« 欧州データ保護委員会(EDPB) 意見書 17/2022 欧州連合と日本との間の経済連携協定に国境を越えたデータの流れに関する規定を盛り込むための交渉開始を承認する理事会決定のための勧告 | Main | 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要 »

2022.08.17

米国 連邦取引委員会 (FTC) 商用監視と緩いデータ・セキュリティ慣行を取り締まる規則の検討 (2022.08.11)

こんにちは、丸山満彦です。

米国では、連邦レベルの個人情報保護法の制定についての議論がありますが、一方で、連邦取引委員会 (FTC) が、商用監視やデータセキュリティの強化に向けた規制改正についての、意見を募集していますね。。。

委員5名のうち3名が賛成、2名が反対の中での意見募集ということですかね。。。論点が色々とありますが、日本の政策検討の際にも参考になるものですね。。。

 

Federal Trade Commission: FTC

・2022.08.11 FTC Explores Rules Cracking Down on Commercial Surveillance and Lax Data Security Practices

Fec-seal

FTC Explores Rules Cracking Down on Commercial Surveillance and Lax Data Security Practices FTC 商用監視と緩いデータ・セキュリティ慣行を取り締まる規則の検討
Agency Seeks Public Comment on Harms from Business of Collecting, Analyzing, and Monetizing Information About People 個人情報の収集・分析・収益化ビジネスによる弊害についてパブリックコメントを募集中
Note: The FTC hosted  a virtual news conference on the ANPR announcement. View the webcast. 注:FTCは、ANPR発表に関するバーチャル・ニュース・カンファレンスを開催した。 ウェブキャストを参照。
The Federal Trade Commission today announced it is exploring rules to crack down on harmful commercial surveillance and lax data security. Commercial surveillance is the business of collecting, analyzing, and profiting from information about people. Mass surveillance has heightened the risks and stakes of data breaches, deception, manipulation, and other abuses. The FTC’s Advance Notice of Proposed Rulemaking seeks public comment on the harms stemming from commercial surveillance and whether new rules are needed to protect people’s privacy and information. 連邦取引委員会は本日、有害な商用監視と緩いデータ・セキュリティを取り締まるための規則を検討していることを発表した。商用監視とは、人々に関する情報を収集、分析し、利益を得るビジネスである。 大規模な監視により、データ漏洩、詐欺、不正操作、その他の悪用のリスクと利害関係が高まっている。FTCの規則制定提案の事前通知は、商用監視から生じる損害と、人々のプライバシーと情報を保護するために新しい規則が必要かどうかについて、パブリックコメントを求めている。
“Firms now collect personal data on individuals at a massive scale and in a stunning array of contexts,” said FTC Chair Lina M. Khan. “The growing digitization of our economy—coupled with business models that can incentivize endless hoovering up of sensitive user data and a vast expansion of how this data is used—means that potentially unlawful practices may be prevalent. Our goal today is to begin building a robust public record to inform whether the FTC should issue rules to address commercial surveillance and data security practices and what those rules should potentially look like.” FTCのLina M. Khan委員長は、次のように述べている。「企業は現在、膨大な規模と驚くべき数の状況で、個人の個人データを収集している。経済のデジタル化の進展と、機密性の高いユーザーデータを際限なく収集し、その利用方法を大幅に拡大するビジネスモデルが相まって、潜在的に違法な行為が蔓延している可能性があることを意味する。今日の我々の目標は、FTCが商用監視とデータ・セキュリティの慣行に対処するための規則を発行すべきかどうか、またその規則がどのようなものであるべきかを知らせるために、確固たる公的記録の構築を始めることである。」
The business of commercial surveillance can incentivize companies to collect vast troves of consumer information, only a small fraction of which consumers proactively share. Companies reportedly surveil consumers while they are connected to the internet – every aspect of their online activity, their family and friend networks, browsing and purchase histories, location and physical movements, and a wide range of other personal details. 商用監視のビジネスは、企業が膨大な消費者情報を収集する動機となり得るが、消費者が主体的に共有するのはそのごく一部に過ぎない。企業は、消費者がインターネットに接続している間、消費者のオンライン活動のあらゆる側面、家族や友人のネットワーク、閲覧・購入履歴、場所、身体的な動き、その他さまざまな個人情報を監視すると言われている。
Companies use algorithms and automated systems to analyze the information they collect. And they make money by selling information through the massive, opaque market for consumer data, using it to place behavioral ads, or leveraging it to sell more products.   企業は収集した情報をアルゴリズムや自動化されたシステムで分析する。そして、消費者データの巨大で不透明な市場を通じて情報を販売し、それを使って行動ターゲティング広告を掲載したり、より多くの製品を販売するために活用することで利益を得ている。  
The FTC is seeking comment on a wide range of concerns about commercial surveillance practices. For example, some companies fail to adequately secure the vast troves of consumer data they collect, putting that information at risk to hackers and data thieves. There is a growing body of evidence that some surveillance-based services may be addictive to children and lead to a wide variety of mental health and social harms. FTCは、商用監視慣行に関する広範な懸念についてコメントを求めている。例えば、一部の企業は、収集した膨大な消費者データを適切に保護できず、その情報をハッカーやデータ窃盗犯の危険にさらしている。また、監視サービスの中には、子どもにとって中毒性があり、精神衛生や社会生活にさまざまな害をもたらす可能性があることを示す証拠も増えてきている。
While very little is known about the automated systems that analyze data companies collect, research suggests that these algorithms are prone to errors, bias, and inaccuracy. As a result, commercial surveillance practices may discriminate against consumers based on legally protected characteristics like race, gender, religion, and age, harming their ability to obtain housing, credit, employment, or other critical needs. 企業が収集したデータを分析する自動化されたシステムについてはほとんど知られていないが、研究によると、これらのアルゴリズムはエラー、バイアス、および不正確な傾向があることが示唆されている。 その結果、商用監視慣行は、人種、性別、宗教、年齢などの法的に保護された特性に基づいて消費者を差別し、住宅、クレジット、雇用、またはその他の重要なニーズを得る能力を損なう可能性がある。
Other concerns stem from the ways in which companies make commercial surveillance difficult to avoid. Some companies require people to sign up for surveillance as a condition for service. Consumers who do not wish to have their personal information shared with other parties may be denied service– or required to pay a premium to keep their personal information private. After consumers sign up, companies may change their privacy terms going forward to allow for more expansive surveillance. Companies increasingly employ dark patterns or marketing to influence or coerce consumers into sharing personal information.  その他の懸念は、商用監視を回避することを企業が困難にしていることである。一部の企業は、サービスの条件として監視を受けることを要求している。個人情報を他者と共有することを望まない消費者は、サービスを拒否されたり、個人情報を非公開にするために割増料金を支払うよう要求されたりすることがある。消費者がサインアップした後、企業はより広範な監視を可能にするために、今後プライバシー規約を変更する可能性がある。 企業は、消費者に影響を与えたり、個人情報を共有するよう強要したりするために、ダークパターンやマーケティングを採用することが増えている。 
In the last two decades, the FTC has used its existing authority under the FTC Act to bring hundreds of enforcement actions against companies for privacy and data security violations. These include cases involving the sharing of health-related data with third parties, the collection and sharing of sensitive television viewing data for targeted advertising, and the failure to implement reasonable security measures to protect sensitive personal data such as Social Security numbers. 過去20年間、FTCはFTC法に基づく既存の権限を行使し、プライバシーやデータ・セキュリティの侵害を理由に、企業に対して何百もの強制訴訟を起こしてきた。 その中には、健康関連データの第三者との共有、ターゲット広告のための機密性の高いテレビ視聴データの収集と共有、社会保障番号などの機密個人データを保護するための合理的なセキュリティ対策の不履行に関する事例が含まれている。
The FTC’s past work, however, suggests that enforcement of the FTC Act alone may not be enough to protect consumers. The FTC’s ability to deter unlawful conduct is limited because the agency generally lacks authority to seek financial penalties for initial violations of the FTC Act. By contrast, rules that establish clear privacy and data security requirements across the board and provide the Commission the authority to seek financial penalties for first-time violations could incentivize all companies to invest more consistently in compliant practices. しかし、FTCのこれまでの活動は、FTC法の施行だけでは消費者保護に十分でない可能性を示唆している。FTCは一般に、FTC法違反の初期段階において金銭的な罰則を求める権限を持たないため、違法行為を抑止する能力は限定的である。これとは対照的に、プライバシーとデータ・セキュリティに関する明確な要件を全面的に定め、初回の違反に対して金銭的な罰則を求める権限を委員会に与える規則は、すべての企業がコンプライアンスに則った実践に一貫して投資する動機付けとなる可能性がある。
Information about how to submit comments on the FTC’s Advance Notice of Proposed Rulemaking is included in the Federal Register notice. The deadline for submitting comments will be 60 days after the notice is published in the Federal Register in the coming days. Submitted comments will be posted to Regulations.gov. FTCの規則案事前通知に対する意見提出の方法については、連邦官報の通知に記載されている。意見提出の期限は、この通知が連邦官報に掲載されてから60日後の近日中である。提出された意見はRegulations.govに掲載される予定である。
The public will also have an opportunity to share their input on these topics during a virtual public forum on September 8, 2022. また、2022年9月8日に開催されるバーチャル・パブリック・フォーラムで、一般の人々がこれらのテーマについて意見を交換する機会が設けられる。
The Commission voted 3-2 to publish the notice in the Federal Register. Chair KhanCommissioner Rebecca Kelly Slaughter and Commissioner Alvaro Bedoya issued separate statements. Commissioners Noah Joshua Phillips and Christine S. Wilson voted no and issued dissenting statements. 委員会は、連邦官報に公告することを3対2で決定した。 カーン委員長、レベッカ・ケリー・スローター委員、アルバロ・ベドヤ委員は、それぞれ個別に声明を発表した。Noah Joshua Phillips委員とChristine S. Wilson委員は反対票を投じ、反対声明を発表した。

