公正な情報慣行(Fair Information Practices)とは?| FIPPs

公正な情報慣行原則(FIPPs)は、データプライバシーに関する一連の原則で、現在多くの組織が従っています。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 公正な情報慣行のリスト
  • FIPPsの構築の経緯に関する説明
  • FIPPsが広く参照されている理由に関する説明

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

公正な情報慣行原則(FIPPs)とは?

公正な情報慣行(FIP)は、データの使用、収集、およびプライバシーに関する8つの原則から成り、公正な情報慣行原則(FIPPs)とも呼ばれています。1980年に経済協力開発機構(OECD)が発表したもので、多くの国が原則的に合意しています。

正式には個人情報保護法の一部ではありませんが、この原則は現在でも重要性が高く、影響力を持っており、多くの組織が個人データを取り扱う際の指針として利用しています。FIPPsに記載されている原則のいくつかは、 EU一般データ保護規則(GDPR)カリフォルニア州消費者プライバシー法(CCPA) などの重要なプライバシーフレームワークにも含まれています。

公正な情報慣行には、次の8つの原則があります。

  1. 収集制限の原則。個人データの収集には制限を設けるべきであり、いかなる個人データも、適法かつ公正な手段によって、かつ適当な場合には、データ主体者(本人)に知らしめ又は同意を得た上で、収集されるべきである。
  2. データ内容の原則。個人データは、その利用目的に沿ったものであるべきであり、かつ利用目的に必要な範囲内で正確、完全であり最新なものに保たれなければならない。
  3. 目的明確化の原則。個人データの収集目的は、収集時よりも遅くない時点において明確化されなければならず、その後のデータの利用は、当該収集目的の達成又は当該収集目的に矛盾しないでかつ、目的の変更毎に明確化された他の目的の達成に限定されるべきである。
  4. 使用制限の原則。a) データ主体者(本人)の同意がある場合、または b) 法律の規定による場合を除き、[目的明確化の原則]により明確化された目的以外の目的のために、開示・利用その他の使用に供されるべきではない。
  5. 安全保護の原則。個人データは、データの紛失や不正なアクセス、破壊、使用、改ざん、開示などのリスクに対して、合理的なセキュリティ保護の措置によって保護されるべきである。
  6. 公開の原則。個人データに係わる開発、運用及び政策については、一般的な公開の政策が取られなければならない。個人データの存在、性質及びその主要な利用目的とともにデータ管理者の識別、通常の住所をはっきりさせるための手段が容易に利用できなければならない。
  7. 個人参加の原則。個人は次の権利を有する。
    1. データ管理者が自己に関するデータを有しているか否かについて、データ管理者又はその他の者から確認を得ること。
    2. 自己に関するデータを、合理的な期間内に、過度にならない費用で、合理的な方法で、自己に分かりやすい形で、自己に知らしめられること。
    3. 上記(a)及び(b)の要求が拒否された場合には、その理由が与えられること及びそのような拒否に対して異議を申立てることができること。かつ
    4. 自己に関するデータに対して異議を申し立てること、及びその異議が認められた場合には、そのデータを消去、修正、完全化、補正させること。
  8. 責任の原則。データ管理者は、上記の諸原則を実施するための措置に従う責任を有する。

公正な情報慣行はどのように構築されたか?

現在のFIPPsは、1973年に米国保健教育福祉省の諮問委員会が提案した提言に基づいたものです。同委員会の報告書では、「記録保持における相互性の概念に基づいて個人のプライバシーを保護するためには、記録保持機関が公正な情報慣行の特定の基本原則を遵守することが必要である」と記載されています。その上で、データ保護に関するいくつかの原則が記述されています。

1980年、OECDはこれらの提言を拡大し、上記の8つのFIPPsに分けました。それ以来、FIPPsは、特に米国で何度も参照されてきました。現在もデータプライバシーやデータ保護のガイドラインの重要な部分を占めています。

公正な情報慣行はプライバシー法の一部か?

FIPPsは、公的または法的な要求事項の一部ではありません。しかし、これらはいくつかの異なるプライバシーガイドラインの基礎となっています。また、他の公式なプライバシーフレームワークで広く受け入れられている多くのプライバシー原則からも反映されています。

例えば、FIPPsの「個人参加の原則」(No.7)では、人々が持つべき権利が多く挙げられています。CCPAは、これらの権利の一部を法制化しました。その中には、「知る権利」が含まれており、FIPPsの個人参加の原則のパート a) および b) で説明されているものとよく似ています。また、GDPRにある「消去の権利」は、FIPPsの個人参加の原則のパート d) に記載されている「データを消去させる」ことが出来る部分に似ています。

別の例として、FIPPsの「データ内容の原則」には、GDPRに対応するものがあります。第5条では、個人データは「正確であり、必要な場合には制裁真に保たれなければならない。不正確な個人データが確実に、遅滞なく消去または訂正されるように、あらゆる合理的な手段が講じられなければならない。」ことが求められています。

注意すべき重要な点は、これらのプライバシーフレームワークは、その記述や要件がFIPPsと完全に一致するわけではないということです。GDPRやCCPAなどの個人情報保護法を遵守したい企業は、FIPPsだけではなく、それらの特定の法律の要件に従っていることを確認する必要があります。

Cloudflareは、公正な情報慣行に従っているのか?

Cloudflareの全従業員には、GDPRやその他の重要なデータ保護法に加えて、公正な情報慣行を紹介するデータ保護トレーニングを受けることが義務付けられています。また、Cloudflareは、ユーザーのプライバシーを強化するために多くの製品(一部無料)をリリースしています。これらの製品には以下のものがあります。

Cloudflareのデータプライバシーに対する取り組みについては、Cloudflareブログの最新情報をご覧ください。