企業法務マンサバイバル

ビジネス法務に関する本・トピックのご紹介を通して、サバイバルな時代を生きる皆様に貢献するブログ。

_情報法務

【本】『EU一般データ保護規則』 ― GDPRの完全日本語版逐条解説+EUデータ保護指令先例集

 
プライバシー法の研究者として、近年は「忘れられる権利」に関する発信や著作でも目立っていらっしゃった宮下紘先生による、「額に汗」の結晶ともいうべき一冊。


EU一般データ保護規則
宮下 紘
勁草書房
2018-05-26



このタイミングで、EU・米国・日本のプライバシー法に詳しい専門家によるGDPRの日本語訳と逐条解説が読めるというだけでもありがたいわけですが、本書の見どころは、これまでに発生したEU各国におけるプライバシー紛争の判決やガイドライン等が徹底的に集められている点にこそあります

GDPRには、約20年にわたり積み重ねられてきたEUデータ保護指令における経験が反映されている。GDPR適用後も、従来通りに個人データの実務を行うに過ぎず、特に国内に大きな変化が生じるわけではないとドイツの専門家がしばしば口にするのはそのことを示している。GDPRを理解し、これに対応するためには、単にGDPRの条文を見るだけでなく、20年間以上にわたり蓄積されたEUと加盟国のデータ保護の実務も同時に理解する必要があろう。(P380-381)

あとがきでもこのように述べられているように、逐条解説部分ではGDPRの翻訳とポイントを適示するにとどめるなど著者独自の解釈は控えめに、

C04AB82C-76C5-4450-B236-EEC506E3A8C0


各条文ごとに、EUデータ保護指令時代からの各国での法令、判決、ガイドラインでの言及等が、著者の手によって細やかに収集されています。

70947949-7B5A-4794-99CC-DFA8490E9AC184526A37-FC44-4DDD-8DBA-BA3B3DC1DE6D


上記の同意の条件に関する部分の他にも、何を読んでも抽象的な記述にとどまり要件がはっきりしないDPO選任における専門性要件の水準について、
  • ハンガリー 「情報決定権および情報公開に関する法律」第24条
  • ルクセンブルク 「個人データの処理に係る個人の保護に関する法律」第40条7項、9項
といったところまで収集し、その基準の参考情報を示してくださっています。ここまで網羅している文献は本書以外には見当たりません。

これまで出版されたGDPR本は、情報の取得→利用→管理→漏洩対応といった企業における実務フローに沿ってGDPRを解説する文献がほとんどでした。これはビジネスを組み立てていくフェーズや各論で緊急を要する場合には大変役に立つものです。一方で、具体的な法的イシューについて深く検討する際のデータベースとしての情報の検索性や網羅性という観点では、やはり本書のような逐条で整理された書籍に軍配が上がります。

言うなればGDPR版の判例六法プロフェッショナル&コンメンタールであり、結果的にEUプライバシー法全体のリファレンスブックにもなっている本書。GDPRが適用されない限定的な事業を行っている企業に在籍していたとしても、プライバシーに関わる業務を担う法務パーソンには欠かせない一冊となるでしょう。


それにしても、翻訳書を含めた憲法・プライバシー分野の刊行物では、勁草書房さんのご活躍がずば抜けて目立っているように思います。インターネット分野で長年飯を食うものとして大いに助けていただいており、感謝しきりです。
 

【本】『欧州GDPR全解明』 ―「実はまだGDPRを十分理解していない90%」からの脱却


インターネットイニシアティブ(IIJ)のコンサルタントお二方の執筆によるGDPR解説書が出版されました。





本書の特徴は、今企業で行なわれている実務を図や表で整理・例示しながら、「こういう場面のこうした業務でこうした目的での情報処理を行う場合は、GDPR第◯条の規制を受けますよ」と解説してくれる、実務ベースからのアプローチにあります。

88A172F0-1691-4B81-B9AE-11DC3079790B


法律を体系的に学ぶことが好きな方にはあまり好まれないアプローチかと思います。この方法ですとどうしても条文に正確な理解には遠回りで、抜け漏れも発生しがちだからです。一方で、まだまだGDPRに関する対応の現状を見ていると、自社がGDPRに対応する必要があるのか、あるとしてどの程度の業務影響があるのかを把握したいという段階の読者の方が多いはずです。

その証拠がこれ。先日、トレンドマイクロから「GDPRを十分に理解しているビジネスパーソンは、法務部門責任者でさえ10%を切る」という衝撃的なアンケート(EU一般データ保護規則(GDPR)対応に関する実態調査)結果が公表されました。日本の法律ではないものに対して騒ぎすぎ・反応しすぎも良くないのですが、とはいえここまで関心が低かったのかと驚いたのも事実です。

7D4E15D6-3C9C-422F-8E18-C5DAA535F966


こうしたフェーズにいる多くの方にとっては、抽象的な条文の解釈論を深く解説されるより、具体的なビジネスシーンや行動に当てはめた解説をしてもらったほうが実感が湧きやすく、なんとなく分かった気になるよりはよっぽどマシでしょう。

E7B8E4CF-5033-4C57-A9EC-9A3E3E969B65


著者の立場上、特に後半のまとめに近づくにつれて、IIJのGDPRコンサルティングサービスに誘導しようという思惑がどうしても見えてしまうところはあります。その分を割り引いても、コンサルタントらしいビジネスパーソンに刺さるプレゼンテーションでの解説は、すでに弊ブログでもご紹介済みの法律家の手によるGDPR本2冊を補完するものとして、価格相応の価値はあると感じました。また、「十分に理解している10%」の方にとっても、社内で行うことになるであろうGDPR研修のネタ本として利用されるとよいのでは。


先程紹介のアンケートにもあるとおり、GDPRについてはこれだけ長い準備期間があったはずにもかかわらず、昨年の個人情報保護法施行対応にもかき消され、結果、情報も不足気味という印象があります。本書のようなわかりやすい当てはめを伴った解説や情報が少なく、危機感を煽られなかったのも、その原因の一つかもしれません。弁護士の先生方にとってもそれは同様のようで、クライアントからのGDPR対応相談は増えたが回答は見合わせている、とおっしゃる法律事務所は少なくありません。

いよいよ、施行日である2018年5月25日が到来するわけですが、中小・ベンチャーの経営者・法務担当者としては、先行する大企業の実際の対応ぶりを見て学び、こうした書籍で知識を肉付けしながらキャッチアップしていくほかなさそうです。

【本】『Q&Aで学ぶGDPRのリスクと対応策』― 十分性認定だけでは十分とは認めてくれない世界の潮流

 
GDPR施行1カ月前にして、ようやく、条文の解説や要約・ポイント解説にとどまらない、実務レベルで役立つ文献が公刊されました。





「GDPR」というキーワードに引っかかる書籍、専門誌記事、ネット記事等は一度は目を通すようにしていましたが、
  • GDPRの条文の組み立てに沿って逐条解説またはその要約をしたもの
  • GDPR施行後の制裁リスクが高いポイントに絞って実務対応をピンポイントで指南するもの
この2つのいずれかだったと思います。昨年ご紹介した『日米欧 個人情報保護・データプロテクションの国際実務』は前者にあたりますし、「ビジネス法務」「ビジネスロー・ジャーナル」などの解説記事はほとんどが後者にあたります。

一方本書は、企業目線での疑問や不安に対するQ&Aという形で情報を整理し、各条文・ガイドラインをまたがった理解・解釈が求められるポイントについて、横断的に目配りを利かせたアドバイスを提供する本となっています。

BF3D5216-6604-4192-8C41-866889BC39DE0FFCEF63-93A4-4A76-88BF-C50AC6209B15


過去何度か、Q&A形式の書籍に対する批判的なコメントをした自覚がありますが、本書については、著者が述べたい・述べることができるAnswerを書くためにしらじらしいQuestionを立てるといったことがなく、本当にGDPRを知らない企業が思いつくであろうQを思いつくであろう順に網羅しています。また、Answerの中でより細かい法律的・実務的解説が必要な場合は、さらに後ろにその細かいQ&Aを立ててリンクを張るなど、前から順に読んでいっても自然と理解が深まっていくような、そんな配慮がなされていることが感じられました。これはこの手のQ&A本でよく採用される共著分担式ではなかなか実現できないことです。加えて、著者中崎先生自身が本書刊行までの期間、多数の企業からの度重なる調査依頼に実際に応えていらっしゃったことも伺わせます。

ところどころでGDPRと日本の個人情報保護法の義務の具体的な差異について比較がされている他、VI章以降では、個人データに関する規制の世界的動向(韓国・インドネシア・ベトナム・ロシア)に触れ、さらには同じEUのルールでもまだ未施行のe-Privacy Regurationについてまで言及している点も圧巻です。日本でも少し遅れて夏ごろに発効される見込みと報じられた十分性認定に甘えることなく、GDPRを積極的に遵守する体制を整えていくことが、結局はこれからの企業のグローバルでの競争力を高めていくことにつながる、ということを強めに述べています。

十分性認定で何が変わるのか、変わらないのか

まず、越境移転規制以外の規律は、十分性認定による影響を受けない。さらに、注意すべきは、越境移転規制の中でも、EU・日本間の十分性認定によりカバーされるのは、EUと日本の相互間の越境移転に限定される点である。たとえば、EUだけでなく、東南アジアにも展開している事業者であれば、EUからの個人データの移転先は日本の支社だけとは限らず、東南アジア各国にも移転している可能性があるが、日本・EUの相互認証によっては、EUから東南アジア各国への移転はカバーされず、依然として越境移転規制の対象となる。(P344-345)


さて、本書の感想とは少し離れて、GDPRの施行が近づくにつれバタバタとしている中ではありますが、少し注意したほうがいいのかなと思っているのが、GDPRをいかに上手に遵守しようとも、EUの原則的スタンスとしては、「EUから個人情報を持ち出すな(移転禁止)」であるという点です。

EU域外に対しても法的執行力を担保しようと、EU域内に代理人を設置するところまで強制し、応じなければ世界の潮流から乗り遅れるというムードまでしらっと醸成しているGDPR。素直にうまいなと感心はしますが、個人からの同意を前提とした情報収集の自由や、国家間の政策・法制度・企業競争力にまで大きく影響を及ぼしているのも事実。今後さらに義務を強化することもあり得ない話ではありません。

個人のプライバシーは尊重しつつ、特に域外適用という点については、他の国が立てたルールに盲目的に従い続けていていいのか、疑問も感じるところです。
 

一般社団法人情報法制研究所による「著作権侵害サイトのブロッキング要請に関する緊急提言の発表」について

 
一般社団法人情報法制研究所(JILIS)研究員として、ほぼ初めての発信になります。

本日、JILISより、「著作権侵害サイトのブロッキング要請に関する緊急提言の発表」を行い、私も末尾の賛同者として名前を出させていただきました。

ぜひご一読をいただき、皆様にもご賛同を賜れれば幸いです。


著作権侵害サイトのブロッキング要請に関する緊急提⾔の発表

08


私のキャリアの始まりは、通信事業者でした。そこでは、当たり前かもしれませんが法務だけでなく社員全員が、憲法および電気通信事業法に定める「通信の秘密」の重要性を認識し、日々業務に携わっていました。

「電気通信サービスを提供する当社からの請求書の宛名が郵送時に見えてしまうことは、通信の秘密を侵すことにならないのか?」
「請求書添付の明細に通信相手先会社名、接続開始時間が記載されることについてはどうか?」

法律の専門家ではない一般社員が、このような請求書のディティールまでに気を使い、真剣な顔で法務に持ち込み確認をとってビジネスを進める姿を見て、大学時代に憲法すらろくに学ぼうとしなかった自分を恥じるとともに、自社のビジネスが基本的人権という重要なものに関わっていることを再認識させられました。

その後も、ITに関わるビジネスを転々とする中で、そこで交わされる通信ログに関する捜査機関からの協力要請を受けた際などには、職業人としての本分や立場をわきまえつつも、通信の秘密の重要性を人一倍考え、上席に対応方針を提案してきたつもりです。


様々な手段で防御・回復可能かつ一部の著作権者にとどまる財産的損害およびそのおそれよりも、国民全体の通信の秘密(具体的には、通信が知得・遮断されない自由・通信を通じて情報を摂取する⾃由)が保障されることを重要視すべきだと考えます。


著作権者の財産的損害と通信の秘密とを比較し、それでも前者を優先すべきだと言うならば、納得できるだけの損害発生の事実、そして脅かされる人権を保障するための策を、特定の知識人や弁護士によってではなく、著作権者本人が自分の口で説明いただければと思います。
 

【本】『個人情報保護法の解説《第二次改訂版》』― 本家本元「ピンク本」が13年の時を経てついに改訂

法改正による個人情報保護法本の新刊ラッシュがひと段落するの待っていたかのような、王者の風格漂うタイミングでの登場となりました。実務に携わる者にとっては必携の書です。





著者の「個人情報保護法制研究会」とは、まさに平成27年改正法の立案を担当し、そして運用の監督権限を司ることになる、個人情報保護委員会事務局の皆さんのこと。もちろんそれぞれの個人の私的な見解とは言え、主務大臣に代わり委員会が権限を持つことになったこの運用フェーズにおいては、本書に示された解説をベースに検討すべきなのは間違いありません。

ちなみに、前著『個人情報保護法の解説《改訂版》』は、業界人からは「ピンク本」と呼ばれ、宇賀本・岡村本のような自説記載を含んでいない点、業界では信頼のおける文献として重宝されていました。といっても、発刊当時の2005年時点は私はまったく注目していませんで、保護法改正の機運が高まりはじめた2012年ごろにあわてて中古で購入した記憶があります。

AF57C2F2-2B10-4FB5-9618-BFF94CDE94DB


その《改訂版》と比較すると、まず一見してデザインががらっと変わっています。ハードカバーで扱いにくかった表紙もソフトカバーに代わり、ページ数は570ページを超え前著比プラス200ページほど増加しています。書体やレイアウトは少し現代風になり、より読みやすい印象です。