 

カンファレンスのビデオ...

背景を理解するためには良いですね。。。35分ほどです。。。

・2022.08.11 FTC Press Conference Event

 

説明...

・2022.08.11 Commercial Surveillance and Data Security Rulemaking

Commercial Surveillance and Data Security Rulemaking 商用監視およびデータ・セキュリティに関する規則制定
File ファイル
Text of the Notice of Proposed Rulemaking Regarding the Commercial Surveillance and Data Security (636.29 KB) 商用監視およびデータ・セキュリティに関する規則制定提案の通知本文 (636.29 KB)
Factsheet on Commercial Surveillance and Data Security (213.57 KB) 商用監視およびデータ・セキュリティに関するファクトシート (213.57 KB)
Factsheet on Public Participation in the Section 18 Rulemaking Process 第 18 条の規則策定プロセスへの一般参加に関するファクトシート
Participación Pública En El Proceso De Reglamentación De La FTC Conforme a La S… 商用監視およびデータ・セキュリティに関するFTCの規則策定プロセスへの市民参加に関するファクトシート
Overview 概要
Commercial surveillance is the business of collecting, analyzing, and profiting from information about people. Technologies essential to everyday life also enable near constant surveillance of people’s private lives. The volume of data collected exposes people to identity thieves and hackers. Mass surveillance has heightened the risks and stakes of errors, deception, manipulation, and other abuses. The Federal Trade Commission is asking the public to weigh in on whether new rules are needed to protect people’s privacy and information in the commercial surveillance economy. 商用監視とは、人々に関する情報を収集、分析し、利益を得るビジネスである。日常生活に不可欠なテクノロジーは、人々の私生活をほぼ常時監視することも可能にしている。収集された大量のデータは、人々をID窃盗やハッカーにさらす。大量の監視は、誤り、欺瞞、操作、その他の悪用のリスクと利害を高めている。連邦取引委員会は、商用監視経済において人々のプライバシーと情報を保護するために新たな規則が必要かどうかについて、一般市民の意見を求めている。
Public Forum パブリック・フォーラム
The Commission is hosting a public forum on commercial surveillance and data security to be held virtually on Thursday, September 8, 2022, from 2 p.m. until 7:30 p.m. Members of the public are invited to attend. Learn more on the Commercial Surveillance and Data Security Public Forum page. 連邦取引委員会は、2022年9月8日(木)午後2時から午後7時30分まで、商用監視とデータ・セキュリティに関する公開フォーラムを仮想的に開催する。一般の方のご参加を待っている。詳しくは、商用監視とデータ・セキュリティに関するパブリックフォーラムのページを参照。
Submit a Comment 意見書の提出
The Advanced Notice of Proposed Rulemaking asks a series of questions about practices related to commercial surveillance and data security. The topic areas and the questions are listed below. Anyone from the public can submit a comment weighing in on the rulemaking, the general topics, or a specific question. The link to submit comments to the Federal Register on Regulations.gov will be posted as soon as it is available. 規則制定提案の事前通知では、商用監視およびデータ・セキュリティに関する慣行について一連の質問を投げかけている。トピックエリアと質問は以下の通りである。一般市民は誰でも、この規則策定、一般的なトピック、または特定の質問について意見を提出することができます。 Regulations.govの連邦官報にコメントを提出するためのリンクは、利用可能になり次第、掲載される予定である。
Harms to Consumers  消費者への影響
This ANPR has alluded to only a fraction of the potential consumer harms arising from lax data security or commercial surveillance practices, including those concerning physical security, economic injury, psychological harm, reputational injury, and unwanted intrusion. このANPRは、物理的セキュリティ、経済的損害、心理的損害、評判への損害、不要な侵入など、緩いデータ・セキュリティや商用監視慣行から生じる消費者の潜在的損害のほんの一部に言及しているに過ぎない。
Which practices do companies use to surveil consumers? 企業は消費者を監視するためにどのような慣行を用いているか。
Which measures do companies use to protect consumer data? 企業は消費者データを保護するためにどのような手段を用いているか。
Which of these measures or practices are prevalent? Are some practices more prevalent in some sectors than in others? これらの対策や慣行のうち、どれが一般的ですか。ある部門は他の部門より普及しているか。
How, if at all, do these commercial surveillance practices harm consumers or increase the risk of harm to consumers? これらの商用監視慣行が消費者に害を及ぼす、あるいは消費者に害を及ぼすリスクを増大させるとすれば、それはどのようなものか。
Are there some harms that consumers may not easily discern or identify? Which are they? 消費者が容易に見分けがつかない、あるいは特定できないような危害もあるか。それはどのようなものか。
Are there some harms that consumers may not easily quantify or measure? Which are they? 消費者が容易に定量化または測定できないような危害がありますか。それらはどのようなものか。
How should the Commission identify and evaluate these commercial surveillance harms or potential harms? On which evidence or measures should the Commission rely to substantiate its claims of harm or risk of harm? 委員会は、これらの商用監視の害や潜在的な害をどのように特定し評価すべきか。委員会は、害や害のリスクの主張を立証するために、どのような証拠や手段に依拠すべきか?
Which areas or kinds of harm, if any, has the Commission failed to address through its enforcement actions? 委員会は、強制措置を通じて、どのような分野または種類の損害に対処してこなかったのか。
Has the Commission adequately addressed indirect pecuniary harms, including potential physical harms, psychological harms, reputational injuries, and unwanted intrusions? 委員会は、潜在的な身体的損害、心理的損害、評判への傷害、望ましくない侵入など、間接的な金銭的損害に適切に対処してきたか?
Which kinds of data should be subject to a potential trade regulation rule? Should it be limited to, for example, personally identifiable data, sensitive data, data about protected categories and their proxies, data that is linkable to a device, or non-aggregated data? Or should a potential rule be agnostic about kinds of data? どのような種類のデータが潜在的通商規制ルールの対象となるべきか。例えば、個人を特定できるデータ、機密データ、保護されたカテゴリとそのプロキシに関するデータ、デバイスにリンクできるデータ、または非集計データに限定すべきか? あるいは、潜在的なルールはデータの種類を問わないものとすべきか。
Which, if any, commercial incentives and business models lead to lax data security measures or harmful commercial surveillance practices? Are some commercial incentives and business models more likely to protect consumers than others? On which checks, if any, do companies rely to ensure that they do not cause harm to consumers? 商業的なインセンティブやビジネスモデルがあるとすれば、それは緩いデータ・セキュリティ対策や有害な商用監視慣行につながるものか? ある種の商業的インセンティブやビジネスモデルは、他のものよりも消費者を保護する可能性が高いか? 企業は消費者に害を与えないことを保証するために、もしあるとすればどのようなチェックに頼っているのか。
Lax data security measures and harmful commercial surveillance injure different kinds of consumers (e.g., young people, workers, franchisees, small businesses, women, victims of stalking or domestic violence, racial minorities, the elderly) in different sectors (e.g., health, finance, employment) or in different segments or “stacks” of the internet economy. For example, harms arising from data security breaches in finance or healthcare may be different from those concerning discriminatory advertising on social media which may be different from those involving education technology. How, if at all, should potential new trade regulation rules address harms to different consumers across different sectors? Which commercial surveillance practices, if any, are unlawful such that new trade regulation rules should set out clear limitations or prohibitions on them? To what extent, if any, is a comprehensive regulatory approach better than a sectoral one for any given harm? 緩いデータ・セキュリティ対策や有害な商用監視は、異なる分野(健康、金融、雇用など)やインターネット経済の異なるセグメントや「スタック」において、異なる種類の消費者(若者、労働者、フランチャイズ店、中小企業、女性、ストーカーやDVの被害者、人種的マイノリティ、高齢者など)を傷付けるものである。例えば、金融や医療におけるデータ・セキュリティ侵害から生じる被害は、ソーシャルメディア上の差別的な広告に関するものと異なる可能性があり、また教育技術に関わるものとは異なる可能性がある。新しい通商規制ルールの可能性があるとすれば、異なるセクター間の異なる消費者への害にどのように対処すべきか。新しい通商規制規則が明確な制限や禁止を定めるべき違法な商用監視慣行があるとすれば、それはどのようなものか。ある危害に対して、セクター別の規制アプローチよりも包括的な規制アプローチの方が優れているとすれば、それはどの程度か。
Harms to Children  子供への被害
The Commission here invites comment on commercial surveillance practices or lax data security measures that affect children, including teenagers. Are there practices or measures to which children or teenagers are particularly vulnerable or susceptible? For instance, are children and teenagers more likely than adults to be manipulated by practices designed to encourage the sharing of personal information? 委員会は、10代の若者を含む子供たちに影響を与える商用監視慣行や緩いデータ・セキュリティ対策について意見を求めている。子どもやティーンエイジャーが特に被害を受けやすい、あるいは受けやすい慣行や対策はあるか。例えば、子供やティーンエイジャーは、個人情報の共有を促すような慣行によって操られる可能性が大人よりも高いか。
