見出し画像

連邦プライバシー法の制定に向けたワシントンでの新しい動き

Privacy by Design Lab(プライバシーバイデザインラボ)

※このインタビューは2024年3月12日に収録されました

AI利用が進む米国では、包括的なプライバシー法の議論が以前より進んできています。

今回は米国シンクタンクのR Street Instituteでプライバシー及びセキュリティ調査に関わるスティーブンさんに、米国連邦プライバシー法の現在地と関連法案の今後についてお伺いしました。

前回の記事より

米国での子供のデータに関する取り扱いについて、セキュリティやプライバシーの観点からはどのような議論が行われているのでしょうか?

米国内で議論されている子供に関連するプライバシー法の現在地とは

Steven: 最近は各州や連邦レベルで子供のプライバシーについての議論が盛んに行われています。例えば、児童オンライン安全法がわかりやすい一例です。また、児童性的虐待のコンテンツに関する法案に反対する動きがアーンイット法の中で提案されています。

(動画:BREAKING NEWS: Richard Blumenthal, Marsha Blackburn Promote The Kids Online Safety Act)

このような傾向は非常に良いことだと思いますし、子供のプライバシーを保護する動きには非常に好意的です。ただ、プライバシー保護を強めることによって、セキュリティを弱めることにならないかは気になっています。アーンイット法を通して児童性的虐待のコンテンツに関する法案に反対することで、エンドツーエンド暗号を弱体化させてしまうこともあるからです。

これまでにコンピューターフォレンジック分野に関わってきたこともあり、フォレンジックのような手段の有効性についても非常に理解しています。特にセンシティブな情報をいかにして保護すべきかは大きなテーマになります。

もしエンドツーエンド暗号設定を行っていない場合には、サービス上での通信情報が暗号化されずに相手に届くことになります。児童性的虐待のコンテンツに関する法案に反対することばかりに集中してしまうことで、起こりうる懸念を見過ごしてしまう可能性も残っているのです。

さらに、子供達が自ら児童性的虐待のコンテンツに関与するかもしれないことについては見落とされている点が残っています。子供達が自ら知らない人に撮影した自身の写真を送ってしまうケースが考えられます。送信相手がプライバシーに配慮してくれることを期待しているのかもしれませんが、実態はそんな人ばかりではありません。

今では多くの時間をアプリやソフトウェアサービス利用に費やしているので、センシティブな写真については暗号化された状態に保っておくことが必要になります。エンドツーエンド暗号の設定を弱めてしまうことによって、子供達だけでなく利用者全体のセキュリティを低下させてしまうことにも繋がりかねません。

私は、ここまで議論されている法律の中で暗号化については弱めるべきではないと考えています。もしこのまま法律が通過してしまうということであれば、犯罪調査を行う機関に対して資金提供を行うことが必要になると思います。

Kohei: 有難うございます。ここまでお話ししてきたプライバシー保護の議論に加えて、米国では児童オンラインプライバシー保護法(COPPA)が存在すると思います。これまでの議論とは別に、児童オンラインプライバシー保護法では新しい技術の変化に合わせて子供のプライバシーを保護することにつながるのでしょうか?

Steven: もう少し今の質問を具体的に教えてもらえませんか?

Kohei: わかりました。児童オンラインプライバシー保護法の範囲内で、新しい技術を規制することは難しいのでしょうか?

Steven: 私は児童オンラインプライバシー保護法がとても重要な法律だと思っています。ただ、この法律についてもいくつかアップデートが必要な項目があることも事実です。特に児童オンラインプライバシー保護法の下で必要なセキュリティ基準について気になっています。

丁度、連邦取引委員会から児童オンラインプライバシー保護法をアップデートするためのコメント募集が行われていたところです。今後募集した意見を踏まえて、どういったアップデートがあるのかは注視していきたいと思います。大前提として、子供のプライバシーを保護する制度は非常に重要です。また少しづつアップデートされていくだろうと考えています。

各州で議論されているプライバシー法に関する動向

Kohei: 有難うございます。スティーブンさんが寄稿された記事の中では、子供のプライバシーとセキュリティに関する新たなトレンドにも触れられていました。このインタビューを拝読されている方にとって、現在のプライバシーに関する状況を知る上では非常に参考になるかと思います。

ここからは次の質問に移っていきたいと思います。次の内容は米国でのプライバシー法制度に関する内容です。スティーブンさんが記事の中で触れていますが、カリフォルニア州を始めとしたいくつかの州ではセキュリティ要求が厳しくなり、CIS Controlのような基準を求めるケースも出てきています。現在の米国各州のプライバシー法制度について教えて頂いてもよろしいでしょうか?