特に、実線で罫囲みされた条文の下に趣旨があり、その条に関係する施行令・施行規則の条文が点線囲みで引用された構成が使いやすく、気に入っています。委員会作成のQ&Aまではリファレンスされていませんが、逐条解説の文章の中で十分にその趣旨が織り込まれているので、コンメンタールとしてはここは割り切って正解だったと思います。また、図表が少し少なめな印象がありますが、前著と比較してみると、あまり図式化する意味のない図、たとえば一方通行なフローチャートなどを積極的に削除したフシがうかがえ、これも良い改訂ポイントだと思います。

2B32D074-33E4-4746-B60F-E73C813266BE
4A68E5A9-3746-4A85-B135-07B865462934


また逐条解説パートにおいては、改正による影響があった部分には必ず書き出しに「平成27年改正により」とあり、改正のなかった部分との区別が明瞭になっています。改正内容をもういちど頭に入れたいという方にとっても、この部分を丹念に追っていけば事足りるはずです。

何より驚いたのは、その改正の影響を受けていない条文についての解説は、時折挙げられている例示も含めて、一言一句《改訂版》から変化なしと言って差支えないほど前著のままとなっている点です。これはつまり、個人情報保護法の本質は何も変わっていないということの証左であり、あわせて、前著《改訂版》がいかに信頼できる完全なものであったかを示してもいます。ピンク本もそれはそれで取っておくつもりだったのですが、ここまで踏襲していると、安心して電子化(自炊)送りにできますね。

(余談ですが、この差分を精査している作業中、28条の保有個人データ開示義務を解説しているP237において、「開示を請求された保有個人データが存在しないという情報も重要な情報であることから(略)存在しない旨を本人に通知しなければならない。」という解説が前著になかったのを見つけ、「お、これは委員会の独自見解か?」と思ったのもつかの間、法28条3項の条文自体に新たに加えられていた当然の義務であることに気づいた次第です。恥ずかしながら・・・。)

第4編として、藤原先生によるGDPRについての解説がありますが、これは本当にさわりの紹介程度です。GDPRについては別途文献を参照して対応を検討されることを推奨します。

なお入手に当たっては、ぎょうせいのtwitterご担当者さまに便宜を図っていただき、発行間も無く入手できました。その節は誠にありがとうございました。

【本】『日米欧 個人情報保護・データプロテクションの国際実務』― 待ってましたの三法一覧

 
企業において、個人情報保護のグローバル対応とは、結局何をどこまで準備すればいいのか?専門家が皆答えに窮し逃げていたこの問いに答えようと、一冊で日米欧のデータ保護規制を俯瞰できるようにした、とても便利な書籍が出ました。

 



日本での個人情報保護法施行のドタバタ劇が一段落したのも束の間、2018年5月25日のEU一般データ保護規則(General Data Protection Regulation:GDPR)適用開始日が近づいてきました。EUから個人データをEU域外に持ち出す場合、個人データ保護のための厳しい義務をEU域外企業が個別に守らなければならない。それを定めているのがGDPRです。ネット上で無料で入手できかつ信頼できる情報源としては、JETRO作成の『実務ハンドブック』がありますので、リンクを張っておきます。

▼「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月)
https://www.jetro.go.jp/world/reports/2016/01/dcfcebc8265a8943.html
▼「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(実践編)(2017年8月)
https://www.jetro.go.jp/world/reports/2017/01/76b450c94650862a.html


このGDPRについては、先行き不透明な話があります。EUが、個人データ保護レベルについての「十分性認定」を日本に対してしてくれるかどうか、という問題です。この「十分性認定」があれば、EU/日本間の個人データの流通が認められ、企業単位の対応は軽減されます。この行く末が気になるわけですが、今年7月に「認定が得られそう」と報じられて以降、音沙汰がありません。

万が一、2018年5月までに十分性認定が得られないとなった場合、企業が自己の責任と負担でGDPRを順守できる状態(具体的には、「標準契約条項(Standard Contractual Clauses:SCC)」、あるいは「拘束的企業準則(Binding Corporate Rules: BCR)」のどちらかに従った状態)にしなければ、当該企業にペナルティが課されるリスクが発生します。

そんなわけで、対策に予算がつく大手企業は別として、多くの企業の法務担当者や情報セキュリティ担当者としては、「企業として、とりあえずGDPR対策に何をどこまで最低限準備しておいたらいいのか」と不安を抱えている状態なのでは。本書は、その不安に応えるべくGDPRを解説するとともに、なんとUSの個人情報保護法制の解説も(州ごとに異なるため可能な範囲でという限定付きではありますが)加え、日本企業が個人データ保護をグローバルレベルの基準で満たすため何が必要か、まとめてくれています。

C0AE14BE-F4E4-40AF-8728-90424A5AA29B9907F463-6F81-4FF9-9B4E-95313C0DBB88


本書全体の構成は、
第吃堯‘米欧の法制度
第局堯‘米欧の実務上の留意点
第敬堯.院璽好好織妊
の3部。

特に第3部のケーススタディは、
・クラウドサービスを利用して個人データを保管・管理する場合の規制
・モバイルアプリを通じて個人データを取得する場合の規制
・ウェブサイトで行動ターゲティング広告を行う際の規制
・グローバルなグループ会社の従業員情報を一元的に管理する場合の規制
のように、早速直面するであろうケースではあるがはっきりと答えが用意されていない実務的なポイントについて、日本・EU・米国の規制それぞれを分析・解説しており、大きな見どころかと思います。


なお念のため、米国法については連邦法の概説にとどまり、州法については一部言及があるのみにとどまります。それでも、COPPA、GLBA、FCRA/FACTA、HIPAA/HITECH、GINA、Privacy Act of 1974、VPPA、FERPA、DPPA、FTCAといった連邦法がまとめて日本語で解説されている文献は類を見ず、これだけでも非常に価値の高い文献と言えます。


本書の「はじめに」で、著者代表の長嶋・大野・常松法律事務所 森 大樹弁護士が、

実務家による類書がないことを熟知していたので、その責任の重さに躊躇する気持ちがなかったといえば嘘になるかもしれない。

と素直な心情を吐露されています。誰もが逃げていたその作業を率先してチャレンジしてくださり、このような書籍のかたちにしてくださったことに、深く感謝します。
 

【本】『いちばんやさしい人工知能ビジネスの教本』― AI法務の種明かし


表向きまったく法律実務書の匂いはしないにもかかわらず、開いてみれば、勃興するAIビジネスの事例をたくさん紹介しながら、そこに潜む法律問題とリスク・責任について、現行法上の結論だけでなく分析のフレームワークから手取り足取り教えてくれる本でした。これからAI系新規事業開発をサポートしようとしている法務パーソンにとっては、神様のような“教本”です。

それもそのはず、本書は、私が企業法務パーソンにとっての基本書の1冊として推す『事業担当者のための逆引きビジネス法務ハンドブック』の著者のお一人 経営共創基盤パートナー 塩野誠さんと、同社弁護士 二木康晴先生の御著書なんですね。





人工知能によって権利を得または義務を負うとき、人工知能自身に法人格を認めてそれらを帰属させるべきか、それとも管理利用をしている人に帰属させるべきか?日本においても知的財産戦略本部をはじめすでにいろいろなところで議論がなされているところです。まだそういった基本的な部分さえはっきりとした結論が出ていない中だからこそ、法務パーソンは開発・推進をサポートするために現行法に基づく見解・解釈を出し続けなければならない苦しい立場に置かれます。

苦しいと言いましたが、それは新規事業・ベンチャーをサポートする法務パーソンの醍醐味でもあるでしょう。また、そういった活動を通じて得た経験をもとに、法律はどうあるべきかを意見していく側にまわるチャンスでもあります。

ですが、AIの法務に関しては、本書によってそのおいしいところの種明かしがほとんどされてしまった気がします(苦笑)。しかも、
・AIによる自動描画・作曲
・ディープラーニングを使った顔認証の精度向上
・ビッグデータによるマッチング&レコメンド
といったソフトウェアビジネスのリスクだけでなく、ハードウェアビジネスであるところの
・(車の)自動運転
・ドローン
の法的リスクまでをカバー。いま世の中で話題になっているようなAIビジネスは、ほとんど取り上げられています。AIビジネス先進国の米国でも、このような書籍はそうそう見かけません。このスピードでなんでもノウハウが開陳されてしまう日本の書籍文化恐るべしです。いや、このスピードでまとめあげてくださった著者のお二人に感謝ですね。


著者も本書で繰り返し述べているように、AIの法律論に結論は出ていないといっても、基本的には通常のビジネスと同じようにポイントを押さえて進めていくしかありません。冒頭述べたとおり、本書のすばらしさは、単に事例紹介とその分析だけでなく、法的リスク検討の基本フレームワークについても丁寧に解説されている点にあります。法務部門を持たない企業・経営者にとっても、弁護士等専門家に相談を持ちかける事前整理をするのに、大変に参考になる一節です。

IMG_AIkyouhon


2000年初頭のインターネットビジネス勃興期がそうであったように、AIビジネスの勃興は、法務の領域が混乱とともに拡大するフェーズになると思われ、そんな時代に法務に携われるのも一つのチャンスです。「AI法務の種明かし」と少しおちゃらけた言い方で本書を評してしまいましたが、基本となるフレームワークを押さえながら未知の事業領域の法務業務に携わることで、日々の経験が確実に糧となり、将来に通用する実力を身につけられるものと思います。
 

【本】『プライバシーなんていらない!?』― 利益衡量の前提を履き違えると、プライバシーは容易に安売りされる

米国におけるプライバシー法の第一人者であるダニエル・J・ソロブ教授が2011年に書かれた“Nothing to Hide"が、6年経ってようやく日本語で読めるようになりました。


プライバシーなんていらない!?
ダニエル・J. ソロブ
勁草書房
2017-04-28



2011年当時の私といえばプライバシー研究に燃えていたころで、ソロブの著書も4冊すべて原書で読んでいました。ところが、本書の原書“Nothing to Hide"については、他の3冊とくらべてどうも文体が読みにくく、紹介されている個々の視点や事例は参考にしながらも主題を理解できている自信がなかったため、ブログに紹介記事を書けずじまいだったのを覚えています。原文に忠実に訳してくださっている今回の日本語訳を読んで、案の定、タイトル“Nothing to Hide(やましいことは何もない)"に込められた主題を理解できていなかったことが確認でき、あの時へんな記事をUPしなくてよかったなあ・・・と胸をなでおろしている次第です。

IMG_8505

政府が個人情報を収集・分析するとき、多くの人は「心配しない」と言う。「やましいことは何もない」と彼らは言い放つ。「政府による個人情報の収集・分析を心配すべきなのは誤ったことをしている場合に限られるし、その場合にはそれを秘密にしておく価値はない。」。(P23)
裁判所、立法者その他の者がプライバシーが何を意味するのかを理解することに失敗しているがゆえに、多くの場合、プライバシー問題を対抗利益と適切に衡量することができないでいる。
パーソナルデータの収集・使用により発生する問題を記述するために、多くの論者は、ジョージ・オーウェルの『一九八四年』に依拠したメタファーを用いる。オーウェルは、ビッグ・ブラザーと呼ばれる政府により統治された凄惨な全体主義的社会を描く。ビッグ・ブラザーは、執拗に市民を監視し厳しい規律を要求する。このオーウェルのメタファーは、(禁止や社会的コントロールのような)監視の害悪に焦点を当て、市民に対する政府の監視を記述する傾向にある。しかし、コンピュータのデータベースで収集されるデータの大半は、(略)他人がこの情報を知ったとしても、人々は抑圧されたり、困惑したりしないと常にはいいきれなくとも、多くの場合にはそうであろう。
違うメタファーのほうが、よりよくその問題を捉えている。フランツ・カフカの『審判』である。カフカの小説は、逮捕された男に焦点を当てるが、なぜ捕まったのかの情報は与えられない。彼は必死になって何が彼の逮捕をもたらしたのか、彼にふりかかろうとしているのが何であるかを解明しようと試みる。秘密裁判所の組織が彼に関する事件記録を保有しており、彼を操作していることは分かるが、彼はそれ以上知ることはできない。(略)カフカの作品に描かれたメタファーにより描写される問題は、監視により引き起こされる問題とは異なる種類のものである。それらは、しばしば禁止をもたらさない。それは情報収集ではなく、データの貯蔵、使用、分析といった情報処理の問題である。それは、人々と近代国家の組織との間の力関係に影響する。その問題は、孤立感や無力感を生み出して人々を苛立たせるだけではなく、人々がその生活に関する重大な判断を行う組織との間で有する関係性の種類を変更することにより社会的構造にも影響を与える。
法的・政策的解決は、オーウェルの作品のメタファー(監視)の下のにある問題にあまりにもフォーカスし過ぎており、カフカの作品の問題(情報処理)に適切に対処できてない。実際にはデータベースと監視は異なる問題であるのに、論者たちが、データベースにより引き起こされる問題を監視の問題として把握しようとすることに、難点がある。(P28-29)
やましいことは何もない論のより深刻な問題は、近視眼的に、秘匿の一形態としてプライバシーを見ることにある。(略)プライバシー問題には、オーウェル的なものだけではなく、カフカ的なものも含まれるのである。政府の情報収集の問題【はっしー注:原文ママ。こちら原書P27の応当部分を確認したところ、“Government information-gathering programs”とあり、“problem”(政府の情報収集“の問題”)と“program”(政府の情報収集“プログラム”)を誤訳しているように思われます。】は、人々が隠したい情報が暴かれなかったとしても、問題性を秘めている。『審判』において、問題は行動の抑制ではなく、裁判所の組織がパーソナルデータを使用したり、主人公に対してその手続きを認識し、参加することを否定したりすることにより生み出される、息の詰まるような無力さや脆弱性である。その害悪は官僚主義的なもの――無頓着、誤謬、濫用、失望、透明性及び説明責任の欠如である。(P30)

