あなたは長年、お気に入りのソーシャルネットワークに写真をアップロードし、ストーリーを共有し、個人データを入力してきました。ところが今、そのネットワークはあなたのデータをすべて公開し、広告主と共有すると宣言しました。
ハッカーがあなたの銀行のサーバーに侵入し、ロシアの誰かがあなたのユーザー名とパスワードを使用してあなたの口座から資金を引き出しました。
目立たないウェブ広告がブラウザにCookieを埋め込み、キー入力を数ヶ月間記録します。そのデータはマーケターに売られ、ヘアリプレイスメント製品の広告であなたを悩ませることになります。
ビジネスファイルの保存に使用していたクラウド ストレージ会社が倒産し、すべてのデータをヘッジファンドに売却します。
よほど運が悪ければ別ですが、これらの全てに耐える必要はなかったでしょう。しかし、今日のクラウドベースの世界では、これら全てが起こり得ます。私たちの多くは、財務データや医療データから、文書、エンターテイメントメディア、ソーシャルネットワーキング関連情報に至るまで、膨大な個人情報をWeb上の様々な企業のサイトに保存しています。
これは私たちにとって非常に便利であり、ホスティング会社はデータの保管と使用から何らかの利益を得ています。しかし、データが悪用されたり、紛失したり、盗難されたりしないという確かな保証はほとんどありません(実際、こうした事例はますます増えています)。これは正しくありません。私たちデジタル消費者には、法的効力を持つデータセキュリティ権利章典が必要です。それは、データが確実に保護され、万が一保護されなかった場合に、私たちが被った損失に対する補償が保証されるものです。その権利章典は、次のようなものになるかもしれません。
ビデオ:デジタル消費者権利章典
クラウドに保存したデータは私の貴重な財産です。
肝心なのは、「私の個人データは価値のある財産となるのか?」という点です。答えは「イエス」です。インターネット経済において、情報は主要な通貨です。今日、最大規模かつ最も収益性の高いインターネット企業の多くは、ユーザー情報を実際の金銭に変える方法を見つけています。一般的なモデルは、可能な限り多くのユーザーデータを収集・集約し、匿名化した上で、第三者のウェブマーケティング会社や広告会社に販売することです。
私の情報には真の価値があるので、そのデータをインターネット企業に貸し出す際には、財産所有者としての権利が認められるべきです。もし情報が紛失したり悪用されたりした場合は、補償を受けるべきです。
「クラウド」の時代では、ビジネス文書から音楽、メールに至るまで、あらゆるデータを自社のサーバーにホストする企業に貸し出し、企業はストレージ料金を請求しなくても、そのことからいくらかの金銭的利益を得ています。クラウド ストレージ企業は銀行のようなものですが、対象はお金ではなくデータです。私たちは便利だから銀行にお金を預け、銀行はそのお金を使って私腹を肥やします。たとえ銀行に保管料金を払っていなくても、私たちには当然、銀行に対して資産の保護と、投資ミスや盗難で資産が失われた場合の補償を求める権利があります。同様に、私の個人ファイルが紛失または盗難された場合、クラウド企業のせいで私は価値あるものを失ったのであり、私は損失に対する補償を受ける権利があります。
危険は、データが破壊される可能性だけではありません。悪意のある人物がその情報を公開したり、公開すると脅迫したりした場合、私の個人的な評判が深刻な傷つけられる可能性があります。その結果生じた損害が法律上の名誉毀損に該当する場合、クラウド会社は私の評判に与えた損害を賠償するべきです。
GoogleやAmazonなどのクラウド企業は、ビジネス情報を自社のサーバーに保存することを推奨していますが、情報が紛失した場合、新たなリスクが生じます。企業秘密が競合他社の手に渡ったり、誰もが閲覧できる状態に公開されたりする可能性もあり、そうなればビジネスや評判に壊滅的な打撃を与える可能性があります。
MegaUploadのような企業は、新たな危険を孕んでいます。企業が法律に違反し、当局がサイトを差し押さえた場合、たとえすべてのファイルが合法であっても、私はファイルを失う可能性があります。ファイルが破棄されたり、何らかの理由で返却されなかったりした場合、私は補償を受ける権利があるはずです(もし補償してくれる企業が残っているならば)。
私のデータを押収した法執行機関も、それを貴重な財産として扱うべきです。犯罪に無実の疑いのある他の第三者の財産と同様に、法執行機関は証拠として必要な期間のみデータを保有し、その後は私に返却すべきです。
