公正な情報慣行の強化

公開: 2015-06-10

先週、Facebook は [email protected] を開催しました。これは、エンド ユーザーという独自の焦点を当てたプライバシー カンファレンスです。

最近では、ほとんどのプライバシー イベントの議題は、ほとんどの場合、法律または規制の不確実性に焦点を当てています。米国でプライバシー法が施行されるのでしょうか? 提案された EU 規則は、これまでに通過する予定ですか?

Facebook の功績として、[email protected] は、規制の不確実性に関係なく、企業がエンド ユーザーのプライバシーに関して現在何をできるか、何をすべきかに焦点を当てていました。 また、会議中に、企業が公正な情報慣行または「FIP」 (通知、同意、アクセス、セキュリティ、施行) を中心にどのように革新を続けているかを垣間見ることができました。

FIPs_TUNE

たとえば、コネクテッド カーを製造している企業は、プライバシー ポリシーを持つかどうかについて議論していません。 むしろ、議論は、プライバシー通知がどのように見えるべきか、音声やアイコンがテキストベースのポリシーを活性化する役割を果たせるかどうか、デバイスの画面が非常に小さいか存在しない場合にどうなるかということに移っています.

FIPとは何ですか?

FIP は、あらゆるプライバシー プログラムの重要な構成要素です。 それらは、1973 年の米国政府の報告書「記録、コンピューター、および市民の権利」で初めて明確にされました。 政府の報告書が、「自動データ処理」が米国市民に及ぼす影響に焦点を当てたのはこれが初めてでした。 現在、スノーデン後の時代において、キャスパー・ワインバーガーの紹介は信じられないほど先見の明があり、少し不吉にさえ見えます。

「高速通信ネットワークを介して相互に接続されたコンピュータは、人々に関する記録を作成、保存、および使用するための主要な媒体になる運命にあります...」

FIP は、米国の商業データ収集法の基礎にはなりませんでしたが (現在の米国にはまだそのような法律がありません)、連邦政府によるデータ収集を義務付ける 1974 年プライバシー法を含む、いくつかの米国セクター固有の法律の下での要件の基礎を形成しました。政府は、米国市民から収集した個人情報を保護します。 そして興味深いことに、今日のグローバル データ保護フレームワークのほとんどは FIP を組み込み、拡張しています。たとえば、欧州連合のデータ保護法は、「通知」を 2 つの追加要件 (目的の指定と使用制限) に拡張しています。

FIPをステップアップ!

この背景を念頭に置いて、「FIP を強化」する必要がありますか? 絶対。 FTC は 2000 年のレポートで FIP を正式に採用し、FTC はエンド ユーザーのプライバシー侵害を評価する方法を決定する際にその実装を進化させ続けています。 そのため、アプリの広告主とマーケティング担当者は、各 FIP と、それらが製品やアプリのエクスペリエンス、およびバックエンド プロセス内でどのように実装されているかを認識する必要があります。

通知– 透明性を確保し、プライバシー ポリシーがデータの収集と使用に関する「意味のある」通知を提供するようにします。 守れない約束はしないでください。 FTC は、ユーザーのメッセージが一定期間後に「消える」と主張する会社のプライバシー通知やその他の声明に基づいて、Snapchat を起訴しました。 実際には、メッセージは Snapchat のログに保存され、サードパーティのアプリからアクセスできました。

同意– 選択と管理とも呼ばれます。 データの収集と使用についてエンド ユーザーの同意を得ることが必須です。これには、エンド ユーザーのデバイスの正確な位置など、「機密」データ カテゴリの収集について明示的な同意を得ることが含まれます。

アクセス– エンド ユーザーに関して保持しているデータを変更する方法、場合によっては削除する方法を提供します。 これには、要求されたときにエンドユーザーをオプトアウトしなかった小売追跡会社であるNomi technologiesに対する最近の措置でFTCが示したように、エンドユーザーのオプトアウト要求を尊重することが含まれます.

セキュリティ– 不正なアクセスや開示を防止するために、適切な組織的および技術的手段ですべての貴重な個人データを保護します。 FTC は、Credit Karma と Fandango に対し、セキュリティ慣行を偽って伝え、消費者の重要な個人情報を保護できなかったとして訴訟を起こしました。

施行– これには、政府の規制だけでなく、デジタル広告アライアンス (DAA) モバイル ガイドラインやネットワーク広告アライアンス (NAI) コードなどの自己および共同規制フレームワークの両方が含まれます。 また、規制の枠組みやセーフ ハーバーでメンバーであることを偽ったり、誤って伝えたりしないことが重要です。 この点は、FTC によって最近行われました。FTC は、EU-US セーフ ハーバーへの参加ステータスを誤って記載した企業に対する 2 つの措置を最終決定したばかりです。

DAA、NAI、およびその他の自主規制要件に注意を払う

この最後の点は、特に考慮する価値があります。 過去 2 か月間に、2 つの重要な自主規制発表がありました。

  • DAA は、2015 年 9 月に、インタレスト ベース広告とクロスアプリ データ収集に携わるすべてのエンティティに対して、DAA モバイル ガイドラインの施行を開始します。 これらのガイドラインは、オンライン行動ターゲティング広告または「OBA」に関する DAA の自主規制原則に基づいています。 DAA 原則は、重要な自己規制プログラムであり、FTC スタッフの 2009 年 OBA 原則に部分的に基づいています。
  • NAI は、NAI コードに基づいて構築された、Cookie ベースでない技術 (デジタル フィンガープリンティングなど) を使用するためのガイドラインをリリースしました。 NAI は、企業をファースト パーティ (自社に代わってデータを収集および使用する企業) またはサード パーティ (他の企業に代わって「クロスデータ広告」または「広告の配信と報告」に従事する企業) のいずれかに分類します。

これらの自主規制プログラムのいずれかに該当するかどうかを判断することが重要です。 たとえば、DAA は、DAA のメンバーであるかどうかに関係なく、その原則は「[インタレスト ベース広告] およびマルチサイト、マルチアプリのデータ収集活動に従事するすべての企業が、許可された使用を対象としている」と述べています。

最後に…

プライバシー プログラムとアプリのエクスペリエンスに FIP をどのように組み込むかを再検討する良い機会です。 多くの FTC の措置が示しているように、これらの要件を組み込むことは、コンプライアンスと法的要件を満たすための重要なステップです。 しかし、FIP は信頼を確保するための重要な要素でもあります。それは、あなたがエンド ユーザーのプライバシー権を尊重し、個人データの信頼できる管理者であることをエンド ユーザーに示すためです。

そして、より多くの企業が共通の枠組みに基づいた慣行を採用するこのモデルに従い続けるにつれて、自主規制は法的要件を通過させるためのより実行可能な代替手段になります. 法律とは異なり、自己規制は進化するテクノロジーに対応できます。 したがって、これは、革新的な企業がコンプライアンスを維持し、革新的であり続けるために検討すべきアプローチです。

FIP のステップアップについて詳しく知りたいですか? それなら、今年ポストバックで開催される TUNE の「FIPs for Apps」ワークショップに参加することを忘れないでください。

この記事が好きですか? ブログ ダイジェスト メールにサインアップしてください。