信頼できる著者らによって執筆されてはいても、目次が引きにくく、また索引すらなかった『個人情報保護法コンメンタール』が出てから3年。

その欠点を解消したうえで、令和3年改正による条ズレの反映、個情委ガイドラインの加筆修正内容を含め、最新論点を網羅した同法概説書の決定版がようやく出版されました。






本書の特徴は、既存の法解釈やガイドライン記載事項の整理・体系化にとどまらず、数度の改正を経てもなお残る個人情報保護法の課題について、「今後はきっとこうなっていく」という見立てを、著者らが弁護士としてサポートする企業の立場から積極的かつ大胆に述べてくれている点にあります。

私自身がパブリック・アフェアーズという職務に携わっていることもあって、法律書を読む際は「これはまだ成熟してない論点だな」と思った箇所には紫の付せんを貼りながら特に注目して読むのですが、本書はそうした未成熟論点を取り上げている量・頻度が他書と比較して顕著に多かった印象です。



試しに、私が読みながらピックアップした点をいくつか箇条書きしてみると

• ワクチン接種歴の要配慮個人情報該当性（P75）
• クッキーの取得と法21条2項適用（P172）
• AI採用・AI人事評価と保有個人データの「正確・最新性」確保（P180）
• 実態としては委託であるが提供の根拠は本人同意である場合の、監督義務発生の有無（P255）
• 第三者提供規制違反は漏えい等報告の対象に含まれるか（P269）
• ログイン後のページに漏えい報告の表示をすることは通知と言えるか（P305）
• SaaSのようなアプリレイヤーを含むサービスでもクラウド例外は適用されうるか（P321）

全900ページ弱にわたる本書の冒頭1/3までに限ってもこれだけ興味深い論点に正面から切り込み、そのそれぞれについて結論を曖昧にしたり誤魔化したりせず、企業の実務を知り尽くした筆者らの立場から見解を一旦述べてくれている点は、とても頼もしく感じられました。

このように紹介すると、ややもすると企業に都合の良さそうな見解ばかりを主張する、バランスを欠いた危なっかしい書籍なのでは？と心配される向きもあるかもしれません。著者らはそうした批判に備えてか、本書の元となるNBLの連載全16回の原稿執筆段階において、各回2時間ずつ監修者として名を連ねる宍戸常寿先生とのディスカッションを重ねていていたそうです。そこで宍戸先生から著者らに呈された問題意識や論点の要旨については、「研究者と実務家の対話」と題し、本文とは独立した形で巻末に収録されています。



条文解説に加えこのような実務見解まで含めた900ページ弱の概説書となると、上級者がピンポイントに分からないことを調べるために辞書的に活用する書籍というイメージを持たれるかもしれません。もちろんそうしたニーズにも十分対応できますが、本書は本格的な概説書にもかかわらず、文章の流れが良く読みやすさにも骨が砕かれている印象です。初学者が中途半端な入門書を何冊も乱読した結果混乱に陥るぐらいなら、間違いのない本書一冊に絞ってじっくりと取り組んだ方が早くマスターできるのでは？というのは言い過ぎでしょうか（いや、決して言い過ぎではない）。

9,000円（税別）というお値段も、ズバリ私が『個人情報保護法コンメンタール』の感想でせめてこれぐらいの値段だったらいいのに〜とつぶやいていた理想価格そのもの。法律書の中では結構高いじゃない、とおっしゃる方もいらっしゃるかもしれませんが、本書に関しては会社購入にとどめず、個人用として購入しいつでも手に取れるようにしておく価値が十分にある、そう断言させていただきます。

初版から11年、第2版にあたる改訂新版から5年。「そろそろ情報古くない？」と後ろ指を刺される頻度も年々増していく中、雨宮美季先生・片岡玄一さんと私3人の共著『良いウェブサービスを支える「利用規約」の作り方 【改訂第3版】』を出版することができました。

改訂新版をリリースした際も「全面的にアップデート」と胸を張っていた記憶がありますが、今回の改訂はあのとき以上に「アップグレード」しています。



対象読者に求められる法律知識が高度になった

アップグレードの理由の1つが、対象読者層のレベルの変化です。本書が想定する読者は、エンジニア・スタートアップ経営者なのですが、法律専門家ではないはずの彼ら・彼女らに求められる法律知識のレベルが、11年前・5年前とは比べものにならないほど高くなったことを感じています。

具体例を挙げてみましょう。前版までは、プライバシーポリシーを作るための知識としての個人情報保護法を解説するにあたり、「個人情報」が条文上どう定義されているかまで厳密には解説をしていませんでした。当時の対象読者層には、そこまでの知識は不要との考えからです。しかし、デジタル社会化が進んだ現代では、個人データが数珠繋ぎにデータベース間で連結され、それを事業者が悪用もしくは不意に目的外利用するリスクについて、ユーザー側の理解度や警戒心は年々高まり続けています。商売上様々なパーソナルデータを扱うウェブサービス事業者自身が、自ら規制や法令を深く理解する必要性から、もう逃げられなくなったのです。

その法的リスクの範囲や影響の大きさを正確に理解し、ウェブサービス事業者としてあるべきプライバシーポリシーを自分の力で考えられるようになるためには、法律家が使うテクニカルターム（専門用語）である「容易照合性」や「提供元基準」といった考え方も、責任ある当事者の新常識として理解していただかなければならないだろう。そんな思いで、第3版では詳細に踏み込んだ解説を増やしました。



ウェブサービスの課金モデルが変わった

11年前、そして5年前と大きく変わった点がもう一つあります。それは、「無料のウェブサービス」がもはや古いものとなり、有料課金が当たり前になった点です。

かつてウェブサービスは「広告モデル」「フリーミアム」が前提にありました。お客様には基本無料でサービスを使ってもらい、法的責任だけ「一切責任を負わない」免責文言で最大限に免除しておきさえすれば、儲けや永続性は後で考えればいいだろうという牧歌的な時代だったと言えます。本書のひな形文書の各条文も、そうしたビジネスモデルを前提としていました。しかし競争は激化し、ユーザーの目は肥え、無料だからといって使ってもらえる時代は終わり、本当に価値があればお金を払うことも厭わなくなりました。皆様もご存知の、いわゆる有料サブスク・SaaSモデルの登場です。その代わりに、事業者が負うべき責任はユーザーから厳しく追求される時代になりました。

これに対応するため、有料サービスを継続していく上でのトラブル発生ポイントや、それを回避するための規約の作り方（とその限界）、特定商取引法に基づく表示の見直しなど、第2版ひな形との連続性は意識しながらもアップグレードを図っています。



AIの影響を無視できなくなった

初版から望外の評価をいただき、書籍のオビにも「ロングセラー」と銘打っていただけるようになった要因の一つが、法律実務書のセオリーを無視したユニークな章立てにあると思います。

1章では、ウェブサービスに携わる誰もが知っていてほしい、最低限レベルの法律知識のラインと心構えを
2章では、起業家が弁護士にビジネス相談する会話内容をフックに、より実戦的であるあるな頻出法的リスクの各論解説を
3章では、具体的な規約ひな形をベースに、各条文の文言のウラに込められた真の狙いや法的背景を

本書は、これら各章が相互に・有機的にリンクするように工夫した構成となっています。それだけに、どこかの記述をイジれば、そこに紐づいた参照先も直さなければならなくなる大工事が発生してしまいます。

しかし、これからの時代のウェブサービスに対応した書籍とするために、起業家による弁護士へのビジネス相談シーンに「生成AI」の論点を盛り込むのは絶対必要。すると、2章の解説に追加・変更が発生するだけでなく、AIリスクを踏まえたひな形の書きぶりも、そのひな形にリンクする1章・3章の解説も書き換えとなるわけです。そんなわけで、気づけば5年間の法改正に対応するアップデートの域を超えて、ほぼ全面書き換えと言っても過言ではない作業量でのアップグレード版となりました。



ひな形英訳バージョンの掲載を削ったにもかかわらず、このような著者らのこだわりが暴走し、全体では前版から50ページも増量という結果に。それにもかかわらず、出版社である技術評論社様には、初版から伴走し続けてくださっている傳さんに、新しく編集担当として藤本さんも加わり緻密な校正とリニューアルをお手伝いいただきまして、予定通り桜のシーズン到来に間に合わせることができました。

この『良いウェブサービスを支える「利用規約」の作り方【改訂第3版】』が、新しいビジネスの創造にチャレンジしようとされる皆様のお役に立てれば幸いです。　






2024年2月19日追記：

発売までまだ数日ありますが、紀伊國屋新宿本店の5階で先行テスト販売されています。自分自身の目で現場を確認してまいりました。



私は未確認の情報ですが、Xのポストによれば池袋ジュンク堂でも同様に先行販売があるようです。もしお急ぎの方がいらっしゃればぜひこちらでお求めください。　

　
園部=藤原『個人情報保護法の解説≪第二次改訂版≫』の上位互換であり、実務にもそのまま活用できる最強のコンメンタール（逐条解説本）が出ました。

立体的な逐条&比較法解説

本書は、日本の個人情報保護法について逐条で

1 目的・趣旨
2 各文言の解説
3 違反の効果
4 改正の背景
5 関連する裁判例
6 課題

が述べられたその直後に、その条文ごとに

7 EU（GDPR）における対応条文解説
8 US（HIPAA・GLBA・FCRA・CCPA）における対応条文解説

を追記する構成となっています。

本書は、2014年暮に企画され、出版に至るまで6年以上の歳月を要した（はしがきより）

本書オビに「立体的な」コンメンタールとの宣伝文句があるのは、個人情報保護法とは大きく異なる構造から成る外国法を、日本の条文構造に合わせて分解し整理した点を指しているようです。実際、3カ国の法令を跨ぐこの作業を行なった文献は見たことがなく、相当に骨が折れるものだったと想像します。

要所を締める詳細な実務解説

立法経緯、裁判例、法改正の契機となった事件が無駄なく綺麗に整理されていることに加えて、企業で実務に携わればすぐにでも遭遇するであろう以下のような個別具体的かつ現代的な課題にも直接応えてくれます。このような記述は、立案担当者だけで書かかれた本では期待できません。

・捜査関係事項照会・弁護士照会に対する応答義務
・クラウドサービスと海外への保有個人データ移転の衝突
・DMP・プロファイリングとクッキー規制

加えて、個人情報保護法の理解を困難にさせている（させてきた）背景に対する詳細な言及が要所要所にあるのも、本書を推奨する理由です。

情報法制研究の第一人者である石井・曽我部・成原先生らの貢献ももちろん大ですが、特に実務家側から森・鶴巻・板倉先生らが執筆されているパートにおいて、舌鋒鋭い批判が繰り広げられており、この特徴がよく表れています。

個人関連情報の追加であらわになった、過度な「提供元基準」信奉への批判：

提供元基準説は、提供元で個人データであるが、提供先で個人データでないものについて法23条の適用の適否を判断する場面であるのに対し、本条【注:23条の2】の想定する場面はそもそも提供元では個人データでないため、提供元基準説の想定する事案とは場面が異なる。
そもそも、提供先においてはじめて個人データとなるような情報の提供は、もともと個人データであるものの提供と、権利侵害のおそれの点では全く変わるところがない。従って、提供先で個人データとなる個人関連情報の提供は、従来から法23条の規制に服するべきものであったのであり、その意味で本条は、創設的な規定ではなく確認的な規定と解すべきである。（P440）

「自己情報コントロール権」誤認拡大の原因ともなった裁判規範性肯定（宇賀）説に対する批判：

宇賀教授は平成27年改正前旧法においては、裁判規範性肯定説の帰結として、利用目的の通知についても裁判上の請求ができると述べていた（略）ところが、前述の通り、平成27年改正においては利用目的の通知について何らの改正がなされていないにもかかわらず、本人に裁判規範性のある請求権が認められるか否かについての結論が平成27年改正の前後において異なるということからすると、平成27年改正を機に裁判規範性肯定説から否定説に転じた可能性がある。（P464）

匿名加工情報の作成の方法に関する基準を定めた施行規則19条3号の条文構造に対する批判：

文言解釈は困難である。（P679）

本書購入を躊躇させる事情も否定できないがやはりmust have

難点を言えば、索引がないことに加え、目次もほぼ意味をなしていない点です。コンメンタールなのだから索引は不要だという意見はまだわかるにしても、せめて目次は小見出しのレイヤーまで掲載していただかないと、関係する条文を記憶していない限り情報が探せないという事態になります。



さらに、今国会で成立が見込まれる令和3年改正により、条文番号が定義規定も含めて総入れ替えになることが確定している点が挙げられます。本書においては条文番号だけが検索性の頼りなのに…。こうなると、改正前／後の条文の対応を脳内変換できるようにしておくしかなくなります。

最後に値段です。1,000ページを超える本書は税抜12,000円。このページ数となった原因の一つが、ページの上下部の余白が妙に大きい点です。ここを数行ずつ詰めていけば、800ページ税抜9,000円ぐらいで販売していただくことも可能だったのではと。

これらを知ってしまうと、購入を躊躇される方もいるかもしれませんが、これだけの著者が関わった大著であり、また日本の個人情報保護法・EUのGDPR・米国プライバシー法の改正がひと段落した事情に鑑みれば、毎年毎年改訂されることは考えにくいでしょう。

何より、今日・明日個人情報保護法に関わらないビジネスは皆無であり、これまで最も信頼されていた園部=藤原本を遥かに凌駕する内容という点からも、企業法務パーソン全員が一冊手元に常備しておくべき文献であることは間違いありません。
　

　
本日の日経新聞5面の特集「データの世紀」のプライバシー規約のわかりやすさに関する記事に、「規約作りの専門家、橋詰卓司氏」として取り上げていただきました。





ユーザーにとって良い利用規約・良いプライバシーポリシーとはどんなものか？という問いに答えるのは難しいことです。そんな中、この日経新聞の連載「データの世紀」を担当されている平本信敬記者から、評価基準をいかに構成すべきかの検討に関し協力依頼をいただき、微力ながらお手伝いした形になります。





見出しにある「外国企業すごい」という結論ありきの記事なのではと受け取られるかもしれませんが、あくまで、自然言語としてのわかりやすさ・読みやすさを判定するプログラムに調整を入れていただき、文字通り機械的に出力された結果に基づいたものとなります。