What types of commercial surveillance practices involving children and teens’ data are most concerning? For instance, given the reputational harms that teenagers may be characteristically less capable of anticipating than adults, to what extent should new trade regulation rules provide teenagers with an erasure mechanism in a similar way that COPPA provides for children under 13? Which measures beyond those required under COPPA would best protect children, including teenagers, from harmful commercial surveillance practices? 子どもやティーンエイジャーのデータに関わる商用監視慣行で、最も懸念されるのはどのようなものか。例えば、ティーンエイジャーは大人よりも風評被害を予測する能力が低いという特徴があることから、新しい取引規制ルールでは、COPPAが13歳未満の児童に対して提供しているのと同様の消去メカニズムをティーンエイジャーにどの程度提供すべきか。有害な商用監視慣行からティーンエイジャーを含む児童を最もよく保護できるのは、COPPAで要求される以上のどのような措置か。
In what circumstances, if any, is a company’s failure to provide children and teenagers with privacy protections, such as not providing privacy-protective settings by default, an unfair practice, even if the site or service is not targeted to minors? For example, should services that collect information from large numbers of children be required to provide them enhanced privacy protections regardless of whether the services are directed to them? Should services that do not target children and teenagers be required to take steps to determine the age of their users and provide additional protections for minors? サイトやサービスが未成年者を対象としていない場合でも、プライバシー保護設定をデフォルトで提供しないなど、企業が子どもやティーンエイジャーにプライバシー保護を提供しないことが不公正行為になるとしたら、どのような状況か。例えば、多数の児童から情報を収集するサービスは、サービスが児童を対象としているか否かにかかわらず、児童に強化されたプライバシー保護を提供するよう求められるべきか。児童やティーンエイジャーを対象としていないサービスには、利用者の年齢を判断するための措置を講じ、未成年者のための追加的な保護を提供することを義務付けるべきか。
Which sites or services, if any, implement child-protective measures or settings even if they do not direct their content to children and teenagers? 児童やティーンエイジャーを対象としていなくても、児童保護のための措置や設定を実施しているサイトやサービスがあるとすれば、それはどのようなものか。
Do techniques that manipulate consumers into prolonging online activity (e.g., video autoplay, infinite or endless scroll, quantified public popularity) facilitate commercial surveillance of children and teenagers? If so, how? In which circumstances, if any, are a company’s use of those techniques on children and teenagers an unfair practice? For example, is it an unfair or deceptive practice when a company uses these techniques despite evidence or research linking them to clinical depression, anxiety, eating disorders, or suicidal ideation among children and teenagers? 消費者を操作してオンライン活動を長引かせる技術(例:ビデオの自動再生、無限または無限のスクロール、定量的な大衆人気)は、児童・青少年の商用監視を促進するか。もしそうなら、どのようにすべきか。企業が子どもやティーンエイジャーにこうした技術を使用することが不公正な行為であるとすれば、それはどのような状況か。例えば、子供やティーンエイジャーの臨床的なうつ病、不安、摂食障害、自殺念慮と関連する証拠や研究にもかかわらず、企業がこれらの技術を使用する場合、不公正または欺瞞的行為となるか。
To what extent should trade regulation rules distinguish between different age groups among children (e.g., 13 to 15, 16 to 17, etc.)? 取引規制のルールは、子どもの異なる年齢層(例:13歳から15歳、16歳から17歳など)をどの程度まで区別するべきか。
Given the lack of clarity about the workings of commercial surveillance behind the screen or display, is parental consent an efficacious way of ensuring child online privacy? Which other protections or mechanisms, if any, should the Commission consider? 画面やディスプレイの裏にある商用監視の仕組みが明確でない中、保護者の同意は子どものオンラインプライバシーを確保する有効な手段か。委員会が検討すべき他の保護や仕組みがあるとすれば、それはどのようなものか。
How extensive is the business-to-business market for children and teens’ data? In this vein, should new trade regulation rules set out clear limits on transferring, sharing, or monetizing children and teens’ personal information? 子供や十代の若者のデータを扱う企業間市場は、どの程度拡大しているのか。この観点から、新たな取引規制のルールとして、子供や十代の若者の個人情報の移転、共有、収益化について明確な制限を設けるべきか。
Should companies limit their uses of the information that they collect to the specific services for which children and teenagers or their parents sign up? Should new rules set out clear limits on personalized advertising to children and teenagers irrespective of parental consent? If so, on what basis? What harms stem from personalized advertising to children? What, if any, are the prevalent unfair or deceptive practices that result from personalized advertising to children and teenagers? 企業は、収集した情報の利用を、子どもやティーンエイジャー、あるいはその親が申し込んだ特定のサービスに限定すべきか。新しい規則では、保護者の同意に関係なく、子どもやティーンエイジャーにパーソナライズされた広告の明確な制限を設定する必要がありますか。もしそうなら、どのような根拠で。子ども向けのパーソナライズド広告から生じる弊害は何か。子供やティーンエイジャーに向けたパーソナライズド広告から生じる不公正または欺瞞的な慣行があるとすれば、それはどのようなものか。
Should new rules impose differing obligations to protect information collected from children depending on the risks of the particular collection practices? 新しい規則では、特定の収集方法のリスクに応じて、子どもから収集した情報を保護するための異なる義務を課すべきか。
How would potential rules that block or otherwise help to stem the spread of child sexual abuse material, including content-matching techniques, otherwise affect consumer privacy? コンテンツ・マッチング技術など、児童性的虐待の資料の拡散を阻止するための潜在的なルールは、消費者のプライバシーにどのような影響を与えるか?
Costs and Benefits  費用と便益
The Commission invites comment on the relative costs and benefits of any current practice, as well as those for any responsive regulation. How should the Commission engage in this balancing in the context of commercial surveillance and data security? Which variables or outcomes should it consider in such an accounting? Which variables or outcomes are salient but hard to quantify as a material cost or benefit? How should the Commission ensure adequate weight is given to costs and benefits that are hard to quantify? 委員会は、現行の慣行のコストと便益、および対応する規制のコストと便益の相対的比較について意見を求めている。商用監視とデータ・セキュリティの観点から、委員会はどのようにこのバランスをとるべきか。このような会計処理において、どのような変数や結果を考慮すべきか。重要ではあるが、重要なコストや便益として定量化するのが難しい変数や成果は何か。委員会は、定量化が困難なコストと便益に十分な重みを与えることをどのように確保すべきか。
What is the right time horizon for evaluating the relative costs and benefits of existing or emergent commercial surveillance and data security practices? What is the right time horizon for evaluating the relative benefits and costs of regulation? 既存あるいは新たに出現した商用監視及びデータ・セキュリティ慣行の相対的コストと便益を評価するための適切な時間軸は何か。規制の相対的な便益とコストを評価するための適切な時間軸は何か。
To what extent would any given new trade regulation rule on data security or commercial surveillance impede or enhance innovation? To what extent would such rules enhance or impede the development of certain kinds of products, services, and applications over others? データ・セキュリティや商用監視に関する新しい通商規制のルールは、どの程度まで技術革新を妨げたり、高めたりするか。そのようなルールは、ある種の製品、サービス、アプリケーションの開発をどの程度まで促進したり妨げたりするか。
Would any given new trade regulation rule on data security or commercial surveillance impede or enhance competition? Would any given rule entrench the potential dominance of one company or set of companies in ways that impede competition? If so, how and to what extent? データ・セキュリティや商用監視に関する新しい通商規制のルールは、競争を妨げますか、それとも強めますか。どのような規則でも、競争を阻害するような形で、ある企業または一連の企業の潜在的な支配力を強固にしますか。もしそうなら、どのように、どの程度までか。
Should the analysis of cost and benefits differ in the context of information about children? If so, how? コストと便益の分析は、子供に関する情報との関連で異なるべきか。もしそうなら、どのようにすべきか。
What are the benefits or costs of refraining from promulgating new rules on commercial surveillance or data security? 商用監視やデータ・セキュリティに関する新たな規則の発布を控えることの利点やコストは何か。
Regulations  規制
Rulemaking Generally 一般的な規則策定
Should the Commission pursue a Section 18 rulemaking on commercial surveillance and data security? To what extent are existing legal authorities and extralegal measures, including self-regulation, sufficient? To what extent, if at all, are self-regulatory principles effective? 委員会は、商用監視およびデータ・セキュリティに関する第18条の規定作りを追求すべきか。既存の法的権限や自主規制を含む法外な措置はどの程度まで十分か。自己規制の原則が有効であるとすれば、それはどの程度までか。