プライバシーの「監視」の側面だけを捉えてしまうと、テロなどから国家・国民の安全を確保する必要性に鑑みれば政府に対してそれぐらいの個人の不自由は許容すべきだ、などと安易に考えてしまいがち。しかし、監視・収集後に行われる情報処理においてコントロールを失うことの怖さにも思いをはせるべきであると。

プライバシーの利益衡量にあたって重要な前提となるこのポイントを認識した上で初めて、
・憲法修正4条
・傍受法
・保存通信法
・ペンレジスター法
といった憲法・制定法で保障されているかのように見えて実は抜け穴だらけとなっているプライバシー権の具体的な弱点が、グサグサと突き刺さってきます。第19章(P222)には、「政府がテロリストらしき者のプロファイルを作り、それをもとに乗客が空港で特別な審査を受け、飛行機に乗る機会を拒否されたら」という例え話が出てきているのですが、実際に2017年1月にアメリカでこれに近いことが現実に行われたことを考えても、まさにソロブの懸念は的中しており、プライバシーに関する制定法すらない日本においては、まったく他人事とは言えないだろうことが実感できます。

また、翻訳書のお楽しみの一つが、その書籍のエッセンスを要約してもらえる訳者あとがき。訳者のおひとりである大島義則先生は、本書の解説にとどまらず、“Understanding Privacy”(日本語訳『プライバシーの新理論』)の内容をも簡潔にまとめてくださっており、この部分も価値の高いものとなっています。


本書のプライバシー論は、基本的には政府対国民という視点で書かれているものの、これを企業とユーザーに置き換えても、考えさせられる論点は少なくありません。個人情報の取扱いについて、ユーザーからプライバシーポリシーへの同意を得るタイミングは最初の情報取得の場面一度きりでよいのか?情報処理の場面において企業が追加的に同意を取る/承服できないユーザーが取り扱いを拒否できるタイミングをどのように設けるべきか?継続的サービスにおいて、ユーザーが取り扱いを拒否した場合の対応はどうあるべきか(メンバーシップから退出してもらうしかないのか)?そんなことを改めて考えさせられます。
 

EUのクッキー規制対策があちらの世界にイッちゃってて参考になる件


EU一般データ保護規則(General Data Protoction Regulation:GDPR)が正式に可決してはや半年。違反した場合には2,000万ユーロまたは前年度の全世界売上の4%のいずれか高い金額が制裁金として課されることもあり、2018年5月25日の施行日に向けて本格的な準備に入られている企業も多いことかと思います。

この影響かもしれませんが、いわゆるEUクッキー法(e-Privacy Directive)が施行された2012年ごろから対策が徹底されてきたEU圏のウェブサイトを訪問すると、トラッキングクッキー取得の同意ダイアログのトーンがまた一段階厳密になってきたような印象を受けます。

そんな中でも、先日私が衝撃を受けたサイトが、The Next Webさんです。

s-cookie1
吹き出しが現れ、“クッキー”をおでこの上に乗せた男性が。

s-cookie2
おもむろに顔の上でこのクッキーを滑らせはじめ、

s-cookie3
手を使わずに口に運び・・・

s-cookie4
パクっと食べて、

s-cookie5
ヤッターみたいな顔になっておりますwww


iPhoneのブラウザでこの動画(アニメーション)を見た瞬間、度肝を抜かれました。私は職業柄「クッキー取得の同意依頼をギャグ混じりにやってるわけね」と意味を察することができたのですが、サイトの動画コンテンツか、もしかするとうざったい全画面広告か何かと誤解される方もいたんじゃないでしょうか・・・。


私がこのスクショをとったのは10月5日のこと。その後、さすがのThe Next Webさんもやり過ぎだと思ったのか、本日現在はクッキーが目の上に載った写真だけに変わってしまい、動画(アニメーション)はやめられてしまったようです。残念。それでも顔にクッキーを乗せている静止画は見られますので、ぜひご訪問なさってみてください。

ここまでイッちゃってる事例もある中、EUにおいてどんなトーンや手法で有効なクッキー同意を取得すべきかについては、まだまだいろんなアイデアが出てきそうです。
 

【本】『個人情報管理ハンドブック〔第3版〕』― 情報法に悩まされ続ける企業法務担当者にとっての精神安定剤


1か月以上前にTMI総合法律事務所のY先生からご恵贈いただいた、にもかかわらず、書評をアップし忘れておりまして大変失礼致しました…。正直な所、先ほど伊藤先生がブログにアップされた書評を見て、アッと思い出した次第です。

私自身は恥ずかしながら本書第1版・2版のユーザーではありませんでしたが、個人情報保護法以外の関連法(マイナ法・民法・プロ責法・不競法・刑法・不ア禁法・著作権法・会社法・金商法・サイセキュ法)を広くカバーし、かつ企業が知りたい実務的な各論も漏らさずに網羅した、こんなにも使いやすい概説書があったんだな、と驚きました。





TMI総合法律事務所さんについて、私は、頭ごなしに専門知識を振りかざす前に企業の困りごとにきちんと耳を傾けてくださる先生が多いという印象を持っています。本書の内容も、そういったTMIの先生方から受ける普段の印象通り、企業法務担当者に寄り添った読んでいて安心できるものになっています。

たとえば、その一例が、「自己情報コントロール権」についての記載についてです。本書のような情報法の概説書を評価する際、私は「自己情報コントロール権」に関する記載ぶりをチェックするようにしています。というのも、アメリカでの自己情報コントロール権説の隆盛や、日本の一部の下級審判例で示された自己情報コントロール権を認める見解などを必要以上に大きく取り上げて、企業の不安を煽る書籍も少なくないからです。この点、本書の記載はまさに100点満点と言うべき内容でした。

プライバシー権を「自己情報コントロール権」、すなわち自己に関する情報をコントロールすることができる権利と積極的に定義づける見解がある。これは、コンピュータの発達に伴い、大量の個人情報が公的機関、民間事業者問わず大量にデータ化され、その保護が重要になったことに伴い、支持されてきた見解である(たとえば佐藤幸治『憲法〔第3版〕』(青林書院、1995年)等)。この見解に基づいた場合、プライバシー権は自己の情報の開示・訂正・抹消請求権を含むものと解されている(なお、法的権利性については、第7章430頁以下参照)。
下級審判決の中には、マンション購入者名簿事件(東京地判平成2・8・29判時1382号92頁)やニフティ掲示板事件(神戸地判平成11・6・23判時1700号99頁)等自己情報コントロール権の考え方に影響を受けた判決例が現れ始めているが、これらの下級審判決においても結局は私事性、非公知性等「宴のあと」事件判決以降採用されてきた3要件に基づいた判断がなされており、その意味で正面からプライバシー権を「自己情報コントロール権」であるとまで認めているものではない。(P65)
民法学説上は、ほとんどの学説において、少なくともプライバシーの権利が民法上保護され得る1つの権利ないし利益であることが承認されているが、なお従来のプライバシーの権利概念を前提としており、これを自己情報コントロール権として理解するにはなお消極的のようである。民事法の見地からは、プライバシーの権利を自己情報コントロール権と定義づけることは相当でなく、自己に関する記録を閲覧する権利、本来収集されるべきでない情報や誤った情報の訂正・削除請求権は、原則的に肯定する方向で検討する価値があるが、これをプライバシーの権利に包括することはきわめて困難であるとする見解がある。(P432)
最高裁も、最判平成20・3・6民集62巻3号665頁は、プライバシー権に自己除法コントロール権が含まれていることを認めた大阪高判平成18・11・30判時1962号11頁を破棄し、「憲法13条は、国民の私生活上の事由が公権力の行使に対しても保護されるべきことを規定しているものであり、個人の私生活上の事由のひとつとして、何人も、個人に関する情報をみだりに第三者に開示又は向上されない自由を有するものと解される」と判示して、自己情報コントロール権が憲法上保障された人権と認められるか否かについては正面から判断しなかった。(P433)


また、情報法に関する企業法務パーソンの最近の悩みどころナンバーワンと言えば、日本の改正法だけでなく、多数国に渡る個人情報保護法制についてもキャッチアップが求められているという点でしょう。これについても、第10章の40頁ほどを割いて、
・欧州
・米国
・韓国
・シンガポール
・香港
・台湾
・中国
・インド
といった主要国の情報法制のポイントを概説してくださっています。


s-IMG_7749

米国のCOPPAについては対応が悩ましい部分ではあるので、もう少し企業としてなすべきことはどこまでかといったレベルまで踏み込んで書いてくださっても良かったかな、と思うところもありましたが、これだけの国についてまずは確認すべき法令の存在を知らせてくれるだけでもありがたいというべきでしょう。


各章のトビラ部分には、経営者から企業法務担当者が聞かれがちな「つまりどういうこと?」「結局何を知っておけばいいの?」が端的にまとめられていて、こんなさりげないところにも本書執筆陣の配慮・サービス精神を感じました。


s-IMG_7753s-IMG_7755


ということで、久しぶりに法律書マンダラ2016を更新しておすすめしたい本に出会うことができました。このようなすばらしい書籍をご恵贈いただいたにもかからずご紹介が遅れたこと、Y先生には重ねてお詫び申し上げます。
 

ポケモンGO訴訟、はじまる

 
ポケモンGOが不法侵入・迷惑行為を助長するのではないかと不安を煽るような記事が日本でも雨後の筍のように書かれている中、アメリカでは早くも運営会社に対して訴訟を起こした方が出ました。し、仕事が早い…。

Pokemon Goes to Court in Backyard Monster Trespassing Case(Bloomberg)
A New Jersey resident with a pocket monster in his backyard filed what may be the first lawsuit against Niantic Inc. and Nintendo Co. for unleashing Pokemon Go across the U.S., claiming that players are coming to his home uninvited in their race to “catch ’em all.”
The West Orange man alleges the companies have created a nuisance with their GPS-based game and seeks class-action status on behalf of all Americans whose properties have been trespassed upon by players in search of Pokemon Go monsters.

記事によれば、「お宅の庭にポケモンがいるから捕まえさせてくれ」と(笑)少なくとも5人が玄関をノックするありさまで、迷惑していると。本当にそんな程度で訴訟まで起こすものですかねとカリフォルニア州裁判所サイトにウラを取りに行ったら、7月29日に本当に提訴されファイルされてました。ということは、前回エントリの利用規約解説で触れた仲裁合意のオプトアウトも済みってことなんでしょうね。

mardervniantic

ポケモンGOの下地を作ったIngressではここまでの問題にならず、ポケモンGOがこうなってしまったのはなぜなのか。Ingressをやっていた方ならご存知のとおり、現実世界にリンクするかたちでARの世界に設置された「ポケストップ」に相当する「ポータル」の設置数はもっと多かったですし、かなりマイナーな場所にも設置されていました。一方、ポケモンGOのポケストップは、実際にプレイしてみると公道沿い・公園内など私有地・住宅地を避けるかたちで設置されており、しかもIngressのポータルの数に比べてかなり限定的に設置されています。運営会社としてIngressとのユーザー規模・ITリテラシーの違いに配慮しながら、画面上に表示するユーザーへの注意文言に加えて私有地への不法侵入や近隣への迷惑行為が発生しにくいように配慮したと思われる形跡が(私には十分に)感じられたのですが。本件については(ポケストップの場所とは関係なく)たまたま私有地に多数のレアなポケモンが湧いてしまった、ということなのかもしれません。

Ingresspokemon


このレベルの努力や配慮でも「足りない」という法的評価となると、事業者にとって、今後AR技術を使ったビジネスは相当窮屈なものになることが予想されます。記事後段では、Ryan Morrison弁護士がこの点について同様のコメントを出しています。

The maps are based on Niantic’s original GPS-based, augmented reality game called Ingress, which generated a cult following after it was released in 2013. As they played the game, Ingress users helped build the map now used in Pokemon Go, said Ryan Morrison, a lawyer in New York who specializes in legal issues related to video games.
“There’s going to be 200 lawsuits, that’s for sure," Morrison said in a phone interview. “If the court comes along and says this kind of suit is OK, what a terrible blow it will be to augmented reality technology."

「訴訟は間違いなく200件は起きるだろう」という彼の予言が現実のものとなる前に、この問題を解決するアイデアや仕組みを考えたいところです。
 

2016.8.4追記

下記のとおりミスをご指摘をいただきまして、一部訂正いたしました。ありがとうございます。


Pokémon Goのような<位置情報×AR>サービスを運営する事業者の法的責任

 
Pokémon Goがアメリカを中心に大ブームとなりつつあります。

Pokémon Goとは、スマートフォンに表示される現実世界をベースとした地図をゲームフィールドとして、ユーザーが実際に現実世界を歩きまわる=位置情報が更新されることで見つかるPoké-stopと呼ばれる拠点でアイテムを入手しながら、どこかに隠れているポケモンを探して捕獲し、さらに移動しながら捕獲したポケモンを育て、敵チームのポケモンとバトルしたり、ユーザー同士で協力してボスを倒すといったことを楽しむゲームサービスです。




「任天堂のスマホアプリが大ヒット」というような報道がされていますが、実際のところは、位置情報×ARサービスとして著名な“Ingress”を作ったNiantic,Incが発売元・販売元(任天堂・ポケモンカンパニーはNianticの株主でありライセンサーという立ち位置)となっています。日本でも2008年ぐらいに位置情報ゲームが一定の認知を得ていたと思いますが、個人的には、その性質上ハイテク好きのコアなユーザー向けゲームにどうしてもなってしまうのかなと思い込んでいました。位置情報に有力IPを使った親しみやすさとARの要素を掛け合わせることで、ここまでサービスを爆発的に流行らせることができるとは、さすがポケモン、さすがNianticです。

このゲームが市民権を得たことによって、今後<位置情報×AR>ゲームが続々とリリースされていくことでしょう。そして、そのようなゲームに共通するであろう特徴として
  • ゲーム世界でのアイテム取得・アイテムの育成・バトルのためにユーザーを現実に移動させる
  • ゲーム世界の拠点・アイテムをARオブジェクトとして現実世界の土地・建物内に設置する
  • ユーザーの位置情報を連続的に取得し、サーバーを介し多数ユーザーに共有する
といった要素が導入されることは、間違いなさそうです。そこで、ゲームに限らずこのような要素を盛り込んだ<位置情報×AR>サービスを提供するにあたり、事業者がその責任を問われることになるであろう法的リスクについて、実際にPokémon Goのヒットによって発生しはじめているトラブルを参考に、ざっくりと整理をしてみました。以下のとおり、大きく4つに分類できるのではないかと思います。


1)迷惑行為の誘引

サービスがユーザーの現実世界における注意力・判断力を減退させることで、歩きスマホ・ながら運転・危険エリアへの立入り等による迷惑行為や事故が発生する。

論点1−
サービスを運営する事業者が、ユーザーによる共同社会の利益を害する迷惑行為(いわゆるパブリック・ニューサンス)を誘引したことについての責任を負うか?
負うとすれば、それを減免するための注意義務はどこまでか?