記事に現れていない部分で私の考えを補足するとすれば、規約の言語としてのわかりやすさもさることながら、

・同意の強制スタンス
・自己情報の把握・持ち出しへの対応

などの点で、多数のユーザーを対等な契約の相手方と捉えているか否かが、近年の各社の規約・プラポリの変更内容に現れはじめているように思いました。


仕事でさまざまなメディアの記者の方々とやりとりをさせていただくと、記事としてたどりつきたい結論をサポートする専門家の言質を取りたいだけの方も多い中、最近の日経新聞の真摯な取材姿勢には目を見張るものがあります。
　

Google、Apple、Facebook、Amazon...と、米国産まれのウェブサービスを毎日利用しているにもかかわらず、プライバシー法のこととなるとFTC3要件やCOPPAの上っ面ぐらいしか分かっていない、そんな私のような者のために翻訳していただいたような本。





米国プライバシー法については、ダニエル・ソロブのシリーズを読んだ後、ロースクール向けに書かれたテキストを一応は手に取りました。しかし実務からの距離は遠く、漫然と判例を読んでいても頭に入ってこずで、ずっと学習法に困っていました。加えて、EUでGDPRが本決まりになって以降のプライバシーの潮流は、ソロブが予測していたものからは大きく外れ、自分自身の学習の軌道修正の必要性も感じはじめていたところでした。

本書は、FTC（連邦取引委員会）によるプライバシー政策施行のタイムラインに沿って、米国におけるプライバシー法の発展の歴史と現状の課題を整理し概説する本です。したがって、1980年代後半の、FTCがプライバシーを消費者保護の問題として大きく捉えることになってからの歴史を中心としています。これは、日本で出版される米国プライバシー法に関する多くの書籍・論稿が、プライバシー権の起源となったウォーレン＆ブランダイス論文以降のプライバシー近代史について語ることをしない（できていない）のとは対照的です。学説の紹介に終わらず、ビジネスへの当てはめによってどのようなハレーションが起きてきたのか、そんな観点を強く意識して書かれています。


また、最終章にあたる6章では、「プライバシーの国際的取組み」と題し、最近のEUが掲げるプライバシー政策に触れた上で、EU法と米国法との衝突にも触れます。


なんといっても本書の特徴はズバリ、「歯に衣着せぬ物言い」と言ってよいでしょう。たとえば、最近特に逆風が強まってきたアドテク業界（特にFacebookのようなプラットフォーマーや、DMPなど）が「情報ブローカー」化していることに対しての一言がこちら。

情報ブローカーを規制するための法律は，政治的に制定不可能である．その理由の一端は，非常に多くの大企業が——そして，政治家自身が——，国民に関するデータを蓄積するため，情報ブローカーを利用している，という事実に求められる．（P4）

ついでこちらは、児童オンラインプライバシー保護法、通称COPPAの運用実態についての一言。

個人に関する情報に関して非営利的な内部利用に関してまで，「Eメールとは何か」という形での同意をとることで同意要件を満たすというFTCの許容度は，なかなか厳しいものがある．結果として，サイトはCOPPAの要件をすべて取り込むか，または全く子どもたちがサービスを利用していないというフリをするかのどちらかとなってしまっている．（P97）

ここまで本当のコトを文字にしてしまってよかったんでしょうか（笑）と、読んでいるこちらが後ずさりをしてしまうほど。他の法律書ではオブラートに包まれた、厳格な法令をビジネスにおける実務に当てはめたときに感じる「虚しさ」について、ここまでズバズバと言及してしまう本は、日本の法律書でもなかなかお目にかかることはできません。

翻訳は、今年『EU一般データ保護規則』を出版されたばかりの宮下紘先生、日本の個人情報保護法にも精通する板倉陽一郎先生、成原慧先生らが担当されています。非常に読みやすく翻訳されているだけでなく、訳者解説として（本書では省かれた）原著Part1〜3までの要旨を巻末にまとめてくださるなど、丁寧なお仕事をしていただいたのが分かります。

連邦法ベースの解説であり、最近話題になったカリフォルニア州の新オンラインプライバシー法（CALOPPA）などの州法までをフォローするものではありませんが、米国のプライバシー法の歴史を概観してこれからを予測するのに、大変便利な一冊です。
　

　
プライバシー法の研究者として、近年は「忘れられる権利」に関する発信や著作でも目立っていらっしゃった宮下紘先生による、「額に汗」の結晶ともいうべき一冊。





このタイミングで、EU・米国・日本のプライバシー法に詳しい専門家によるGDPRの日本語訳と逐条解説が読めるというだけでもありがたいわけですが、本書の見どころは、これまでに発生したEU各国におけるプライバシー紛争の判決やガイドライン等が徹底的に集められている点にこそあります

GDPRには、約20年にわたり積み重ねられてきたEUデータ保護指令における経験が反映されている。GDPR適用後も、従来通りに個人データの実務を行うに過ぎず、特に国内に大きな変化が生じるわけではないとドイツの専門家がしばしば口にするのはそのことを示している。GDPRを理解し、これに対応するためには、単にGDPRの条文を見るだけでなく、20年間以上にわたり蓄積されたEUと加盟国のデータ保護の実務も同時に理解する必要があろう。（P380-381）

あとがきでもこのように述べられているように、逐条解説部分ではGDPRの翻訳とポイントを適示するにとどめるなど著者独自の解釈は控えめに、



各条文ごとに、EUデータ保護指令時代からの各国での法令、判決、ガイドラインでの言及等が、著者の手によって細やかに収集されています。



上記の同意の条件に関する部分の他にも、何を読んでも抽象的な記述にとどまり要件がはっきりしないDPO選任における専門性要件の水準について、

• ハンガリー　「情報決定権および情報公開に関する法律」第24条
• ルクセンブルク　「個人データの処理に係る個人の保護に関する法律」第40条7項、9項

といったところまで収集し、その基準の参考情報を示してくださっています。ここまで網羅している文献は本書以外には見当たりません。

これまで出版されたGDPR本は、情報の取得→利用→管理→漏洩対応といった企業における実務フローに沿ってGDPRを解説する文献がほとんどでした。これはビジネスを組み立てていくフェーズや各論で緊急を要する場合には大変役に立つものです。一方で、具体的な法的イシューについて深く検討する際のデータベースとしての情報の検索性や網羅性という観点では、やはり本書のような逐条で整理された書籍に軍配が上がります。

言うなればGDPR版の判例六法プロフェッショナル＆コンメンタールであり、結果的にEUプライバシー法全体のリファレンスブックにもなっている本書。GDPRが適用されない限定的な事業を行っている企業に在籍していたとしても、プライバシーに関わる業務を担う法務パーソンには欠かせない一冊となるでしょう。


それにしても、翻訳書を含めた憲法・プライバシー分野の刊行物では、勁草書房さんのご活躍がずば抜けて目立っているように思います。インターネット分野で長年飯を食うものとして大いに助けていただいており、感謝しきりです。
　

インターネットイニシアティブ（IIJ）のコンサルタントお二方の執筆によるGDPR解説書が出版されました。





本書の特徴は、今企業で行なわれている実務を図や表で整理・例示しながら、「こういう場面のこうした業務でこうした目的での情報処理を行う場合は、GDPR第◯条の規制を受けますよ」と解説してくれる、実務ベースからのアプローチにあります。



法律を体系的に学ぶことが好きな方にはあまり好まれないアプローチかと思います。この方法ですとどうしても条文に正確な理解には遠回りで、抜け漏れも発生しがちだからです。一方で、まだまだGDPRに関する対応の現状を見ていると、自社がGDPRに対応する必要があるのか、あるとしてどの程度の業務影響があるのかを把握したいという段階の読者の方が多いはずです。

その証拠がこれ。先日、トレンドマイクロから「GDPRを十分に理解しているビジネスパーソンは、法務部門責任者でさえ10%を切る」という衝撃的なアンケート（EU一般データ保護規則（GDPR）対応に関する実態調査）結果が公表されました。日本の法律ではないものに対して騒ぎすぎ・反応しすぎも良くないのですが、とはいえここまで関心が低かったのかと驚いたのも事実です。



こうしたフェーズにいる多くの方にとっては、抽象的な条文の解釈論を深く解説されるより、具体的なビジネスシーンや行動に当てはめた解説をしてもらったほうが実感が湧きやすく、なんとなく分かった気になるよりはよっぽどマシでしょう。



著者の立場上、特に後半のまとめに近づくにつれて、IIJのGDPRコンサルティングサービスに誘導しようという思惑がどうしても見えてしまうところはあります。その分を割り引いても、コンサルタントらしいビジネスパーソンに刺さるプレゼンテーションでの解説は、すでに弊ブログでもご紹介済みの法律家の手によるGDPR本2冊を補完するものとして、価格相応の価値はあると感じました。また、「十分に理解している10%」の方にとっても、社内で行うことになるであろうGDPR研修のネタ本として利用されるとよいのでは。


先程紹介のアンケートにもあるとおり、GDPRについてはこれだけ長い準備期間があったはずにもかかわらず、昨年の個人情報保護法施行対応にもかき消され、結果、情報も不足気味という印象があります。本書のようなわかりやすい当てはめを伴った解説や情報が少なく、危機感を煽られなかったのも、その原因の一つかもしれません。弁護士の先生方にとってもそれは同様のようで、クライアントからのGDPR対応相談は増えたが回答は見合わせている、とおっしゃる法律事務所は少なくありません。

いよいよ、施行日である2018年5月25日が到来するわけですが、中小・ベンチャーの経営者・法務担当者としては、先行する大企業の実際の対応ぶりを見て学び、こうした書籍で知識を肉付けしながらキャッチアップしていくほかなさそうです。

　
GDPR施行1カ月前にして、ようやく、条文の解説や要約・ポイント解説にとどまらない、実務レベルで役立つ文献が公刊されました。





「GDPR」というキーワードに引っかかる書籍、専門誌記事、ネット記事等は一度は目を通すようにしていましたが、

• GDPRの条文の組み立てに沿って逐条解説またはその要約をしたもの
• GDPR施行後の制裁リスクが高いポイントに絞って実務対応をピンポイントで指南するもの

この２つのいずれかだったと思います。昨年ご紹介した『日米欧 個人情報保護・データプロテクションの国際実務』は前者にあたりますし、「ビジネス法務」「ビジネスロー・ジャーナル」などの解説記事はほとんどが後者にあたります。

一方本書は、企業目線での疑問や不安に対するQ&Aという形で情報を整理し、各条文・ガイドラインをまたがった理解・解釈が求められるポイントについて、横断的に目配りを利かせたアドバイスを提供する本となっています。



過去何度か、Q&A形式の書籍に対する批判的なコメントをした自覚がありますが、本書については、著者が述べたい・述べることができるAnswerを書くためにしらじらしいQuestionを立てるといったことがなく、本当にGDPRを知らない企業が思いつくであろうQを思いつくであろう順に網羅しています。また、Answerの中でより細かい法律的・実務的解説が必要な場合は、さらに後ろにその細かいQ&Aを立ててリンクを張るなど、前から順に読んでいっても自然と理解が深まっていくような、そんな配慮がなされていることが感じられました。これはこの手のQ＆A本でよく採用される共著分担式ではなかなか実現できないことです。加えて、著者中崎先生自身が本書刊行までの期間、多数の企業からの度重なる調査依頼に実際に応えていらっしゃったことも伺わせます。

ところどころでGDPRと日本の個人情報保護法の義務の具体的な差異について比較がされている他、VI章以降では、個人データに関する規制の世界的動向（韓国・インドネシア・ベトナム・ロシア）に触れ、さらには同じEUのルールでもまだ未施行のe-Privacy Regurationについてまで言及している点も圧巻です。日本でも少し遅れて夏ごろに発効される見込みと報じられた十分性認定に甘えることなく、GDPRを積極的に遵守する体制を整えていくことが、結局はこれからの企業のグローバルでの競争力を高めていくことにつながる、ということを強めに述べています。

十分性認定で何が変わるのか、変わらないのか

まず、越境移転規制以外の規律は、十分性認定による影響を受けない。さらに、注意すべきは、越境移転規制の中でも、EU・日本間の十分性認定によりカバーされるのは、EUと日本の相互間の越境移転に限定される点である。たとえば、EUだけでなく、東南アジアにも展開している事業者であれば、EUからの個人データの移転先は日本の支社だけとは限らず、東南アジア各国にも移転している可能性があるが、日本・EUの相互認証によっては、EUから東南アジア各国への移転はカバーされず、依然として越境移転規制の対象となる。（P344-345）

さて、本書の感想とは少し離れて、GDPRの施行が近づくにつれバタバタとしている中ではありますが、少し注意したほうがいいのかなと思っているのが、GDPRをいかに上手に遵守しようとも、EUの原則的スタンスとしては、「EUから個人情報を持ち出すな（移転禁止）」であるという点です。

EU域外に対しても法的執行力を担保しようと、EU域内に代理人を設置するところまで強制し、応じなければ世界の潮流から乗り遅れるというムードまでしらっと醸成しているGDPR。素直にうまいなと感心はしますが、個人からの同意を前提とした情報収集の自由や、国家間の政策・法制度・企業競争力にまで大きく影響を及ぼしているのも事実。今後さらに義務を強化することもあり得ない話ではありません。

個人のプライバシーは尊重しつつ、特に域外適用という点については、他の国が立てたルールに盲目的に従い続けていていいのか、疑問も感じるところです。
　

　
一般社団法人情報法制研究所（JILIS）研究員として、ほぼ初めての発信になります。

本日、JILISより、「著作権侵害サイトのブロッキング要請に関する緊急提言の発表」を行い、私も末尾の賛同者として名前を出させていただきました。

ぜひご一読をいただき、皆様にもご賛同を賜れれば幸いです。


▼ 著作権侵害サイトのブロッキング要請に関する緊急提⾔の発表



私のキャリアの始まりは、通信事業者でした。そこでは、当たり前かもしれませんが法務だけでなく社員全員が、憲法および電気通信事業法に定める「通信の秘密」の重要性を認識し、日々業務に携わっていました。

「電気通信サービスを提供する当社からの請求書の宛名が郵送時に見えてしまうことは、通信の秘密を侵すことにならないのか？」
「請求書添付の明細に通信相手先会社名、接続開始時間が記載されることについてはどうか？」

法律の専門家ではない一般社員が、このような請求書のディティールまでに気を使い、真剣な顔で法務に持ち込み確認をとってビジネスを進める姿を見て、大学時代に憲法すらろくに学ぼうとしなかった自分を恥じるとともに、自社のビジネスが基本的人権という重要なものに関わっていることを再認識させられました。

