたカテゴリーに基づき、どの程度広まっているのか。そのような差別は、ある部門と他の部門でより顕著に見られるのであろうか?もしそうなら、それはどの分野か?

66. 委員会はアルゴリズムによる差別をどのように評価・測定すべきか。アルゴリズムによる差別は、直接・間接的に消費者にどのような影響を与えるか。アルゴリズムによる差別は、技術革新や競争を阻害するとすれば、どの程度か。

67. 委員会はこのようなアルゴリズム差別にどのように対処すべきか?差別を生むあらゆるシステムの展開を、その結果の根拠となったデータやプロセスに関係なく、禁止または何らかの形で制限する新たな取引規制ルールを検討すべきか。その場合、委員会はどのような基準で格差のある結果を測定・評価すべきか。委員会は、保護カテゴリのプロキシに基づく差別をどのように分析すべきか。複数の保護カテゴリーが関係している場合、委員会はどのように差別を分析すべきか(例:妊娠中の退役軍人や黒人女性)?

68. 委員会は、保護されたカテゴリーに基づく害に焦点を当てるべきか。委員会は、現在の法律が差別から保護されることを認めていない他の恵まれない集団(例えば、住居のない人や農村地域の住民)に対する害を考慮すべきか?

69. 委員会は、住宅、雇用、労働、消費者金融など、議会が既に明確に法制化している分野において、アルゴリズムによる差別に関する新たなルールを検討すべきか?それとも、委員会は全ての分野を対象としたそのような規則を検討すべきか?

70. 保護カテゴリーに基づく自動意思決定システムによる差別を制限することは、すべての消費者に影響を与えるとすれば、どのように影響するか。

71. 委員会は、差別撤廃規則を公布するために、第5条に基づく不公正の権限にどの程度まで頼ることができるか。すべきなのか。他の部門や連邦法における反差別の原則は、新しい規則とどのように関連付けるべきか。

72. 委員会の専門知識と権限は、どのようにして他の公民権機関のそれを補完することができるか。新しい規則は、どのようにして省庁間の協力のためのスペースを確保することができるか。

ⅵ 消費者の同意

73. 委員会は、企業の商業的監視とデータ・セキュリティの慣行に対する消費者の同意の有効性と管理性について意見を求めている。現在の商業的監視の規模、不透明さ、広まりを考えると、消費者の同意は、どの程度、不公正または欺瞞的行為であるかを評価する効果的な方法なのか。委員会は、その有効性をどのように評価すべきか。

74. 消費者の同意が効果的であるとすれば、それはどのような状況か。消費者の同意が効果的であるかどうかは、どのような要因(もしあれば)によって決まるか。

75. 現行法は、消費者の同意の有無にかかわらず、商業的な監視行為をどの程度まで禁止しているか。

76. 新しい取引規制ルールは、消費者の同意の有無に関わらず、特定の商業的監視行為をどの程度まで禁止すべきか。

77. 新たな取引規制ルールは、企業が消費者に商業的監視の対象となるかどうかの選択肢を与えることをどの程度まで要求すべきか。新しい取引規制ルールは、どの程度まで消費者に正当に与えられた事前同意を撤回する選択肢を与えるべきか。商業的監視行為が不公正または欺瞞的であるかどうかを評価する有用な方法であり続けるためには、消費者の同意はどの程度実証的または実質的でなければならないか? 委員会は、消費者の同意が十分に有意義であるかどうかをどのように評価すべきか。

78. 企業が消費者に対して、商業的監視の対象となるか、同意を撤回するかという選択肢を与えることを義務付ける規則は、消費者にどのような影響を与えるか。企業はいつ、どれくらいの頻度で消費者に選択肢を提供すべきか。また、全てではないにせよ、どのような行為に対して企業がこれらの選択肢を提供すべきか。

79. 委員会は、消費者グループごとに異なる同意基準を要求すべきか(例えば、ティーンエイジャーの親(10代前の親とは異なる)、高齢者、危機にある個人、その他特に欺瞞に弱い人々)?

80. オプトアウトの選択肢は、商業的監視から保護する上で有効であることが証明されているか。もしそうなら、どのように、どのような文脈で?

81. 新しい取引規制の規則では、企業は消費者に対し、すべてあるいは特定の限定された商業的監視行為からオプトアウトする選択肢を提供するよう義務付けるべきか。その場合、どのような慣行や目的に対してオプトアウトの選択肢を提供することを求めるべき か。例えば、新しい規則では、消費者がすべてのパーソナライズされた広告またはターゲット広告からオプトアウトする選択肢を持つことをどの程度まで要求すべきか。

82. 商業的監視行為のオプトアウトに関する消費者それぞれの選択(それがすべての商業的監視行為であれ、一部であれ)を企業が認識し、遵守することを委員会が求めるとしたら、どのような方法があるか。消費者は、共有する個人情報の量や種類に対して、全員が同じ選好を持っているわけではないことを考えると、そのような規則は消費者にどのような影響を与えるであろうか。

vii. 通知、透明性、開示

83. 委員会は、企業が自社の商業的監視行為に関する情報を利用できるようにすることを義務付ける規則をどの程度まで検討すべきか。新しい取引規制の規則では、どのような種類の情報をどのような形で提供するよう企業に求めるべきか。

84. どのような状況において、透明性や情報開示の要件は効果的か。また、どのような状況において、それらはあまり効果的でないか。

85. 委員会は、企業に対して情報公開を要求したり、奨励したりするために、どのようなメカニズムを用いるべきか(もしあれば)。企業が提供する情報の十分性、正確性、真正性を検証するために委員会が用いるべきメカニズムがあるとすれば、それは何か?

a. 不透明性をもたらすメカニズムとは何か?

