「クラウドセキュリティアライアンス」(CSA)は2015年4月20日、米国サンフランシスコでリーガル情報セミナーを開催し、FTC プライバシー/ID保護課のローラ・バーガー氏を招いて「ビッグデータとInternet of Thingsの準備に向けて」と題するパネルディスカッションを行った(関連PDF)。
バーガー氏によると、現時点でビッグデータを直接規制の対象とする法令は制定されていないが、ビッグデータ固有のプライバシーやデータセキュリティにつながるような判例やルールは、既に多く蓄積されているという。職員に占める法律家の比率が高いFTCでは判例法主義の影響から、ユースケースやベストプラクティスの蓄積を重視する傾向が強い。
参考までに、FTCのガイドライン類でビッグデータのプライバシー/セキュリティに関連するものを整理すると、下記のようになる。
ガイドライン | 内容 |
---|---|
Health Breach Notification Rule | 医療保険の携行性と責任に関する法律(HIPAA)で保護されない医療情報が漏えいした時の通知に関する順守ルール |
Red Flags Rule | 金融・信用分野を対象としたID窃盗予防対策プログラムの設計に関する順守ルール |
COPPA Rule | 13歳未満の子どもを対象とした児童オンラインプライバシー保護法(COPPA)順守のためのルール |
GLB Privacy Rule | グラム・リーチ・ブライリー法(GLB)に基づいた、金融機関による顧客の個人金融情報の収集および開示に関する順守ルール |
GLB Safeguards Rule | GLBに基づいた、金融機関による顧客情報保護を目的としたセーフガードの設計・実装・運用に関する順守ルール |
Telemarketing Sales Rule | テレマーケティングにおける消費者詐欺および濫用防止法(DNC)に基づいた、テレマーケティング販売に関する順守ルール(「Do Not Call」登録リスト等含む) |
CAN-SPAM Rule | 連邦スパム規制法(CAN-SPAM Act)に基づいた、商業電子メール送信の取扱に関する順守ルール(「Do Not Email」登録リスト等含む) |
Disposal Rule | 公正かつ正確な信用取引のための法律(FACTA)に基づき、企業が消費者から収集した信用報告書/情報を廃棄する際の順守ルール |
Pre-screen Opt-out Notice Rule | 公正かつ正確な信用取引のための法律(FACTA)に基づき、企業がプレスクリーニングされた信用/保険の勧誘を消費者に送付する際、簡単でわかりやすいオプトアウトの通知をするよう規定したルール |
ビッグデータに関連してFTCが注力しているのが、データを保有する事業者(データプロバイダー)とデータを利活用するユーザー(データコンシューマー)の間に介在して、様々なデータを収集・蓄積・分析し、付加価値サービスを提供する「データブローカー」だ。
2014年5月にFTCは、「データブローカー:透明性と説明責任を求める」(関連PDF)と題した報告書を公表し、主要なデータブローカー企業における消費者データを利用したビジネス実態を分析している。データブローカーの透明性と説明責任に関しては、同時期にホワイトハウスが公表したビッグデータ報告書(関連PDF)でも指摘がなされている。
前回取り上げた「NISTのビッグデータ・リファレンス・アーキテクチャ」を参照すると、データプロバイダーとデータコンシューマーの間には、システムオーケストレーター、ビッグデータ・アプリケーションプ・ロバイダー、ビッグデータ・フレームワーク・プロバイダー、セキュリティ/プライバシー・ファブリック、マネジメント・ファブリックなど、様々なプレイヤーが介在して、データブローカーのサービス提供が可能になることが分かる。
他方、FTCが求めるデータブローカーの透明性と説明責任を担保するためには、様々なプレイヤーが関与するビッグデータのエコシステム全体を、法律的な観点から整理・可視化した上で、データのセキュアな保存、効率的な監査対応、来歴記録の管理など、ビッグデータ環境ならではの標準的な技術対策を実現していく必要がある。
前述のCSAのカンファレンスではビッグデータ管理において、エンジニア主導によるNISTの標準化活動と、法律家主導によるFTCのルールづくりの間のバランスをどうとるかが話題になった。日本にとっても大きな課題である。
次回はビッグデータの観点から見た米国のIoT標準化活動を取り上げる。
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook: https://www.facebook.com/esasahara
日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ:
http://www.cloudsecurityalliance.jp/bigdata_wg.html
Copyright © ITmedia, Inc. All Rights Reserved.