その後も、ITに関わるビジネスを転々とする中で、そこで交わされる通信ログに関する捜査機関からの協力要請を受けた際などには、職業人としての本分や立場をわきまえつつも、通信の秘密の重要性を人一倍考え、上席に対応方針を提案してきたつもりです。


様々な手段で防御・回復可能かつ一部の著作権者にとどまる財産的損害およびそのおそれよりも、国民全体の通信の秘密（具体的には、通信が知得・遮断されない自由・通信を通じて情報を摂取する⾃由）が保障されることを重要視すべきだと考えます。


著作権者の財産的損害と通信の秘密とを比較し、それでも前者を優先すべきだと言うならば、納得できるだけの損害発生の事実、そして脅かされる人権を保障するための策を、特定の知識人や弁護士によってではなく、著作権者本人が自分の口で説明いただければと思います。
　

法改正による個人情報保護法本の新刊ラッシュがひと段落するの待っていたかのような、王者の風格漂うタイミングでの登場となりました。実務に携わる者にとっては必携の書です。





著者の「個人情報保護法制研究会」とは、まさに平成27年改正法の立案を担当し、そして運用の監督権限を司ることになる、個人情報保護委員会事務局の皆さんのこと。もちろんそれぞれの個人の私的な見解とは言え、主務大臣に代わり委員会が権限を持つことになったこの運用フェーズにおいては、本書に示された解説をベースに検討すべきなのは間違いありません。

ちなみに、前著『個人情報保護法の解説《改訂版》』は、業界人からは「ピンク本」と呼ばれ、宇賀本・岡村本のような自説記載を含んでいない点、業界では信頼のおける文献として重宝されていました。といっても、発刊当時の2005年時点は私はまったく注目していませんで、保護法改正の機運が高まりはじめた2012年ごろにあわてて中古で購入した記憶があります。



その《改訂版》と比較すると、まず一見してデザインががらっと変わっています。ハードカバーで扱いにくかった表紙もソフトカバーに代わり、ページ数は570ページを超え前著比プラス200ページほど増加しています。書体やレイアウトは少し現代風になり、より読みやすい印象です。

特に、実線で罫囲みされた条文の下に趣旨があり、その条に関係する施行令・施行規則の条文が点線囲みで引用された構成が使いやすく、気に入っています。委員会作成のQ&Aまではリファレンスされていませんが、逐条解説の文章の中で十分にその趣旨が織り込まれているので、コンメンタールとしてはここは割り切って正解だったと思います。また、図表が少し少なめな印象がありますが、前著と比較してみると、あまり図式化する意味のない図、たとえば一方通行なフローチャートなどを積極的に削除したフシがうかがえ、これも良い改訂ポイントだと思います。



また逐条解説パートにおいては、改正による影響があった部分には必ず書き出しに「平成27年改正により」とあり、改正のなかった部分との区別が明瞭になっています。改正内容をもういちど頭に入れたいという方にとっても、この部分を丹念に追っていけば事足りるはずです。

何より驚いたのは、その改正の影響を受けていない条文についての解説は、時折挙げられている例示も含めて、一言一句《改訂版》から変化なしと言って差支えないほど前著のままとなっている点です。これはつまり、個人情報保護法の本質は何も変わっていないということの証左であり、あわせて、前著《改訂版》がいかに信頼できる完全なものであったかを示してもいます。ピンク本もそれはそれで取っておくつもりだったのですが、ここまで踏襲していると、安心して電子化（自炊）送りにできますね。

（余談ですが、この差分を精査している作業中、28条の保有個人データ開示義務を解説しているP237において、「開示を請求された保有個人データが存在しないという情報も重要な情報であることから（略）存在しない旨を本人に通知しなければならない。」という解説が前著になかったのを見つけ、「お、これは委員会の独自見解か？」と思ったのもつかの間、法28条3項の条文自体に新たに加えられていた当然の義務であることに気づいた次第です。恥ずかしながら・・・。）

第4編として、藤原先生によるGDPRについての解説がありますが、これは本当にさわりの紹介程度です。GDPRについては別途文献を参照して対応を検討されることを推奨します。

なお入手に当たっては、ぎょうせいのtwitterご担当者さまに便宜を図っていただき、発行間も無く入手できました。その節は誠にありがとうございました。

　
企業において、個人情報保護のグローバル対応とは、結局何をどこまで準備すればいいのか？専門家が皆答えに窮し逃げていたこの問いに答えようと、一冊で日米欧のデータ保護規制を俯瞰できるようにした、とても便利な書籍が出ました。

　



日本での個人情報保護法施行のドタバタ劇が一段落したのも束の間、2018年5月25日のEU一般データ保護規則（General Data Protection Regulation：GDPR）適用開始日が近づいてきました。EUから個人データをEU域外に持ち出す場合、個人データ保護のための厳しい義務をEU域外企業が個別に守らなければならない。それを定めているのがGDPRです。ネット上で無料で入手できかつ信頼できる情報源としては、JETRO作成の『実務ハンドブック』がありますので、リンクを張っておきます。

▼「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）（2016年11月）
https://www.jetro.go.jp/world/reports/2016/01/dcfcebc8265a8943.html
▼「EU一般データ保護規則（GDPR）」に関わる実務ハンドブック（実践編）（2017年8月）
https://www.jetro.go.jp/world/reports/2017/01/76b450c94650862a.html


このGDPRについては、先行き不透明な話があります。EUが、個人データ保護レベルについての「十分性認定」を日本に対してしてくれるかどうか、という問題です。この「十分性認定」があれば、EU／日本間の個人データの流通が認められ、企業単位の対応は軽減されます。この行く末が気になるわけですが、今年7月に「認定が得られそう」と報じられて以降、音沙汰がありません。

万が一、2018年5月までに十分性認定が得られないとなった場合、企業が自己の責任と負担でGDPRを順守できる状態（具体的には、「標準契約条項（Standard Contractual Clauses：SCC）」、あるいは「拘束的企業準則（Binding Corporate Rules: BCR）」のどちらかに従った状態）にしなければ、当該企業にペナルティが課されるリスクが発生します。

そんなわけで、対策に予算がつく大手企業は別として、多くの企業の法務担当者や情報セキュリティ担当者としては、「企業として、とりあえずGDPR対策に何をどこまで最低限準備しておいたらいいのか」と不安を抱えている状態なのでは。本書は、その不安に応えるべくGDPRを解説するとともに、なんとUSの個人情報保護法制の解説も（州ごとに異なるため可能な範囲でという限定付きではありますが）加え、日本企業が個人データ保護をグローバルレベルの基準で満たすため何が必要か、まとめてくれています。



本書全体の構成は、
第�吃堯‘�米欧の法制度
第�局堯‘�米欧の実務上の留意点
第�敬堯．院璽好好織妊�
の3部。

特に第3部のケーススタディは、
・クラウドサービスを利用して個人データを保管・管理する場合の規制
・モバイルアプリを通じて個人データを取得する場合の規制
・ウェブサイトで行動ターゲティング広告を行う際の規制
・グローバルなグループ会社の従業員情報を一元的に管理する場合の規制
のように、早速直面するであろうケースではあるがはっきりと答えが用意されていない実務的なポイントについて、日本・EU・米国の規制それぞれを分析・解説しており、大きな見どころかと思います。


なお念のため、米国法については連邦法の概説にとどまり、州法については一部言及があるのみにとどまります。それでも、COPPA、GLBA、FCRA/FACTA、HIPAA/HITECH、GINA､Privacy Act of 1974、VPPA、FERPA、DPPA、FTCAといった連邦法がまとめて日本語で解説されている文献は類を見ず、これだけでも非常に価値の高い文献と言えます。


本書の「はじめに」で、著者代表の長嶋・大野・常松法律事務所　森 大樹弁護士が、

実務家による類書がないことを熟知していたので、その責任の重さに躊躇する気持ちがなかったといえば嘘になるかもしれない。

と素直な心情を吐露されています。誰もが逃げていたその作業を率先してチャレンジしてくださり、このような書籍のかたちにしてくださったことに、深く感謝します。
　

表向きまったく法律実務書の匂いはしないにもかかわらず、開いてみれば、勃興するAIビジネスの事例をたくさん紹介しながら、そこに潜む法律問題とリスク・責任について、現行法上の結論だけでなく分析のフレームワークから手取り足取り教えてくれる本でした。これからAI系新規事業開発をサポートしようとしている法務パーソンにとっては、神様のような“教本”です。

それもそのはず、本書は、私が企業法務パーソンにとっての基本書の１冊として推す『事業担当者のための逆引きビジネス法務ハンドブック』の著者のお一人 経営共創基盤パートナー 塩野誠さんと、同社弁護士 二木康晴先生の御著書なんですね。





人工知能によって権利を得または義務を負うとき、人工知能自身に法人格を認めてそれらを帰属させるべきか、それとも管理利用をしている人に帰属させるべきか？日本においても知的財産戦略本部をはじめすでにいろいろなところで議論がなされているところです。まだそういった基本的な部分さえはっきりとした結論が出ていない中だからこそ、法務パーソンは開発・推進をサポートするために現行法に基づく見解・解釈を出し続けなければならない苦しい立場に置かれます。

苦しいと言いましたが、それは新規事業・ベンチャーをサポートする法務パーソンの醍醐味でもあるでしょう。また、そういった活動を通じて得た経験をもとに、法律はどうあるべきかを意見していく側にまわるチャンスでもあります。

ですが、AIの法務に関しては、本書によってそのおいしいところの種明かしがほとんどされてしまった気がします（苦笑）。しかも、
・AIによる自動描画・作曲
・ディープラーニングを使った顔認証の精度向上
・ビッグデータによるマッチング＆レコメンド
といったソフトウェアビジネスのリスクだけでなく、ハードウェアビジネスであるところの
・（車の）自動運転
・ドローン
の法的リスクまでをカバー。いま世の中で話題になっているようなAIビジネスは、ほとんど取り上げられています。AIビジネス先進国の米国でも、このような書籍はそうそう見かけません。このスピードでなんでもノウハウが開陳されてしまう日本の書籍文化恐るべしです。いや、このスピードでまとめあげてくださった著者のお二人に感謝ですね。


著者も本書で繰り返し述べているように、AIの法律論に結論は出ていないといっても、基本的には通常のビジネスと同じようにポイントを押さえて進めていくしかありません。冒頭述べたとおり、本書のすばらしさは、単に事例紹介とその分析だけでなく、法的リスク検討の基本フレームワークについても丁寧に解説されている点にあります。法務部門を持たない企業・経営者にとっても、弁護士等専門家に相談を持ちかける事前整理をするのに、大変に参考になる一節です。



2000年初頭のインターネットビジネス勃興期がそうであったように、AIビジネスの勃興は、法務の領域が混乱とともに拡大するフェーズになると思われ、そんな時代に法務に携われるのも一つのチャンスです。「AI法務の種明かし」と少しおちゃらけた言い方で本書を評してしまいましたが、基本となるフレームワークを押さえながら未知の事業領域の法務業務に携わることで、日々の経験が確実に糧となり、将来に通用する実力を身につけられるものと思います。
　

米国におけるプライバシー法の第一人者であるダニエル・J・ソロブ教授が2011年に書かれた“Nothing to Hide"が、６年経ってようやく日本語で読めるようになりました。





2011年当時の私といえばプライバシー研究に燃えていたころで、ソロブの著書も４冊すべて原書で読んでいました。ところが、本書の原書“Nothing to Hide"については、他の３冊とくらべてどうも文体が読みにくく、紹介されている個々の視点や事例は参考にしながらも主題を理解できている自信がなかったため、ブログに紹介記事を書けずじまいだったのを覚えています。原文に忠実に訳してくださっている今回の日本語訳を読んで、案の定、タイトル“Nothing to Hide（やましいことは何もない）"に込められた主題を理解できていなかったことが確認でき、あの時へんな記事をUPしなくてよかったなあ・・・と胸をなでおろしている次第です。

政府が個人情報を収集・分析するとき、多くの人は「心配しない」と言う。「やましいことは何もない」と彼らは言い放つ。「政府による個人情報の収集・分析を心配すべきなのは誤ったことをしている場合に限られるし、その場合にはそれを秘密にしておく価値はない。」。（P23）

裁判所、立法者その他の者がプライバシーが何を意味するのかを理解することに失敗しているがゆえに、多くの場合、プライバシー問題を対抗利益と適切に衡量することができないでいる。
パーソナルデータの収集・使用により発生する問題を記述するために、多くの論者は、ジョージ・オーウェルの『一九八四年』に依拠したメタファーを用いる。オーウェルは、ビッグ・ブラザーと呼ばれる政府により統治された凄惨な全体主義的社会を描く。ビッグ・ブラザーは、執拗に市民を監視し厳しい規律を要求する。このオーウェルのメタファーは、（禁止や社会的コントロールのような）監視の害悪に焦点を当て、市民に対する政府の監視を記述する傾向にある。しかし、コンピュータのデータベースで収集されるデータの大半は、（略）他人がこの情報を知ったとしても、人々は抑圧されたり、困惑したりしないと常にはいいきれなくとも、多くの場合にはそうであろう。
違うメタファーのほうが、よりよくその問題を捉えている。フランツ・カフカの『審判』である。カフカの小説は、逮捕された男に焦点を当てるが、なぜ捕まったのかの情報は与えられない。彼は必死になって何が彼の逮捕をもたらしたのか、彼にふりかかろうとしているのが何であるかを解明しようと試みる。秘密裁判所の組織が彼に関する事件記録を保有しており、彼を操作していることは分かるが、彼はそれ以上知ることはできない。（略）カフカの作品に描かれたメタファーにより描写される問題は、監視により引き起こされる問題とは異なる種類のものである。それらは、しばしば禁止をもたらさない。それは情報収集ではなく、データの貯蔵、使用、分析といった情報処理の問題である。それは、人々と近代国家の組織との間の力関係に影響する。その問題は、孤立感や無力感を生み出して人々を苛立たせるだけではなく、人々がその生活に関する重大な判断を行う組織との間で有する関係性の種類を変更することにより社会的構造にも影響を与える。
法的・政策的解決は、オーウェルの作品のメタファー（監視）の下のにある問題にあまりにもフォーカスし過ぎており、カフカの作品の問題（情報処理）に適切に対処できてない。実際にはデータベースと監視は異なる問題であるのに、論者たちが、データベースにより引き起こされる問題を監視の問題として把握しようとすることに、難点がある。（P28-29）

