米国 連邦取引委員会 プライバシーとデータセキュリティの2023年更新版 (2024.03.28)
こんにちは、丸山満彦です。
米国の連邦取引委員会(FTC)が、プライバシーとデータセキュリティの2023年更新版を公表していますね。。。
興味深いですね...
● Federal Trade Commission; FTC
ニュースリリース
FTC Releases 2023 Privacy and Data Security Update | FTCは、プライバシー・データセキュリティ2023年更新版を発表 |
The update details agency actions related to AI, health privacy, and other key areas | この更新版では、AI、医療プライバシー、その他の主要分野に関するFTCの取り組みが詳述されている。 |
The Federal Trade Commission released its Privacy and Data Security Update for 2023 that highlights the FTC’s work to protect consumer privacy and respond to the evolving ways that companies use consumer data such as in the development of artificial intelligence models and misuse of health data. | 米連邦取引委員会(FTC)は、2023年のプライバシー・データセキュリティ最新情報を発表した。この最新情報では、消費者のプライバシーを保護し、人工知能モデルの開発や健康データの悪用など、企業が消費者データを使用する方法が進化していることに対応するためのFTCの取り組みが強調されている。 |
“The FTC is taking bold actions to challenge the indiscriminate collection and monetization of consumers’ data,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “We are securing meaningful remedies to protect consumers’ information, rather than placing the burden on consumers to protect themselves.” | 「FTC消費者保護局のサミュエル・レバイン局長は、「FTCは、消費者データの無差別な収集と収益化に挑戦するため、大胆な行動をとっている。「FTCの消費者保護局長であるサミュエル・レバイン氏は、「我々は、消費者の情報を保護するための有意義な救済策を確保している。 |
The publication highlights the FTC’s privacy and data security work in the last few years. Through 2023, the FTC has brought 97 privacy cases and 169 Telemarketing Sales Rule and CAN-SPAM cases since 1999, as well as 89 data security cases. In addition to its law enforcement work, the agency also has engaged in rulemaking and policy work to push companies to bolster privacy protections for consumers and implement safeguards to secure consumer data. | この出版物は、ここ数年のFTCのプライバシーとデータ・セキュリティの取り組みに焦点を当てている。2023年までに、FTCは1999年以来、97件のプライバシー・ケース、169件のTelemarketing Sales RuleおよびCAN-SPAMケース、89件のデータ・セキュリティ・ケースを提訴している。法執行に加え、FTCは消費者のプライバシー保護を強化し、消費者データを保護するセーフガードを導入するよう企業に働きかけるため、規則制定や政策立案にも取り組んでいる。 |
Between 2021 and 2023, the FTC has taken action to address privacy and security threats in several key areas including: | 2021年から2023年にかけて、FTCはプライバシーとセキュリティの脅威に対処するため、以下を含むいくつかの主要分野で行動を起こしている: |
・Artificial Intelligence: The FTC has brought a number of enforcement actions related to the collection, retention, or use of consumers’ personal information to develop or deploy machine learning or similar algorithms. For example, the FTC alleged that Amazon Alexa violated the Children’s Online Privacy Protection Act (COPPA) by indefinitely retaining children’s voice recordings, which it used to improve its speech recognition algorithm. Last year, the agency also brought a case against Rite Aid over charges it failed to take reasonable steps to ensure that the AI facial recognition technology it deployed in its retail stores did not erroneously flag people as shoplifters or other wrongdoers. | ・人工知能:人工知能:FTCは、機械学習または類似のアルゴリズムを開発または展開するために消費者の個人情報を収集、保持、または使用することに関連して、多くの強制措置を講じた。例えば、FTCはアマゾン・アレクサが音声認識アルゴリズムの改善に使用した子供の音声記録を無期限に保持することで、児童オンラインプライバシー保護法(COPPA)に違反したと申し立てた。また昨年、FTCはライトエイド社に対し、同社が小売店舗に導入したAI顔認識技術が万引き犯やその他の不正行為者と誤って判定されないようにするための合理的な措置を講じなかったとして提訴している。 |