Data Security データ・セキュリティ
Should the Commission commence a Section 18 rulemaking on data security? The Commission specifically seeks comment on how potential new trade regulation rules could require or help incentivize reasonable data security. 委員会はデータ・セキュリティに関する第18条の規定作成を開始すべきか。委員会は、新しい取引規制の規則の可能性が、合理的なデータ・セキュリティをどのように要求し、または奨励するのに役立つかについて特に意見を求めている。
Should, for example, new rules require businesses to implement administrative, technical, and physical data security measures, including encryption techniques, to protect against risks to the security, confidentiality, or integrity of covered data? If so, which measures? How granular should such measures be? Is there evidence of any impediments to implementing such measures? 例えば、新規則は、対象データの安全性、機密性、完全性に対するリスクから保護するために、暗号化技術を含む管理的、技術的、物理的なデータ・セキュリティ対策を実施するよう企業に求めるべきか。その場合、どのような対策が必要か。また、そのような対策はどの程度詳細であるべきか。そのような措置の実施を妨げる証拠があるか。
Should new rules codify the prohibition on deceptive claims about consumer data security, accordingly authorizing the Commission to seek civil penalties for first-time violations? 消費者データ・セキュリティに関する欺瞞的な主張の禁止を新規則で成文化し、それに伴って委員会が初回の違反に対して民事罰を求める権限を与えるべきか。
Do the data security requirements under COPPA or the GLBA Safeguards Rule offer any constructive guidance for a more general trade regulation rule on data security across sectors or in other specific sectors? COPPAやGLBAセーフガード・ルールのデータ・セキュリティ要件は、分野横断的あるいは特定分野でのデータ・セキュリティに関するより一般的な通商規制ルールに対して建設的な指針を与えるか。
Should the Commission take into account other laws at the state and federal level (e.g., COPPA) that already include data security requirements. If so, how? Should the Commission take into account other governments’ requirements as to data security (e.g., GDPR). If so, how? 委員会は、すでにデータ・セキュリティ要件を含んでいる州および連邦レベルの他の法律(例えば、COPPA)を考慮すべきか。考慮する場合は、どのようにすべきか。委員会は、データ・セキュリティに関する他の政府の要求事項(例えば、GDPR)を考慮すべきか。考慮する場合は、どのようにすべきか。
To what extent, if at all, should the Commission require firms to certify that their data practices meet clear security standards? If so, who should set those standards, the FTC or a third-party entity? 委員会は、企業に対して、自社のデータ業務が明確なセキュリティ基準を満たしていることを証明するよう、どの程度まで要求すべきか。その場合、FTCと第三者機関のどちらがその基準を設定すべきか。
Collection, Use, Retention, and Transfer of Consumer Data 消費者データの収集、使用、保持、移転
How do companies collect consumers’ biometric information? What kinds of biometric information do companies collect? For what purposes do they collect and use it? Are consumers typically aware of that collection and use? What are the benefits and harms of these practices? 企業は消費者の生体情報をどのように収集しているのか。企業はどのような種類の生体情報を収集するのか。企業はどのような目的でそれを収集し使用するのか。消費者は通常、その収集と利用を認識しているか。これらの慣行の利点と弊害は何か。
Should the Commission consider limiting commercial surveillance practices that use or facilitate the use of facial recognition, fingerprinting, or other biometric technologies? If so, how? 委員会は、顔認識、指紋、その他の生体認証技術を使用する、あるいは使用を促進する商用監視慣行を制限することを検討すべきか。もしそうなら、どのようにすべきか。
To what extent, if at all, should the Commission limit companies that provide any specifically enumerated services (e.g., finance, healthcare, search, or social media) from owning or operating a business that engages in any specific commercial surveillance practices like personalized or targeted advertising? If so, how? What would the relative costs and benefits of such a rule be, given that consumers generally pay zero dollars for services that are financed through advertising? 委員会は、具体的に列挙されたサービス(金融、ヘルスケア、検索、ソーシャルメディアなど)を提供する企業が、個別化広告やターゲット広告のような特定の商用監視慣行に従事する事業を所有・運営することをどの程度まで制限すべきか。もしそうなら、どのようにすべきか。一般的に消費者は広告によって賄われるサービスに0ドルを支払うことを考えると、そのような規則の相対的なコストと利益はどのようになるか。
How accurate are the metrics on which internet companies rely to justify the rates that they charge to third-party advertisers? To what extent, if at all, should new rules limit targeted advertising and other commercial surveillance practices beyond the limitations already imposed by civil rights laws? If so, how? To what extent would such rules harm consumers, burden companies, stifle innovation or competition, or chill the distribution of lawful content? インターネット企業が第三者広告主に請求する料金を正当化するために依拠する指標は、どの程度正確か。新しいルールは、市民権法によってすでに課されている制限を超えて、標的型広告やその他の商用監視慣行をどの程度まで制限すべきか? もしそうなら、どのようにすべきか。そのようなルールは、どの程度、消費者に害を与え、企業に負担をかけ、イノベーションや競争を阻害し、あるいは合法的なコンテンツの流通を冷え込ませるか。
To what alternative advertising practices, if any, would companies turn in the event new rules somehow limit first- or third-party targeting? 新しい規則がファーストまたはサードパーティのターゲティングを何らかの形で制限した場合、企業はどのような代替広告手法に転換するか。
How cost-effective is contextual advertising as compared to targeted advertising? ターゲティング広告と比較して、コンテクスト広告の費用対効果はどの程度か。
To what extent, if at all, should new trade regulation rules impose limitations on companies’ collection, use, and retention of consumer data? Should they, for example, institute data minimization requirements or purpose limitations, i.e., limit companies from collecting, retaining, using, or transferring consumer data beyond a certain predefined point? Or, similarly, should they require companies to collect, retain, use, or transfer consumer data only to the extent necessary to deliver the specific service that a given individual consumer explicitly seeks or those that are compatible with that specific service? If so, how? How should it determine or define which uses are compatible? How, moreover, could the Commission discern which data are relevant to achieving certain purposes and no more? 新しい取引規制ルールは、企業の消費者データの収集、使用、保持にどの程度まで制限を課すべきか。例えば、データ最小化要件や目的制限、すなわち、企業が消費者データをある定義された時点を超えて収集、保持、使用、転送することを制限することを制定すべきか。あるいは同様に、消費者個人が明確に求めている特定のサービス、またはその特定のサービスと互換性のあるサービスを提供するために必要な範囲でのみ消費者データを収集、保持、使用、転送するよう企業に要求すべきか。もしそうなら、どのようにすべきか。また、どのような用途が適合するかは、どのように判断・定義すればよいのか。さらに、委員会は、どのデータが特定の目的の達成に関連し、それ以上でないかをどのように見分けることができるか。
By contrast, should new trade regulation rules restrict the period of time that companies collect or retain consumer data, irrespective of the different purposes to which it puts that data? If so, how should such rules define the relevant period? これに対して、新たな取引規制の規則では、企業が消費者データを収集・保持する期間を、そのデータの使用目的の違いとは無関係に制限すべきなのか。もしそうなら、そのような規則は関連する期間をどのように定義すべきか。
Pursuant to a purpose limitation rule, how, if at all, should the Commission discern whether data that consumers give for one purpose has been only used for that specified purpose? To what extent, moreover, should the Commission permit use of consumer data that is compatible with, but distinct from, the purpose for which consumers explicitly give their data? 目的限定規則に従って、消費者がある目的のために提供したデータが、その特定の目的のためにのみ使用されたかどうかを、委員会は、もしあるとすれば、どのように見極めるべきか。さらに、委員会は、消費者が明示的にデータを提供した目的とは異なるが、それと両立する消費者データの利用をどの程度まで認めるべきなのか。
Or should new rules impose data minimization or purpose limitations only for certain designated practices or services? Should, for example, the Commission impose limits on data use for essential services such as finance, healthcare, or search—that is, should it restrict companies that provide these services from using, retaining, or transferring consumer data for any other service or commercial endeavor? If so, how? あるいは、新たな規則は、特定の業務やサービスに対してのみ、データの最小化や目的の制限を課すべきか。例えば、委員会は、金融、医療、検索などの重要なサービスに対するデータ使用に制限を課すべきか。つまり、これらのサービスを提供する企業が、他のサービスや商業的努力のために消費者データを使用、保持、移転することを制限すべきか。その場合、どのように制限するか。
To what extent would data minimization requirements or purpose limitations protect consumer data security? データ最小化要件または目的制限は、どの程度まで消費者データのセキュリティを保護するか。