やましいことは何もない論のより深刻な問題は、近視眼的に、秘匿の一形態としてプライバシーを見ることにある。（略）プライバシー問題には、オーウェル的なものだけではなく、カフカ的なものも含まれるのである。政府の情報収集の問題【はっしー注：原文ママ。こちら原書P27の応当部分を確認したところ、“Government information-gathering programs”とあり、“problem”（政府の情報収集“の問題”）と“program”（政府の情報収集“プログラム”）を誤訳しているように思われます。】は、人々が隠したい情報が暴かれなかったとしても、問題性を秘めている。『審判』において、問題は行動の抑制ではなく、裁判所の組織がパーソナルデータを使用したり、主人公に対してその手続きを認識し、参加することを否定したりすることにより生み出される、息の詰まるような無力さや脆弱性である。その害悪は官僚主義的なもの――無頓着、誤謬、濫用、失望、透明性及び説明責任の欠如である。（P30）

プライバシーの「監視」の側面だけを捉えてしまうと、テロなどから国家・国民の安全を確保する必要性に鑑みれば政府に対してそれぐらいの個人の不自由は許容すべきだ、などと安易に考えてしまいがち。しかし、監視・収集後に行われる情報処理においてコントロールを失うことの怖さにも思いをはせるべきであると。

プライバシーの利益衡量にあたって重要な前提となるこのポイントを認識した上で初めて、
・憲法修正４条
・傍受法
・保存通信法
・ペンレジスター法
といった憲法・制定法で保障されているかのように見えて実は抜け穴だらけとなっているプライバシー権の具体的な弱点が、グサグサと突き刺さってきます。第19章（P222）には、「政府がテロリストらしき者のプロファイルを作り、それをもとに乗客が空港で特別な審査を受け、飛行機に乗る機会を拒否されたら」という例え話が出てきているのですが、実際に2017年１月にアメリカでこれに近いことが現実に行われたことを考えても、まさにソロブの懸念は的中しており、プライバシーに関する制定法すらない日本においては、まったく他人事とは言えないだろうことが実感できます。

また、翻訳書のお楽しみの一つが、その書籍のエッセンスを要約してもらえる訳者あとがき。訳者のおひとりである大島義則先生は、本書の解説にとどまらず、“Understanding Privacy”（日本語訳『プライバシーの新理論』）の内容をも簡潔にまとめてくださっており、この部分も価値の高いものとなっています。


本書のプライバシー論は、基本的には政府対国民という視点で書かれているものの、これを企業とユーザーに置き換えても、考えさせられる論点は少なくありません。個人情報の取扱いについて、ユーザーからプライバシーポリシーへの同意を得るタイミングは最初の情報取得の場面一度きりでよいのか？情報処理の場面において企業が追加的に同意を取る／承服できないユーザーが取り扱いを拒否できるタイミングをどのように設けるべきか？継続的サービスにおいて、ユーザーが取り扱いを拒否した場合の対応はどうあるべきか（メンバーシップから退出してもらうしかないのか）？そんなことを改めて考えさせられます。
　

EU一般データ保護規則（General Data Protoction Regulation:GDPR）が正式に可決してはや半年。違反した場合には2,000万ユーロまたは前年度の全世界売上の4%のいずれか高い金額が制裁金として課されることもあり、2018年5月25日の施行日に向けて本格的な準備に入られている企業も多いことかと思います。

この影響かもしれませんが、いわゆるEUクッキー法（e-Privacy Directive）が施行された2012年ごろから対策が徹底されてきたEU圏のウェブサイトを訪問すると、トラッキングクッキー取得の同意ダイアログのトーンがまた一段階厳密になってきたような印象を受けます。

そんな中でも、先日私が衝撃を受けたサイトが、The Next Webさんです。







iPhoneのブラウザでこの動画（アニメーション）を見た瞬間、度肝を抜かれました。私は職業柄「クッキー取得の同意依頼をギャグ混じりにやってるわけね」と意味を察することができたのですが、サイトの動画コンテンツか、もしかするとうざったい全画面広告か何かと誤解される方もいたんじゃないでしょうか・・・。


私がこのスクショをとったのは10月5日のこと。その後、さすがのThe Next Webさんもやり過ぎだと思ったのか、本日現在はクッキーが目の上に載った写真だけに変わってしまい、動画（アニメーション）はやめられてしまったようです。残念。それでも顔にクッキーを乗せている静止画は見られますので、ぜひご訪問なさってみてください。

ここまでイッちゃってる事例もある中、EUにおいてどんなトーンや手法で有効なクッキー同意を取得すべきかについては、まだまだいろんなアイデアが出てきそうです。
　

１か月以上前にTMI総合法律事務所のY先生からご恵贈いただいた、にもかかわらず、書評をアップし忘れておりまして大変失礼致しました…。正直な所、先ほど伊藤先生がブログにアップされた書評を見て、アッと思い出した次第です。

私自身は恥ずかしながら本書第１版・２版のユーザーではありませんでしたが、個人情報保護法以外の関連法（マイナ法・民法・プロ責法・不競法・刑法・不ア禁法・著作権法・会社法・金商法・サイセキュ法）を広くカバーし、かつ企業が知りたい実務的な各論も漏らさずに網羅した、こんなにも使いやすい概説書があったんだな、と驚きました。





TMI総合法律事務所さんについて、私は、頭ごなしに専門知識を振りかざす前に企業の困りごとにきちんと耳を傾けてくださる先生が多いという印象を持っています。本書の内容も、そういったTMIの先生方から受ける普段の印象通り、企業法務担当者に寄り添った読んでいて安心できるものになっています。

たとえば、その一例が、「自己情報コントロール権」についての記載についてです。本書のような情報法の概説書を評価する際、私は「自己情報コントロール権」に関する記載ぶりをチェックするようにしています。というのも、アメリカでの自己情報コントロール権説の隆盛や、日本の一部の下級審判例で示された自己情報コントロール権を認める見解などを必要以上に大きく取り上げて、企業の不安を煽る書籍も少なくないからです。この点、本書の記載はまさに100点満点と言うべき内容でした。

プライバシー権を「自己情報コントロール権」、すなわち自己に関する情報をコントロールすることができる権利と積極的に定義づける見解がある。これは、コンピュータの発達に伴い、大量の個人情報が公的機関、民間事業者問わず大量にデータ化され、その保護が重要になったことに伴い、支持されてきた見解である（たとえば佐藤幸治『憲法〔第3版〕』（青林書院、1995年）等）。この見解に基づいた場合、プライバシー権は自己の情報の開示・訂正・抹消請求権を含むものと解されている（なお、法的権利性については、第7章430頁以下参照）。
下級審判決の中には、マンション購入者名簿事件（東京地判平成2・8・29判時1382号92頁）やニフティ掲示板事件（神戸地判平成11・6・23判時1700号99頁）等自己情報コントロール権の考え方に影響を受けた判決例が現れ始めているが、これらの下級審判決においても結局は私事性、非公知性等「宴のあと」事件判決以降採用されてきた3要件に基づいた判断がなされており、その意味で正面からプライバシー権を「自己情報コントロール権」であるとまで認めているものではない。（P65）

民法学説上は、ほとんどの学説において、少なくともプライバシーの権利が民法上保護され得る１つの権利ないし利益であることが承認されているが、なお従来のプライバシーの権利概念を前提としており、これを自己情報コントロール権として理解するにはなお消極的のようである。民事法の見地からは、プライバシーの権利を自己情報コントロール権と定義づけることは相当でなく、自己に関する記録を閲覧する権利、本来収集されるべきでない情報や誤った情報の訂正・削除請求権は、原則的に肯定する方向で検討する価値があるが、これをプライバシーの権利に包括することはきわめて困難であるとする見解がある。（P432）

最高裁も、最判平成20・3・6民集62巻3号665頁は、プライバシー権に自己除法コントロール権が含まれていることを認めた大阪高判平成18・11・30判時1962号11頁を破棄し、「憲法13条は、国民の私生活上の事由が公権力の行使に対しても保護されるべきことを規定しているものであり、個人の私生活上の事由のひとつとして、何人も、個人に関する情報をみだりに第三者に開示又は向上されない自由を有するものと解される」と判示して、自己情報コントロール権が憲法上保障された人権と認められるか否かについては正面から判断しなかった。（P433）

また、情報法に関する企業法務パーソンの最近の悩みどころナンバーワンと言えば、日本の改正法だけでなく、多数国に渡る個人情報保護法制についてもキャッチアップが求められているという点でしょう。これについても、第10章の40頁ほどを割いて、
・欧州
・米国
・韓国
・シンガポール
・香港
・台湾
・中国
・インド
といった主要国の情報法制のポイントを概説してくださっています。



米国のCOPPAについては対応が悩ましい部分ではあるので、もう少し企業としてなすべきことはどこまでかといったレベルまで踏み込んで書いてくださっても良かったかな、と思うところもありましたが、これだけの国についてまずは確認すべき法令の存在を知らせてくれるだけでもありがたいというべきでしょう。


各章のトビラ部分には、経営者から企業法務担当者が聞かれがちな「つまりどういうこと？」「結局何を知っておけばいいの？」が端的にまとめられていて、こんなさりげないところにも本書執筆陣の配慮・サービス精神を感じました。




ということで、久しぶりに法律書マンダラ2016を更新しておすすめしたい本に出会うことができました。このようなすばらしい書籍をご恵贈いただいたにもかからずご紹介が遅れたこと、Y先生には重ねてお詫び申し上げます。
　

　
ポケモンGOが不法侵入・迷惑行為を助長するのではないかと不安を煽るような記事が日本でも雨後の筍のように書かれている中、アメリカでは早くも運営会社に対して訴訟を起こした方が出ました。し、仕事が早い…。

▼Pokemon Goes to Court in Backyard Monster Trespassing Case（Bloomberg）

A New Jersey resident with a pocket monster in his backyard filed what may be the first lawsuit against Niantic Inc. and Nintendo Co. for unleashing Pokemon Go across the U.S., claiming that players are coming to his home uninvited in their race to “catch ’em all.”
The West Orange man alleges the companies have created a nuisance with their GPS-based game and seeks class-action status on behalf of all Americans whose properties have been trespassed upon by players in search of Pokemon Go monsters.

記事によれば、「お宅の庭にポケモンがいるから捕まえさせてくれ」と（笑）少なくとも５人が玄関をノックするありさまで、迷惑していると。本当にそんな程度で訴訟まで起こすものですかねとカリフォルニア州裁判所サイトにウラを取りに行ったら、7月29日に本当に提訴されファイルされてました。ということは、前回エントリの利用規約解説で触れた仲裁合意のオプトアウトも済みってことなんでしょうね。


ポケモンGOの下地を作ったIngressではここまでの問題にならず、ポケモンGOがこうなってしまったのはなぜなのか。Ingressをやっていた方ならご存知のとおり、現実世界にリンクするかたちでARの世界に設置された「ポケストップ」に相当する「ポータル」の設置数はもっと多かったですし、かなりマイナーな場所にも設置されていました。一方、ポケモンGOのポケストップは、実際にプレイしてみると公道沿い・公園内など私有地・住宅地を避けるかたちで設置されており、しかもIngressのポータルの数に比べてかなり限定的に設置されています。運営会社としてIngressとのユーザー規模・ITリテラシーの違いに配慮しながら、画面上に表示するユーザーへの注意文言に加えて私有地への不法侵入や近隣への迷惑行為が発生しにくいように配慮したと思われる形跡が（私には十分に）感じられたのですが。本件については（ポケストップの場所とは関係なく）たまたま私有地に多数のレアなポケモンが湧いてしまった、ということなのかもしれません。


このレベルの努力や配慮でも「足りない」という法的評価となると、事業者にとって、今後AR技術を使ったビジネスは相当窮屈なものになることが予想されます。記事後段では、Ryan Morrison弁護士がこの点について同様のコメントを出しています。

The maps are based on Niantic’s original GPS-based, augmented reality game called Ingress, which generated a cult following after it was released in 2013. As they played the game, Ingress users helped build the map now used in Pokemon Go, said Ryan Morrison, a lawyer in New York who specializes in legal issues related to video games.
“There’s going to be 200 lawsuits, that’s for sure," Morrison said in a phone interview. “If the court comes along and says this kind of suit is OK, what a terrible blow it will be to augmented reality technology."

「訴訟は間違いなく200件は起きるだろう」という彼の予言が現実のものとなる前に、この問題を解決するアイデアや仕組みを考えたいところです。
　

2016.8.4追記

下記のとおりミスをご指摘をいただきまして、一部訂正いたしました。ありがとうございます。

　
Pokémon Goがアメリカを中心に大ブームとなりつつあります。

Pokémon Goとは、スマートフォンに表示される現実世界をベースとした地図をゲームフィールドとして、ユーザーが実際に現実世界を歩きまわる＝位置情報が更新されることで見つかるPoké-stopと呼ばれる拠点でアイテムを入手しながら、どこかに隠れているポケモンを探して捕獲し、さらに移動しながら捕獲したポケモンを育て、敵チームのポケモンとバトルしたり、ユーザー同士で協力してボスを倒すといったことを楽しむゲームサービスです。




「任天堂のスマホアプリが大ヒット」というような報道がされていますが、実際のところは、位置情報×ARサービスとして著名な“Ingress”を作ったNiantic,Incが発売元・販売元（任天堂・ポケモンカンパニーはNianticの株主でありライセンサーという立ち位置）となっています。日本でも2008年ぐらいに位置情報ゲームが一定の認知を得ていたと思いますが、個人的には、その性質上ハイテク好きのコアなユーザー向けゲームにどうしてもなってしまうのかなと思い込んでいました。位置情報に有力IPを使った親しみやすさとARの要素を掛け合わせることで、ここまでサービスを爆発的に流行らせることができるとは、さすがポケモン、さすがNianticです。

このゲームが市民権を得たことによって、今後＜位置情報×AR＞ゲームが続々とリリースされていくことでしょう。そして、そのようなゲームに共通するであろう特徴として

• ゲーム世界でのアイテム取得・アイテムの育成・バトルのためにユーザーを現実に移動させる
• ゲーム世界の拠点・アイテムをARオブジェクトとして現実世界の土地・建物内に設置する
• ユーザーの位置情報を連続的に取得し、サーバーを介し多数ユーザーに共有する

といった要素が導入されることは、間違いなさそうです。そこで、ゲームに限らずこのような要素を盛り込んだ＜位置情報×AR＞サービスを提供するにあたり、事業者がその責任を問われることになるであろう法的リスクについて、実際にPokémon Goのヒットによって発生しはじめているトラブルを参考に、ざっくりと整理をしてみました。以下のとおり、大きく４つに分類できるのではないかと思います。