2)所有権の侵害

他者が所有する土地・建物内にARオブジェクトを設置することで、その場所にユーザーが集まる。

論点2−
ARオブジェクトを設置した事業者が、土地・建物所有者が持つ権利(所有権・施設管理権)を侵害したことになるか?

論点2−
ARオブジェクトを設置した事業者が、ARオブジェクトの取得等を目指すユーザーの違法行為(不法侵入・不退去罪)を助長した責任を負うか?

3)知的財産権の侵害

他者が所有する知的財産にARオブジェクトを付着させたり重ねて投影することで、1つのオブジェクトのように表示しサービス内のプロパティとして一体利用する。

論点3−
ARオブジェクトの投影が、知的財産権の侵害(無許諾の改変としての著作権侵害、商標権侵害、著名表示冒用等不正競争防止法違反)となるか?

4)プライバシー権の侵害

位置情報をベースとしたユーザーのサービス内活動が、現実世界の氏名・肖像・住所・職業といった個人情報・プライバシー情報の意図せぬ流出・漏洩を引き起こす

論点4−
事業者として、情報保護法制の観点から求められるユーザー同意取得の水準は、通常のネットサービスより高くなるか?

論点4−
EUユーザーが、他国に越境しサービスを利用する場合において、4月に欧州議会で承認されたEU一般データ保護規則(General Data Protection Regulation)に抵触しないようにするには、どうすべきか?


論点2や3については、ARサービスがカネになるビジネスとして育てば育つほど、原権利者(地主や著作権者ら)の権利とAR事業者との対立を調整する立法も必要になるかもしれません。その一方で、論点1や4については、ARが多くの人にとって普通のものとなれば(つまり人間の側がARに順応すれば)、落ち着くところに落ち着くような気もします。今はPokémon Goの突然のブームで初めてARサービスを実体験している人たちによって騒ぎが起きているものの、かつてIngressでも同じような事件・事故は起きていたからです。4−△離如璽燭留朸問題については、通常のネットサービスよりもユーザーの移動モチベーションが高まるため頭の痛い問題になるでしょうが、法的に特殊な対応を考えなければならないものは、全体としては心配されているほど多くはないのではないかと考えています。

なお、Pokémon Goはまだサービスインから間もなく、ユーザーからの課金方法またはAR広告の態様などについて明らかでない部分もあり、その方法によってはリスク評価が大きく変わる可能性もあります。また、(Pokémon Goはそんなことはしないと思いますが)ARがポルノや出会い系と言った性風俗分野のサービスと融合することで、別途特有のリスクが生じるケースはあるかもしれません。
 

一般的なARビジネスの法的論点について述べた書籍としては、いま販売されているものではこちらが一番まとまっていると思います。上記Pokémon Goの事例では論点としては挙げていない「ARによる広告の不当表示や書き換え」といった問題についても言及があります。




Pokémon Goの法的論点について述べているサイトのリンクも貼っておきます。

▼POKEMON GO AND THE LAW OF AUGMENTED REALITY
http://www.technollama.co.uk/pokemon-go-and-the-law-of-augmented-reality

▼Is PokemonGo Illegal?
http://associatesmind.com/2016/07/11/is-pokemongo-illegal/

▼Pokemon Go Ushers in a New, Augmented World of Legal Liability Concerns
http://www.jdsupra.com/legalnews/pok-emon-go-ushers-in-a-new-augmented-36311/

▼How Pokemon GO Players Could Run Into Real-Life Legal Problems
http://www.hollywoodreporter.com/thr-esq/how-pok-mon-go-players-909869

▼Signs of the Times: How Pokemon Poses Municipal Regulation Questions
http://ht.ly/VKc8302i3iF

▼Your Pokemon Go Legal Rights … Don’t Get in Trouble!
http://lawnewz.com/high-profile/your-pokemon-golegal-rights-dont-get-in-trouble/

▼Pokemon Go Strips Users Of Their Legal Rights; Here’s How To Opt Out
https://consumerist.com/2016/07/14/pokemon-go-strips-users-of-their-legal-rights-heres-how-to-opt-out/
 

【本】『ネット炎上の研究』― 炎上騒ぎを利用するメディア

 
NHKの番組等でも取り上げられ、話題となりつつある本書。「企業はむやみな情報発信を控えよ」と説教するばかりの従来のネット炎上対策本とは一線を画し、炎上参加者を定量的に分析したうえで、人々の自由な情報発信を萎縮させないために社会として炎上をどう抑制するかを提言します。


ネット炎上の研究
田中 辰雄 (著), 山口 真一 (著)
勁草書房
2016-04-22



本書前半では、これまでの日本のネット炎上事件を網羅的にまとめています。2016年4月刊行ということもあり、直近ではオリンピックエンブレム事件あたりまでがフォローされています。炎上した経緯、ブログ記事のスクリーンショット、SNSの写真(プライバシー配慮の目隠しあり)や企業側の謝罪文等の集積は、資料的な価値も高いと思います。

s-IMG_6674


著者らはこれらを振り返ったうえで、アンケート調査および日経テレコン/Twitterデータ等をもとに独自の定量的分析を行い、炎上発生と拡大のメカニズムを明らかにします。ちなみに著者らの分析による犯人像は、

炎上に積極的に参加している人は、年収が多く、ラジオやソーシャルメディアをよく利用し、掲示板に書き込む、インターネット上でいやな思いをしたことがあり、非難しあっても良いと考えている、若い子持ちの男性であるといった人物像(P112)
炎上事件に伴って何かを書き込む人はインターネットユーザの0.5%程度であり、1つの炎上事件では0.00X%のオーダーである(P137)

だそうです。

s-IMG_6672


私も何度か所属組織でネット炎上に巻き込まれた経験があります。そうした経験を何度か重ねると、慣れ・落ち着き・開き直りのようなものがでてきて、炎上当事者になってもあわてずに状況の観察ができるようになります。そのうちに、自分が関わらない団体で発生した炎上についてもわがごとのように注意深く観察するようになりました。そこで私が感じていたのは、
  • 炎上参加者のほとんどが10代後半〜20代前半の時間を持て余した若者である
  • 鎮火させようと反応するほどかえって燃料を提供することになるためほうっておくのがよい
ということです。本書の調査の母集団が20歳以上ということもあってか、人物像は私の観察経験から少し乖離していますが、本書の分析結果の信ぴょう性は高そうというのが私の感想です。


ところで、本書では取り上げられていなかった点として、ネット炎上騒ぎにおけるメディアの責任についても、もう少し真剣に検討したほうがよいと思っています。炎上の功罪が話題になるときにはいつもSNSやそこで炎上加担者となる一般人ばかりが批判の矢面に立たされているのですが、それ以上に、マスメディアが「取材コストを掛けずに手軽にニュース化できるネタ」として安易に取り上げる姿勢に問題があるのではないか、と常々感じています。

 twitter等で炎上発生
   ↓
 △泙箸瓮汽ぅ箸でき被害とは無縁なネットユーザーたちも騒ぎだす
   ↓
 B膽蠖景梗劼自己の運営するウェブサイトの記事として記事を掲載
   ↓
 い修離ΕД峙事を見た読者が義憤にかられそれを拡散しエスカレート
   ↓
 タ景綱椹罎了飜未坊悩
   ↓
 Δ修凌景控事をさらにテレビが取り上げて・・・

結局、新聞社という社会的にはその名義に信用力を備えたメディアがそれを取り上げるかどうか、具体的にはまたはイ離譽戰襪飽楾圓垢襪どうかが、ネット炎上全体の大きさと企業側の対応コストを左右する2つの大きな分水嶺になっています。メディア側としては、紙面や電波という有限なリソースを割いて取り上げるまでのバリューがあるかを、ウェブでのネットユーザーの反応を見ながら決めているところがあると思います。しかし、本書の分析通りここで焚き付けている人々がほんの一握りの同一人物だとすると、社会全体がその一握りに踊らされている感は否めません。

というか、メディアもそれを分かっていてやっているというのが、本当のところなのでしょう。
 

【本】『情報法概説』― ネットビジネスのプラットフォーマー問題が爆発する日は近い

 
昨日に続きまして、法律書マンダラ2016の情報法部門より、弊ブログでは未紹介だった12月の新刊をご案内します。


情報法概説
曽我部 真裕
弘文堂
2015-12-22



インターネット法』よりももう少し幅広く、かつさらに法学的な切り口で、情報全般に関する法律と基本概念を体系的に整理する本書。中でも特に集中的に論じられているのが、媒介者=プラットフォーム事業者が負うべき法的責任についてです。

私有地においてビラを配布したことが住居等侵入罪(刑法130条)等の法令違反に問われた事案は著名なものだけでも相当数存在するが、そこでは、実際には土地所有者・管理者の権利と表現の自由との調整が問題となっており、多くの場合、私有地内での行為だけに、いわゆるパブリックフォーラムの法理の適用も困難であり、後者に不利に解決されてきた。
このように、私人の管理する場における表現の自由という主題は新しいものではないが、インターネットにおいては私人の管理する場で行われる表現の量や種類が圧倒的に増大しており、それだけに問題は深刻となる。そこで、情報法においては、公権力、プラットフォーム等の情報媒介者、一般利用者という三面構造を前提とする必要がある。(P33)
アプリストアにおいては、OSの開発者たるプラットフォーム事業者が特定の決済手段の利用をアプリ提供者に強制し、他の決済手段の利用を認めていないことがある。これは決済に関する情報(顧客情報、販売金額等)を集中的に取得し、プラットフォーム事業者としての地位を強化するという事業者の戦略と考えられるが、このような行為は独占禁止法上、不公正な取引方法等に該当する場合がある。(P81)
近時、プラットフォーム事業者の利益水準の相対的な高さに注目が集まっており、一部のコンテンツ事業者はこれを不満に感じている。プラットフォーム事業者の利益水準が高いこと自体は、それがプラットフォームのイノベーションにつながるという側面もあり、責められるべきものではない。ただ、プラットフォームに関わる事業者全体の余剰や、消費者余剰を考えた場合には、利潤の適性な配分については検討の余地がある。そこで、コンテンツの多様性、プラットフォームの効率性(イノベーションの促進)等、プラットフォームに関わる社会厚生についてどのように評価すべきかが課題となる(P81脚注)

このような、プラットフォーム事業者の市場独占によって発生する弊害についての言及が随所になされている点が、一番の読みどころとなっています。

s-IMG_6327


ITビジネスに携わる中で、プラットフォーム事業者が有する圧倒的な優位性に脅威を感じることや、取引の媒介者として本来負担すべき法的リスクの一切を他者に転嫁しようとする態度について憤りを感じる機会は増える一方です。この一年は、その問題意識について関係者にご理解いただくための活動を、私なりの方法でさまざまやってきました。しかし、官公庁にはそういったプラットフォーム事業者と利害が一致する部門があり、この問題で困っている当事者に対し理解を示そうとしない・見てみぬふりをする向きも少なからずあるようです。

そんな中、海外ではライドシェアリングサービスについてタクシー事業者との衝突が、そして日本では民泊あっせんサービスと近隣住人との衝突が取り沙汰されはじめています。2016年も同様の問題が次々と顕在化し、これまでのような対応では済まされなくなるのではないでしょうか。

来年以降は、違ったアプローチでこの問題に取り組んでいきたいと思っていたところ、その法的理論武装の助けとなる頼もしい文献がこうして出版されたのは喜ばしいことです。
 

【本】『インターネット法』― ネット上での活動の自由と規律とのバランスの取り方


インターネット上で行われる表現・コミュニケーション/電子商取引/知財/紛争解決合意に関する法律の今を、研究者の視点から整理し、将来を展望する本。実務家の間で定評のあった高橋編『インターネットと法』の正統な後継書と言ってよいでしょう。法律書マンダラ2016推薦図書です。





インターネットに関わる法律のほぼすべてを概説するこの本が特に力点を置いているのは、ネット上での活動の自由と規律とのバランスの取り方についてです。私がクリエイティブ方面に強い新進気鋭の先生方とインターネット法に関する私的勉強会を持たせてもらっている中でもちょうど話題になっているテーマですし、ネットビジネスの事業者にとっても、これからますます問題が顕在化し実務上も対処に苦慮することになるであろう論点でしょう。

この点、代表編者である松井先生の総論としては、

やはり原則はインターネットのうえでの自主的な規制に委ねつつ、現行の法律を個別的にインターネットに適用し、その適用に際して、インターネットの特性に応じて修正してゆくほうが望ましいように思われる。

ということなのですが、だからといってなんでもフリーダムでOKというような乱暴な論稿にはなっておらず、まさにその“個別的な適用”について各分野の専門家が丁寧に論じています。