To what extent would data minimization requirements or purpose limitations unduly hamper algorithmic decision-making or other algorithmic learning-based processes or techniques? To what extent would the benefits of a data minimization or purpose limitation rule be out of proportion to the potential harms to consumers and companies of such a rule? データ最小化の要件または目的の制限は、アルゴリズムによる意思決定またはその他のアルゴリズムによる学習ベースのプロセスまたは技術をどの程度まで不当に妨げるか。データ最小化または目的制限の規則がもたらす利益は、その規則が消費者や企業にもたらす潜在的な損害とどの程度比例しないか。
How administrable are data minimization requirements or purpose limitations given the scale of commercial surveillance practices, information asymmetries, and the institutional resources such rules would require the Commission to deploy to ensure compliance? What do other jurisdictions have to teach about their relative effectiveness? 商用監視慣行の規模、情報の非対称性、およびそのような規則が遵守を確保するために委員会に要求する組織的リソースを考慮すると、データ最小化要件または目的制限はどの程度管理可能か。他の管轄区域は、その相対的な効果について何を教えてくれるのか。
What would be the effect of data minimization or purpose limitations on consumers’ ability to access services or content for which they are not currently charged out of pocket? Conversely, which costs, if any, would consumers bear if the Commission does not impose any such restrictions? データの最小化や目的制限が、消費者が現在負担していないサービスやコンテンツにアクセスする能力にどのような影響を及ぼすか。逆に、委員会がそのような制限を課さない場合、消費者が負担するとすればどのようなコストか。
To what extent, if at all, should the Commission require firms to certify that their commercial surveillance practices meet clear standards concerning collection, use, retention, transfer, or monetization of consumer data? If promulgated, who should set those standards: the FTC, a third-party organization, or some other entity? 消費者データの収集、利用、保持、移転、収益化に関して、商用監視慣行が明確な基準を満たしていることを証明するよう、委員会は企業にどの程度まで要求するべきか。また、その基準は、FTC、第三者機関、その他、誰が設定するのか。
To what extent, if at all, do firms that now, by default, enable consumers to block other firms’ use of cookies and other persistent identifiers impede competition? To what extent do such measures protect consumer privacy, if at all? Should new trade regulation rules forbid the practice by, for example, requiring a form of interoperability or access to consumer data? Or should they permit or incentivize companies to limit other firms’ access to their consumers’ data? How would such rules interact with general concerns and potential remedies discussed elsewhere in this ANPR? 現在、デフォルトで、消費者が他の企業のクッキーと他の永続的な識別子の使用をブロックできるようにしている企業は、どの程度、競争を阻害しているか。そのような手段が消費者のプライバシーを保護するとすれば、それはどの程度ですか? 新しい取引規制ルールは、例えば、相互運用性や消費者データへのアクセスを要求することによって、そのような行為を禁止すべきか。あるいは、企業が他の企業の消費者データへのアクセスを制限することを許可したり、奨励したりすべきなのか。このような規則は、本ANPRの他の箇所で議論されている一般的な懸念や潜在的な救済措置とどのように関係するか。
Automated Systems  自動化されたシステム
How prevalent is algorithmic error? To what extent is algorithmic error inevitable? If it is inevitable, what are the benefits and costs of allowing companies to employ automated decision-making systems in critical areas, such as housing, credit, and employment? To what extent can companies mitigate algorithmic error in the absence of new trade regulation rules? アルゴリズムによる誤りはどの程度存在するのか。アルゴリズムによる誤りはどの程度まで避けられないのか。もし避けられないのであれば、住宅、クレジット、雇用などの重要な分野で企業が自動意思決定システムを採用することの利点とコストはどの程度か。新たな取引規制のルールがない場合、企業はどの程度までアルゴリズムによるエラーを軽減することができるのか。
What are the best ways to measure algorithmic error? Is it more pronounced or happening with more frequency in some sectors than others? アルゴリズムによるエラーを測定する最善の方法は何か。アルゴリズムによるエラーは、他のセクターよりもあるセ クターでより顕著に、より頻繁に発生しているのでしょ うか。
Does the weight that companies give to the outputs of automated decision-making systems overstate their reliability? If so, does that have the potential to lead to greater consumer harm when there are algorithmic errors? 企業が自動意思決定システムのアウトプットを重視することで、その信頼性が過大評価されていないか。もしそうなら、アルゴリズムによるエラーが発生した場合、消費者被害を拡大させる可能性があるのか。
To what extent, if at all, should new rules require companies to take specific steps to prevent algorithmic errors? If so, which steps? To what extent, if at all, should the Commission require firms to evaluate and certify that their reliance on automated decision-making meets clear standards concerning accuracy, validity, reliability, or error? If so, how? Who should set those standards, the FTC or a third-party entity? Or should new rules require businesses to evaluate and certify that the accuracy, validity, or reliability of their commercial surveillance practices are in accordance with their own published business policies? 新しい規則では、アルゴリズムによるエラーを防止するための具体的な措置を企業にどの程度まで求めるべきか。その場合、どのような手段をとるべきか。自動化された意思決定への依存が、正確性、妥当性、信頼性、エラーに関する明確な基準を満たしていることを評価し、証明することを企業に義務付けるべきとすれば、どの程度までか。もしそうであれば、どのようにすべきか。また、そのような基準は誰が設定するのか、FTCか第三者機関か。あるいは、新規則は、企業が公表している事業方針に従って、商用監視慣行の正確性、有効性、信頼性を評価し、証明することを求めるべきか。
To what extent, if at all, do consumers benefit from automated decision-making systems? Who is most likely to benefit? Who is most likely to be harmed or disadvantaged? To what extent do such practices violate Section 5 of the FTC Act? 自動意思決定システムから消費者が恩恵を受けるとすれば、それはどの程度か。誰が最も恩恵を受ける可能性が高いか。誰が最も損害を受ける可能性が高いか、または不利益を被る可能性が高いか。そのような行為は、どの程度までFTC法第5条に違反するか。
Could new rules help ensure that firms’ automated decision-making practices better protect non-English speaking communities from fraud and abusive data practices? If so, how? 新しい規則は、企業の自動的な意思決定が、非英語圏のコミュニティを詐欺や不正なデータ操作からより確実に保護することに役立ち得るか。もし可能であれば、どのようにすべきか。
If new rules restrict certain automated decision-making practices, which alternatives, if any, would take their place? Would these alternative techniques be less prone to error than the automated decision-making they replace? 新しい規則が特定の自動的意思決定手法を制限する場合、それに代わる代替手法があるとすれば、どのようなものか。これらの代替技術は、代替となる自動化された意思決定よりもエラーが起こりにくいか。
To what extent, if at all, should new rules forbid or limit the development, design, and use of automated decision-making systems that generate or otherwise facilitate outcomes that violate Section 5 of the FTC Act? Should such rules apply economy-wide or only in some sectors? If the latter, which ones? Should these rules be structured differently depending on the sector? If so, how? FTC法第5条に違反する結果を生み出す、あるいは促進する自動意思決定システムの開発、設計、使用を新規則で禁止または制限すべきとすれば、それはどの程度までか。そのようなルールは経済全体に適用されるべきか、それとも一部の分野のみに適用されるべきか。後者であれば、どの分野か。これらのルールは、分野によって異なる構造とすべきか。もしそうなら、どのようにすべきか。
What would be the effect of restrictions on automated decision-making in product access, product features, product quality, or pricing? To what alternative forms of pricing would companies turn, if any? 製品アクセス、製品機能、製品品質、価格設定における自動的意思決定の制限は、どのような影響を及ぼすか。代替的な価格設定があるとすれば、企業はどのような形式に移行するか。
Which, if any, legal theories would support limits on the use of automated systems in targeted advertising given potential constitutional or other legal challenges? ターゲット広告における自動化システムの利用を制限する際に、憲法やその他の法的な問題が生じる可能性があるとすれば、どのような法的理論がそれを支持するか。
To what extent, if at all, does the First Amendment bar or not bar the Commission from promulgating or enforcing rules concerning the ways in which companies personalize services or deliver targeted advertisements? 企業がサービスをパーソナライズしたり、ターゲット広告を配信する方法に関する規則を委員会が公布または施行することは、憲法修正第1条によりどの程度禁止されるか、または禁止されないか?
To what extent, if at all, does Section 230 of the Communications Act, 47 U.S.C. 230, bar the Commission from promulgating or enforcing rules concerning the ways in which companies use automated decision-making systems to, among other things, personalize services or deliver targeted advertisements? 通信法230条(47 U.S.C. 230)は、企業が自動意思決定システムを使用して、特にサービスのパーソナライズやターゲット広告を配信する方法に関する規則を委員会が公布または施行することを、どの程度まで禁じているか。
