ブログ

公正な情報慣行の 5 つの基本原則

チェックボックスの付いたペン



特にオンライン活動の拡大に伴い、オンライン活動の量は増加の一途をたどっています。 モノのインターネット (IoT) 。私たちは常にデータのリクエストにさらされています。の数 詐欺サイトフィッシング詐欺 、および、の場合 盗難を特定する 常に上昇中です。情報の安全性について細心の注意を払うことがこれまで以上に重要です。さらに、誰が自分の個人情報を保持しているのか、またその情報がどのように使用されるのかを正確に知ることは、プライバシーの権利にとって重要な側面です。

メールアドレスを引き渡すか、 オンラインで支払いをする 、自分の情報がどこに送られ、どのように使用されるのかを確実に知りたいと考えています。したがって、公平な情報慣行の原則をよく理解しておけば、オフライン環境とオンライン環境の両方をナビゲートするときに正しい意思決定を行うのに役立ちます。さらに知識があれば、すべてのユーザーにとってより安全な環境を構築するためのベスト プラクティスに従っていないエンティティを報告することもできます。



この投稿では、公正な情報慣行に関して策定されたガイドラインについて簡単に見ていきます。次に、5 つの基本原則と、それらが消費者にとって何を意味するのかを詳しく説明します。

これらの原則に関する背景

私たちが情報慣行について話すときは、さまざまな組織がどのように個人情報を収集して使用するかを指します。これらの慣行が公平であることについて語るとき、情報慣行を管理するルールを確実に整備し、消費者に十分なプライバシー保護を提供する方法を検討する必要があります。



環境は常に変化しており、長年にわたり、公正な情報慣行というテーマをめぐるさまざまな報告書が出されてきました。企業が従うべき基準を確立するために導入されたガイドラインもあります。近年、多くの国がデータ保護に関するより具体的な政策を策定しています。さまざまなレポートやガイドラインを通じて、特定の核となる原則が明らかになります。

これらは 10 年以上前に連邦取引委員会 (FTC) の報告書「公正な情報慣行の原則」で初めて示されましたが、この報告書は現在廃止されています。これは現在では時代遅れのレポートやガイドラインに基づいていますが、原則の根底にあるメッセージは、次のような最新の指令でも明らかです。

これらの文書のすべてに以下の原則がすべて明示的に含まれているわけではないことに注意してください。さらに、すべてではないにしても、ほとんどには追加の詳細なガイダンスが含まれています。したがって、これをビジネスの観点から見ている場合、またはより詳細な情報を求めている消費者である場合は、関連するドキュメントを直接参照することができます。サイドバイサイドにも興味があるかもしれません プライバシーポリシーの比較 いくつかの最大手のインターネット企業の。

上記のリストには米国の文書が存在しないことに気付くかもしれません。現在、米国では包括的なデータプライバシー法は施行されていません。ただし、公正な情報慣行に関連する特定の行為もあります。 健康保険の相互運用性と責任に関する法律 (HIPAA) と 信用取引の公正かつ適正な取引に関する法律 (ファクタ)。さらに、米国の情報慣行を管理する多くの法律は州レベルで制定されています。

原則を掘り下げる前に最後の注意点として、これらのガイドラインの一部は、消費者が自分の情報を引き渡すかどうかを決定するために必要な判断力を持っているという前提に基づいているということです。しかし、子どもの場合は、同じ分析能力や判断力を持たない可能性が高くなります。この場合、親が子供の情報を保護するための適切な備えを確保できるように、原則を適応させる必要があります。これらの適応された原則については、今後の投稿で説明する予定です。

公正な情報慣行の 5 つの基本原則

これらの原則がどこから生まれたのかが少しわかったところで、消費者の権利に関してそれらの原則がカバーする重要なポイントを見てみましょう。

1. 消費者に通知する必要がある

通知とは、情報が誰に送信され、何に使用されるのかを情報提供者に正確に知らせる必要があるという事実を指します。これは透明性とも呼ばれ、消費者が情報を渡すかどうか、またどの情報を漏らしたいのかを適切に決定できるようにするために最も重要です。

エンティティが必要に応じてカバーすべき事項の一部は次のとおりです。

  • 誰が情報を収集しているのか
  • 何に使用されるのか
  • データを受け取る可能性のある人
  • どのような情報がどのように収集されるのか
  • データの提供は任意かどうか
  • 収集者が情報の機密性、品質、完全性をどのように確保するか
  • 情報が破棄されるかどうか、いつ破棄されるか

プロバイダーが物理的なフォームに記入している場合、この情報は実際のフォームのどこかに表示される可能性があります。あるいは、オンライン環境では、情報がフォームまたは別の Web ページに配置される場合もあります。いずれの場合も、読者にとって明白で簡単にアクセスできるものでなければなりません。