論点２や３については、ARサービスがカネになるビジネスとして育てば育つほど、原権利者（地主や著作権者ら）の権利とAR事業者との対立を調整する立法も必要になるかもしれません。その一方で、論点１や４については、ARが多くの人にとって普通のものとなれば（つまり人間の側がARに順応すれば）、落ち着くところに落ち着くような気もします。今はPokémon Goの突然のブームで初めてARサービスを実体験している人たちによって騒ぎが起きているものの、かつてIngressでも同じような事件・事故は起きていたからです。４−�△離如璽燭留朸�問題については、通常のネットサービスよりもユーザーの移動モチベーションが高まるため頭の痛い問題になるでしょうが、法的に特殊な対応を考えなければならないものは、全体としては心配されているほど多くはないのではないかと考えています。

なお、Pokémon Goはまだサービスインから間もなく、ユーザーからの課金方法またはAR広告の態様などについて明らかでない部分もあり、その方法によってはリスク評価が大きく変わる可能性もあります。また、（Pokémon Goはそんなことはしないと思いますが）ARがポルノや出会い系と言った性風俗分野のサービスと融合することで、別途特有のリスクが生じるケースはあるかもしれません。
　

一般的なARビジネスの法的論点について述べた書籍としては、いま販売されているものではこちらが一番まとまっていると思います。上記Pokémon Goの事例では論点としては挙げていない「ARによる広告の不当表示や書き換え」といった問題についても言及があります。




Pokémon Goの法的論点について述べているサイトのリンクも貼っておきます。

▼POKEMON GO AND THE LAW OF AUGMENTED REALITY
http://www.technollama.co.uk/pokemon-go-and-the-law-of-augmented-reality

▼Is PokemonGo Illegal?
http://associatesmind.com/2016/07/11/is-pokemongo-illegal/

▼Pokemon Go Ushers in a New, Augmented World of Legal Liability Concerns
http://www.jdsupra.com/legalnews/pok-emon-go-ushers-in-a-new-augmented-36311/

▼How Pokemon GO Players Could Run Into Real-Life Legal Problems
http://www.hollywoodreporter.com/thr-esq/how-pok-mon-go-players-909869

▼Signs of the Times: How Pokemon Poses Municipal Regulation Questions
http://ht.ly/VKc8302i3iF

▼Your Pokemon Go Legal Rights … Don’t Get in Trouble!
http://lawnewz.com/high-profile/your-pokemon-golegal-rights-dont-get-in-trouble/

▼Pokemon Go Strips Users Of Their Legal Rights; Here’s How To Opt Out
https://consumerist.com/2016/07/14/pokemon-go-strips-users-of-their-legal-rights-heres-how-to-opt-out/
　

　
NHKの番組等でも取り上げられ、話題となりつつある本書。「企業はむやみな情報発信を控えよ」と説教するばかりの従来のネット炎上対策本とは一線を画し、炎上参加者を定量的に分析したうえで、人々の自由な情報発信を萎縮させないために社会として炎上をどう抑制するかを提言します。





本書前半では、これまでの日本のネット炎上事件を網羅的にまとめています。2016年4月刊行ということもあり、直近ではオリンピックエンブレム事件あたりまでがフォローされています。炎上した経緯、ブログ記事のスクリーンショット、SNSの写真（プライバシー配慮の目隠しあり）や企業側の謝罪文等の集積は、資料的な価値も高いと思います。



著者らはこれらを振り返ったうえで、アンケート調査および日経テレコン／Twitterデータ等をもとに独自の定量的分析を行い、炎上発生と拡大のメカニズムを明らかにします。ちなみに著者らの分析による犯人像は、

炎上に積極的に参加している人は、年収が多く、ラジオやソーシャルメディアをよく利用し、掲示板に書き込む、インターネット上でいやな思いをしたことがあり、非難しあっても良いと考えている、若い子持ちの男性であるといった人物像（P112）

炎上事件に伴って何かを書き込む人はインターネットユーザの0.5%程度であり、1つの炎上事件では0.00X％のオーダーである（P137）

だそうです。



私も何度か所属組織でネット炎上に巻き込まれた経験があります。そうした経験を何度か重ねると、慣れ・落ち着き・開き直りのようなものがでてきて、炎上当事者になってもあわてずに状況の観察ができるようになります。そのうちに、自分が関わらない団体で発生した炎上についてもわがごとのように注意深く観察するようになりました。そこで私が感じていたのは、

• 炎上参加者のほとんどが10代後半〜20代前半の時間を持て余した若者である
• 鎮火させようと反応するほどかえって燃料を提供することになるためほうっておくのがよい

ということです。本書の調査の母集団が20歳以上ということもあってか、人物像は私の観察経験から少し乖離していますが、本書の分析結果の信ぴょう性は高そうというのが私の感想です。


ところで、本書では取り上げられていなかった点として、ネット炎上騒ぎにおけるメディアの責任についても、もう少し真剣に検討したほうがよいと思っています。炎上の功罪が話題になるときにはいつもSNSやそこで炎上加担者となる一般人ばかりが批判の矢面に立たされているのですが、それ以上に、マスメディアが「取材コストを掛けずに手軽にニュース化できるネタ」として安易に取り上げる姿勢に問題があるのではないか、と常々感じています。

　��twitter等で炎上発生
　　　↓
　�△泙箸瓮汽ぅ箸�でき被害とは無縁なネットユーザーたちも騒ぎだす
　　　↓
　�Ｂ膽蠖景梗劼�自己の運営するウェブサイトの記事として記事を掲載
　　　↓
　�い修離ΕД峙�事を見た読者が義憤にかられそれを拡散しエスカレート
　　　↓
　�タ景綱椹罎了飜未坊悩�
　　　↓
　�Δ修凌景控�事をさらにテレビが取り上げて・・・

結局、新聞社という社会的にはその名義に信用力を備えたメディアがそれを取り上げるかどうか、具体的には��または�イ離譽戰襪飽楾圓垢襪�どうかが、ネット炎上全体の大きさと企業側の対応コストを左右する２つの大きな分水嶺になっています。メディア側としては、紙面や電波という有限なリソースを割いて取り上げるまでのバリューがあるかを、ウェブでのネットユーザーの反応を見ながら決めているところがあると思います。しかし、本書の分析通りここで焚き付けている人々がほんの一握りの同一人物だとすると、社会全体がその一握りに踊らされている感は否めません。

というか、メディアもそれを分かっていてやっているというのが、本当のところなのでしょう。
　

　
昨日に続きまして、法律書マンダラ2016の情報法部門より、弊ブログでは未紹介だった12月の新刊をご案内します。





『インターネット法』よりももう少し幅広く、かつさらに法学的な切り口で、情報全般に関する法律と基本概念を体系的に整理する本書。中でも特に集中的に論じられているのが、媒介者＝プラットフォーム事業者が負うべき法的責任についてです。

私有地においてビラを配布したことが住居等侵入罪（刑法130条）等の法令違反に問われた事案は著名なものだけでも相当数存在するが、そこでは、実際には土地所有者・管理者の権利と表現の自由との調整が問題となっており、多くの場合、私有地内での行為だけに、いわゆるパブリックフォーラムの法理の適用も困難であり、後者に不利に解決されてきた。
このように、私人の管理する場における表現の自由という主題は新しいものではないが、インターネットにおいては私人の管理する場で行われる表現の量や種類が圧倒的に増大しており、それだけに問題は深刻となる。そこで、情報法においては、公権力、プラットフォーム等の情報媒介者、一般利用者という三面構造を前提とする必要がある。（P33）

アプリストアにおいては、OSの開発者たるプラットフォーム事業者が特定の決済手段の利用をアプリ提供者に強制し、他の決済手段の利用を認めていないことがある。これは決済に関する情報（顧客情報、販売金額等）を集中的に取得し、プラットフォーム事業者としての地位を強化するという事業者の戦略と考えられるが、このような行為は独占禁止法上、不公正な取引方法等に該当する場合がある。（P81）

近時、プラットフォーム事業者の利益水準の相対的な高さに注目が集まっており、一部のコンテンツ事業者はこれを不満に感じている。プラットフォーム事業者の利益水準が高いこと自体は、それがプラットフォームのイノベーションにつながるという側面もあり、責められるべきものではない。ただ、プラットフォームに関わる事業者全体の余剰や、消費者余剰を考えた場合には、利潤の適性な配分については検討の余地がある。そこで、コンテンツの多様性、プラットフォームの効率性（イノベーションの促進）等、プラットフォームに関わる社会厚生についてどのように評価すべきかが課題となる（P81脚注）

このような、プラットフォーム事業者の市場独占によって発生する弊害についての言及が随所になされている点が、一番の読みどころとなっています。



ITビジネスに携わる中で、プラットフォーム事業者が有する圧倒的な優位性に脅威を感じることや、取引の媒介者として本来負担すべき法的リスクの一切を他者に転嫁しようとする態度について憤りを感じる機会は増える一方です。この一年は、その問題意識について関係者にご理解いただくための活動を、私なりの方法でさまざまやってきました。しかし、官公庁にはそういったプラットフォーム事業者と利害が一致する部門があり、この問題で困っている当事者に対し理解を示そうとしない・見てみぬふりをする向きも少なからずあるようです。

そんな中、海外ではライドシェアリングサービスについてタクシー事業者との衝突が、そして日本では民泊あっせんサービスと近隣住人との衝突が取り沙汰されはじめています。2016年も同様の問題が次々と顕在化し、これまでのような対応では済まされなくなるのではないでしょうか。

来年以降は、違ったアプローチでこの問題に取り組んでいきたいと思っていたところ、その法的理論武装の助けとなる頼もしい文献がこうして出版されたのは喜ばしいことです。
　

インターネット上で行われる表現・コミュニケーション／電子商取引／知財／紛争解決合意に関する法律の今を、研究者の視点から整理し、将来を展望する本。実務家の間で定評のあった高橋編『インターネットと法』の正統な後継書と言ってよいでしょう。法律書マンダラ2016推薦図書です。





インターネットに関わる法律のほぼすべてを概説するこの本が特に力点を置いているのは、ネット上での活動の自由と規律とのバランスの取り方についてです。私がクリエイティブ方面に強い新進気鋭の先生方とインターネット法に関する私的勉強会を持たせてもらっている中でもちょうど話題になっているテーマですし、ネットビジネスの事業者にとっても、これからますます問題が顕在化し実務上も対処に苦慮することになるであろう論点でしょう。

この点、代表編者である松井先生の総論としては、

やはり原則はインターネットのうえでの自主的な規制に委ねつつ、現行の法律を個別的にインターネットに適用し、その適用に際して、インターネットの特性に応じて修正してゆくほうが望ましいように思われる。

ということなのですが、だからといってなんでもフリーダムでOKというような乱暴な論稿にはなっておらず、まさにその“個別的な適用”について各分野の専門家が丁寧に論じています。

個人的には、山口いつ子先生による第２章「インターネットにおける表現の自由」、とくにその中の「インターネット法の新たなデザインに向けて」と題する図とこの全体像に基づく論稿のおかげで、1社目に就職した国家から管掌された放送・通信事業者で得た経験と、そして今いるプラットフォーマー（媒介者）に支配されるコンテンツ事業者での苦悩が、自分の中で一つのフローとしてつながった感覚をおぼえました。まだはっきりとした言葉にまではできておらずもやもやしているところなのですが、この章が自分なりのアイデアをまとめる大きなヒントになりそう。



また、もう一つの読みどころとしては、第13章「国境を越えた紛争の解決」の章が挙げられます。ここでは、インターネット法の最重要論点ともいうべき準拠法と裁判管轄の問題について、Twitterの利用規約等を例に挙げながら他の類似書・論文よりもかなり具体的なあてはめ・解釈にチャレンジしています。その一例として、以下P337およびP342脚注より。

例えば、Twitterの利用規約では、「12.一般条件 B.準拠法および裁判管轄」として、「本サービスに関連する一切の請求、法的手続きまたは訴訟は、米国カリフォルニア州サンフランシスコ郡の連邦裁判所または州裁判所においてのみ提起されるものとし、ユーザーはこれらの裁判所の管轄権に同意し、不便宜法廷地に関する一切の異議を放棄するものとします」とされているが、民事訴訟法上は、日本に居住する消費者との契約に関するこの合意は原則として有効とはならない。しかし、このことは、Twitter社がカリフォルニア州で日本居住の消費者を訴えることを妨げるものではない。手続法は法廷地法によるのが原則であり、カリフォルニア州では日本の民事訴訟法を全く考慮しないで裁判管轄を判断するからである。ただし、日本の管轄規定上許されない管轄原因に基づき下された判決として、後述する外国判決の承認・執行時に問題となる可能性は高い。

消費者契約にかかる管轄合意は原則無効であるのに対して、準拠法合意は原則有効である。したがって、上述した、Twitterの利用規約「12.一般条件 B.準拠法および裁判管轄」中で、「本規約およびそれに関連して行われる法的行為は、米国カリフォルニア州の法に準拠するものとします」という部分は原則有効となる。

この章だけをとっても、ネットビジネスに携わる方にとっては必携の本と言って良いと思います。

それにしても、今年見た法律書の中でも本書は装丁がダントツにカッコいいですね。奥付を拝見すると田中あゆみさんという方が担当なのでしょうか。装丁がいい本は良書という法則は、どうやらこの本にも当てはまるようです。
　

　
2014年11月にレポートした「Facebookのデータポリシー改定案に見るプライバシーポリシーの新潮流」から約半年が経過したところで、今度はMicrosoftが、Facebook同様のインタラクティブな利用規約＆プラポリへと変更します（規約の発効日は2015年8月1日）。

▼Microsoft サービス規約
▼Microsoftのプライバシーに関する声明

あたらしいプラポリのほうで、全体像と動きを確認してみました。



2カラム ＆ 概要／詳細を折りたたみ式のスタイルにするという基本的なアイデアは、Facebookのものとまったく同じ。ITサービスの最大プレイヤーにして重鎮の一社であるMicrosoftまでもがこの2カラム ＆ 折りたたみ式に追随してきたということで、ネットサービスの利用規約＆プラポリは、このスタイルが標準となっていきそうです。

違いとしては、全体共通ポリシーの後にBing・MSN・Skype・Xboxといったサービスごとの個別詳細項目がぶら下がっているところ（プラポリのみ）。Microsoftの場合、どうしてもサービスが多岐に渡っていること、プライバシー管理もそのサービス特性ごとに異なることから、こうせざるを得なかったのでしょう。