Discrimination  差別
How prevalent is algorithmic discrimination based on protected categories such as race, sex, and age? Is such discrimination more pronounced in some sectors than others? If so, which ones? アルゴリズムによる差別は、人種、性別、年齢などの保護カテゴリーに基づき、どの程度広まっているのか。そのような差別は、ある部門と他の部門でより顕著なのか。もしそうなら、それはどの分野か。
How should the Commission evaluate or measure algorithmic discrimination? How does algorithmic discrimination affect consumers, directly and indirectly? To what extent, if at all, does algorithmic discrimination stifle innovation or competition? 委員会はアルゴリズムによる差別をどのように評価・測定すべきか。アルゴリズムによる差別は、直接的・間接的に消費者にどのような影響を与えるか。アルゴリズムによる差別は、技術革新や競争を阻害するとすれば、どの程度までか。
How should the Commission address such algorithmic discrimination? Should it consider new trade regulation rules that bar or somehow limit the deployment of any system that produces discrimination, irrespective of the data or processes on which those outcomes are based? If so, which standards should the Commission use to measure or evaluate disparate outcomes? How should the Commission analyze discrimination based on proxies for protected categories? How should the Commission analyze discrimination when more than one protected category is implicated (e.g., pregnant veteran or Black woman)? 委員会はこのようなアルゴリズム差別にどのように対処すべきか。差別を生むあらゆるシステムの展開を、その結果の根拠となったデータやプロセスに関係なく、禁止または何らかの形で制限する新たな取引規制ルールを検討すべきか。その場合、委員会はどのような基準で格差のある結果を測定・評価すべきか。委員会は、保護カテゴリのプロキシに基づく差別をどのように分析すべきか。複数の保護カテゴリーが関係している場合、委員会はどのように差別を分析すべきか(例:妊娠中の退役軍人や黒人女性)。
 Should the Commission focus on harms based on protected classes? Should the Commission consider harms to other underserved groups that current law does not recognize as protected from discrimination (e.g., unhoused people or residents of rural communities)?  委員会は、保護されたカテゴリーに基づく害に焦点を当てるべきか。委員会は、現行法が差別からの保護を認めていない、その他の十分なサービスを受けていない集団に対する害を考慮すべきか(例:住居のない人々や農村地域の住民)。
Should the Commission consider new rules on algorithmic discrimination in areas where Congress has already explicitly legislated, such as housing, employment, labor, and consumer finance? Or should the Commission consider such rules addressing all sectors? 委員会は、住宅、雇用、労働、消費者金融など、議会がすでに明確に法制化している分野において、アルゴリズムによる差別に関する新たなルールを検討すべきか。あるいは、すべての分野を対象としたルールを検討すべきか。
How, if at all, would restrictions on discrimination by automated decision-making systems based on protected categories affect all consumers? 保護カテゴリーに基づく自動意思決定システムによる差別を制限することは、すべての消費者に影響を与えるとすれば、どのように影響するか。
To what extent, if at all, may the Commission rely on its unfairness authority under Section 5 to promulgate antidiscrimination rules? Should it? How, if at all, should antidiscrimination doctrine in other sectors or federal statutes relate to new rules? 委員会は、差別撤廃規則を公布するために、第5条に基づく不公正の権限にどの程度まで頼ることができるか。そうすべきなのか。他の分野や連邦法における反差別の原則は、新しい規則とどのように関連づけられるべきか。
How can the Commission’s expertise and authorities complement those of other civil rights agencies? How might a new rule ensure space for interagency collaboration? 委員会の専門知識と権限は、他の公民権機関のそれをどのように補完することができるか。新しい規則は、どのようにして省庁間の協力の場を確保することができるか。
Consumer Consent  消費者の同意
The Commission invites comment on the effectiveness and administrability of consumer consent to companies’ commercial surveillance and data security practices. Given the reported scale, opacity, and pervasiveness of existing commercial surveillance today, to what extent is consumer consent an effective way of evaluating whether a practice is unfair or deceptive? How should the Commission evaluate its effectiveness? In which circumstances, if any, is consumer consent likely to be effective? Which factors, if any, determine whether consumer consent is effective? To what extent does current law prohibit commercial surveillance practices, irrespective of whether consumers consent to them? To what extent should new trade regulation rules prohibit certain specific commercial surveillance practices, irrespective of whether consumers consent to them? To what extent should new trade regulation rules require firms to give consumers the choice of whether to be subject to commercial surveillance? To what extent should new trade regulation rules give consumers the choice of withdrawing their duly given prior consent? How demonstrable or substantial must consumer consent be if it is to remain a useful way of evaluating whether a commercial surveillance practice is unfair or deceptive? How should the Commission evaluate whether consumer consent is meaningful enough? What would be the effects on consumers of a rule that required firms to give consumers the choice of being subject to commercial surveillance or withdrawing that consent? When or how often should any given company offer consumers the choice? And for which practices should companies provide these options, if not all? Should the Commission require different consent standards for different consumer groups (e.g., parents of teenagers (as opposed to parents of pre-teens), elderly individuals, individuals in crisis or otherwise especially vulnerable to deception)? Have opt-out choices proved effective in protecting against commercial surveillance? If so, how and in what contexts? Should new trade regulation rules require companies to give consumers the choice of opting out of all or certain limited commercial surveillance practices? If so, for which practices or purposes should the provision of an opt-out choice be required? For example, to what extent should new rules require that consumers have the choice of opting out of all personalized or targeted advertising? How, if at all, should the Commission require companies to recognize or abide by each consumer’s respective choice about opting out of commercial surveillance practices—whether it be for all commercial surveillance practices or just some? How would any such rule affect consumers, given that they do not all have the same preference for the amount or kinds of personal information that they share? 委員会は、企業の商用監視およびデータ・セキュリティ慣行に対する消費者の同意の有効性と管理性について意見を募集している。現在の商用監視の規模、不透明さ、広まりを考えると、消費者の同意は、どの程度、不公正または欺瞞的行為であるかを評価する有効な方法であるか。委員会は、その有効性をどのように評価すべきか。消費者の同意が効果的であるとすれば、それはどのような状況か。消費者の同意が効果的かどうかを決定する要素があるとすれば、それは何か。現行法は、消費者の同意の有無にかかわらず、商用監視慣行をどの程度まで禁止しているか。新しい取引規制ルールは、消費者の同意の有無にかかわらず、特定の商用監視慣行をどの程度まで禁止すべきか。新しい取引規制ルールは、企業が消費者に商用監視の対象となるかどうかの選択肢を提供することをどの程度まで要求すべきか? 新しい取引規制ルールは、どの程度まで消費者に正当に与えられた事前同意を撤回する選択肢を与えるべきか。商用監視慣行が不公正または欺瞞的であるかどうかを評価する有用な方法であり続けるためには、消費者の同意はどの程度実証的または実質的でなければならないか? 消費者の同意が十分に意味のあるものかどうか、委員会はどのように評価すべきか。商用監視の対象となるか、同意を撤回するかという選択肢を消費者に与えることを企業に義務付ける規則は、消費者にどのような影響を与えるか。企業はいつ、どれくらいの頻度で消費者に選択肢を提供すべきなのか。また、すべてではないにせよ、どのような業務に対して企業がこれらの選択肢を提供すべきなのか。委員会は、消費者グループごとに異なる同意基準を要求すべきか(例えば、ティーンエイジャーの親(10〜12歳の子供の親と比べて)、高齢者、危機的状況にある個人、その他特に詐欺に遭いやすい個人など)。オプトアウトの選択肢は、商用監視から保護する上で有効であることが証明されているか。もしそうなら、どのように、どのような文脈で。新たな取引規制のルールとして、企業は消費者に対し、すべてあるいは特定の限定された商用監視慣行からオプトアウトする選択肢を提供するよう求めるべきか。その場合、どのような慣行や目的に対してオプトアウトの選択肢を提供することが要求されるべきか。例えば、新しい規則では、消費者がすべてのパーソナライズされた広告またはターゲット広告をオプトアウトする選択肢を持つことをどの程度まで要求すべきか。商用監視慣行のオプトアウトに関する消費者それぞれの選択(それがすべての商用監視慣行であれ、一部の行為であれ)を企業が認識し、遵守することを義務付けるべきとすれば、それはどのような方法か。消費者が共有する個人情報の量や種類に関して、全員が同じ選好を持っているわけではないことを考えると、そのような規則は消費者にどのような影響を与えるか。
Notice, Transparency, and Disclosure  通知、透明性、開示