たとえば、サインアップするとき、 ナードウォレット の場合、ユーザーは会社のサービス利用規約とプライバシー ポリシーに同意することになります。これらはどちらも別の文書に記載されており、ハイパーリンクから入手できます。

ナードウォレットの登録。

この場合、サインアップするだけで、ユーザーは提供された条件とポリシーに同意したことになります。また、提供された条件とポリシーを読んで理解したことを確認するために、ボックスにチェックを入れるなどの追加のアクションを実行する必要がある場合もあります。

多くの場合、特にユーザーが収集エンティティに対して一定レベルの信頼を持っている場合、これらの処理はスキップされます。ただし、状況によっては、関連情報を求めて規約やポリシーをよく調べてしまう可能性があります。たとえば、データ保護という特定の理由で企業のサービスを使用しているとします。 VPN プロバイダーまたは ブラウザのプライバシー拡張機能 、問題の企業があなたの情報をどのように扱うのかを正確に知りたいと思うでしょう。

2. 選択肢を提供し、同意を必要とする

基本的に、この原則は消費者に自分の情報がどのように使用されるかを決定する権利を与えます。これは、サービスへのサインアップ、購入の完了、またはコンテンツへのアクセスなど、主な使用が通常明らかであるため、より二次的な使用を指します。

主な理由以外に、企業は、あなたを自社や他社の電子メール リストに追加するなど、他の目的であなたのデータを記録して使用したい場合があります。あるいは、ユーザーの行動や好みに関する大量のデータを第三者に販売している可能性もあります。

最終的には、明らかな範囲を超えたデータの使用については、明確に説明する必要があります。さらに、消費者は、指定された方法で自分の情報が使用されることに同意するかどうかを選択できる必要があります。これはオプトインまたはオプトアウト ベースで行うことができますが、重要なのは、オプションが明確であり、アクションを実行しやすいことです。

選択と同意という概念は、オンライン活動の中で定期的に目にするものです。サインアップ、購入、送信フォームの最後には 1 つ以上のチェックボックスが付いていることが多く、さまざまな方法で情報を使用するよう要求が殺到していると感じるかもしれません。

一般的な例は、情報を渡す先の組織からプロモーション情報を受け取るオプションです。 カリフォルニア宝くじ登録フォーム :

宝くじ申し込みフォーム。

また、情報の使用方法について複数の選択肢がある状況もあります。 NerdWallet の場合、サードパーティのオプトアウト オプションはプライバシー ポリシーにあり、上で述べたようにサインアップ フォームから簡単に見つけることができます。

NerdWallet をオプトアウトします。

繰り返しになりますが、重要なのは、オプションが明確であり、オプトインまたはオプトアウトが簡単であることです。提供された例に示されているように、これはオンライン環境で非常に簡単に実現できるため、言い訳はできません。

3. 消費者はデータにアクセスして変更できる必要がある

では、データを引き渡した後、あなたの権利はどうなるのでしょうか?データ プライバシーのレポートやガイドラインにおける一般的なコンセンサスは、消費者は自分が提供した情報にアクセスできる必要があるということです。

この原則は、不正確だと思われる情報に異議を申し立てる権利、および/または情報を変更する機会を持つ権利も伝えます。この原則の背後にある主な理由の 1 つは、すべての情報が正確かつ完全である可能性が最も高いということです。これは実際に次の原則につながります。

もちろん、プロセスに時間がかかったり、コストが高かったりするために、情報にアクセスすることが困難な場合には、これは機能しません。そのため、消費者がデータにアクセスして確認できるようにするためのメカニズムを企業が導入することが重要です。同様に、完全性の正確さに異議を唱えたり、困難なく変更を加えることができなければなりません。

Amazonアカウントの詳細。

たとえば、電子メール プロバイダー、ソーシャル メディア プラットフォーム、Amazon などの e コマース サイトにより、ユーザーは自分の情報を簡単に変更できます。それは企業と消費者の両方にとって理にかなっています。

4. データは正確かつ安全でなければなりません

この原則は、すべてのデータの整合性とセキュリティを指します。完全性の要素は最後の原則に関連しており、すべての情報が正確であることを保証するためにできる限りのことを行う責任は事業体にあります。先ほどデータのアクセシビリティについて話しましたが、これもそれに戻ります。事業体は、消費者がデータにアクセスして異議を申し立てたり変更したりできるようにして、データが実際に正確であることを保証する必要があります。