・Health Privacy: Protecting the privacy and security of consumers’ sensitive health information has long been a top FTC priority. Last year, the FTC gave final approval to an order banning BetterHelp, an online counseling service, from sharing sensitive health data for advertising with Facebook and other third parties and requiring it to pay $7.8 million to provide partial refunds to consumers. Also in 2023, the FTC banned GoodRx from sharing sensitive health data with applicable third parties for advertising and also required the company to pay a civil penalty for violating the Health Breach Notification Rule, the agency’s first action under the rule. | ・健康プライバシー:消費者のデリケートな健康情報のプライバシーとセキュリティの保護は、長い間FTCの最優先事項であった。昨年FTCは、オンラインカウンセリングサービスのBetterHelpに対し、Facebookやその他のサードパーティと広告のために機密性の高い健康データを共有することを禁止し、消費者への一部返金のために780万ドルの支払いを求める命令を最終承認した。また2023年には、FTCはGoodRx社が広告のために機密性の高い健康データを該当するサードパーティと共有することを禁止し、さらに同社に対して健康被害通知規則に違反したとして民事罰の支払いを求めた。 |
・Children’s privacy: The FTC also has worked vigorously to protect children’s privacy through its enforcement of COPPA. In addition to the FTC’s action against Amazon, the agency has brought several other COPPA-related actions including cases involving major gaming companies and education technology providers. For example, the FTC obtained a record $275 million penalty against Fortnite maker Epic Games, which also was required to adopt strong privacy default settings for both children and teens and other protections, and brought an action against ed tech provider Edmodo for using children’s personal information for advertising in violation of COPPA and outsourcing its responsibilities under COPPA to schools. In late 2023, the FTC also proposed key changes to strengthen and update the COPPA Rule that would further limit the ability of companies to condition access to services on monetizing children’s data. | ・子供のプライバシー: FTCはまた、COPPAの施行を通じて、子供のプライバシー保護にも精力的に取り組んでいる。FTCはアマゾンに対する措置のほかにも、大手ゲーム会社や教育技術プロバイダを含むCOPPA関連の措置をいくつか取っている。例えば、FTCはフォートナイトのメーカーであるEpic Gamesに対して過去最高の2億7500万ドルの制裁金を獲得し、Epic Gamesは子供とティーンエイジャーの両方に強力なプライバシーの初期設定とその他の保護を採用することを要求された。また、教育技術プロバイダのEdmodoに対しては、COPPAに違反して子供の個人情報を広告に使用し、COPPAに基づく責任を学校に委託したとして訴訟を起こした。2023年後半、FTCはCOPPA規則を強化・更新するための重要な変更も提案し、企業が児童データの収益化を条件としてサービスにアクセスする能力をさらに制限するとしている。 |
・Geolocation Data: As with health data, location data can reveal highly sensitive information about people by tracking their visits to such places as reproductive health clinics, houses of worship, and domestic violence shelters. Given this, the FTC has taken action to protect such data. In 2022, the FTC sued data broker Kochava Inc. for selling geolocation data from hundreds of millions of mobile devices that can be used to trace the movements of individuals to and from sensitive locations. | ・位置情報データ: 健康データと同様、位置情報データは、生殖医療クリニック、礼拝所、ドメスティック・バイオレンス・シェルターなどへの訪問を追跡することで、人々の非常にセンシティブな情報を明らかにする可能性がある。そのため、FTCはこのようなデータを保護するために行動を起こしている。2022年、FTCはデータブローカーであるKochava Inc.を訴えた。Kochava Inc.は何億台ものモバイル機器から得たジオロケーションデータを販売しており、このデータは個人の機密性の高い場所への往来を追跡するのに使用できる。 |
The FTC also has remained active in targeting companies that fail to implement reasonable data security measures to protect consumer data. In 2022 and 2023 alone, the FTC announced or finalized enforcement actions against Global Tel*Link, Drizly, Chegg, and CafePress for data security failures. | FTCはまた、消費者データを保護するための合理的なデータセキュリティ対策を実施しない企業を標的にすることにも積極的である。2022年と2023年だけでも、FTCはGlobal Tel*Link、Drizly、Chegg、CafePressに対し、データセキュリティの不備を理由に強制措置を発表または確定した。 |
The agency also has worked to ensure companies comply with the Fair Credit Reporting Act, which sets out requirements for companies that use data to determine creditworthiness, insurance eligibility, suitability for employment, and to screen tenants. The FTC has brought 117 FCRA cases and obtained more than $137 million in civil penalties. This includes a 2023 action that the FTC and Consumer Financial Protection Bureau brought against Trans Union LLC and a subsidiary for failing to ensure the accuracy of tenant screening reports by including inaccurate and incomplete eviction records about consumers, hampering their ability to obtain housing. | FTCはまた、企業が公正信用報告法(Fair Credit Reporting Act)を遵守するよう働きかけてきた。同法は、信用度、保険加入資格、雇用適性、入居審査にデータを使用する企業に対する要件を定めている。FTCはこれまでに117件のFCRA訴訟を起こし、1億3700万ドル以上の民事罰を獲得している。これには、FTCと消費者金融保護局が、消費者に関する不正確で不完全な立ち退き記録を含むことによって入居審査報告書の正確性を確保せず、消費者の住宅取得能力を阻害したとして、トランス・ユニオンLLCとその子会社に対して起こした2023年の訴訟も含まれる。 |