また、違う側面で私が気になっているのが、こうしてユーザーへの分かりやすさ・透明性を追求しているはずのFacebook・Microsoftの両社が、いずれもアプリごとの個別プラポリ（いわゆるアプリケーションプライバシーポリシー）については設置しないスタンスを採っている、という点です。日本では総務省が、米国ではプライバシー問題に敏感なカリフォルニア州や米国商務省電気通信情報局（NTIA）が、それぞれショートフォーム形式のアプリプラポリを作成・設置することを推奨していた時期が2012〜2014年にかけてありましたが、サービスごとのプライバシー管理に加えてアプリごとにも分けていくとなると掛け算式に文書量が激増し負荷が高すぎて・・・ということなのかもしれません。
　
今後、アプリサービスにおける法律文書のスタイルがどう固まっていくのかにも、注目していきたいと思います。
　

ヤフージャパンさんが公表された「検索結果とプライバシーに関する有識者会議」の報告書を拝読しました。こういった検討結果を開示してくださるのはありがたいことだと思います。

以下、その問題提起部分と結論部分を超ダイジェストで抜粋。

しかし、私にはどうも理解が追いつかない部分がありまして・・・。


▼検索結果とプライバシーに関する有識者会議 報告書

３ 検索結果に関する法的な問題
まず、議論の前提として、インターネット上に自己のプライバシーに関する情報が掲載されているとして非表示措置を求める者（以下「被害申告者」という。）が検索結果の非表示を求める法的根拠について確認が必要である。
次に、一定のアルゴリズムに基づいて自動的・機械的に作成される検索結果について、検索サービス提供者が非表示措置を講じる義務があるのかという問題がある。
さらに、検索サービスのいずれの側面がプライバシー侵害になりうるのかという問題がある。すなわち、検索結果の表示内容自体（検索結果に表示されるタイトル、スニペット等の記載自体）をプライバシー侵害と考えるのか、それとも、侵害サイトに移動できるリンク（以下「リンク情報」という。）が検索結果に掲載されている状態（検索結果に表示される情報の記載自体には必ずしも権利侵害性はない）をプライバシー侵害と考えるのか、そのいずれもプライバシー侵害たりうるのかという問題である。加えて、非表示措置基準と非表示範囲をどのように考えるべきかについても検討が必要となる。
本会議では、これらの問題について検討を行い、第４にその結果をまとめた。

（１）非表示措置の法的根拠
非表示措置に関する法的根拠については、民法上の不法行為の効果として認められるのか、それとも人格権に基づいて認められるのかといった議論が存在する。両者の違いは、主観的要件の違いに現れ、前者は非表示措置について故意・過失といった主観的要件が必要となるのに対し、後者では必要とされない。
現在の裁判実務は、プライバシー侵害、名誉毀損に基づく非表示（削除）命令については人格権侵害を根拠としており、本会議においても、非表示措置は、プライバシー権、名誉権といった人格権を根拠に求めることができるという考えについて特段異論は出なかった。このため、本会議では、人格権侵害を前提に検討を行った。

（５）本会議での検討方針
検索結果の表示内容自体がプライバシー侵害となるのか、それとも、リンク情報の検索結果への掲載がプライバシー侵害となりうるのかについては、現在の裁判実務においても、必ずしも確定した考えは存在していない。このため、本会議では、いずれの考えも成り立ちうることを前提に、第４の２で検索結果の表示内容自体によるプライバシー侵害について、第４の３でリンク情報の検索結果への掲載によるプライバシー侵害について、それぞれ具体的な措置基準について検討を行うこととした。

４ 結論
以上が、検索結果の非表示措置に関する、本会議における検討の結論である。非表示措置に関する本会議の見解を再説すると、その要旨は以下のとおりである。
（１）検索結果の表示自体によるプライバシー侵害に関する基本的な考え方
検索結果の表示内容自体（検索結果に表示されるタイトル、スニペット、等の記載自体）から権利侵害が明白な場合に限って非表示措置を講じる。非表示措置は、プライバシー侵害情報が掲載されている部分について講じる。
（２）検索結果にプライバシー侵害サイトへのリンクが掲載されていることによるプライバシー侵害に関する基本的な考え方
原則として、リンク先ページに対して対応を求めるべきであるから、リンク先ページの削除を認める裁判所の判断がある場合に限って検索結果の非表示措置を講じる。プライバシー侵害の被害救済の観点から、例外として、�仝⇒�侵害がリンク先ページの表示自体から明白で、かつ、��権利侵害に重大性又は非表示とする緊急性が認められる場合にも非表示措置を講じる。

私がこの有識者会議の見解として一番知りたかったのは、問題提起部にあるように検索結果の非表示を求める法的根拠でした。しかし、この点については「現在の裁判実務では人格権を根拠に非表示措置を求めることが出来る点に異論がない」と言い切って終わり。せっかくの豪華メンバーによる検討過程の詳細が窺い知れなかったことに加え、ここでいう“裁判実務”とは何なのかも明らかにされていません。

また、大前提において“裁判実務”で明らかといいながら、一方で、検索結果の表示内容自体がプライバシー侵害となるのか、それとも、リンク情報の検索結果への掲載がプライバシー侵害となりうるのかという問題点については、「現在の裁判実務においても、必ずしも確定した考えは存在していない」と。うーん。

私の判例DBの検索の仕方がヘタなだけかもしれませんが、私が検索結果とプライバシーの問題に関する裁判例を眺めた所感では、後段でも言及されているように、結局はケースバイケースの判断でしかなかったものと思われます。実際、ヤフージャパンさんもブログでこう述べていらっしゃいます。

このような検索結果の非表示措置の対応においてYahoo! JAPANが依拠してきたのは、日本においてこれまで判例等で積み重ねられてきたプライバシー侵害に関する判断基準です。インターネットの普及以前から、「表現の自由」とプライバシーという対立する利益をどのように調整するかは重要な社会の関心事であり、主に小説や雑誌等の出版において一定の判断基準が示されてきました（例：ノンフィクション「逆転」事件判決等）。なお、検索サービスからの情報の非表示に関して、これまでYahoo! JAPANが当事者となった訴訟が複数ありましたが、いずれの訴訟においても裁判所からYahoo! JAPANが情報の非表示措置を命じられたことはありません。

だからこそ、その裁判例の積み重ねを整理・類型化する作業を、この有識者会議の豪華メンバーがやってくれるものと思っていたのですが・・・ちょっと残念。せっかくの有識者のみなさんの検討結果ですので、もしよろしければ、その検討の前提とした裁判例のリストだけでも追加で公開していただけると、続く研究の参考になるのではないかと思います。
　

技術評論社の高屋さま、そして著者のお一人である橘大地先生より、発売前の見本紙をご恵贈いただきました。ありがとうございます。





一言で評するならば、“ついに出た『良いウェブサービスを支える「利用規約」の作り方』のアプリビジネス対応版”。同書と同じ出版社である技術評論社さんでこういう企画があったなら、同書に関わったお前が書けよというツッコミをいただいてしまいそうですが（笑）、浅学かつ遅筆な私には残念ながらこのスピード感では書けませんでした。このスマホ法務の分野でアグレッシブな法律サービスを提供されている、GVA法律事務所さんならではの、タイムリーな価値あるお仕事だと思います。

内容としては、『利用規約の作り方』同様、利用規約／プライバシーポリシーの二大文書のポイント解説がボリュームゾーンとなってはいますが、この本の読みどころは、それらよりも第2章「アプリビジネスを取り巻く法律問題」のパートなのかな、と思います。特に、
・ゲームアプリ
・ソーシャルシェアリング
・クラウドソーシング
・クラウドファンディング
・電子決済サービス
といった、『利用規約の作り方』ではカバーされていない新しいビジネスモデルにつきまとう資金決済法や貸金業法等の問題点について、ある程度まとまった形で言及された文献は、この本がお初になるのではないでしょうか。



また、景品表示法、COPPAや税法といった海外展開につきまとう法律問題など、アプリビジネスの法務担当者の間ではよく話題になるリスクポイントについても触れてあります。純粋な法律専門書ではなく紙幅も限られているため、ひとつひとつの論点の深掘りにまではいたっていないとはいえ、広範なリーガルリサーチまではなかなか手がまわらないベンチャー経営者にとっては、目から鱗のネタ・ヒントがたくさん詰まっているはずです。


著者のお一人である橘先生とは、同業界の法務パーソンとして昨年暮れに接点をもたせていただく機会を頂戴しました。この本を書き終えられた後息つく暇もなくシンガポールに向けて発たれ、今後は日本からアジア展開を図るベンチャー企業を支援する活動に従事されるとのこと。高い理想と行動力の両方を持ち合わせた先生のご活躍に、私も期待しています。
　
また私自身も、そう遠くないうちにこのアプリサービスの分野でみなさんのお役に立てるような文献が出せたらと思っています。そのご紹介が出来る日まで、もう少しお時間をいただければと。
　

　
ようやく、みなさんお待ちかねだった個人情報保護法の改正案が、具体的な条文案のかたちになりました。下記リンク先の新旧対照表P11以降をご覧になると、見やすいと思います。

▼個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案　新旧対照表




企業法務に関わる改正ポイントの主だったところを３つだけ、ピックアップしてみます。


１　個人情報の定義の変更

定義規定が変更され、「個人識別符合がふくまれるもの」が個人情報の定義に加わりました（2条1項2号）。では「個人識別符号」とは何か、というと

２　この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

一　特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二　個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

という定義（2条2項）。

以前当ブログでも言及したとおり、「個人情報の定義は広がらない」としていた事前報道とは異なり、携帯電話番号のようなかなり身近に取り扱われている番号・記号・符合も、政令で指定しさえすれば個人情報となります。

２　匿名加工情報の新設

そして、政府的にはパーソナルデータの利活用を目指すための目玉としている「匿名加工情報」が、以下の定義で新設されました（2条2項）。

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

一　第一項第一号に該当する個人情報　当該個人情報に含まれる記述等の一部を削除すること（当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。
二　第一項第二号に該当する個人情報　当該個人情報に含まれる個人識別符号の全部を削除すること（当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。）。

ただし、匿名加工情報であれば自由に取り扱ってよいというものではなく、
・匿名加工情報を作成したとき：そこに含まれる情報の項目
・匿名加工情報を第三者提供するとき：そこに含まれる情報の項目および提供の手段
を、個人情報保護委員会規則に従って公表する義務が設けられ（36・37条）、あわせて他の情報と照合するなどの再識別化も行ってはならないことが法定されました（36・38条）。

３　第三者提供の制限の強化

特にオプトアウト方式で個人データの第三者提供を行う場合について、個人情報保護委員会への届出が新たな義務として法定されました（23条2項）。事業者等から届出があった事実は、個人情報保護委員会が公表することとなります（23条4項）。

２　個人情報取扱事業者は、第三者に提供される個人データ（要配慮個人情報を除く。以下この項において同じ。）について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

一・二　（略）
三　第三者への提供の方法
四　（略）
五　本人の求めを受け付ける方法

また、個人データを第三者提供した年月日、相手先等の記録保存義務が追加されたことに加え、第三者提供を受けた（個人データを受領した）側にも、
・誰から取得したのか、およびその個人データの取得の経緯を確認する義務
・そのデータの提供を受けた年月日を記録し保存する義務
が新設されました（26条）。


さらに細かいところを見ていくと、利用目的の特定義務について、現行法の15条2項では「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて（利用目的の変更を）行ってはならない」とするところ、「相当の」がさりげなく削除されていたり（15条）、正確性確保義務が拡充される形で利用終了後の個人データに関する遅滞なき消去努力義務が追記されていたり（19条）、外国へ個人データを提供する場合には別途その旨の同意を取得する義務がさらっと新設されていたり（24条）、興味深い点もたくさん見つかるのですが。

まずは、上記３点を抑えて、事業者としてやるべきことをリストアップしはじめるのが良いと思います。
　

　
日本のパーソナルデータ法制の行く末を、また大きく変えそうなものが出てきました。米国ホワイトハウスによる「消費者プライバシー権法（CONSUMER PRIVACY BILL OF RIGHTS ACT）」案です。


▼CONSUMER PRIVACY BILL OF RIGHTS ACT（ADMINISTRATION DISCUSSION DRAFT）



内容をざっくり読んで要約すると以下のような感じ。法案に記載の順に、特に気になる部分を中心に抽出してみました。
速報につきスピードを優先しましたので、間違いあればご指摘いただけるとありがたいです。

・定義の明確化（SEC. 4. Definitions）
「パーソナルデータ」「非識別化データ」「パーソナルデータ取扱事業者」「取得」「コントロール手段」「削除」「コンテクスト」等の言葉の定義を明確化

・透明性の担保（SEC. 101. Transparency）
パーソナルデータの取扱い方針および実践内容について、わかりやすい説明とタイミングで明示・通知をする義務を設定

・消費者の情報コントロール権（SEC. 102. Individual Control）
消費者にパーソナルデータへのアクセス手段を提供し、消費者の請求から45日以内の同意撤回権・削除権を与え、利用目的を変更する際には明示的同意の再取得（オプトイン）を義務とする等、消費者に合理的な範囲での情報コントロール権を持たせる

・コンテクストの尊重（SEC. 103. Respect for Context）
コンテクストに沿わないパーソナルデータの分析利用については、第三者機関としてのFTCによる監査・承認が得られた場合に限り可能とする

・明確な取得と責任のある利用（SEC. 104. Focused Collection and Responsible Use）
利用し終わったパーソナルデータについては、合理的な期間内に削除、廃棄、非識別化

・セキュリティの確保（SEC. 105. Security）
内外のリスク分析を行った上で情報セキュリティを確保し、プライバシーアセスメントを定期的に実施する

・アクセス権と正確性（SEC. 106. Access and Accuracy）
SEC. 102記載の権利の具体的手段の提供

・説明責任（SEC. 107. Accountability）
従業員教育等、体制の構築、パーソナルデータ取扱関係者との契約の締結義務等

・執行力の担保（SEC. 201. Enforcement by the Federal Trade Commission）
州検事総長・FTCによる訴追権、課徴金を設定

・自主規制によるセーフハーバールール（SEC. 301. Safe Harbor Through Enforceable Codes of Conduct）
自主規制としての“Codes of Conduct”を作成しFTC承認等を得ることで、本法の一部適用除外を受けることも可能とする