個人的には、山口いつ子先生による第2章「インターネットにおける表現の自由」、とくにその中の「インターネット法の新たなデザインに向けて」と題する図とこの全体像に基づく論稿のおかげで、1社目に就職した国家から管掌された放送・通信事業者で得た経験と、そして今いるプラットフォーマー(媒介者)に支配されるコンテンツ事業者での苦悩が、自分の中で一つのフローとしてつながった感覚をおぼえました。まだはっきりとした言葉にまではできておらずもやもやしているところなのですが、この章が自分なりのアイデアをまとめる大きなヒントになりそう。

s-IMG_6318


また、もう一つの読みどころとしては、第13章「国境を越えた紛争の解決」の章が挙げられます。ここでは、インターネット法の最重要論点ともいうべき準拠法と裁判管轄の問題について、Twitterの利用規約等を例に挙げながら他の類似書・論文よりもかなり具体的なあてはめ・解釈にチャレンジしています。その一例として、以下P337およびP342脚注より。

例えば、Twitterの利用規約では、「12.一般条件 B.準拠法および裁判管轄」として、「本サービスに関連する一切の請求、法的手続きまたは訴訟は、米国カリフォルニア州サンフランシスコ郡の連邦裁判所または州裁判所においてのみ提起されるものとし、ユーザーはこれらの裁判所の管轄権に同意し、不便宜法廷地に関する一切の異議を放棄するものとします」とされているが、民事訴訟法上は、日本に居住する消費者との契約に関するこの合意は原則として有効とはならない。しかし、このことは、Twitter社がカリフォルニア州で日本居住の消費者を訴えることを妨げるものではない。手続法は法廷地法によるのが原則であり、カリフォルニア州では日本の民事訴訟法を全く考慮しないで裁判管轄を判断するからである。ただし、日本の管轄規定上許されない管轄原因に基づき下された判決として、後述する外国判決の承認・執行時に問題となる可能性は高い。
消費者契約にかかる管轄合意は原則無効であるのに対して、準拠法合意は原則有効である。したがって、上述した、Twitterの利用規約「12.一般条件 B.準拠法および裁判管轄」中で、「本規約およびそれに関連して行われる法的行為は、米国カリフォルニア州の法に準拠するものとします」という部分は原則有効となる。

この章だけをとっても、ネットビジネスに携わる方にとっては必携の本と言って良いと思います。

それにしても、今年見た法律書の中でも本書は装丁がダントツにカッコいいですね。奥付を拝見すると田中あゆみさんという方が担当なのでしょうか。装丁がいい本は良書という法則は、どうやらこの本にも当てはまるようです。
 

MicrosoftもFacebook流の利用規約&プライバシーポリシーを踏襲 ― ネットサービスにおける法律文書の標準スタイルが固まってきた

 
2014年11月にレポートした「Facebookのデータポリシー改定案に見るプライバシーポリシーの新潮流」から約半年が経過したところで、今度はMicrosoftが、Facebook同様のインタラクティブな利用規約&プラポリへと変更します(規約の発効日は2015年8月1日)。

Microsoft サービス規約
Microsoftのプライバシーに関する声明

あたらしいプラポリのほうで、全体像と動きを確認してみました。



2カラム & 概要/詳細を折りたたみ式のスタイルにするという基本的なアイデアは、Facebookのものとまったく同じ。ITサービスの最大プレイヤーにして重鎮の一社であるMicrosoftまでもがこの2カラム & 折りたたみ式に追随してきたということで、ネットサービスの利用規約&プラポリは、このスタイルが標準となっていきそうです。

違いとしては、全体共通ポリシーの後にBing・MSN・Skype・Xboxといったサービスごとの個別詳細項目がぶら下がっているところ(プラポリのみ)。Microsoftの場合、どうしてもサービスが多岐に渡っていること、プライバシー管理もそのサービス特性ごとに異なることから、こうせざるを得なかったのでしょう。

また、違う側面で私が気になっているのが、こうしてユーザーへの分かりやすさ・透明性を追求しているはずのFacebook・Microsoftの両社が、いずれもアプリごとの個別プラポリ(いわゆるアプリケーションプライバシーポリシー)については設置しないスタンスを採っている、という点です。日本では総務省が、米国ではプライバシー問題に敏感なカリフォルニア州や米国商務省電気通信情報局(NTIA)が、それぞれショートフォーム形式のアプリプラポリを作成・設置することを推奨していた時期が2012〜2014年にかけてありましたが、サービスごとのプライバシー管理に加えてアプリごとにも分けていくとなると掛け算式に文書量が激増し負荷が高すぎて・・・ということなのかもしれません。
 
今後、アプリサービスにおける法律文書のスタイルがどう固まっていくのかにも、注目していきたいと思います。
 

「検索結果とプライバシーに関する有識者会議」報告書 ― “裁判実務”って何ですか?


ヤフージャパンさんが公表された「検索結果とプライバシーに関する有識者会議」の報告書を拝読しました。こういった検討結果を開示してくださるのはありがたいことだと思います。

以下、その問題提起部分と結論部分を超ダイジェストで抜粋。

しかし、私にはどうも理解が追いつかない部分がありまして・・・。


検索結果とプライバシーに関する有識者会議 報告書

yahookensaku

3 検索結果に関する法的な問題
まず、議論の前提として、インターネット上に自己のプライバシーに関する情報が掲載されているとして非表示措置を求める者(以下「被害申告者」という。)が検索結果の非表示を求める法的根拠について確認が必要である。
次に、一定のアルゴリズムに基づいて自動的・機械的に作成される検索結果について、検索サービス提供者が非表示措置を講じる義務があるのかという問題がある。
さらに、検索サービスのいずれの側面がプライバシー侵害になりうるのかという問題がある。すなわち、検索結果の表示内容自体(検索結果に表示されるタイトル、スニペット等の記載自体)をプライバシー侵害と考えるのか、それとも、侵害サイトに移動できるリンク(以下「リンク情報」という。)が検索結果に掲載されている状態(検索結果に表示される情報の記載自体には必ずしも権利侵害性はない)をプライバシー侵害と考えるのか、そのいずれもプライバシー侵害たりうるのかという問題である。加えて、非表示措置基準と非表示範囲をどのように考えるべきかについても検討が必要となる。
本会議では、これらの問題について検討を行い、第4にその結果をまとめた。
(1)非表示措置の法的根拠
非表示措置に関する法的根拠については、民法上の不法行為の効果として認められるのか、それとも人格権に基づいて認められるのかといった議論が存在する。両者の違いは、主観的要件の違いに現れ、前者は非表示措置について故意・過失といった主観的要件が必要となるのに対し、後者では必要とされない。
現在の裁判実務は、プライバシー侵害、名誉毀損に基づく非表示(削除)命令については人格権侵害を根拠としており、本会議においても、非表示措置は、プライバシー権、名誉権といった人格権を根拠に求めることができるという考えについて特段異論は出なかった。このため、本会議では、人格権侵害を前提に検討を行った。
(5)本会議での検討方針
検索結果の表示内容自体がプライバシー侵害となるのか、それとも、リンク情報の検索結果への掲載がプライバシー侵害となりうるのかについては、現在の裁判実務においても、必ずしも確定した考えは存在していない。このため、本会議では、いずれの考えも成り立ちうることを前提に、第4の2で検索結果の表示内容自体によるプライバシー侵害について、第4の3でリンク情報の検索結果への掲載によるプライバシー侵害について、それぞれ具体的な措置基準について検討を行うこととした。
4 結論
以上が、検索結果の非表示措置に関する、本会議における検討の結論である。非表示措置に関する本会議の見解を再説すると、その要旨は以下のとおりである。
(1)検索結果の表示自体によるプライバシー侵害に関する基本的な考え方
検索結果の表示内容自体(検索結果に表示されるタイトル、スニペット、等の記載自体)から権利侵害が明白な場合に限って非表示措置を講じる。非表示措置は、プライバシー侵害情報が掲載されている部分について講じる。
(2)検索結果にプライバシー侵害サイトへのリンクが掲載されていることによるプライバシー侵害に関する基本的な考え方
原則として、リンク先ページに対して対応を求めるべきであるから、リンク先ページの削除を認める裁判所の判断がある場合に限って検索結果の非表示措置を講じる。プライバシー侵害の被害救済の観点から、例外として、仝⇒侵害がリンク先ページの表示自体から明白で、かつ、権利侵害に重大性又は非表示とする緊急性が認められる場合にも非表示措置を講じる。


私がこの有識者会議の見解として一番知りたかったのは、問題提起部にあるように検索結果の非表示を求める法的根拠でした。しかし、この点については「現在の裁判実務では人格権を根拠に非表示措置を求めることが出来る点に異論がない」と言い切って終わり。せっかくの豪華メンバーによる検討過程の詳細が窺い知れなかったことに加え、ここでいう“裁判実務”とは何なのかも明らかにされていません。

また、大前提において“裁判実務”で明らかといいながら、一方で、検索結果の表示内容自体がプライバシー侵害となるのか、それとも、リンク情報の検索結果への掲載がプライバシー侵害となりうるのかという問題点については、「現在の裁判実務においても、必ずしも確定した考えは存在していない」と。うーん。

私の判例DBの検索の仕方がヘタなだけかもしれませんが、私が検索結果とプライバシーの問題に関する裁判例を眺めた所感では、後段でも言及されているように、結局はケースバイケースの判断でしかなかったものと思われます。実際、ヤフージャパンさんもブログでこう述べていらっしゃいます。

このような検索結果の非表示措置の対応においてYahoo! JAPANが依拠してきたのは、日本においてこれまで判例等で積み重ねられてきたプライバシー侵害に関する判断基準です。インターネットの普及以前から、「表現の自由」とプライバシーという対立する利益をどのように調整するかは重要な社会の関心事であり、主に小説や雑誌等の出版において一定の判断基準が示されてきました(例:ノンフィクション「逆転」事件判決等)。なお、検索サービスからの情報の非表示に関して、これまでYahoo! JAPANが当事者となった訴訟が複数ありましたが、いずれの訴訟においても裁判所からYahoo! JAPANが情報の非表示措置を命じられたことはありません。

だからこそ、その裁判例の積み重ねを整理・類型化する作業を、この有識者会議の豪華メンバーがやってくれるものと思っていたのですが・・・ちょっと残念。せっかくの有識者のみなさんの検討結果ですので、もしよろしければ、その検討の前提とした裁判例のリストだけでも追加で公開していただけると、続く研究の参考になるのではないかと思います。
 

【本】『アプリビジネス成功への法務戦略』 ― ついに出た、アプリ対応版『利用規約の作り方』


技術評論社の高屋さま、そして著者のお一人である橘大地先生より、発売前の見本紙をご恵贈いただきました。ありがとうございます。





一言で評するならば、“ついに出た『良いウェブサービスを支える「利用規約」の作り方』のアプリビジネス対応版”。同書と同じ出版社である技術評論社さんでこういう企画があったなら、同書に関わったお前が書けよというツッコミをいただいてしまいそうですが(笑)、浅学かつ遅筆な私には残念ながらこのスピード感では書けませんでした。このスマホ法務の分野でアグレッシブな法律サービスを提供されている、GVA法律事務所さんならではの、タイムリーな価値あるお仕事だと思います。

内容としては、『利用規約の作り方』同様、利用規約/プライバシーポリシーの二大文書のポイント解説がボリュームゾーンとなってはいますが、この本の読みどころは、それらよりも第2章「アプリビジネスを取り巻く法律問題」のパートなのかな、と思います。特に、
・ゲームアプリ
・ソーシャルシェアリング
・クラウドソーシング
・クラウドファンディング
・電子決済サービス
といった、『利用規約の作り方』ではカバーされていない新しいビジネスモデルにつきまとう資金決済法や貸金業法等の問題点について、ある程度まとまった形で言及された文献は、この本がお初になるのではないでしょうか。

s-IMG_4635


また、景品表示法、COPPAや税法といった海外展開につきまとう法律問題など、アプリビジネスの法務担当者の間ではよく話題になるリスクポイントについても触れてあります。純粋な法律専門書ではなく紙幅も限られているため、ひとつひとつの論点の深掘りにまではいたっていないとはいえ、広範なリーガルリサーチまではなかなか手がまわらないベンチャー経営者にとっては、目から鱗のネタ・ヒントがたくさん詰まっているはずです。


著者のお一人である橘先生とは、同業界の法務パーソンとして昨年暮れに接点をもたせていただく機会を頂戴しました。この本を書き終えられた後息つく暇もなくシンガポールに向けて発たれ、今後は日本からアジア展開を図るベンチャー企業を支援する活動に従事されるとのこと。高い理想と行動力の両方を持ち合わせた先生のご活躍に、私も期待しています。
 
また私自身も、そう遠くないうちにこのアプリサービスの分野でみなさんのお役に立てるような文献が出せたらと思っています。そのご紹介が出来る日まで、もう少しお時間をいただければと。
 

やっと出ました個人情報保護法改正案 ― とりあえずはこの3点

 
ようやく、みなさんお待ちかねだった個人情報保護法の改正案が、具体的な条文案のかたちになりました。下記リンク先の新旧対照表P11以降をご覧になると、見やすいと思います。

個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案 新旧対照表

s-PDtaisyouhyou



企業法務に関わる改正ポイントの主だったところを3つだけ、ピックアップしてみます。


1 個人情報の定義の変更

定義規定が変更され、「個人識別符合がふくまれるもの」が個人情報の定義に加わりました(2条1項2号)。では「個人識別符号」とは何か、というと

2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

という定義(2条2項)。

以前当ブログでも言及したとおり、「個人情報の定義は広がらない」としていた事前報道とは異なり、携帯電話番号のようなかなり身近に取り扱われている番号・記号・符合も、政令で指定しさえすれば個人情報となります。

2 匿名加工情報の新設

そして、政府的にはパーソナルデータの利活用を目指すための目玉としている「匿名加工情報」が、以下の定義で新設されました(2条2項)。

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

ただし、匿名加工情報であれば自由に取り扱ってよいというものではなく、
・匿名加工情報を作成したとき:そこに含まれる情報の項目
・匿名加工情報を第三者提供するとき:そこに含まれる情報の項目および提供の手段
を、個人情報保護委員会規則に従って公表する義務が設けられ(36・37条)、あわせて他の情報と照合するなどの再識別化も行ってはならないことが法定されました(36・38条)。