In addition to vigorous enforcement, the FTC has engaged in rulemaking and other policy work to establish baseline standards that protect consumers’ privacy. In the past few years, the Commission has proposed rules to clarify the applicability of the Health Breach Notification Rule to health apps, and strengthen COPPA. It has also issued an advanced notice of proposed rulemaking to explore rules that would crack down on harmful surveillance and lax data security, and published a policy statement that makes clear that is against the law for companies to force parents and schools to surrender their children’s privacy rights to be able to learn remotely. | 精力的な取締りに加え、FTCは消費者のプライバシーを保護する標準基準を確立するため、規則制定やその他の政策活動に取り組んできた。ここ数年、FTCは健康アプリへの健康被害通知規則の適用を明確にし、COPPAを強化する規則を提案している。また、有害な監視やいい加減なデータ・セキュリティを取り締まる規則を検討するため、規則案の事前通告を行い、企業が保護者や学校に対し、遠隔学習ができるようにするために子どものプライバシー権を放棄するよう強制することは法律違反であることを明確にする政策声明を発表した。 |
The lead staffer on this update was Katherine McCarron in the FTC’s Bureau of Consumer Protection. | この更新版を担当したのは、FTC消費者保護局のキャサリン・マッキャロンである。 |
・[PDF]
・[DOCX] 仮訳
目次...
The Federal Trade Commission 2023 Privacy and Data Security Update | 連邦取引委員会 プライバシー・データセキュリティ2023年更新版 |
INTRODUCTION | 序文 |
How Does the FTC Protect Consumer Privacy and Promote Data Security? | FTCはどのように消費者のプライバシーを保護し、データ・セキュリティを促進しているのか? |
ENFORCEMENT | 執行 |
Artificial Intelligence | 人工知能 |
Health Privacy and Security | 健康プライバシーとセキュリティ |
Geolocation Tracking | 位置情報トラッキング |
Children’s Privacy | 子供のプライバシー |
Data Security | データセキュリティ |
Credit Reporting & Financial Privacy | 信用調査と金融プライバシー |
Spam Calls and Email | スパム電話とEメール |
International Enforcement | 国際執行 |
ARTIFICIAL INTELLIGENCE | 人工知能 |
RULES | 規則 |
POLICY STATEMENTS AND OTHER ACTIONS | 政策声明およびその他の行動 |
REPORTS AND STUDIES | 報告書と研究 |
WORKSHOPS | ワークショップ |
CONSUMER EDUCATION AND BUSINESS GUIDANCE | 消費者教育と経営指導 |
OFFICE OF TECHNOLOGY | 技術局 |
INTERNATIONAL ENGAGEMENT | 国際関与 |
Enforcement Cooperation | 執行協力 |
Policy | 方針 |
ブログ
・2024.03.28 FTC Privacy and Security Update: What your business needs to know
FTC Privacy and Security Update: What your business needs to know | FTCプライバシーとセキュリティの最新情報:ビジネスが知っておくべきこと |
Business executives, tech professionals, and the attorneys who represent them need to stay current on what’s happened – and what’s happening – at the FTC when it comes to privacy and data security. You could set aside weeks to review the hundreds of FTC cases, reports, rulemakings, and policy initiatives touching on those topics or you could scroll through the agency’s to-the-point 2023 Privacy and Data Security Update to get the latest word. | 企業経営者、技術専門家、そして彼らを代表する弁護士は、プライバシーとデータ・セキュリティに関してFTCで何が起こったのか、そして何が起きているのか、常に最新の情報を得る必要がある。FTCの何百もの事例、報告書、規則制定、政策イニシアチブを何週間もかけて検討することもできるし、FTCのライバシー・データセキュリティ2023年更新版をスクロールして最新情報を得ることもできる。 |