私のデータが安売りされるようなことはあってはならない。
インターネット企業が倒産した場合、私のデータホスティングに対する私の許可は直ちに失効します。資産が消滅した場合、私は個人データが削除されるか、または私の文書、ファイル、メディアがコピーを残さずに直ちに返却されるという保証を受ける権利があります。私のデータを、会社の債権者が取得したり、最高額の入札者に売却したりできる譲渡可能な資産として扱うのは誤りです。
私には知る権利があるはずだ。
ソーシャル ネットワークやその他のインターネット企業は、自社のネットワーク内外での広告活動を支援するため、あるいはデータのライセンス取得、購入、取引を求める第三者のマーケティング担当者や広告主に利益をもたらすために、私のデータを収集、保管し、他のネットユーザーのデータと統合する予定がある場合、私に通知する義務があるべきです。私は、自分のデータがどのように、誰によって、どのくらいの期間使用されるのかについて、事前に詳細な説明を受けるべきであり、その後、オプトインまたはオプトアウトする機会が与えられるべきです。この選択は、プライバシー ポリシーの細則に埋もれるべきではなく、サイトの使用を開始する前に明確に説明されるべきです。このオプトイン/オプトアウトの規定は法律で義務付けられるべきであり、拘束力のない業界ガイドラインの形を取るべきではありません。
私には辞める権利があるはずだ。
ソーシャルネットワークであれ銀行であれ、インターネットサイトが私の個人を特定できる情報を保管している場合、私が会員資格を解約してネットワークから退会することを決めた時点で、直ちにその情報を破棄することが義務付けられるべきです。サイトは、私のデータを提携サイトや企業と共有しないこと、私のデータがウェブサイトに表示されなくなること、そして他者が既存のリンクを通じて私のデータを見つけられなくなることを保証すべきです。
音楽、ビデオ、アプリケーション、ドキュメントなどのデジタル ファイルをインターネット会社のサーバーに保存する場合、それらのファイルすべてを直ちに返却し、すべてのコピーを破棄するよう要求する権利があるはずです。
私は自分のデータが適切に保護されることを期待する権利を有します。
いかなるビジネス目的でも私のデータを保存するインターネット企業は、私の貴重な財産を守るために、適切なレベルのセキュリティ対策を講じなければなりません。企業は、ほとんどの州(最新の調査では45州)で制定されたデータセキュリティ法に準拠していること、そして連邦取引委員会のデータセキュリティガイドラインを遵守していることを自社のウェブサイトで明記すべきです。企業は、新たなハッキング技術に対処するため、セキュリティを常に強化すべきです。
遡及的な変更は、有効になる前に承認する必要があります。
私の 401K マネージャーが私のお金を使ってさらに儲けようとしているので、一定の責任があるのと同じように、私の個人データを使って金儲けをしようとしているインターネット企業にも一定の責任があるはずです。
私の401Kプランが新しいファンドへの投資を決定する際、資金がどこかに移される前に書面による通知を受け取ります。プラン管理者は、デフォルトの新しいファンドの成長ポテンシャルが気に入らない場合に備えて、いくつかの選択肢も提示してくれます。私が最初に参加に同意した際に説明した方法とは異なる方法で私のデータを利用することを意図するインターネット企業は、法律で事前に変更を通知し、解約の機会を与える義務を負うべきです。
私が利用するサービスが私のデータを「ビッグデータ」アグリゲータと共有する予定である場合、そのことを通知される必要があります。
Facebookが私の友達や私がフォローした人に関するデータを持っていることには、私は抵抗がないかもしれない。しかし、それをBingで検索した内容やAmazonで購入した内容と組み合わせると、私がどんな人間で、何に惹かれるのかが、恐ろしいほど詳細にわかってしまう。
したがって、Facebook が私のデータを Bing および Amazon と共有することに同意する前に、その取引について私に通知し、オプトアウトできるようにする必要があります。
私はウェブ上で追跡されない権利を有します。