3 第三者提供の制限の強化

特にオプトアウト方式で個人データの第三者提供を行う場合について、個人情報保護委員会への届出が新たな義務として法定されました(23条2項)。事業者等から届出があった事実は、個人情報保護委員会が公表することとなります(23条4項)。

2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

一・二 (略)
三 第三者への提供の方法
四 (略)
五 本人の求めを受け付ける方法

また、個人データを第三者提供した年月日、相手先等の記録保存義務が追加されたことに加え、第三者提供を受けた(個人データを受領した)側にも、
・誰から取得したのか、およびその個人データの取得の経緯を確認する義務
・そのデータの提供を受けた年月日を記録し保存する義務
が新設されました(26条)。


さらに細かいところを見ていくと、利用目的の特定義務について、現行法の15条2項では「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて(利用目的の変更を)行ってはならない」とするところ、「相当の」がさりげなく削除されていたり(15条)、正確性確保義務が拡充される形で利用終了後の個人データに関する遅滞なき消去努力義務が追記されていたり(19条)、外国へ個人データを提供する場合には別途その旨の同意を取得する義務がさらっと新設されていたり(24条)、興味深い点もたくさん見つかるのですが。

まずは、上記3点を抑えて、事業者としてやるべきことをリストアップしはじめるのが良いと思います。
 

【速報】米国ホワイトハウスが「消費者プライバシー権法」案をリリース

 
日本のパーソナルデータ法制の行く末を、また大きく変えそうなものが出てきました。米国ホワイトハウスによる「消費者プライバシー権法(CONSUMER PRIVACY BILL OF RIGHTS ACT)」案です。


CONSUMER PRIVACY BILL OF RIGHTS ACT(ADMINISTRATION DISCUSSION DRAFT)

CPBR


内容をざっくり読んで要約すると以下のような感じ。法案に記載の順に、特に気になる部分を中心に抽出してみました。
速報につきスピードを優先しましたので、間違いあればご指摘いただけるとありがたいです。

・定義の明確化(SEC. 4. Definitions)
「パーソナルデータ」「非識別化データ」「パーソナルデータ取扱事業者」「取得」「コントロール手段」「削除」「コンテクスト」等の言葉の定義を明確化

・透明性の担保(SEC. 101. Transparency)
パーソナルデータの取扱い方針および実践内容について、わかりやすい説明とタイミングで明示・通知をする義務を設定

・消費者の情報コントロール権(SEC. 102. Individual Control)
消費者にパーソナルデータへのアクセス手段を提供し、消費者の請求から45日以内の同意撤回権・削除権を与え、利用目的を変更する際には明示的同意の再取得(オプトイン)を義務とする等、消費者に合理的な範囲での情報コントロール権を持たせる

・コンテクストの尊重(SEC. 103. Respect for Context)
コンテクストに沿わないパーソナルデータの分析利用については、第三者機関としてのFTCによる監査・承認が得られた場合に限り可能とする

・明確な取得と責任のある利用(SEC. 104. Focused Collection and Responsible Use)
利用し終わったパーソナルデータについては、合理的な期間内に削除、廃棄、非識別化

・セキュリティの確保(SEC. 105. Security)
内外のリスク分析を行った上で情報セキュリティを確保し、プライバシーアセスメントを定期的に実施する

・アクセス権と正確性(SEC. 106. Access and Accuracy)
SEC. 102記載の権利の具体的手段の提供

・説明責任(SEC. 107. Accountability)
従業員教育等、体制の構築、パーソナルデータ取扱関係者との契約の締結義務等

・執行力の担保(SEC. 201. Enforcement by the Federal Trade Commission)
州検事総長・FTCによる訴追権、課徴金を設定

・自主規制によるセーフハーバールール(SEC. 301. Safe Harbor Through Enforceable Codes of Conduct)
自主規制としての“Codes of Conduct”を作成しFTC承認等を得ることで、本法の一部適用除外を受けることも可能とする


米国メディアも蜂の巣をつついたような状態ですが、法案を評価する声と懸念の声に分かれているようです。主だったところのリンクを貼っておきます。

Here’s a draft of the consumer privacy “Bill of Rights” act Obama wants to pass(Gigaom)

White House Drops ‘Consumer Privacy Bill Of Rights Act’ Draft(Tech Crunch)

White House Proposes Broad Consumer Data Privacy Bill(The New York Times)

The White House’s draft of a consumer privacy bill is out — and even the FTC is worried(The Washington Post)

Proposed privacy bill protects industry more than it does people(Engadget)


マイクロソフトは早くも、同法案を評価する旨の声明をCPO名義で出していました。

White House proposal elevates privacy, transparency discussion(Microsoft)


私の感想としては、パーソナルデータの定義が明確化されるところや、連邦法が出来ることによってマイナーな州法の乱立が避けられるだろう点は評価したいところです。ただ正直なところ、個人の情報コントロール権がこのような形ではっきり書かれるとは、まったくの予想外でした。
一方で、上記リンクの米国内報道でも指摘があるとおり、自主規制(Codes of Conduct)によるセーフハーバールールが企業にとっての「対抗策」(メディアによっては“抜け穴”と評されている)として残されてもいるようですので、そこについては検証を深めなければと思います。


それにしても、日本のパーソナルデータ法制の立法事務局は、こういう米国の動きをきちんと察知できていたのでしょうか。直近の報道などを見ていると、どうもそのようには思えず、そしてまたこの法案を見て右往左往し議論が振り出しに戻るのかと思うと、頭が痛くなってきます。
 

個人情報の定義の明確化はどのように行うべきか

 
2014年末に出された骨子(案)をベースに、各消費者団体・業界団体・行政間での水面下の調整が行われていた個人情報・パーソナルデータ論議の嵐も、政府与党から「個人情報保護法改正に関する提言」が出されたこともあって、この2月半ばになってようやくおさまってきた感じがします。


個人情報保護法とマイナンバー法改正案の概要を公表、マイナンバー等分科会(ITpro)
IT総合戦略本部のマイナンバー等分科会は2015年2月16日、開会中の通常国会に提出する個人情報保護法と行政手続き番号法(マイナンバー制度)の改正案の概要を公表した。個人情報保護法改正では「個人情報の定義の拡充」や「利用目的の制限の緩和」という文言が消え、マイナンバー制度では預貯金口座への付番や医療分野での利用範囲の拡大などを盛り込む。

個人情報保護法改正案の概要では、2014年12月のパーソナルデータ検討会で示された骨子案の「個人情報の定義の拡充」が、「個人情報の定義の明確化(身体的特徴や個人に発行される符号などが該当)」となった。

ソースはこちらですね。

個⼈情報の保護に関する法律 及び ⾏政⼿続における特定の個⼈を識別するための番号の利⽤等に関する法律の⼀部を改正する法律案(概要)

s-mynumbertoubunkakai


数年後にEUの十分性認定を取ろうとするには、4の個人情報保護委員会の権限が弱すぎるのでは・・・という将来への懸念もありますが、目先の立法論として残る大きな論点としては1の「個人情報の定義の明確化」がどのようになされるのか、という点に絞られてきたように思います。

この点につき、個人情報の定義は広げないとする報道が散見されるものの、報道後とあるご高名な先生を囲んだ勉強会で伺ったところでは、
  • 具体的な定義は保護法本体に書かれるのではなく、政令に委任される
  • その政令の定義の粒度としては、身体的特徴=「指紋データ」や個人に発行される符号=「パスポート番号」のほか、「携帯電話番号」が列挙される程度には具体的なものになる
というのが事務局サイドの風向きらしいとのこと。ところがこの点、冒頭でもご紹介した政府与党「個人情報保護法改正に関する提言」では、

4. 個人情報の定義(範囲)の拡大は行わないこと。現状においては、個人情報か否かを明確に線引きすることが困難であり、新たなグレーゾーンと萎縮効果を拡大しかねないものである。他方、個人情報とは言えないものの、メールアドレスや携帯電話番号のように、それ単体が本人の意思に反して提供・流通することにより、個人のプライバシーへの影響が小さくないものがあることから、委員会が規定するこのような情報の第三者提供ついては、取扱事業者が自主ルールを定めるなどの対応とすること。

と、メールアドレスや携帯電話番号は「(それ単体では)個人情報とは言えない」「自主ルールで対応」とする立場ですから、まだまだ見解の相違と調整の必要がありそう。


このような中で、改正保護法+政令で個人情報として列挙するもの/しないもののボーダーラインをどういう基準で仕切るべきか?内閣府の方もいまごろ頭を悩ませている部分だと思います。たとえば、事務局案と政府与党提言とで取り扱いが食い違う「携帯電話番号」ひとつにしても、これを個人情報として政令に明記することは、市民感情としては理解できなくもありませんが、一抹の不安と違和感を感じています。この違和感はどこからきているのかを探るべく、今の私の頭の中の基準を表してみたものが、以下のマトリックスです。

変更困難性 × 容易照合性マトリックス

henkoukonnan_youisyougou


以前「識別・特定 × 容易照合性マトリックス」というのを書いてツッコミを多数頂いたにもかかわらず、また懲りずに同じようなものを作ってしまいました。容易照合性のヨコ軸はそのままに、当該情報と特定個人との紐付きの強さ/切り離しやすさをボーダーラインの一つの基準にしてみてはどうかというアイデアです。列挙している情報項目は、骨子(案)等で例示されていたものから拾ってみました。

生体情報は逆立ちしても変更しようがないので、トッププライオリティになるのは異論がないところでしょう。これに対して、行政から付与される番号なんかは、手続きとコストさえ踏めば変更できるようにすればいいのにという気がします。また、争点の携帯電話番号などは、2年に一度の機種変更のタイミングを少し前倒してついでにMNPもお断りすれば変更できる情報、という見方もできるかもしれません。このように、特定個人との紐付きが解除可能なものについて、どこまで個人情報として法で保護すべきか、という問いになります。
 

そういえば勉強会では、「いちばん大事な部分を法律に定めずに政令に委任してしまうのは、憲法上問題ないのか?」という議論もありました。私は、ある程度のフレキシビリティを法令に持たせるためにその一部を政令に委任するのはしょうがないにしても、保護法の条文上に、政令委任にあたっての考え方・趣旨・委任の範囲を限定する文言は入れていただく必要はあるんじゃないかな、と思います。
 

【本】『インターネットの憲法学 新版』― インターネットを殺すのは、安易なグローバル・スタンダード迎合主義


ネットビジネス・情報ビジネスに携わる法務パーソン必読の書。自分の携わるビジネスが、ここまで幅広く憲法に関わっているのだということを、改めて認識し総点検するために。


インターネットの憲法学 新版
松井 茂記
岩波書店
2014-12-18



松井茂記先生といえば、いわゆる実務書でありながらも当時から先進的な論稿を多く含んでいた共著書『インターネットと法』があります。私も同書には第4版の刊行から5年経った今もお世話になっているのですが、本書はそういった実務書とは趣の異なる学術書の体裁をとります。短期的な解決策やノウハウを求めている方の期待に応えるものではありません。

では、格式張った憲法学の教科書のような内容かというと、そうでもない。プロバイダー責任、フィルタリング、ドメインネーム、ブラウザと市場独占、ポルノやプライバシーと表現の自由といったインターネット創世記から問題となった基本論点を抑えた後は、
・児童ポルノ
・ヘイトスピーチ
・公平な利用(フェアユース)
・政府によるインターネット監視
・国境を超えるインターネット
・ネット選挙
といった、今まさに問題になっているキーワードを次々に取り上げ、良い意味で学問としての憲法学の体系にとらわれずに論じていきます。しかも、その言説はかなり大胆。先生がご専門とするアメリカ・カナダでの議論を踏まえて、両論併記というよりは松井説のみをはっきりと叙述するスタイル。読者としては、首肯しがたい結論もかなり多いでしょう(P365の「何がプライバシーで何が個人情報か」の一節などは、日本の読者も気になる論点であるはずですが、あまりに一刀両断過ぎてドキドキすること間違いなしです)。

s-IMG_4540

こういったスタイルを敢えて採用した理由は、数々の論点が憲法学上の論争にすらなっていない日本憲法学への憂いなのか?議論をしていては間に合わないという焦りなのか?その切迫感は、本書のクライマックスに近づくほど高まり、安易な「グローバル・スタンダード」迎合に対する警鐘へとつながっていきます。P438より。

国際社会でインターネット上の表現の自由やプロバイダーの法的責任について合意が形成されるとは考え難い。また、もし合意が形成されたとしても、それは日本国憲法のもとで表現の自由に対して与えられる憲法上の保護を下回るような基準で合意がなされる可能性が高い。最も自由の保護の低い国の基準がグローバル・スタンダードとなり、インターネット上の表現の自由が著しく萎縮する危険性が高いといえよう。
そうだとすれば、表現の自由の観点からは、各国がそれぞれ自主規制を重視し、域外におけるインターネット上の表現行為に自国の法律を適用することを控えることこそが、インターネット上の表現の自由を確保する上で最も適切な方向性を示すものだということになろう。
たしかに、インターネットが提起する諸問題を解決するには、それぞれの国がかってにその国の法律を適用していたのでは、決して満足のゆく解決は得られないであろう。しかし、表現の自由に対して与えられる憲法上の保護は、国によって大きく異なる。プロバイダーの法的責任についても、国によって考え方に大きな違いがある。このことは、国境を超えたアプローチには、重大な危険が伴うことをも示唆する。国家の揺らぎを理由に、国際的協調を安易に主張することにはもう少し慎重であるべきだろう。