Even a quick read illustrates a common thread that runs throughout the agency’s recent privacy and security initiatives: the front-line role the FTC plays in taking on the consumer protection challenges of artificial intelligence. Law enforcement actions against Rite Aid, Ring, and Amazon/Alexa; a Report to Congress – Combatting Online Harms Through Innovation – that discusses to use of algorithms, including generative AI, to create and optimize paid content; and an ongoing market study of social media and video streaming platforms’ use of AI are just a few examples of how the FTC is insisting that consumer interests remain at the forefront of the evolving AI landscape. | ざっと読んだだけでも、FTCの最近のプライバシーとセキュリティに関する取り組みに共通することがわかる。それは、人工知能の消費者保護の課題に取り組む際にFTCが果たす最前線の役割である。Rite Aid、Ring、Amazon/Alexaに対する法執行措置、有料コンテンツの作成と最適化のための生成的AIを含むアルゴリズムの使用について論じた議会への報告書「イノベーションを通じたオンライン上の害悪との闘い」、ソーシャルメディアとビデオストリーミングプラットフォームのAI使用に関する進行中の市場調査は、FTCが進化するAIの状況の最前線に消費者の利益を維持することを主張しているほんの一例に過ぎない。 |
On the Enforcement side, the Update describes recent agency efforts to protect consumers in areas like health privacy, geolocation tracking, children’s privacy, data security, credit reporting and financial privacy, and spam calls and email. Looking for proof of the FTC’s commitment to challenge allegedly illegal conduct? Actions against GoodRx, BetterHelp, CRI Genetics, Epic Games, Microsoft, Drizly, CafePress, TransUnion Rental Screening Solutions, Experian Consumer Services, and Publishers Clearing House are just a few examples of the dozen of times the FTC has used law enforcement to vindicate consumers’ rights. | 防御の面では、健康プライバシー、地理位置追跡、子供のプライバシー、データ・セキュリティ、信用報告書と金融プライバシー、スパム電話とEメールといった分野における消費者保護のためのFTCの最近の取り組みが紹介されている。違法とされる行為に挑戦するFTCのコミットメントを証明するものをお探しだろうか?GoodRx、BetterHelp、CRI Genetics、Epic Games、Microsoft、Drizly、CafePress、TransUnion Rental Screening Solutions、Experian Consumer Services、Publishers Clearing Houseに対する措置は、FTCが消費者の権利を擁護するために法執行機関を利用した数十回の例のほんの一部に過ぎない。 |
The Update also gets readers up to speed on FTC rulemakings, reports, workshops, policy initiatives, and consumer and business education related to privacy and security. Among the highlights: the Policy Statement on Biometric Information and Section 5 of the FTC Act; a study under Section 6(b) of FTC Act of social media and video streaming companies’ information practices; updates to the GLB Safeguards Rule; ongoing efforts to strengthen the Children’s Online Privacy Protection Rule; and the proposed Commercial Surveillance and Data Security Rulemaking. | アップデートはまた、プライバシーとセキュリティに関するFTCの規則制定、報告書、ワークショップ、政策イニシアチブ、消費者および企業への教育について、読者に最新情報を提供する。主なものとしては、「生体情報とFTC法第5条に関する政策声明」、「ソーシャルメディアおよびビデオストリーミング企業の情報慣行に関するFTC法第6条(b)に基づく調査」、「GLBセーフガード規則の更新」、「児童オンラインプライバシー保護規則の強化に向けた継続的な取り組み」、「商業監視およびデータセキュリティ規則案」などがある。 |
Bureau of Consumer Protection Director Samuel Levine puts the issues in perspective for consumers and businesses concerned about the fast-moving state of privacy and information security: | 消費者保護局のサミュエル・レバイン局長は、プライバシーと情報セキュリティの目まぐるしい変化を懸念する消費者と企業にとって、この問題は重要であると指摘する: |
"We have worked vigorously to ensure that the law has equal force across the digital ecosystem, rising to the challenges presented by new technologies and seeking meaningful remedies that establish critical standards for protecting consumers’ information, rather than placing the burden on consumers to protect themselves. This is an area that demands an all-hands-on-deck response, and as the examples in the report show, the Commission is using every tool it has to safeguard consumers’ rights." | 「我々は、法律がデジタル・エコシステム全体で同等の効力を持つよう精力的に取り組んできた。新しい技術がもたらす課題に立ち向かい、消費者に自己防衛の負担を負わせるのではなく、消費者の情報を保護するための重要な標準を確立する有意義な救済策を求めている。この分野は総力を挙げて対応することが求められる分野であり、報告書に掲載された例が示すように、欧州委員会は消費者の権利を守るためにあらゆる手段を駆使している。" |
● まるちゃんの情報セキュリティ気まぐれ日記
日本のほうも... 国際戦略以外もあります...
・2024.04.02 米国 連邦取引委員会 プライバシーとデータセキュリティの2023年更新版 (2024.03.28)
・2024.04.02 個人情報保護委員会 個人情報保護委員会の国際戦略 (2024.03.27)
Comments