米国メディアも蜂の巣をつついたような状態ですが、法案を評価する声と懸念の声に分かれているようです。主だったところのリンクを貼っておきます。

▼Here’s a draft of the consumer privacy “Bill of Rights” act Obama wants to pass（Gigaom)

▼White House Drops ‘Consumer Privacy Bill Of Rights Act’ Draft（Tech Crunch）

▼White House Proposes Broad Consumer Data Privacy Bill（The New York Times）

▼The White House’s draft of a consumer privacy bill is out — and even the FTC is worried（The Washington Post）

▼Proposed privacy bill protects industry more than it does people（Engadget）


マイクロソフトは早くも、同法案を評価する旨の声明をCPO名義で出していました。

▼White House proposal elevates privacy, transparency discussion（Microsoft）


私の感想としては、パーソナルデータの定義が明確化されるところや、連邦法が出来ることによってマイナーな州法の乱立が避けられるだろう点は評価したいところです。ただ正直なところ、個人の情報コントロール権がこのような形ではっきり書かれるとは、まったくの予想外でした。
一方で、上記リンクの米国内報道でも指摘があるとおり、自主規制（Codes of Conduct）によるセーフハーバールールが企業にとっての「対抗策」（メディアによっては“抜け穴”と評されている）として残されてもいるようですので、そこについては検証を深めなければと思います。


それにしても、日本のパーソナルデータ法制の立法事務局は、こういう米国の動きをきちんと察知できていたのでしょうか。直近の報道などを見ていると、どうもそのようには思えず、そしてまたこの法案を見て右往左往し議論が振り出しに戻るのかと思うと、頭が痛くなってきます。
　

　
2014年末に出された骨子（案）をベースに、各消費者団体・業界団体・行政間での水面下の調整が行われていた個人情報・パーソナルデータ論議の嵐も、政府与党から「個人情報保護法改正に関する提言」が出されたこともあって、この２月半ばになってようやくおさまってきた感じがします。


▼個人情報保護法とマイナンバー法改正案の概要を公表、マイナンバー等分科会（ITpro）

IT総合戦略本部のマイナンバー等分科会は2015年2月16日、開会中の通常国会に提出する個人情報保護法と行政手続き番号法（マイナンバー制度）の改正案の概要を公表した。個人情報保護法改正では「個人情報の定義の拡充」や「利用目的の制限の緩和」という文言が消え、マイナンバー制度では預貯金口座への付番や医療分野での利用範囲の拡大などを盛り込む。

個人情報保護法改正案の概要では、2014年12月のパーソナルデータ検討会で示された骨子案の「個人情報の定義の拡充」が、「個人情報の定義の明確化（身体的特徴や個人に発行される符号などが該当）」となった。

ソースはこちらですね。

▼個⼈情報の保護に関する法律 及び ⾏政⼿続における特定の個⼈を識別するための番号の利⽤等に関する法律の⼀部を改正する法律案（概要）



数年後にEUの十分性認定を取ろうとするには、４の個人情報保護委員会の権限が弱すぎるのでは・・・という将来への懸念もありますが、目先の立法論として残る大きな論点としては１の「個人情報の定義の明確化」がどのようになされるのか、という点に絞られてきたように思います。

この点につき、個人情報の定義は広げないとする報道が散見されるものの、報道後とあるご高名な先生を囲んだ勉強会で伺ったところでは、

• 具体的な定義は保護法本体に書かれるのではなく、政令に委任される
• その政令の定義の粒度としては、身体的特徴＝「指紋データ」や個人に発行される符号＝「パスポート番号」のほか、「携帯電話番号」が列挙される程度には具体的なものになる

というのが事務局サイドの風向きらしいとのこと。ところがこの点、冒頭でもご紹介した政府与党「個人情報保護法改正に関する提言」では、

４． 個人情報の定義（範囲）の拡大は行わないこと。現状においては、個人情報か否かを明確に線引きすることが困難であり、新たなグレーゾーンと萎縮効果を拡大しかねないものである。他方、個人情報とは言えないものの、メールアドレスや携帯電話番号のように、それ単体が本人の意思に反して提供･流通することにより、個人のプライバシーへの影響が小さくないものがあることから、委員会が規定するこのような情報の第三者提供ついては、取扱事業者が自主ルールを定めるなどの対応とすること。

と、メールアドレスや携帯電話番号は「（それ単体では）個人情報とは言えない」「自主ルールで対応」とする立場ですから、まだまだ見解の相違と調整の必要がありそう。


このような中で、改正保護法＋政令で個人情報として列挙するもの／しないもののボーダーラインをどういう基準で仕切るべきか？内閣府の方もいまごろ頭を悩ませている部分だと思います。たとえば、事務局案と政府与党提言とで取り扱いが食い違う「携帯電話番号」ひとつにしても、これを個人情報として政令に明記することは、市民感情としては理解できなくもありませんが、一抹の不安と違和感を感じています。この違和感はどこからきているのかを探るべく、今の私の頭の中の基準を表してみたものが、以下のマトリックスです。

▼変更困難性 × 容易照合性マトリックス



以前「識別・特定 × 容易照合性マトリックス」というのを書いてツッコミを多数頂いたにもかかわらず、また懲りずに同じようなものを作ってしまいました。容易照合性のヨコ軸はそのままに、当該情報と特定個人との紐付きの強さ／切り離しやすさをボーダーラインの一つの基準にしてみてはどうかというアイデアです。列挙している情報項目は、骨子（案）等で例示されていたものから拾ってみました。

生体情報は逆立ちしても変更しようがないので、トッププライオリティになるのは異論がないところでしょう。これに対して、行政から付与される番号なんかは、手続きとコストさえ踏めば変更できるようにすればいいのにという気がします。また、争点の携帯電話番号などは、２年に一度の機種変更のタイミングを少し前倒してついでにMNPもお断りすれば変更できる情報、という見方もできるかもしれません。このように、特定個人との紐付きが解除可能なものについて、どこまで個人情報として法で保護すべきか、という問いになります。
　

そういえば勉強会では、「いちばん大事な部分を法律に定めずに政令に委任してしまうのは、憲法上問題ないのか？」という議論もありました。私は、ある程度のフレキシビリティを法令に持たせるためにその一部を政令に委任するのはしょうがないにしても、保護法の条文上に、政令委任にあたっての考え方・趣旨・委任の範囲を限定する文言は入れていただく必要はあるんじゃないかな、と思います。
　

ネットビジネス・情報ビジネスに携わる法務パーソン必読の書。自分の携わるビジネスが、ここまで幅広く憲法に関わっているのだということを、改めて認識し総点検するために。





松井茂記先生といえば、いわゆる実務書でありながらも当時から先進的な論稿を多く含んでいた共著書『インターネットと法』があります。私も同書には第４版の刊行から５年経った今もお世話になっているのですが、本書はそういった実務書とは趣の異なる学術書の体裁をとります。短期的な解決策やノウハウを求めている方の期待に応えるものではありません。

では、格式張った憲法学の教科書のような内容かというと、そうでもない。プロバイダー責任、フィルタリング、ドメインネーム、ブラウザと市場独占、ポルノやプライバシーと表現の自由といったインターネット創世記から問題となった基本論点を抑えた後は、
・児童ポルノ
・ヘイトスピーチ
・公平な利用（フェアユース）
・政府によるインターネット監視
・国境を超えるインターネット
・ネット選挙
といった、今まさに問題になっているキーワードを次々に取り上げ、良い意味で学問としての憲法学の体系にとらわれずに論じていきます。しかも、その言説はかなり大胆。先生がご専門とするアメリカ・カナダでの議論を踏まえて、両論併記というよりは松井説のみをはっきりと叙述するスタイル。読者としては、首肯しがたい結論もかなり多いでしょう（P365の「何がプライバシーで何が個人情報か」の一節などは、日本の読者も気になる論点であるはずですが、あまりに一刀両断過ぎてドキドキすること間違いなしです）。


こういったスタイルを敢えて採用した理由は、数々の論点が憲法学上の論争にすらなっていない日本憲法学への憂いなのか？議論をしていては間に合わないという焦りなのか？その切迫感は、本書のクライマックスに近づくほど高まり、安易な「グローバル・スタンダード」迎合に対する警鐘へとつながっていきます。P438より。

国際社会でインターネット上の表現の自由やプロバイダーの法的責任について合意が形成されるとは考え難い。また、もし合意が形成されたとしても、それは日本国憲法のもとで表現の自由に対して与えられる憲法上の保護を下回るような基準で合意がなされる可能性が高い。最も自由の保護の低い国の基準がグローバル・スタンダードとなり、インターネット上の表現の自由が著しく萎縮する危険性が高いといえよう。
そうだとすれば、表現の自由の観点からは、各国がそれぞれ自主規制を重視し、域外におけるインターネット上の表現行為に自国の法律を適用することを控えることこそが、インターネット上の表現の自由を確保する上で最も適切な方向性を示すものだということになろう。

たしかに、インターネットが提起する諸問題を解決するには、それぞれの国がかってにその国の法律を適用していたのでは、決して満足のゆく解決は得られないであろう。しかし、表現の自由に対して与えられる憲法上の保護は、国によって大きく異なる。プロバイダーの法的責任についても、国によって考え方に大きな違いがある。このことは、国境を超えたアプローチには、重大な危険が伴うことをも示唆する。国家の揺らぎを理由に、国際的協調を安易に主張することにはもう少し慎重であるべきだろう。

確かに、日本では今、民法（債権法）、著作権法、プライバシー法制、労働法制といった分野でことさらに特定の外国法制を紹介し、「日本だけが世界から遅れている」といった外圧アプローチで法改正の必要性を声高に叫ぶ向きが多いように思います。かくいう私も、「長いもの＝世界の潮流にはいったん巻かれておいて、その上でいち早くビジネスで現実対応するのが得策」と考えがちなタイプであることは、否定できません。

遠いブリティッシュ・コロンビア大学から、日本を憂いてらっしゃるのであろう松井教授のこの警告に、自分の頭で考えることを放棄しているのを見透かされたような、恥ずかしい思いがしました。
　

日経BPの浅川さまよりご恵贈いただきました。 ありがとうございます。





煽り系のタイトルに嫌悪感を持たれる方もいらっしゃるかもしれませんが、本文はこの分野を追いかけ続けている浅川記者と大豆生田記者の手によるものだけあって、内容はいたって冷静な本。

筆者がこの本を企画した動機は、こうしたデータプライバシーの議論について、日本固有の歴史や事例を発掘し、議論の土台として紹介したかったことである。

本書の執筆に当たっては、プライバシーの専門家に加え、100人を超える企業関係者に取材した。「今は消費者がプライバシーに敏感なので、このテーマでは語りたくない」と取材を断る企業が多かった中、取材を引き受け、率直に語っていただいた企業および担当者の方々に、厚く御礼を申し上げる。今後、日本の企業、政府、消費者がデータプライバシーについて議論する際、本書が互いの共通認識を形作る一助になれば幸いだ。

このような趣旨のもと、ベネッセ名簿漏洩／Suica騒動／CCC（Tカード）＆ヤフージャパンによるデータビジネスの３つを中心に、プライバシーが取り沙汰された事件、法改正、活用事例等を丹念に振り返り、世界と日本のプライバシー観の変化を追い、また特に昨年からのパーソナルデータ検討会の議論の過程については細かく描写し、来たる個人情報保護法の大改正を展望しています。プライバシー関連のニュースは意識的に追いかけている私でも、本書で紹介されているもののうち忘れかけていた事件・出来事がいくつかあり、記憶の整理に大変役立ちました。１点、「（現行）個人情報保護法が自己情報コントロール権の考え方を部分的に取り入れたもの」という記述がいくつか見られた（P35など）のは、現行法の法解釈としてはミスリーディングなように思われましたが。


もう１点、出来事が年月を追って順に紹介されているわけではないのが、資料という意味では惜しいなあ…と。

なので、余計なお世話ついでに、本書で紹介されている全事件・法改正のメモを取り、年表形式に編集してみました。こうしてみてあらためて、本書執筆者の取材の丹念さに感服する次第です。

