公正な情報慣行原則(FIPPs)は、データプライバシーに関する一連の原則で、現在多くの組織が従っています。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
公正な情報慣行(FIP)は、データの使用、収集、およびプライバシーに関する8つの原則から成り、公正な情報慣行原則(FIPPs)とも呼ばれています。1980年に経済協力開発機構(OECD)が発表したもので、多くの国が原則的に合意しています。
正式には個人情報保護法の一部ではありませんが、この原則は現在でも重要性が高く、影響力を持っており、多くの組織が個人データを取り扱う際の指針として利用しています。FIPPsに記載されている原則のいくつかは、 EU一般データ保護規則(GDPR) や カリフォルニア州消費者プライバシー法(CCPA) などの重要なプライバシーフレームワークにも含まれています。
公正な情報慣行には、次の8つの原則があります。
現在のFIPPsは、1973年に米国保健教育福祉省の諮問委員会が提案した提言に基づいたものです。同委員会の報告書では、「記録保持における相互性の概念に基づいて個人のプライバシーを保護するためには、記録保持機関が公正な情報慣行の特定の基本原則を遵守することが必要である」と記載されています。その上で、データ保護に関するいくつかの原則が記述されています。
1980年、OECDはこれらの提言を拡大し、上記の8つのFIPPsに分けました。それ以来、FIPPsは、特に米国で何度も参照されてきました。現在もデータプライバシーやデータ保護のガイドラインの重要な部分を占めています。
FIPPsは、公的または法的な要求事項の一部ではありません。しかし、これらはいくつかの異なるプライバシーガイドラインの基礎となっています。また、他の公式なプライバシーフレームワークで広く受け入れられている多くのプライバシー原則からも反映されています。
例えば、FIPPsの「個人参加の原則」(No.7)では、人々が持つべき権利が多く挙げられています。CCPAは、これらの権利の一部を法制化しました。その中には、「知る権利」が含まれており、FIPPsの個人参加の原則のパート a) および b) で説明されているものとよく似ています。また、GDPRにある「消去の権利」は、FIPPsの個人参加の原則のパート d) に記載されている「データを消去させる」ことが出来る部分に似ています。
別の例として、FIPPsの「データ内容の原則」には、GDPRに対応するものがあります。第5条では、個人データは「正確であり、必要な場合には制裁真に保たれなければならない。不正確な個人データが確実に、遅滞なく消去または訂正されるように、あらゆる合理的な手段が講じられなければならない。」ことが求められています。
注意すべき重要な点は、これらのプライバシーフレームワークは、その記述や要件がFIPPsと完全に一致するわけではないということです。GDPRやCCPAなどの個人情報保護法を遵守したい企業は、FIPPsだけではなく、それらの特定の法律の要件に従っていることを確認する必要があります。
Cloudflareの全従業員には、GDPRやその他の重要なデータ保護法に加えて、公正な情報慣行を紹介するデータ保護トレーニングを受けることが義務付けられています。また、Cloudflareは、ユーザーのプライバシーを強化するために多くの製品(一部無料)をリリースしています。これらの製品には以下のものがあります。
Cloudflareのデータプライバシーに対する取り組みについては、Cloudflareブログの最新情報をご覧ください。