(動画:第32回基調講演2 CIS Controlsを使ったセキュリティ評価と改善のすすめ)

Steven: 宏平さんから頂いた質問について記載している記事は、セキュリティ基準についてまとめたものになります。セキュリティについてはいくつかの法律が混在していて、連邦法では銀行を対象としたグラム リーチ ブライリー法(GLBA)医療分野では医療保険の携行性と責任に関する法律(HIPPA)州法ではカリフォルニア州で制定されたカリフォルニア州プライバシー権法(CPRA)、カリフォルニア州プライバシー保護法(CCPA)、欧州ではEU一般データ保護規則(GDPR)が有名だと思います。どの法律のもとであっても、各組織は十分なセキュリティ対策を行う必要があります。

   (動画:The Intersection of Privacy and Law Enforcement)

私が寄稿した記事では、妥当なセキュリティ基準の線引きとは何かについて記載させていただきました。記事の中では、カリフォルニア州で行われた執行のケースを引き合いに出して、妥当なセキュリティ基準について説明をさせて頂きました。

これまでの執行ケースを参考に物事を考えることで組織は誤りから学び、妥当な基準の線引きについても行って一定数明確な解を出すことができるのだと思います。2段階認証やアクセス管理、暗号化はその一例になると思います。

執行例を通して暗号化の重要性について理解したとしても、児童性的虐待のコンテンツに関する法案のようなケースではなぜ重要なのかについての理解を深めていくことも必要になります。

州の法律を設計する際には暗号化が重要であると声高に主張したとしても、今回のように暗号化と反するような制度が後から提案されるようなこともあります。

私たちが考えるべきなのは、セキュリティの妥当性を考えるための基準とは何かということです。これは、セキュリティに関する法律を柔軟に設定するためにも必要な考えだと思います。

このような考え方を規範的な対処法と呼び、組織ごとに必要なセキュリティ基準を設定して実装していくことが求められるようになるのです。

連邦プライバシー法の制定に向けたワシントンでの新しい動き

Kohei: とても重要なお話しですね。現在の州ごとに行われているプライバシーに関する議論を考える上でのポイントを整理してくださったと思います。今後州ごとにプライバシー、セキュリティに関する制度設計を進めていく上で、問題点は何かあるのでしょうか?

例えば、州ごとに予算が限られていたり、人員の問題等の実現性に関する課題が考えられます。今後、州ごとの制度設計を進めていく上で検討すべき点があれば教えてください。

Steven: そうですね。今年はワシントンDCからいくつか期待を込めたメッセージが公表されています。現在連邦レベルでのプライバシー法の制定が広く求められてきており、バイデン大統領も支援する動きを見せていたり、データブローカーに対する大統領令も発表されています。

こういった動きは包括的な連邦プライバシー法やセキュリティ法の制定において、これまでにはなかった変化だと思います。

加えて、議会では米国データプライバシー保護法に類似した法案が118回議会での投票の結果53対2で委員を通過したことが発表されています。大規模な超党派での支援が実現し、包括的な米国内のプライバシー法の必要性が投票によって支持された形になります。

何か新しい法案が近い将来通過することになるだろうと思います。私はそういった点で楽観的に見ています。ただ、連邦法の制定までにはより多くのことが残っているのも事実です。

Kohei: 貴重な情報を共有いただき有難うございます。では次の質問に移りたいと思います。現在の連邦プライバシー法については、前の質問でもお伺いさせて頂きました。

スティーブンさんの記事では、AIについての動きも連邦プライバシー法の制定に大きく関わってくるのではないかとAIについても言及されていました。今後、連邦プライバシー法に対してAI時代においても期待することがあれば教えていただけませんか?

〈最後までご覧いただき、ありがとうございました。続きの後編は、次回お届けします。〉

データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。

Interviewer, Translation and Edit 栗原宏平
Headline Image template author  山下夏姫

この記事が気に入ったらサポートをしてみませんか?