毎月の支出を切り詰め、3月末に待望のPentiumIIIのPCを手に入れた。しかし少しひやひやしたのは、1月に浮かび上がったPentiumIIIのシリアル･ナンバー問題で発売が延期になるのではないかということだった。年度を越えたら買えなくなってしまうなどとつまらぬ心配をしていたのは私くらいだったかもしれないが、この問題は米国で大きな反響を呼ぶものとなった。シリアル･ナンバーによりインテルはEコマース取引きでの本人確認の役割を果たさせたり、Eメールの安全性を高めたりと、消費者に良かれと思って加えたのであろうが、確かにプライバシー擁護団体の言うように、悪意にかかれば消費者のオンライン上での行動を追跡できる指標になってしまったかもしれない。インテルはシリアルナンバーを消費者が積極的にアクティベートしないと機能しないようにすることで発売にこぎつけたのだが、その後もインテル製品ボイコットが尾を引くなどしている。

　その他にも、昨年末にはマネーロンダリングの防止のために、銀行に個人の口座の不自然な取引を捜査当局に報告させるというような規則案が、金融情報のプライバシー侵害になるとして葬り去られたり、インテルの後でも、マイクロソフトのソフトウェアがインテル･チップと同じようなシリアルナンバーを持っていたとして問題になったりしている。

　プライバシーを法規制で行うのか自主規制で行うのかという問題は、昨年の夏に議論のピークを迎え、結局、基本的には民間が自主規制することで対処し、子供のプライバシー問題だけは法律で抑えるということで山を越えたという印象を持っていた。この辺りについては昨年の本月報8月号などで述べたところである。しかし、このような新しい事象が生じてくるなど、まだまだ課題は多いということなのだろう。そこで今回はプライバシー問題への取組みの全貌について、少し歴史も振り返りながらレビューしてみたいと思う。やや昨年のレポートと重なる部分があることをお断りする。

１．プライバシー問題への取組みの推移

　米国におけるプライバシー問題に対する取り組みの歴史を遡れば、1928年のBrandeis最高裁判事の「the right to be let alone（一人にしておいてもらう権利）」と言う有名なフレーズに行き当たり、その後の裁判で何度も引用されてきたようであるが、法概念として古くから確立されているものではない。ようやく「1974年プライバシー保護法」によって、政府機関が保有する個人のプライバシー情報の保護が命じられているが、民間企業が保有するプライバシー情報に関しては例えば「1970年フェア･クレジット･レポーティング法」など、特定セクターにおける法規制はあるもののまとまったものはない。従って米政府としては、各国の当時の取り組みを受けて1980年にOECDで取りまとめた「Guidelines on the Protection of Privacy and Transborder Flows of Personal Data（1980）」に沿って業界の自主規制を促すという立場をとってきた。

　クリントン政権も基本的にこの立場を踏襲し、明示的には、93年9月に取りまとめた「NII行動計画（The National Information Infrastructure: Agenda for Action）」で、情報インフラストラクチャー･タスクフォース（IITF）にプライバシー保護に係る適切な政策を立てるよう求め、IITFはこれを受けて、95年6月に「Privacy and the National Information Infrastructure: Principles for Providing and Using Personal Information」を発表している。これもOECDガイドラインに沿ったものである。さらにIITFは　97年4月、「Options For Promoting Privacy on the National Information Infrastructure」と題するドラフト･ペーパーを発表し、米国での情報プラクティスを調査するとともに、プライバシー原則を実践するための最良の方法について民間の意見を求めている。

クリントン政権としては、これらの検討を踏まえ、法規制ではなく民間による自主規制でオンライン･プライバシー問題に当たると言う方針を再確認し、それを97年7月発表の「Framework for Global Electronic Commerce」の中に明示している。すなわち、政権として、民間セクターによる自主的なプライバシー･レジーム構築努力を支持するとし、特に子供のプライバシー問題についてはその対応を急ぐように促し、これらの自主的な措置がうまく進まない場合には政府がアクションを起こさなければならないだろうとしている。併せて、法規制によるプライバシー問題解決を選んだEU（95年10月の「European Community Directive on Data Protection」）との間の政策調整を、DOC/NTIA（商務省通信情報局）を中心に続けていくとの方針を示している。

　しかしその後の民間による自主規制は順調には進まず、98年6月にFTC（連邦取引委員会）が「プライバシー･オンライン」と題する議会への報告書の中で、民間における自主規制努力はまったく不充分であり、このままでは法規制が必要になるとの見解を示した。さらにホワイトハウスやDOCによる圧力もあり、98年6月末に50以上のIT関連企業、団体が「オンライン･プライバシー･アライアンス（OPA）」の結成を発表し、オンライン上での個人プライバシーの保護につき、業界を挙げて推進することを誓った。これにより民間自主規制の方向は整ったかのようにも見えたが、子供のプライバシー保護は自主規制だけでは不十分との政権の指摘もあり、98年10月に「Children's Online Privacy Protection Act of 1998」が法制化されている。それに留まらず、99年に入ってからも様々なプライバシー保護法案が提出されている。

EUとの関係では、DOCが98年11月、米国企業がEU指令下でも国境を超えたプライバシー情報の利用ができるようにするための「セーフハーバー原則」のドラフトを発表し、さらに99年4月、その改訂版を出したところである。

２．プライバシー関連法制の状況
(1)古典的なプライバシー権の定義

　プライバシーの権利は資産等の所有権や契約の締結といった長い歴史を誇る法概念と対照的に、最近、法的に認識されたばかりで、未だに変わりつつある法の分野である。それは、例えば電話盗聴機などの近代的な技術が出てくるまでは、プライバシー侵害が起こりにくく、起きても家宅侵入など他の罪状で裁かれていたことなどによる。その意味で最初の電話盗聴事件として争われた1928年のOlmstead裁判の判決に対し、Brandeis最高裁判事が主張した反対意見、すなわち「人間は一人にしておいてもらう権利を有する」と言うプライバシー権についての見解が、その後の裁判に様々な影響を与えている。

　"The right to be let alone - the most comprehensive of rights and the right most valued by civilized men. To protect that right, every unjustifiable intrusion by the government upon the privacy of the individual, whatever the means employed, must be deemed a violation of the Fourth Amendment."
(Olmstead vs. U.S. 1928, Brandeis, J. Dissenting Opinion)

　その段階で、この反対意見は、憲法修正第4条「捜査･逮捕の制限」は物理的侵入を伴わない盗聴などには適用されないという多数意見によって排除されている。しかし、その後何度か類似の議論が成され、1967年のKatz裁判において、ようやく最高裁は「一人にしておいてもらう権利」を認識した。同裁判ではKatz被告が公衆電話での話を警察官に録音され、逮捕された。最高裁は公衆電話を個人の場として見て、そこでは常識的にプライバシーを期待することが当然だという事から、警察官は話を録音する権利がなっかたと断定した。この判決により、個人の場で打明けた個人情報の機密性が認識され、プライバシー権確立の第一歩となったと考えられている。