『プライバシー大論争』年表

年	月	内容	本書ページ
17世紀		イギリスで住居が部屋で分かれるようになる	P27
18世紀		産業革命により職場が家庭から工場・事務所へ	P27
1890		アメリカで「放っておいてもらう権利（right to be let alone）」が認められるようになる	P28
1961		「宴のあと」事件、プライバシーという言葉が巨人、大鵬、卵焼きとならぶ流行語となる	P29
1963		核家族が流行語となる	P29
1963		ダイヤル式黒電話「600形電話機」登場	P31
1964		東京地裁がプライバシー権を正面から認める	P29
1967		住民基本台帳法施行	P31
1970		政府自治体による統一個人コード導入議論により、自己情報コントロール権の概念が加わる	P30
1970		名簿業者が電話帳をコンピュータ入力しはじめる	P32
1980		ダイレクトマーケティング理論の本格導入	P32
1980		OECD「プライバシー保護と個人データの国際流通についてガイドライン」採択	P35
1981		警察庁「Nシステム」導入開始	P94
1987		日経社説「情報を伝えるDMが多くて何が悪い」	P33
1989		世論調査「現住所・電話番号は他人に知られたくない」10.9％	P34
1990		クーリングオフ制度の強化	P33
1995		EUデータ保護指令採択	P104
1996		民間信用情報機関の個人情報が社員によって引き出され債権回収業者へ	P33
1998		早稲田大学江沢民講演会出席者名簿事件	P60
1999		京都宇治市住民票データ流出事件	P34、P60
2000	5	EUと米国によるセーフハーバー合意	P108
2002	5	TBC無料体験応募者名簿流出事件	P61
2003	5	個人情報保護法成立	P10
2003		世論調査「現住所・電話番号は他人に知られたくない」42.9％	P34
2004	2	Yahoo!BB加入者記録流出事件	P59
2004	10	APECプライバシーフレームワークに基づく越境執行協力	P143
2005	3	住民基本台帳閲覧による名古屋市強制わいせつ事件	P36
2005	4	個人情報保護法全面施行	P10
2006	11	住民基本台帳法改正法施行	P35
2007	4	経産省「情報大航海プロジェクト」開始	P42
2007	4	ホンダによるGPS情報提供開始	P75
2009	12	警視庁「テロ対策に向けた民間カメラの活用に関する調査研究報告書」公開	P95
2010	2	アン・カブキアンの「プライバシー・バイ・デザイン」がFTCプライバシーレポートに採用	P159
2010	3	経産省「情報大航海プロジェクト」終了	P43
2010	5	総務省「配慮原則」公開	P44
2011	1	世界経済フォーラム報告書「パーソナルデータは新しい原油」	P105
2011	9	カレログ騒動	P69
2011	10	ミログ事件	P41
2012	1	EUデータ保護規則改正案提案	P108
2012	2	アメリカ消費者プライバシー権利章典発表	P108
2012	2	カリフォルニア州司法長官がグーグル・アップル等主要6社とプライバシーポリシー表示について合意	P174
2012	3	アメリカFTC「急変する時代の消費者プライバシー保護」でFTC3条件を提示	P130
2012	7	総務省「スマートフォンプライバシーイニシアティブ」公開	P47
2012	10	アメリカFTC顔認証データのビジネスの応用について勧告	P91
2013	3	NHK「震災ビッグデータ」放映	P71
2013	5	トヨタ自動車「ビッグデータ交通情報サービス」開始	P76
2013	6	アメリカNSAによる職員による私的通信傍受が暴露	P96
2013	7	OECDガイドライン改訂	P109
2013	7	Suica乗降履歴販売騒動	P13、P64、P121
2013	9	政府IT戦略本部（内閣官房）「パーソナルデータに関する検討会」開催	P48、P111
2013	10	NTTドコモ「モバイル空間統計」サービス開始	P74
2013	12	パーソナルデータ検討会の下部組織技術検討WGによる「技術検討WG報告書」が公表される	P125
2014	1	行政手続番号法（マイナンバー制度）での「特定個人情報保護委員会」発足	P113
2014	3	EUデータ保護規則が欧州議会で可決	P108
2014	4	IT総合戦略本部事務局がパーソナルデータ検討会において準個人情報の類型を提案	P138
2014	5	経産省がパーソナルデータ検討会において利用目的規制の緩和を要求	P134
2014	5	総務省「位置情報プライバシーレポート」	P72
2014	6	CCCとヤフーが購買履歴・閲覧履歴を共有する提携	P82
2014	6	内閣官房「パーソナルデータの利活用に関する制度改正大綱」公表	P111
2014	6	購買履歴や健康情報から児童で医薬品をレコメンドする行為が改正薬事法で禁止される	P100
2014	6	ヤフーやDeNAによる遺伝子検査サービス参入	P97
2014	6	ソニー電子お薬手帳サービス開始	P101
2014	7	ベネッセ個人情報漏洩事件	P10、P54
2014	10	東京地裁がグーグルに検索結果の一部を削除するよう命じる仮処分	P183
2014	11	CCCがT会員規約を変更	P78、P148
2014	11	情報通信研究機構大阪駅ビル実証実験騒動	P86
2014	11	欧州議会が米グーグルに対して検索事業の分社化を求める決議案を承認	P173
2014	11	欧州委員会作業部会「忘れられる権利」ガイドライン公表	P182
2014	12	CCCとマイクロアドが属性情報突合で提携	P83
2014	12	全国万引犯罪防止機構「防犯画像の取り扱いに関する見解及び提言」公表	P93
2014	12	内閣官房「パーソナルデータの利活用に関する制度改正大綱骨子案」公表	P111
2015		個人情報保護法改正（予定）	P10ほか多数

保護法の改正については、昨年12月に出された骨子案によって、おぼろげではありますが改正後の姿が見えてきています。一方で、その骨子案に対して、複数の委員からEUの十分性認定やOECDガイドラインへの抵触に懸念が呈されている現状があります。特に、新保先生ら学者筋の方々から批判が集中しているのが、「利用目的変更に関する規制緩和」、いわゆるオプトアウトによる取得後の利用目的の変更を認めることとする規制緩和案です。

パーソナルデータ検討会後半では匿名化のあり方に議論が集中していた中、青天の霹靂のように出てきたこの論点、いつ上がっていたのだろうと改めて振り返ってみると、決して土壇場で突然ねじ込まれたわけではなく、2014年5月時点で経産省がこれを提案していたことが分かります。検討会のメンバーにはあれだけの論客が揃っていたにもかかわらず、経産省の意見がこうして事務局案にスッと入ってしまうあたりに、コンプガチャ騒動後に消費者庁が動いた際にも感じた日本の「行政立法の闇」が垣間見えるような気もします。実際に、この5月のタイミングで経産省に働きかけた事業者が具体的に存在したのかどうかは不明ですが、こういった役人へのロビイング活動が与える影響はやはり大きいのだろうなと感じざるをえません。

本書では、検討会以外に個人情報保護法制の今後に影響を与えるであろう存在として、OpenIDファウンデーション、モバイル・コンテンツ・フォーラム（MCF）、インターネット広告推進協議会（JIAA）といった業界団体とその活動も紹介されています。この辺りキーパーソンを掴まえてきっちりと取材されている点も、本書の素晴らしいところです。我々ビジネスサイドが事実上の立法権を握る行政に影響力を有していくためには、検討会に参加されているような一部の有識者任せではなく、こういった業界団体を巻き込んでの議論をしていくことがますます大切になってくると、私も強く感じています。


法改正までの残り時間も少なくなってきました。事業者としては、骨子案の線で改正・施行されてもビジネスが停滞しないよう、法改正が見込まれるポイントについては先取りで自主規制の強化やビジネスの変更を進めるなど、やれることを粛々とやっていくのみです。
　

サービスの注目度の高さゆえに、利用規約やプライバシーポリシーを変更するたびに世の中から怒られてしまうFacebook。それでもめげずに、またこれらを改定することになったようです。


▼Facebook、利用規約とポリシーを短くインタラクティブに改定へ

　米Facebookは11月13日（現地時間）、利用規約、データポリシー、Cookieポリシーの改定を発表した。現在改定案を提示しており、ユーザーからのフィードバックを受けた後、改定する計画。フィードバックは20日まで送信フォームで受け付ける。
　利用規約は従来より短くなるが、基本的な内容は変わらず、例えば広告主や開発者向けの項目がデータポリシーやプラットフォームポリシーなどに移行された。データポリシーはインタラクティブになり、Facebookがどのような個人情報を収集し、それをどう使っているかが分かりやすくなった。

　Facebookは2012年の米連邦取引委員会（FTC）との和解の条件の1つとして、プライバシー関連の設定を変更する場合は消費者にはっきりと通知して承諾を得ることを義務付けられている。今回の改定は、これまでに導入した新機能に対応した内容への改定となっている。

特に、新しいデータポリシー改定案は見た目も大きく変わっています。どんな感じにインタラクティブなのか、百聞は一見にしかずということで、動きをキャプチャしてYoutubeにアップしてみました。



ご覧のように、左側のメニューをクリックすると、プルダウンメニューのようなかたちで小項目が展開され、その小項目をクリックすると、右側のカラムの詳細な説明に飛んで行く、という作り。二世代前の改定から進めていたインタラクティブな作りを更に推し進めている感があります。

利用規約の改定案の方は依然として一般的な文書のカタチですが、この（一般企業におけるプライバシーポリシーにあたる）データポリシーについては、慣れないと逆に見にくく感じる人もいるかもしれません。また、このようなインタラクティブな作りこみは作成やメンテナンスの負荷もあり、そこそこの企業規模が必要となってくるので、必ずしもこれがスタンダードとはならないでしょう。しかしながら、ブレイクダウンされた項目見出しで一覧性を担保 → リンク先でその詳細について個別説明 というスタイルは、日本の総務省が推奨しているスマートフォンプライバシーイニシアティブのアプリプラポリや、米国商務省電気通信情報局（NTIA）が推奨するショートフォームも採用している構造であり、一覧性と透明性を同居させるための工夫としては、このスタイルがベストプラクティスとして定着したと私は考えます。プライバシーポリシーに関して今このスタイルを取っていない事業者も、今後こういう方向に変更せざるを得ない流れになるんじゃないでしょうか。


ちなみに、上記キャプチャ動画で見に行っている「デバイス情報」の項目は、スマホ時代におけるプラポリの書き方の中でも、どこまで詳細に書くべきか実務家が頭を悩ます一大論点です。この点、Facebookの今回の改定案のまとめ方は、なかなか興味深いものとなっています。

デバイス情報。
Facebookサービスをインストールしてあるコンピュータ、サービスへのアクセスに使用するコンピュータ、携帯電話、その他のデバイスからの情報や、それらについての情報を、利用者が許可した内容に応じて収集します。複数のデバイスを使用している場合には、収集した情報を関連付ける場合もあります。デバイスが異なっても一貫したサービスを提供するためです。収集するデバイスの情報を以下に例示します。

OS、ハードウェアのバージョン、デバイスの設定、ファイルやソフトウェアの名称と種類、バッテリーや信号の強度、デバイス識別子などの属性。
GPS、Bluetooth、Wi-Fiなどの信号から特定できる地理的位置を含む、デバイスの位置情報。
携帯電話会社やインターネットサービスプロバイダの名前、ブラウザの種類、言語とタイムゾーン、携帯電話番号、IPアドレスなどの接続情報。

現行データポリシーではやや曖昧な書き方にされていたところですが、今回の改定案から、電話番号やIPアドレスなどの接続情報とGPS等の位置情報を「デバイス情報」の下位概念に置いているんですね。これは新しいんじゃないかと。そして、アプリという語句を敢えて使わず、「サービスをインストールしてあるデバイス」という表現ぶりを編み出しているあたりも、参考になります。
　

　
アドテクとパーソナルデータについての勉強会に出席。

いわゆる“クッキー（cookie）”が、ネット広告エコシステムの中で広告主／広告メディア／エンドユーザーの間をどのように流通し取り扱われているかについて、過去アドテク企業で働いたご経験をお持ちの法務パーソンから、お話を伺いました。その勉強会のお話の中で、特に私が興味を抱いたのがこの図（発表者の方に掲載許可を頂きました。ありがとうございます）。


ネット広告エコシステムの中には、ネット上の様々なサーバーに蓄積されたビッグデータやサイトのログデータなどを一元管理・分析し広告配信の最適化を実現するDMP（Data Management Platform）という存在がいます。そして、このDMPに対し、表示する広告の最適化を目的に、エンドユーザーが使うブラウザのクッキーをKeyにして属性情報に関する問い合わせを行うのが、DSP（Demand-Side Platform）とSSP（Supply-Side Platform）です。そしてそのDSP/SSPは、DMPからの属性情報照会結果（DMPデータ）を使って、RTB（Real Time Bidding）＝広告枠の入札／応札を行います。さて、ここで問題となりそうなのが、DSP/SSPがこのDMPデータを意志を持って溜め込んだ場合、個人情報保護法違反またはプライバシー権侵害とならないと考えてよいか？という論点です。

勉強会出席者（主にアドテクではない法務な方々）からは、

・DMPが提供している個々のDMPデータ自体は個人データではないから、第三者提供にもならない
・それをDSPやSSPが溜め込んでも、容易照合性はないだろう
・仮にDMPデータの集積から特定識別できたとしても、個人側に具体的な損害がないのでは
・そもそも、広告事業者側にDMPデータを溜め込むインセンティブはあるのか
・結局は、自己情報コントロール権みたいな話でしょう

と、総じて「それほど問題はないのでは」という反応でした。アドテクに使われているパーソナルデータが内包しうるプライバシー性は理解しつつも、保護法で定義される個人データとは一致しないというところに、これを保護・規制しようとする流れには直ちには首肯できない、といった様子（出席者全員がそうだったわけではありません）。

その一方で、少なくともEUの一般データ保護規則提案では、このような論点が「プロファイリング」問題として取り上げられ、すでに規制される流れになっていると私は認識しています。以下、石井夏生利先生の『個人情報保護法の現在と未来』より引用。

　第20条「プロファイリングに基づく措置」は、現在のネットワーク社会におけるプライバシー・個人情報保護の問題を捉える上で重要性を増している。この権利に違反した場合も、異議申立権違反と同様、最も思い行政的制裁が課せられる（第79条6項（d）号）
　第20条は、次のように定めている。

「１　すべての自然人は、当該自然人との関連で法的効果を生じさせ、又は当該自然人に重大な影響を与える措置であって、当該自然人に関連する一定の個人的側面を評価し、又は、とりわけその自然人の業績、経済状況、位置、健康、個人的嗜好、信頼性若しくは行動を分析又は予測することを意図した自動処理のみに基づく措置に服さない権利を有するものとする。」

　第20条は、自然人に対し、コンピュータ処理を手段としたプロファイリングに基づく措置に服さない権利を有する旨を定めている（1項）。ただし、（a）契約の締結又は履行の過程において実施される場合であって、それがデータ主体の求めによるか、適切な安全保護措置が提示されたものである場合、（b）EU法又は加盟国の法が明示的に権限を付与し、データ主体の適法な利益を保護するための適切な措置を定める場合、（c）データ主体が同意した場合であって、同意の条件を満たし、かつ適切な安全保護措置を講じた場合は適用除外される（2項）。しかし、その場合でも、管理者は、特別な種類の個人データのみに基づく評価を行ってはならない。また、2項の場合にデータ主体へ提供すべき情報には、プロファイリングに関する措置を講じるための取扱いの存在や、当該取扱いがデータ主体に与え得る影響等が含まれる（4項）

また、米国でも、雇用や信用情報をプロファイリングし販売していたSpokeoに対してFCRA（公正信用報告法）違反で罰金を課した実例があります。


発表者の方曰く、

「DMPデータは鮮度も重要なので相当な頻度で更新されているので溜めたところで使えないだろうし、DSP/SSPも、法律に触れないにしてもDMPデータは蓄積すべきではないという考えはもっていて、ほとんどの事業者がプロファイリングを目的としたデータ蓄積はしていないはず。」

とのこと。そうだろうなと思いつつも、例えばヤフージャパンさんのような、大きな集客メディアと人気ある広告枠を持っている企業が、尖った属性情報を持つデータアグリゲーターと提携し、容易照合性が疑われるようなことがあると、日本でもこの論点がもう少し注目を集めることになるのかも。と、ここまで書いて、ヤフージャパンさんが最近データアグリゲーター大手と提携されていたことを思い出したり・・・。


このプロファイリングというキーワード、日本のパーソナルデータ検討会では継続検討課題として大綱にはかろうじて入っているものの、議事次第を追跡すると、鈴木委員以外の委員からは規制をかけることにネガティブな意見が相次いでいた部分でもあり、優先度が低いテーマになっているように見受けられます。が、名簿屋規制というパンドラの箱まで開かれた今、バズワードに育つのも時間の問題のように思われます。

広告という商業活動に無縁な事業者など皆無なだけに、なかなかにヘヴィーなテーマです。