米国FTCにみるビッグデータのルールづくりと課題とは？：ビッグデータ利活用と問題解決のいま（1/2 ページ）

日本のビッグデータ論議でよく引き合いに出されるのが米国の行政機関の連邦取引委員会（FTC）だ。一方で技術標準化を推進するNISTとは、ビッグデータに関するルールづくりにどんな違いがあるのだろうか。

[笹原英司，ITmedia]

ビッグデータ利活用と問題解決のいまのバックナンバーはこちら

消費者データ保護“番人”FTC

　前回取り上げた米国の国立標準研究所（NIST）と並び、ビッグデータに関わる制度的な仕組みづくりを担っているのがFTCだ。

　FTCは、不公正な競争方法、不公正・ぎまん的な行為または慣行を禁止した連邦取引委員会法第5条のほか、消費者信用保護法、連邦スパム規制法（CAN-SPAM Act）、児童オンラインプライバシー保護法（COPPA）、消費者信用機会均等法（ECOA）、公正信用取引法（FCRA）、公正債権回収法（FDCPA）、テレマーケティングにおける消費者詐欺および濫用防止法（DNC）など、消費者取引に関わる様々な法令を所管している。

　プライバシー／データセキュリティに関わる違反行為に対してFTCは、独立的な立場から行政的措置や司法的措置を講じる一方、法令順守のために個別のガイドライン類を策定し、一般消費者や企業を対象とした啓発・普及活動を行っている。強制措置の発動と自主規制ルールの推進という、2つの面を持ち合わせた行政機関である点がFTCの特徴だ。

ビッグデータのプライバシー保護技術にも深く関わるFTCの「3要件」

　2012年2月にホワイトハウスは、「ネットワーク世界における消費者情報プライバシー：国際的デジタル経済におけるプライバシー保護と技術革新の促進（関連PDF）」という報告書を公表した。「消費者保護のための権利章典」の中で、（1）個人によるコントロール、（2）透明性、（3）データ提供経緯の尊重、（4）安全性、（5）アクセスと正確性、（6）対象を絞った収集、（7）説明責任――の7つの権利を提示した。

　これを受けたFTCは、同年3月に「急速に変化する時代における消費者プライバシーの保護」という報告書を公表している。プライバシー保護のための新しいフレームワークとして、（1）プライバシー・バイ・デザイン、（2）消費者への簡潔な選択肢の提供、（3）透明性の確保――の3点を提示した。さらにデータの匿名化に関して、以下のようないわゆる「FTC3要件」を満たしていれば、「非個人識別情報」（Non-PII）として取り扱われると規定している。

1. 事業者はそのデータの非識別化を確保するために合理的な措置を講ずるべきである
2. 事業者はそのデータを非識別化された形態で保有及び利用し、そのデータの再識別化を試みないことを、公に約束すべきである
3. 事業者がかかる非識別化されたデータを他の事業者に提供する場合には、それがサービス提供事業者であろうとその他の第三者であろうと、その事業者がデータの再識別化を試みることを契約で禁止すべきである。この際、非識別化されたデータと元の識別可能なデータの双方を保持・使用する場合は、これらのデータは別々に保管することとすべきである

　本連載の第7回で取り上げた「プライバシー保護データマイニング」（Privacy-Preserving Data Mining）は、FTC3要件をクリアすると同時に効率的なマイニング処理を行う、ビッグデータセキュリティのコア技術だ。FTC3要件は、プライバシー保護技術に留まらず、日本国内のマイナンバー制度、個人情報保護法改正など、政策面にも大きな影響を与えている。

FTCが公開したプライバシー保護の報告書