企業法務マンサバイバル

ビジネス法務に関する本・トピックのご紹介を通して、サバイバルな時代を生きる皆様に貢献するブログ。

【速報】米国ホワイトハウスが「消費者プライバシー権法」案をリリース

 
日本のパーソナルデータ法制の行く末を、また大きく変えそうなものが出てきました。米国ホワイトハウスによる「消費者プライバシー権法(CONSUMER PRIVACY BILL OF RIGHTS ACT)」案です。


CONSUMER PRIVACY BILL OF RIGHTS ACT(ADMINISTRATION DISCUSSION DRAFT)

CPBR


内容をざっくり読んで要約すると以下のような感じ。法案に記載の順に、特に気になる部分を中心に抽出してみました。
速報につきスピードを優先しましたので、間違いあればご指摘いただけるとありがたいです。

・定義の明確化(SEC. 4. Definitions)
「パーソナルデータ」「非識別化データ」「パーソナルデータ取扱事業者」「取得」「コントロール手段」「削除」「コンテクスト」等の言葉の定義を明確化

・透明性の担保(SEC. 101. Transparency)
パーソナルデータの取扱い方針および実践内容について、わかりやすい説明とタイミングで明示・通知をする義務を設定

・消費者の情報コントロール権(SEC. 102. Individual Control)
消費者にパーソナルデータへのアクセス手段を提供し、消費者の請求から45日以内の同意撤回権・削除権を与え、利用目的を変更する際には明示的同意の再取得(オプトイン)を義務とする等、消費者に合理的な範囲での情報コントロール権を持たせる

・コンテクストの尊重(SEC. 103. Respect for Context)
コンテクストに沿わないパーソナルデータの分析利用については、第三者機関としてのFTCによる監査・承認が得られた場合に限り可能とする

・明確な取得と責任のある利用(SEC. 104. Focused Collection and Responsible Use)
利用し終わったパーソナルデータについては、合理的な期間内に削除、廃棄、非識別化

・セキュリティの確保(SEC. 105. Security)
内外のリスク分析を行った上で情報セキュリティを確保し、プライバシーアセスメントを定期的に実施する

・アクセス権と正確性(SEC. 106. Access and Accuracy)
SEC. 102記載の権利の具体的手段の提供

・説明責任(SEC. 107. Accountability)
従業員教育等、体制の構築、パーソナルデータ取扱関係者との契約の締結義務等

・執行力の担保(SEC. 201. Enforcement by the Federal Trade Commission)
州検事総長・FTCによる訴追権、課徴金を設定

・自主規制によるセーフハーバールール(SEC. 301. Safe Harbor Through Enforceable Codes of Conduct)
自主規制としての“Codes of Conduct”を作成しFTC承認等を得ることで、本法の一部適用除外を受けることも可能とする


米国メディアも蜂の巣をつついたような状態ですが、法案を評価する声と懸念の声に分かれているようです。主だったところのリンクを貼っておきます。

Here’s a draft of the consumer privacy “Bill of Rights” act Obama wants to pass(Gigaom)

White House Drops ‘Consumer Privacy Bill Of Rights Act’ Draft(Tech Crunch)

White House Proposes Broad Consumer Data Privacy Bill(The New York Times)

The White House’s draft of a consumer privacy bill is out — and even the FTC is worried(The Washington Post)

Proposed privacy bill protects industry more than it does people(Engadget)


マイクロソフトは早くも、同法案を評価する旨の声明をCPO名義で出していました。

White House proposal elevates privacy, transparency discussion(Microsoft)


私の感想としては、パーソナルデータの定義が明確化されるところや、連邦法が出来ることによってマイナーな州法の乱立が避けられるだろう点は評価したいところです。ただ正直なところ、個人の情報コントロール権がこのような形ではっきり書かれるとは、まったくの予想外でした。
一方で、上記リンクの米国内報道でも指摘があるとおり、自主規制(Codes of Conduct)によるセーフハーバールールが企業にとっての「対抗策」(メディアによっては“抜け穴”と評されている)として残されてもいるようですので、そこについては検証を深めなければと思います。