To what extent should the Commission consider rules that require companies to make information available about their commercial surveillance practices? What kinds of information should new trade regulation rules require companies to make available and in what form? 委員会は、企業に対して、自社の商用監視慣行に関する情報を公開することを義務付ける規則をどの程度まで検討すべきか。新しい取引規制の規則では、どのような種類の情報をどのような形で提供するよう企業に求めるべきか。
In which contexts are transparency or disclosure requirements effective? In which contexts are they less effective? 透明性や情報開示の要件は、どのような状況において有効か。また、どのような状況においては、あまり効果的でないか。
Which, if any, mechanisms should the Commission use to require or incentivize companies to be forthcoming? Which, if any, mechanisms should the Commission use to verify the sufficiency, accuracy, or authenticity of the information that companies provide? 委員会が企業に対して情報公開を要求したり、インセンティブを与えるために用いるべきメカニズムがあるとすれば、それはどのようなものか。企業が提供する情報の十分性、正確性、信憑性を検証するために、委員会が利用すべきメカニズムがあるとすれば、それは何か。
The Commission invites comment on the nature of the opacity of different forms of commercial surveillance practices. On which technological or legal mechanisms do companies rely to shield their commercial surveillance practices from public scrutiny? Intellectual property protections, including trade secrets, for example, limit the involuntary public disclosure of the assets on which companies rely to deliver products, services, content, or advertisements. How should the Commission address, if at all, these potential limitations? 委員会は、さまざまな形態の商用監視慣行の不透明さの性質についてコメントを募集している。企業は、どのような技術的または法的メカニズムに依拠して、商用監視慣行を世間の目から隠しているのか。例えば、企業秘密を含む知的財産の保護は、企業が製品、サービス、コンテンツ、広告を提供するために依存している資産の不本意な一般公開を制限するものである。委員会は、このような潜在的な制限に対処するとすれば、どのように対処すべきか。
To what extent should the Commission rely on third-party intermediaries (e.g., government officials, journalists, academics, or auditors) to help facilitate new disclosure rules? 委員会は、新しい開示規則の促進を支援するために、どの程度、第三者の仲介者(政府関係者、ジャーナリスト、学者、監査人など)に頼るべきか。
To what extent, moreover, should the Commission consider the proprietary or competitive interests of covered companies in deciding what role such third-party auditors or researchers should play in administering disclosure requirements? さらに、委員会は、開示規則の運用においてそのような第三者の監査人や研究者がどのような役割を果たすべきかを決定する際に、対象企業の所有権や競争上の利益をどの程度まで考慮すべきか。
To what extent should trade regulation rules, if at all, require companies to explain (1) the data they use, (2) how they collect, retain, disclose, or transfer that data, (3) how they choose to implement any given automated decision-making system or process to analyze or process the data, including the consideration of alternative methods, (4) how they process or use that data to reach a decision, (5) whether they rely on a third-party vendor to make such decisions, (6) the impacts of their commercial surveillance practices, including disparities or other distributional outcomes among consumers, and (7) risk mitigation measures to address potential consumer harms? 取引規制に関する規則は、もしあるとすれば、企業に対して、(1) 使用するデータ、(2) そのデータの収集、保持、開示、移転方法、(3) データを分析・処理するための所定の自動意思決定システムまたはプロセスの導入方法(代替方法の検討も含む)について、どの程度説明するよう求めるべきか。(4) 意思決定に至るためにデータをどのように処理または使用するか、(5) そのような意思決定を行うために第三者ベンダーに依存しているか、(6) 消費者間の格差またはその他の分配結果を含む、彼らの商用監視慣行の影響、および (7) 潜在的な消費者被害に対処するためのリスク軽減措置?
Disclosures such as these might not be comprehensible to many audiences. Should new rules, if promulgated, require plain-spoken explanations? How effective could such explanations be, no matter how plain? To what extent, if at all, should new rules detail such requirements? これらのような開示は、多くの聴衆にとって理解しやすいものではないかもしれない。新規則を制定する場合、平易な説明を義務付けるべきか。そのような説明は、どんなに平易であっても、どの程度効果的でありうるか。また、新規則では、どの程度まで、そのような要件を詳細に規定すべきか。
Disclosure requirements could vary depending on the nature of the service or potential for harm. A potential new trade regulation rule could, for example, require different kinds of disclosure tools depending on the nature of the data or practices at issue (e.g., collection, retention, or transfer) or the sector (e.g., consumer credit, housing, or work). Or the agency could impose transparency measures that require in-depth accounting (e.g., impact assessments) or evaluation against externally developed standards (e.g., third-party auditing). How, if at all, should the Commission implement and enforce such rules? 情報開示の要件は、サービスの性質や損害の可能性に応じて異なる可能性がある。例えば、潜在的な新規取引規制ルールは、問題となっているデータまたは慣行の性質(例えば、収集、保持、移転)または分野(例えば、消費者信用、住宅、または仕事)に応じて、異なる種類の開示ツールを要求することができます。あるいは、綿密な会計処理(影響評価など)や、外部で策定された基準に対する評価(第三者監査など)を必要とする透明性の高い措置を課すことも可能である。委員会がそのような規則を実施・執行すべきとすれば、それはどのようなものか。
To what extent should the Commission, if at all, make regular self-reporting, third-party audits or assessments, or self-administered impact assessments about commercial surveillance practices a standing obligation? How frequently, if at all, should the Commission require companies to disclose such materials publicly? If it is not a standing obligation, what should trigger the publication of such materials? 委員会は、商用監視慣行に関する定期的な自己報告、第三者による監査または評価、あるいは自ら行う影響評価を、あるとすればどの程度まで恒常的な義務として課すべきか。委員会は、もしあるとすれば、どの程度の頻度で企業にそのような資料を公に開示するよう求めるべきか。継続的な義務でない場合、何がそのような資料の公表のきっかけとなるか。
To what extent do companies have the capacity to provide any of the above information? Given the potential cost of such disclosure requirements, should trade regulation rules exempt certain companies due to their size or the nature of the consumer data at issue? 企業には上記の情報を提供する能力がどの程度あるのか。そのような開示義務に潜在的なコストがかかることを考えると、取引規制規則は、その規模や問題となっている消費者データの性質により、特定の企業を除外すべきか。
Remedies  救済措置
How should the FTC’s authority to implement remedies under the Act determine the form or substance of any potential new trade regulation rules on commercial surveillance? Should new rules enumerate specific forms of relief or damages that are not explicit in the FTC Act but that are within the Commission’s authority? For example, should a potential new trade regulation rule on commercial surveillance explicitly identify algorithmic disgorgement, a remedy that forbids companies from profiting from unlawful practices related to their use of automated systems, as a potential remedy? Which, if any, other remedial tools should new trade regulation rules on commercial surveillance explicitly identify? Is there a limit to the Commission’s authority to implement remedies by regulation? 本法に基づく救済措置を実施するFTCの権限によって、商用監視に関する新たな取引規制規則の可能性の形式または内容をどのように決定すべきか。FTC法には明示されていないが、委員会の権限内である特定の形式の救済や損害賠償を新しい規則で列挙すべきか。例えば、商用監視に関する新たな取引規制規則の候補として、企業が自動化システムの使用に関連した違法行為から利益を得ることを禁じる救済措置であるアルゴリズム損害賠償を潜在的救済措置として明示すべきか。商用監視に関する新しい取引規制の規則で、その他の救済手段を明示すべきものがあるとすれば、それは何か。規制によって救済策を実施する委員会の権限に限界はあるか。
Obsolescence  陳腐化
The Commission is alert to the potential obsolescence of any rulemaking. As important as targeted advertising is to today’s internet economy, for example, it is possible that its role may wane. Companies and other stakeholders are exploring new business models. Such changes would have notable collateral consequences for companies that have come to rely on the third-party advertising model, including and especially news publishing. These developments in online advertising marketplace are just one example. How should the Commission account for changes in business models in advertising as well as other commercial surveillance practices? 委員会は、いかなる規則制定も陳腐化する可能性があることに留意している。例えば、ターゲット広告が今日のインターネット経済にとって重要であるのと同様に、その役割が衰退する可能性はある。企業やその他の関係者は、新しいビジネスモデルを模索している。そのような変化は、特にニュース出版を含む、第三者広告モデルに依存するようになった企業にとって、顕著な付随的影響をもたらすだろう。オンライン広告市場におけるこうした動きは、その一例に過ぎない。委員会は、広告におけるビジネスモデルの変化だけでなく、その他の商用監視慣行についても、どのように考慮すべきなのか。