確かに、日本では今、民法(債権法)、著作権法、プライバシー法制、労働法制といった分野でことさらに特定の外国法制を紹介し、「日本だけが世界から遅れている」といった外圧アプローチで法改正の必要性を声高に叫ぶ向きが多いように思います。かくいう私も、「長いもの=世界の潮流にはいったん巻かれておいて、その上でいち早くビジネスで現実対応するのが得策」と考えがちなタイプであることは、否定できません。

遠いブリティッシュ・コロンビア大学から、日本を憂いてらっしゃるのであろう松井教授のこの警告に、自分の頭で考えることを放棄しているのを見透かされたような、恥ずかしい思いがしました。
 

【本】『プライバシー大論争 あなたのデータ、「お金」に換えてもいいですか?』 ― プライバシー大論争年表を作ってみました


日経BPの浅川さまよりご恵贈いただきました。 ありがとうございます。


プライバシー大論争 あなたのデータ、「お金」に換えてもいいですか?
大豆生田 崇志 (著), 浅川 直輝 (著), 日経コンピュータ (編集)
日経BP社
2015-01-24



煽り系のタイトルに嫌悪感を持たれる方もいらっしゃるかもしれませんが、本文はこの分野を追いかけ続けている浅川記者と大豆生田記者の手によるものだけあって、内容はいたって冷静な本。

筆者がこの本を企画した動機は、こうしたデータプライバシーの議論について、日本固有の歴史や事例を発掘し、議論の土台として紹介したかったことである。
本書の執筆に当たっては、プライバシーの専門家に加え、100人を超える企業関係者に取材した。「今は消費者がプライバシーに敏感なので、このテーマでは語りたくない」と取材を断る企業が多かった中、取材を引き受け、率直に語っていただいた企業および担当者の方々に、厚く御礼を申し上げる。今後、日本の企業、政府、消費者がデータプライバシーについて議論する際、本書が互いの共通認識を形作る一助になれば幸いだ。

このような趣旨のもと、ベネッセ名簿漏洩/Suica騒動/CCC(Tカード)&ヤフージャパンによるデータビジネスの3つを中心に、プライバシーが取り沙汰された事件、法改正、活用事例等を丹念に振り返り、世界と日本のプライバシー観の変化を追い、また特に昨年からのパーソナルデータ検討会の議論の過程については細かく描写し、来たる個人情報保護法の大改正を展望しています。プライバシー関連のニュースは意識的に追いかけている私でも、本書で紹介されているもののうち忘れかけていた事件・出来事がいくつかあり、記憶の整理に大変役立ちました。1点、「(現行)個人情報保護法が自己情報コントロール権の考え方を部分的に取り入れたもの」という記述がいくつか見られた(P35など)のは、現行法の法解釈としてはミスリーディングなように思われましたが。

s-IMG_4495

もう1点、出来事が年月を追って順に紹介されているわけではないのが、資料という意味では惜しいなあ…と。

なので、余計なお世話ついでに、本書で紹介されている全事件・法改正のメモを取り、年表形式に編集してみました。こうしてみてあらためて、本書執筆者の取材の丹念さに感服する次第です。

『プライバシー大論争』年表
内容 本書ページ
17世紀 イギリスで住居が部屋で分かれるようになる P27
18世紀 産業革命により職場が家庭から工場・事務所へ P27
1890 アメリカで「放っておいてもらう権利(right to be let alone)」が認められるようになる P28
1961 「宴のあと」事件、プライバシーという言葉が巨人、大鵬、卵焼きとならぶ流行語となる P29
1963 核家族が流行語となる P29
1963 ダイヤル式黒電話「600形電話機」登場 P31
1964 東京地裁がプライバシー権を正面から認める P29
1967 住民基本台帳法施行 P31
1970 政府自治体による統一個人コード導入議論により、自己情報コントロール権の概念が加わる P30
1970 名簿業者が電話帳をコンピュータ入力しはじめる P32
1980 ダイレクトマーケティング理論の本格導入 P32
1980 OECD「プライバシー保護と個人データの国際流通についてガイドライン」採択 P35
1981 警察庁「Nシステム」導入開始 P94
1987 日経社説「情報を伝えるDMが多くて何が悪い」 P33
1989 世論調査「現住所・電話番号は他人に知られたくない」10.9% P34
1990 クーリングオフ制度の強化 P33
1995 EUデータ保護指令採択 P104
1996 民間信用情報機関の個人情報が社員によって引き出され債権回収業者へ P33
1998 早稲田大学江沢民講演会出席者名簿事件 P60
1999 京都宇治市住民票データ流出事件 P34、P60
2000 5 EUと米国によるセーフハーバー合意 P108
2002 5 TBC無料体験応募者名簿流出事件 P61
2003 5 個人情報保護法成立 P10
2003 世論調査「現住所・電話番号は他人に知られたくない」42.9% P34
2004 2 Yahoo!BB加入者記録流出事件 P59
2004 10 APECプライバシーフレームワークに基づく越境執行協力 P143
2005 3 住民基本台帳閲覧による名古屋市強制わいせつ事件 P36
2005 4 個人情報保護法全面施行 P10
2006 11 住民基本台帳法改正法施行 P35
2007 4 経産省「情報大航海プロジェクト」開始 P42
2007 4 ホンダによるGPS情報提供開始 P75
2009 12 警視庁「テロ対策に向けた民間カメラの活用に関する調査研究報告書」公開 P95
2010 2 アン・カブキアンの「プライバシー・バイ・デザイン」がFTCプライバシーレポートに採用 P159
2010 3 経産省「情報大航海プロジェクト」終了 P43
2010 5 総務省「配慮原則」公開 P44
2011 1 世界経済フォーラム報告書「パーソナルデータは新しい原油」 P105
2011 9 カレログ騒動 P69
2011 10 ミログ事件 P41
2012 1 EUデータ保護規則改正案提案 P108
2012 2 アメリカ消費者プライバシー権利章典発表 P108
2012 2 カリフォルニア州司法長官がグーグル・アップル等主要6社とプライバシーポリシー表示について合意 P174
2012 3 アメリカFTC「急変する時代の消費者プライバシー保護」でFTC3条件を提示 P130
2012 7 総務省「スマートフォンプライバシーイニシアティブ」公開 P47
2012 10 アメリカFTC顔認証データのビジネスの応用について勧告 P91
2013 3 NHK「震災ビッグデータ」放映 P71
2013 5 トヨタ自動車「ビッグデータ交通情報サービス」開始 P76
2013 6 アメリカNSAによる職員による私的通信傍受が暴露 P96
2013 7 OECDガイドライン改訂 P109
2013 7 Suica乗降履歴販売騒動 P13、P64、P121
2013 9 政府IT戦略本部(内閣官房)「パーソナルデータに関する検討会」開催 P48、P111
2013 10 NTTドコモ「モバイル空間統計」サービス開始 P74
2013 12 パーソナルデータ検討会の下部組織技術検討WGによる「技術検討WG報告書」が公表される P125
2014 1 行政手続番号法(マイナンバー制度)での「特定個人情報保護委員会」発足 P113
2014 3 EUデータ保護規則が欧州議会で可決 P108
2014 4 IT総合戦略本部事務局がパーソナルデータ検討会において準個人情報の類型を提案 P138
2014 5 経産省がパーソナルデータ検討会において利用目的規制の緩和を要求 P134
2014 5 総務省「位置情報プライバシーレポート」 P72
2014 6 CCCとヤフーが購買履歴・閲覧履歴を共有する提携 P82
2014 6 内閣官房「パーソナルデータの利活用に関する制度改正大綱」公表 P111
2014 6 購買履歴や健康情報から児童で医薬品をレコメンドする行為が改正薬事法で禁止される P100
2014 6 ヤフーやDeNAによる遺伝子検査サービス参入 P97
2014 6 ソニー電子お薬手帳サービス開始 P101
2014 7 ベネッセ個人情報漏洩事件 P10、P54
2014 10 東京地裁がグーグルに検索結果の一部を削除するよう命じる仮処分 P183
2014 11 CCCがT会員規約を変更 P78、P148
2014 11 情報通信研究機構大阪駅ビル実証実験騒動 P86
2014 11 欧州議会が米グーグルに対して検索事業の分社化を求める決議案を承認 P173
2014 11 欧州委員会作業部会「忘れられる権利」ガイドライン公表 P182
2014 12 CCCとマイクロアドが属性情報突合で提携 P83
2014 12 全国万引犯罪防止機構「防犯画像の取り扱いに関する見解及び提言」公表 P93
2014 12 内閣官房「パーソナルデータの利活用に関する制度改正大綱骨子案」公表 P111
2015 個人情報保護法改正(予定) P10ほか多数


保護法の改正については、昨年12月に出された骨子案によって、おぼろげではありますが改正後の姿が見えてきています。一方で、その骨子案に対して、複数の委員からEUの十分性認定やOECDガイドラインへの抵触に懸念が呈されている現状があります。特に、新保先生ら学者筋の方々から批判が集中しているのが、「利用目的変更に関する規制緩和」、いわゆるオプトアウトによる取得後の利用目的の変更を認めることとする規制緩和案です。

パーソナルデータ検討会後半では匿名化のあり方に議論が集中していた中、青天の霹靂のように出てきたこの論点、いつ上がっていたのだろうと改めて振り返ってみると、決して土壇場で突然ねじ込まれたわけではなく、2014年5月時点で経産省がこれを提案していたことが分かります。検討会のメンバーにはあれだけの論客が揃っていたにもかかわらず、経産省の意見がこうして事務局案にスッと入ってしまうあたりに、コンプガチャ騒動後に消費者庁が動いた際にも感じた日本の「行政立法の闇」が垣間見えるような気もします。実際に、この5月のタイミングで経産省に働きかけた事業者が具体的に存在したのかどうかは不明ですが、こういった役人へのロビイング活動が与える影響はやはり大きいのだろうなと感じざるをえません。

本書では、検討会以外に個人情報保護法制の今後に影響を与えるであろう存在として、OpenIDファウンデーション、モバイル・コンテンツ・フォーラム(MCF)、インターネット広告推進協議会(JIAA)といった業界団体とその活動も紹介されています。この辺りキーパーソンを掴まえてきっちりと取材されている点も、本書の素晴らしいところです。我々ビジネスサイドが事実上の立法権を握る行政に影響力を有していくためには、検討会に参加されているような一部の有識者任せではなく、こういった業界団体を巻き込んでの議論をしていくことがますます大切になってくると、私も強く感じています。


法改正までの残り時間も少なくなってきました。事業者としては、骨子案の線で改正・施行されてもビジネスが停滞しないよう、法改正が見込まれるポイントについては先取りで自主規制の強化やビジネスの変更を進めるなど、やれることを粛々とやっていくのみです。
 

Facebookのデータポリシー改定案に見るプライバシーポリシーの新潮流


サービスの注目度の高さゆえに、利用規約やプライバシーポリシーを変更するたびに世の中から怒られてしまうFacebook。それでもめげずに、またこれらを改定することになったようです。


Facebook、利用規約とポリシーを短くインタラクティブに改定へ
 米Facebookは11月13日(現地時間)、利用規約、データポリシー、Cookieポリシーの改定を発表した。現在改定案を提示しており、ユーザーからのフィードバックを受けた後、改定する計画。フィードバックは20日まで送信フォームで受け付ける。
 利用規約は従来より短くなるが、基本的な内容は変わらず、例えば広告主や開発者向けの項目がデータポリシーやプラットフォームポリシーなどに移行された。データポリシーはインタラクティブになり、Facebookがどのような個人情報を収集し、それをどう使っているかが分かりやすくなった。
 Facebookは2012年の米連邦取引委員会(FTC)との和解の条件の1つとして、プライバシー関連の設定を変更する場合は消費者にはっきりと通知して承諾を得ることを義務付けられている。今回の改定は、これまでに導入した新機能に対応した内容への改定となっている。


特に、新しいデータポリシー改定案は見た目も大きく変わっています。どんな感じにインタラクティブなのか、百聞は一見にしかずということで、動きをキャプチャしてYoutubeにアップしてみました。



ご覧のように、左側のメニューをクリックすると、プルダウンメニューのようなかたちで小項目が展開され、その小項目をクリックすると、右側のカラムの詳細な説明に飛んで行く、という作り。二世代前の改定から進めていたインタラクティブな作りを更に推し進めている感があります。

利用規約の改定案の方は依然として一般的な文書のカタチですが、この(一般企業におけるプライバシーポリシーにあたる)データポリシーについては、慣れないと逆に見にくく感じる人もいるかもしれません。また、このようなインタラクティブな作りこみは作成やメンテナンスの負荷もあり、そこそこの企業規模が必要となってくるので、必ずしもこれがスタンダードとはならないでしょう。しかしながら、ブレイクダウンされた項目見出しで一覧性を担保 → リンク先でその詳細について個別説明 というスタイルは、日本の総務省が推奨しているスマートフォンプライバシーイニシアティブのアプリプラポリや、米国商務省電気通信情報局(NTIA)が推奨するショートフォームも採用している構造であり、一覧性と透明性を同居させるための工夫としては、このスタイルがベストプラクティスとして定着したと私は考えます。プライバシーポリシーに関して今このスタイルを取っていない事業者も、今後こういう方向に変更せざるを得ない流れになるんじゃないでしょうか。


ちなみに、上記キャプチャ動画で見に行っている「デバイス情報」の項目は、スマホ時代におけるプラポリの書き方の中でも、どこまで詳細に書くべきか実務家が頭を悩ます一大論点です。この点、Facebookの今回の改定案のまとめ方は、なかなか興味深いものとなっています。

デバイス情報。
Facebookサービスをインストールしてあるコンピュータ、サービスへのアクセスに使用するコンピュータ、携帯電話、その他のデバイスからの情報や、それらについての情報を、利用者が許可した内容に応じて収集します。複数のデバイスを使用している場合には、収集した情報を関連付ける場合もあります。デバイスが異なっても一貫したサービスを提供するためです。収集するデバイスの情報を以下に例示します。