それにしても、日本のパーソナルデータ法制の立法事務局は、こういう米国の動きをきちんと察知できていたのでしょうか。直近の報道などを見ていると、どうもそのようには思えず、そしてまたこの法案を見て右往左往し議論が振り出しに戻るのかと思うと、頭が痛くなってきます。
 

【雑誌】『現代消費者法 No.25』― アプリビジネスにおけるプラットフォーマーの優越的地位濫用

 
民事法研究会から刊行されている専門誌『現代消費者法 NO.25』で、スマートフォンをめぐる諸問題が特集されていました。





2年縛り契約、SIMロック、広告における不当表示、未成年による決済問題と、既に他所でも語り尽くされた論点が並ぶ中で、森亮二先生が、アプリビジネスに携わる事業者なら誰もが知っているが甘受している「あの問題」について、新しい法的論点として触れていらっしゃいます。

s-IMG_4595

優越的地位の濫用の問題は、アプリマーケットプレイスにおいてより顕著である。
実のところ、アプリマーケットプレイスの中には、ユーザーから返金要求があると、店舗であるアプリ提供者に通知することなく、簡単に返金に応じるところがある。しかもその際にアプリマーケットプレイスとしての取り分(以下、「コミッション」という)をアプリ提供者に返金することはしない。たとえば、あるユーザーが100円のアプリを買ったとして、アプリマーケットプレイスのコミッションは30円、アプリ提供者の収益は差し引き70円である場合、このユーザーから返金請求を受けるとアプリマーケットプレイスは100円全額をユーザーに返金する。しかし自分のコミッションの30円をアプリ提供者に返すことはしない。
アプリマーケットプレイスはモールよりもなお、アプリの流通経路として独占的な地位を占めている場合があり、優越的地位濫用の問題は、モールよりもはるかに深刻なものであると考えられる。

おそらく、この問題について法律家が真正面から論稿として取り上げたのは、これが初めてなのではないでしょうか。


アプリビジネスは、スマートフォン端末とそれを支えるOS、マーケットプレイス、決済システムによって成り立っています。それらを構築するプラットフォーマー(Apple、Google、Amazon)は、エンドユーザー(消費者)との接点に関し、端末・ソフトウェア・決済手段のすべての面から完全に支配しており、もう一方の取引参加者であるアプリ提供者は、そういったプラットフォーマーの支配に服しながら取引に参加するという、弱い立場にならざるを得ない構造となっています。このような中で、アプリサービスにおける消費者問題は、
1)広告等表示の責任(景品表示法・特定商取引法・消費者契約法)
2)前払式支払手段の販売・管理責任(資金決済法)
3)個人情報の取扱い責任(個人情報保護法)
といった部分にも、だんだんと広がりをみせています。

これまでの考え方によれば、単純に「インターネットモールとテナントの関係に準じるもの」として、消費者問題への対応責任はアプリ提供者がすべて負うのである、という風に片付けられてきたように思いますが、森先生の指摘にもあるとおり、プラットフォームの態様によっては、このような考え方が見直されるべき点も出てくるのではないかと考えます。
 

個人情報の定義の明確化はどのように行うべきか

 
2014年末に出された骨子(案)をベースに、各消費者団体・業界団体・行政間での水面下の調整が行われていた個人情報・パーソナルデータ論議の嵐も、政府与党から「個人情報保護法改正に関する提言」が出されたこともあって、この2月半ばになってようやくおさまってきた感じがします。


個人情報保護法とマイナンバー法改正案の概要を公表、マイナンバー等分科会(ITpro)
IT総合戦略本部のマイナンバー等分科会は2015年2月16日、開会中の通常国会に提出する個人情報保護法と行政手続き番号法(マイナンバー制度)の改正案の概要を公表した。個人情報保護法改正では「個人情報の定義の拡充」や「利用目的の制限の緩和」という文言が消え、マイナンバー制度では預貯金口座への付番や医療分野での利用範囲の拡大などを盛り込む。