FTCのDo Not Call Registryに自分の電話番号を登録することで、無作為なテレマーケティング業者からの電話を阻止する権利があります。Do Not Trackリストに登録することで、企業がウェブ上での私の行動を逐一監視するのを防ぐのも同様の権利があるはずです。ウェブ広告会社はこの分野で自主規制に乗り出していますが、多くの企業は個人のオプトアウト要請を尊重していません。
ウェブブラウザにクッキーを埋め込み、人々がウェブ上でどこへ行き、どのような選択をしたかを追跡するという手法を軸に、マーケティング・広告会社が一大産業を形成してきました。ほとんどの場合、私は自分がクッキーを利用していることに気づいていません。そして、たとえクッキーを利用していることに気づいていたとしても、それをどのように止めればいいのか正確にはわからないかもしれません。私たちはこの状況を改善しなければなりません。
この規則には重要な制限が一つあります。インターネット企業は、私の興味やニーズに合わせてコンテンツを提供するために、自社サイト上での私の行動や選択を追跡する権利を持つべきです。企業が複数のサイトで長期間にわたって私の行動を追跡する場合にのみ、私の明示的な同意を得ることが義務付けられるべきです。
政府が私のデジタル通信を監視したいのであれば、まず捜索令状を取得すべきです。
一般的に、ISP から私のインターネット使用データにアクセスしたり、無線通信事業者から私の GPS 位置情報にアクセスしたりするには、捜査当局は、捜索されたデータが犯罪の物的証拠となる可能性が高いことを示した上で、裁判官から捜索令状を取得する必要があります。
法執行機関は、保管通信法第2703条(d)項にちなんで名付けられた特別な「D命令」を裁判所から取得するだけで、私が通信したメールアドレスとIPアドレス、そして私がアクセスしたウェブページのリストをISPに提出させることができます。ISPは、本格的な捜索令状が提示された場合にのみ、これらの情報を提出するべきです。
法執行機関はD命令を利用して、携帯電話会社から私の位置情報を時系列で取得することもできます。携帯電話会社は、私が携帯電話のネットワーク圏内にいる間(ほぼ常に)接続している携帯電話基地局の記録を保管しています。この情報は、携帯電話がネットワークにpingを送信するたびに、地図上で私のおおよその位置を特定するのに役立ちます。時系列でデータを調べることで、捜査官は私の出入りの詳細な地図を作成できます。携帯電話会社は、法執行機関が有効な捜索令状を持って訪問した場合にのみ、この情報を提供するべきです。
2001年9月11日以降のプライバシー保護の浸食から分かるように、データアクセスに関する規則は二つの側面を持っています。一つには、悪質な行為者を監視し、有罪判決を下すためのより効果的な手段となる一方で、犯罪行為に関与していない、そして今後も関与することのない大多数の人々のプライバシー権と期待を損なわせる可能性があるのです。米国は長年にわたり、こうした警察権の範囲を厳しく制限してきた歴史があり、デジタル時代においてもそれを継続すべきです。
何をする必要があるのか?
世界中の大規模で安全だとされる企業でさえ、データの紛失や盗難を日常的に報告しています。デジタル消費者にとって、個人情報の盗難は最大の恐怖です。プライバシー・クリアリングハウスによると、2005年以降、少なくとも5億件のデータが漏洩し、2011年には2,240万件以上の機密データが紛失または漏洩しました。
しかしこれまでのところ、議会は、私たちの機密情報をサーバー上に保存しようとする企業やその他の組織に一連の規則を課し、規則に従わない者に対処するための法的枠組みを確立する法案の可決に抵抗してきました。
消費者に対するこのような保護がなければ、インターネット企業の責任はあいまいなままとなり、データ損失によって被害を受けた個人が、被った損失に対する賠償を求める法的立場は不安定になります。
新しい経済における主要な通貨はユーザーデータです。このデータの莫大な価値は、それを取引する企業にとっては明白ですが、積極的あるいは受動的にデータをやり取りする一般のネットユーザーにとっては、その価値はそれほど明らかではありません。消費者は現状の現実を直視し、自らのデータが公正に利用され、危害から保護されることを要求しなければなりません。
ユーザーデータを貴重な財産として扱い、それを紛失または悪用したインターネット企業がその結果生じた損害に対して責任を負うような法的枠組みを連邦レベルで構築すべき時が来ています。しかし、これは消費者が立法者に要求した場合にのみ実現します。