ただし、保持するデータの完全性を確保するためにアクセシビリティ以外の措置を講じるのも情報収集者の責任です。これは、データプロバイダーが正確な情報を入力していることを確認するために他のソースを相互参照することを意味する場合があります。また、企業は、一定期間後に古い可能性のあるデータを破棄するか、匿名化する必要があることを意味する場合もあります。

完全性だけでなく、企業は消費者のデータのセキュリティにも非常に真剣に取り組む必要があります。これは、データが失われず、許可なくデータがアクセス、使用、変更、破壊、開示されないことを保証するための措置を講じることを意味します。情報を保護しないと、多大な代償が生じる可能性があります。 モルガン・スタンレーのような企業

もちろん、高いセキュリティを備えていても、 データ侵害は依然として発生しています 。を確保するために、ますます厳格な措置が講じられています。 実際に企業がデータ侵害を報告している 。しかし、 Yahooのごく最近の承認 数年前に発生した大規模なデータ侵害は、自分たちの情報が安全であると絶対に確信できないことを示しています。このため、ニュースの見出しを飾ったことがないという理由だけで、特定の企業が他の企業よりもセキュリティに優れていると言うのはほぼ不可能です。

したがって、自分自身を守るために常にできる限りのことを行う必要があります。まずは使用しないことを確認することから始めましょう。 同じパスワード 複数のアカウントで。また、必ず 古いアカウントを削除する 、データが不必要にどこかに保存されないようにします。理想的には、この時点で情報を破棄する必要があります。そうでない場合は、少なくとも、個人を特定できる情報は一定期間後に削除、集約、または匿名化する必要があります。

もちろん、ハッキングとは別に、政府の観点から情報のプライバシーについても懸念するかもしれません。電子フロンティア財団 (EFF) は、 「あなたの背中を支えているのは誰ですか?」リスト 、プライバシーに関してどの企業に注意を払うべきか。

5. 強制と救済の仕組みが必要である

もちろん、公正な情報慣行に関するルールがあるのは良いことですが、ルールを強制する仕組みが整っていなければ、ルールは無意味になってしまいます。さらに、何らかの形での救済がない場合、企業がルールを遵守するインセンティブはほとんどありません。

多くの規制と同様、公正な情報慣行に関する規制の施行に関しては、いくつかの異なるアプローチが可能です。ここでは、主な 3 つについて説明します。

自主規制制度

この種の規制は、事業体自体の裁量で実行される可能性があります。たとえば、YouTube などのソーシャル メディア サイトは、 苦情を申し立てる 。救済に関しては、顧客が苦情システムに簡単にアクセスし、苦情を調査できるプロセスを整備する必要があります。

あるいは、外部の規制機関によって執行が行われる場合もあります。これには、業界団体に参加するために公正な情報慣行に同意することが含まれる場合があります。企業はまた、ガイドラインに従っていることを検証するために外部監査人を招待し、場合によっては最終的に認証を取得することもあります。

私法

私法は通常、消費者が不当な情報慣行の犠牲になった場合に補償を受ける権利を与えることになる。たとえば、情報の悪用により損害が発生した場合、訴訟を起こす権利が​​ある可能性があります。 電子プライバシー情報センター (EPIC) は、この種の公民権を調査する独立した組織の 1 つです。また、 プライバシーインターナショナル は英国に拠点を置く人権団体で、人々のプライバシーの権利の保護を支援しています。

政府の法律

場合によっては、特定の業界内で政府の規制が適用されることがあります。たとえば、米国の医療業界内で、HIPAA の対象となる機関から違反を受けたと思われる場合は、次のことができます。 苦情を申し立てる とともに 公民権局 (OCR)。多くの国では、業界に関係なく違反を報告する方法もあります (詳細は次のセクションで説明します)。

情報漏洩の報告

オンライン環境が変化し続けるにつれて、公正な情報慣行に関する規制も進化し続けます。この状況の進化の性質は、あらゆる種類の企業に個人情報の提供を常に求められる消費者にとって、必ずしも安心を提供するものではありません。

ただし、公正な情報慣行の中核原則を理解したので、エンティティに情報を提供する際に特定のフラグに注意する準備が整います。さらに、ルールは国や業界によって異なりますが、企業が公正な情報慣行に従っていない場合は、より適切に発見できるようになります。

前述したように、違反があったと思われる事例を報告できる場所はさまざまです。上記でいくつか説明しましたが、国固有のフォームもあります。その一部をここにリストします。

一般に、私たちができる最善のアドバイスは、お客様の情報を慎重に保護し、同様の対応を信頼できる企業とのみ取引するように努めることです。利用規約、プライバシー ポリシーを必ずよく読み、疑問がある場合は質問してください。

同意する 」 Catkin 著、以下にライセンスされています CC BY 2.0

^