86. 委員会は、さまざまな形態の商業的監視慣行の不透明さの性質について意見を求めている。企業はどのような技術的または法的メカニズムに依拠して、商業的監視行為を世間の目から隠しているのか。例えば、企業秘密を含む知的財産の保護は、企業が製品、サービス、コンテンツ、広告を提供するために依存している資産の不本意な一般公開を制限するものである。委員会は、このような潜在的な制限に対処するとすれば、どのように対処すべきか。

b. 誰が通知または開示の要件を管理すべきか?

 87. 委員会は、新しい開示規則を促進するために、どの程度、第三者の仲介者(政府関係者、ジャーナリスト、学者、監査人など)に依存すべきか。

88. さらに、委員会は、開示要求の管理において、第三者である監査人や研究者がどのような役割を果たすべきかを決定する際に、対象企業の専有権や競争上の利益をどの程度考慮すべきか。

c. 企業は何を通知または開示すべきか?

89. 取引規制の規則では、企業が (1) 使用するデータ、(2) データの収集、保持、開示、移転の方法、 (3) データを分析または処理するための所定の自動意思決定システムまたはプロセスの導入方法(代替方法の検討を含む)を説明することを、もし可能であれば、どの程度義務付けるべきか。(4) 意思決定に至るためにデータをどのように処理又は使用するか、(5) かかる意思決定を行うために第三者ベンダーに依存しているか、(6) 消費者間の格差又はその他の分配結果を含む、彼らの商業的監視行為の影響、及び (7) 消費者の潜在的被害に対処するリスク軽減措置?

90. これらのような開示は、多くの聴衆にとって理解しやすいものではないかもしれない。新規則を制定する場合、平易な説明を求めるべきか。そのような説明は、どんなに平易であっても、どの程度効果的でありうるか。もしそうであるなら、新規則はどの程度までそのような要件を詳細に説明すべきか。

91. 情報開示の要件は、サービスの性質や損害の可能性に応じて異なる可能性がある。潜在的な新規取引規制ルールは、例えば、問題となるデータまたは慣行の性質(例えば、収集、保持、移転)または分野(例えば、消費者信用、住宅、または仕事)に応じて、異なる種類の開示ツールを要求することができる。あるいは、綿密な会計処理(影響評価など)や、外部で策定された基準に対する評価(第三者監査など)を必要とする透明性の高い措置を課すことも可能である。もしあるとすれば、委員会はそのような規則をどのように実施・執行すべきであろうか。

92. 委員会は、商業監視慣行に関する定期的な自己報告、第三者による監査または評価、あるいは自主的な影響評価を、もしあるとすれば、どの程度まで恒常的な義務にすべきか。委員会は、もしあるとすれば、どの程度の頻度で企業にそのような資料を公表するよう求めるべきか。継続的な義務でない場合、何がそのような資料の公表のきっかけとなるか。

93. 企業は上記のような情報を提供する能力をどの程度持っているか。そのような開示義務に潜在的なコストがあることを考えると、取引規制ルールは、その規模や問題となる消費者データの性質により、特定の企業を除外すべきか。

ⅷ 救済措置

94. 本法に基づく救済措置を実施する FTC の権限は、商業的監視に関する新しい取引規制規則の可能性の形式または内容をどのように決定すべきか。新しい規則には、FTC 法には明示されていないが、委員会の権限内である特定の形式の救済や損害賠償を列挙すべきか。

例えば、商業的監視に関する新たな取引規制ルールの候補として、アルゴリズムによる損害賠償(企業が自動化システムの使用に関連した違法行為から利益を得ることを禁じる救済措置)を明示的に特定すべきであろうか。商業的監視に関する新しい取引規制の規則で、その他の救済手段を明示すべきものがあるとすれば、それは何か?規制によって救済策を実施する委員会の権限に限界はあるか。

ix 陳腐化

95. 委員会は、いかなる規則制定も陳腐化する可能性があることに留意している。例えば、ターゲット広告が今日のインターネット経済にとって重要であるのと同様に、その役割が衰退する可能性がある。企業やその他の利害関係者は、新たなビジネスモデルを模索している。こうした変化は、特にニュース出版を含め、第三者広告モデルに依存するようになった企業にとって、顕著な付帯的影響をもたらすだろう。オンライン広告市場におけるこうした動きは、その一例に過ぎない。委員会は、広告におけるビジネスモデルの変化だけでなく、その他の商業的監視慣行についても、どのように考慮すべきであろうか。

5 コメントの提出

6 公聴会

 

 

 

関連記事

  1. NHK BS 「ダークサイドミステリー」に高橋郁夫が出演します
  2. 村田製作所事件の法的意義と中国のネットワークセキュリティ法と国家…
  3. 「ワナクライ」サイバー攻撃に北朝鮮が関与と米政府=報道
  4. 国や地方公共団体の契約事務と立会人型-第3回 デジタルガバメント…
  5. 国際的なサイバーテロの用語についての追加
  6. サイバーセキュリティ対策推進議員連盟の緊急提言
  7. 医療機器・ヘルスソフトウエアの前提知識
  8. データの越境所在のリスク-海外に顧客情報、金融機関の4割 ルール…
PAGE TOP