 

商用監視およびデータ・セキュリティに関する規則制定提案の通知の本文...

・[PDF] Text of the Notice of Proposed Rulemaking Regarding the Commercial Surveillance and Data Security

20220817-183517

 

・[DOCX] 仮対訳

 

読んで面白いのは、こちらですかね。。。委員の意見(3名が賛成、2名が反対...)

賛成派=連邦法の議論はあるものの、いつできるかわからない。できるまで待てない。今のうちに強化したらどうか。。。

反対派=連邦法の議論があるのだから、それに任せれば良い。そもそも、法律でもないのに、FTCが規制を強化するのはいかがなものか。。。

という感じかなぁ。。。

 

賛成派

・[PDF] Lina M. Khan

・[PDF] Christine S. Wilson

・[PDF] Rebecca Kelly Slaughter

反対派

・[PDF] Noah Joshua Phillips 

・[PDF] Christine S. Wilson

まとめて

・[DOCX] 仮対訳

 

 


 

ADPPAについては、、、

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.22 米国 データプライバシー保護法 (ADPPA) はどうなるか

 

 

|

« 欧州データ保護委員会(EDPB) 意見書 17/2022 欧州連合と日本との間の経済連携協定に国境を越えたデータの流れに関する規定を盛り込むための交渉開始を承認する理事会決定のための勧告 | Main | 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 欧州データ保護委員会(EDPB) 意見書 17/2022 欧州連合と日本との間の経済連携協定に国境を越えたデータの流れに関する規定を盛り込むための交渉開始を承認する理事会決定のための勧告 | Main | 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要 »