個人情報保護法改正案の概要では、2014年12月のパーソナルデータ検討会で示された骨子案の「個人情報の定義の拡充」が、「個人情報の定義の明確化(身体的特徴や個人に発行される符号などが該当)」となった。

ソースはこちらですね。

個⼈情報の保護に関する法律 及び ⾏政⼿続における特定の個⼈を識別するための番号の利⽤等に関する法律の⼀部を改正する法律案(概要)

s-mynumbertoubunkakai


数年後にEUの十分性認定を取ろうとするには、4の個人情報保護委員会の権限が弱すぎるのでは・・・という将来への懸念もありますが、目先の立法論として残る大きな論点としては1の「個人情報の定義の明確化」がどのようになされるのか、という点に絞られてきたように思います。

この点につき、個人情報の定義は広げないとする報道が散見されるものの、報道後とあるご高名な先生を囲んだ勉強会で伺ったところでは、
  • 具体的な定義は保護法本体に書かれるのではなく、政令に委任される
  • その政令の定義の粒度としては、身体的特徴=「指紋データ」や個人に発行される符号=「パスポート番号」のほか、「携帯電話番号」が列挙される程度には具体的なものになる
というのが事務局サイドの風向きらしいとのこと。ところがこの点、冒頭でもご紹介した政府与党「個人情報保護法改正に関する提言」では、

4. 個人情報の定義(範囲)の拡大は行わないこと。現状においては、個人情報か否かを明確に線引きすることが困難であり、新たなグレーゾーンと萎縮効果を拡大しかねないものである。他方、個人情報とは言えないものの、メールアドレスや携帯電話番号のように、それ単体が本人の意思に反して提供・流通することにより、個人のプライバシーへの影響が小さくないものがあることから、委員会が規定するこのような情報の第三者提供ついては、取扱事業者が自主ルールを定めるなどの対応とすること。

と、メールアドレスや携帯電話番号は「(それ単体では)個人情報とは言えない」「自主ルールで対応」とする立場ですから、まだまだ見解の相違と調整の必要がありそう。


このような中で、改正保護法+政令で個人情報として列挙するもの/しないもののボーダーラインをどういう基準で仕切るべきか?内閣府の方もいまごろ頭を悩ませている部分だと思います。たとえば、事務局案と政府与党提言とで取り扱いが食い違う「携帯電話番号」ひとつにしても、これを個人情報として政令に明記することは、市民感情としては理解できなくもありませんが、一抹の不安と違和感を感じています。この違和感はどこからきているのかを探るべく、今の私の頭の中の基準を表してみたものが、以下のマトリックスです。

変更困難性 × 容易照合性マトリックス

henkoukonnan_youisyougou


以前「識別・特定 × 容易照合性マトリックス」というのを書いてツッコミを多数頂いたにもかかわらず、また懲りずに同じようなものを作ってしまいました。容易照合性のヨコ軸はそのままに、当該情報と特定個人との紐付きの強さ/切り離しやすさをボーダーラインの一つの基準にしてみてはどうかというアイデアです。列挙している情報項目は、骨子(案)等で例示されていたものから拾ってみました。

生体情報は逆立ちしても変更しようがないので、トッププライオリティになるのは異論がないところでしょう。これに対して、行政から付与される番号なんかは、手続きとコストさえ踏めば変更できるようにすればいいのにという気がします。また、争点の携帯電話番号などは、2年に一度の機種変更のタイミングを少し前倒してついでにMNPもお断りすれば変更できる情報、という見方もできるかもしれません。このように、特定個人との紐付きが解除可能なものについて、どこまで個人情報として法で保護すべきか、という問いになります。
 

そういえば勉強会では、「いちばん大事な部分を法律に定めずに政令に委任してしまうのは、憲法上問題ないのか?」という議論もありました。私は、ある程度のフレキシビリティを法令に持たせるためにその一部を政令に委任するのはしょうがないにしても、保護法の条文上に、政令委任にあたっての考え方・趣旨・委任の範囲を限定する文言は入れていただく必要はあるんじゃないかな、と思います。
 
記事検索
プロフィール
月別アーカイブ
Google
  • ライブドアブログ