OS、ハードウェアのバージョン、デバイスの設定、ファイルやソフトウェアの名称と種類、バッテリーや信号の強度、デバイス識別子などの属性。
GPS、Bluetooth、Wi-Fiなどの信号から特定できる地理的位置を含む、デバイスの位置情報。
携帯電話会社やインターネットサービスプロバイダの名前、ブラウザの種類、言語とタイムゾーン、携帯電話番号、IPアドレスなどの接続情報。

現行データポリシーではやや曖昧な書き方にされていたところですが、今回の改定案から、電話番号やIPアドレスなどの接続情報とGPS等の位置情報を「デバイス情報」の下位概念に置いているんですね。これは新しいんじゃないかと。そして、アプリという語句を敢えて使わず、「サービスをインストールしてあるデバイス」という表現ぶりを編み出しているあたりも、参考になります。
 

アドテクとパーソナルデータとプロファイリングと

 
アドテクとパーソナルデータについての勉強会に出席。

いわゆる“クッキー(cookie)”が、ネット広告エコシステムの中で広告主/広告メディア/エンドユーザーの間をどのように流通し取り扱われているかについて、過去アドテク企業で働いたご経験をお持ちの法務パーソンから、お話を伺いました。その勉強会のお話の中で、特に私が興味を抱いたのがこの図(発表者の方に掲載許可を頂きました。ありがとうございます)。

s-benkyoukai20140913-1s-benkyoukai20140913-2

ネット広告エコシステムの中には、ネット上の様々なサーバーに蓄積されたビッグデータやサイトのログデータなどを一元管理・分析し広告配信の最適化を実現するDMP(Data Management Platform)という存在がいます。そして、このDMPに対し、表示する広告の最適化を目的に、エンドユーザーが使うブラウザのクッキーをKeyにして属性情報に関する問い合わせを行うのが、DSP(Demand-Side Platform)とSSP(Supply-Side Platform)です。そしてそのDSP/SSPは、DMPからの属性情報照会結果(DMPデータ)を使って、RTB(Real Time Bidding)=広告枠の入札/応札を行います。さて、ここで問題となりそうなのが、DSP/SSPがこのDMPデータを意志を持って溜め込んだ場合、個人情報保護法違反またはプライバシー権侵害とならないと考えてよいか?という論点です。

勉強会出席者(主にアドテクではない法務な方々)からは、
・DMPが提供している個々のDMPデータ自体は個人データではないから、第三者提供にもならない
・それをDSPやSSPが溜め込んでも、容易照合性はないだろう
・仮にDMPデータの集積から特定識別できたとしても、個人側に具体的な損害がないのでは
・そもそも、広告事業者側にDMPデータを溜め込むインセンティブはあるのか
・結局は、自己情報コントロール権みたいな話でしょう
と、総じて「それほど問題はないのでは」という反応でした。アドテクに使われているパーソナルデータが内包しうるプライバシー性は理解しつつも、保護法で定義される個人データとは一致しないというところに、これを保護・規制しようとする流れには直ちには首肯できない、といった様子(出席者全員がそうだったわけではありません)。

その一方で、少なくともEUの一般データ保護規則提案では、このような論点が「プロファイリング」問題として取り上げられ、すでに規制される流れになっていると私は認識しています。以下、石井夏生利先生の『個人情報保護法の現在と未来』より引用。

 第20条「プロファイリングに基づく措置」は、現在のネットワーク社会におけるプライバシー・個人情報保護の問題を捉える上で重要性を増している。この権利に違反した場合も、異議申立権違反と同様、最も思い行政的制裁が課せられる(第79条6項(d)号)
 第20条は、次のように定めている。

「1 すべての自然人は、当該自然人との関連で法的効果を生じさせ、又は当該自然人に重大な影響を与える措置であって、当該自然人に関連する一定の個人的側面を評価し、又は、とりわけその自然人の業績、経済状況、位置、健康、個人的嗜好、信頼性若しくは行動を分析又は予測することを意図した自動処理のみに基づく措置に服さない権利を有するものとする。」

 第20条は、自然人に対し、コンピュータ処理を手段としたプロファイリングに基づく措置に服さない権利を有する旨を定めている(1項)。ただし、(a)契約の締結又は履行の過程において実施される場合であって、それがデータ主体の求めによるか、適切な安全保護措置が提示されたものである場合、(b)EU法又は加盟国の法が明示的に権限を付与し、データ主体の適法な利益を保護するための適切な措置を定める場合、(c)データ主体が同意した場合であって、同意の条件を満たし、かつ適切な安全保護措置を講じた場合は適用除外される(2項)。しかし、その場合でも、管理者は、特別な種類の個人データのみに基づく評価を行ってはならない。また、2項の場合にデータ主体へ提供すべき情報には、プロファイリングに関する措置を講じるための取扱いの存在や、当該取扱いがデータ主体に与え得る影響等が含まれる(4項)

また、米国でも、雇用や信用情報をプロファイリングし販売していたSpokeoに対してFCRA(公正信用報告法)違反で罰金を課した実例があります。


講師の方曰く、
「DMPデータは鮮度も重要なので相当な頻度で更新されているので溜めたところで使えないだろうし、DSP/SSPも、法律に触れないにしてもDMPデータは蓄積すべきではないという考えはもっていて、ほとんどの事業者がプロファイリングを目的としたデータ蓄積はしていないはず。」
とのこと。そうだろうなと思いつつも、例えばヤフージャパンさんのような、大きな集客メディアと人気ある広告枠を持っている企業が、尖った属性情報を持つデータアグリゲーターと提携し、容易照合性が疑われるようなことがあると、日本でもこの論点がもう少し注目を集めることになるのかも。と、ここまで書いて、ヤフージャパンさんが最近データアグリゲーター大手と提携されていたことを思い出したり・・・。


このプロファイリングというキーワード、日本のパーソナルデータ検討会では継続検討課題として大綱にはかろうじて入っているものの、議事次第を追跡すると、鈴木委員以外の委員からは規制をかけることにネガティブな意見が相次いでいた部分でもあり、優先度が低いテーマになっているように見受けられます。が、名簿屋規制というパンドラの箱まで開かれた今、バズワードに育つのも時間の問題のように思われます。

広告という商業活動に無縁な事業者など皆無なだけに、なかなかにヘヴィーなテーマです。
 

【学会誌】法とコンピュータ No.32 ― 提供元基準 vs 提供先基準論争は続くよどこまでも

 
法とコンピュータ学会の2014年7月版学会誌を入手。当然ながらパーソナルデータネタ盛りだくさんとなっていて、関心のある方も多いのではと思います。しかし、学会ウェブサイトは更新・運営の手が止まっている様子で、弁護士会館ブックセンターさんあたりに行かないと入手困難かもしれません。


s-IMG_4068


中でも、岡村久道先生の基調講演録(論稿+スライド)がアツかったです。個人情報保護法における容易照合性の判断基準について、提供元基準か提供先基準かという論争について、「政府解釈は提供元基準」ということですでに終止符が打たれたかのように早とちりしていた私でしたが、この講演では岡村先生が
・『石に泳ぐ魚』事件(最判ではなく東京高判平成13年2月15日のほう)
・長良川少年報道事件(最判平成15年3月14日)
・東京地判平成24年8月6日事件
・さいたま地判平成23年1月25日事件
等、プライバシー情報の公表や提供に関するいくつかの判例理論を分析した上で、やはり提供先基準と考えるのが適切であると力説されています。また、マサチューセッツ州知事の医療データが識別された事件に代表されるような、ネットやSNS上から入手しうる情報を用いて照合(link attacks)し再識別化されるケースにおける保護法の適用についても言及。


s-IMG_4079


法務パーソンとしてどちらに与するかは別として、日ごろは安全サイドに立って提供先での特定可能性も検討するのですが、考えてみれば「政府解釈は提供元基準」だからといって、司法においてもそれが踏襲されるという保証は無いわけです。個人情報保護法の容易照合性の判断基準について明言する最高裁判例が無い中では、岡村先生がここで取られているような裁判例を紐解くアプローチの方が正攻法では、という気もしました。


そしてもう一つ、「ビッグデータビジネスと程よいWebプライバシー」という、なんとも興味を引くタイトルの論稿が。こちらは通信事業者にお勤めの実務者の方による研究報告で、ネット広告エコシステムを転々流通する情報に、電気通信事業法(通信の秘密)と個人情報保護法を重畳して適用する必要があるのか?という論点。


s-IMG_4078


このアドテク×プライバシーという論点については、写真中の図にも表されているように登場人物(関係する事業者)が多く、理解するのをなかば放棄していた分野なのですが、遅まきながらきちんと勉強しておこうと、先日勉強会にも参加した次第。次回はその模様について書きたいと思います。
 

【本】パーソナルデータの教科書 ― 「わかった気」で終わらせないための端折る技術


法的に緻密な分析を端折って捨てて、リサーチャー的にパーソナルデータにまつわるトピックスと参考情報を集めて整理することに振り切ったことで、読み手にとっての分かりやすさを追求した本。


パーソナルデータの教科書
小林慎太郎
日経BP社
2014-07-31



全体の構成は、
第1章で、Suica事件をはじめとする炎上案件とそこから見えた反省・課題を踏まえ、
第2章で、パーソナルデータの議論でもっともややこしい「特定」と「識別」の違いを解説し、またその理解を難解にさせている原因を「3つのグレーゾーン(個人特定の可能性/容易照合性/属性推定の可能性)」として整理し、
第3章で日本のプライバシー保護法制を
第4章で米国のプライバシー保護法制を
第5章でEUのプライバシー保護法制をそれぞれ概観しながら、
第6〜9章で、日本の法改正の展望と今から企業が行うべきことを提言する
という流れ。

あとがきで筆者自身が認めているように、法律家やパーソナルデータ検討会の関係者らが書いた本ではないぶん、

個人を「特定」できる情報とは、個人の名前や顔が分かる情報のことで、例えば、住所録などの氏名と組み合わされた情報が該当する
識別・非特定情報を、識別もできない状態、つまり誰か一人の情報では分からないようにデータの加工処理(非識別化)すると、非識別・非特定情報となり、これが事実上の「匿名情報」に相当する

といったような、リテラシーのない方が読んでそのまま鵜呑みにしてしまうと危険かもしれない記述もあるにはあります(特に2〜3章にいくつか)。が、抽象的な概念・議論を豊富な事例紹介と図表によって噛み砕くことに腐心されている分、読んでいてわからなくなる箇所がありません。中途半端な法律セミナーに参加して「わかった気」になるより全然いいんじゃないでしょうか。理解のとっかかりさえできれば、後は自分で理解を深めることもできますしね。

s-IMG_1299
s-IMG_1300


また、6〜9章の提言部分は、パーソナルデータ大綱が示す道すじに忠実に、では企業として具体的に何を準備しておけばよいのかを大綱以上に踏み込んで述べている点、すばらしいと思いました。中でも、著者のコンサルタントとしての経験を踏まえての、プライバシー影響評価(PIA)の具体的な進め方のアドバイスは、法律家が書く論稿にはない価値が感じられたパートです。

s-IMG_1298

本書全体を通底する提言の内容としても、今後のパーソナルデータ取扱の基本方針として、安易に「同意を取らないで済む道」を追求するのではなく、
・同意を取得した方が結果的にビジネスで使える情報になる(個別同意と包括同意を併用しながら)
・その同意取得プロセスがあったとしても、オプトアウト手続きの提供は必須
といった主張が繰り返されていた点も、個人的に共感を覚えました。

端折ることで正確さをある程度捨てている点、そういったところをないがしろにしたくない向きからは批判もあるかもしれませんが、パーソナルデータ検討会の最大の功績である技術検討ワーキンググループ報告書を読む前の準備運動として、そしてそれを読んで理解した後の行動を踏み出す具体的指針として、オススメな本です。
 

【本】個人情報保護法の現在と未来 ― プライバシーの国際水準に合わせるためには、第三者機関設置だけじゃまだ足りないようです

 
曖昧模糊としたパーソナルデータ大綱が出た後、必死で法改正の風向きを読もうとしている企業法務のみなさんがその拠り所としているEU・米国のプライバシー法に関する最新動向をまとめ、そこから読み取れる日本の個人情報保護法改正の潮流を説いてくれる一冊。

なんとその語り部は、日本のプライバシー法の第一人者たる堀部先生の直系のお弟子さんである、石井夏生利先生です。確かにみんながこういう本を求めてはいたけれど、このタイミングでこの方がお出しになるとは誰も思ってなかったはず、な本がでちゃいました。


石井 夏生利
勁草書房
2014-07-31



この分野を追いかけているやまもといちろうさんや日経の大豆生田さんの解説もわかりやすいのですが、そろそろきちんとした学術的な解説も読めたらとは思っていました。とはいえ、鈴木正朝先生や森亮二先生は当事者(委員)としてかかわられてお忙しそうだし・・・と思っていたところに、いつもは奥の方で控えめにいらっしゃる印象の石井先生が、こうも軽やかに最前線に登場されるとは驚き。

中身の方もかなり最新ネタに突っ込んだ、フットワークの利いたものになっています。肝心のパーソナルデータ大綱がとりあげられているのはもちろんのこと、米国に関しては5月に米国ホワイトハウスが発表した「BIG DATA: SEIZING OPPORTUNITIES, PRESERVING VALUES」を、EUに関しては「EU一般データ保護規則提案」については6月6日会合までを、さらに最近のプライバシー時事ネタについても「忘れられる権利」に関して5月に話題になった欧州裁判所によるGoogleに対するリンク削除命令事件といったあたりまでもが取り上げられていました。石井先生は前著でも海外法制の動向をずっとフォローされてきた方なのでこのあたりはお茶の子さいさいであろうとはいえ、この本の奥付発行日が7月30日ですから、入稿ギリギリまで相当粘って書き上げられたものと推察します。

s-IMG_4008


そんな石井先生が、「日本が国際水準を目指すにあたって最低限導入が必要」と最終章で提言される制度が、以下の5つ。

1 独立監視機関の設置
2 越境執行協力
3 基本原則の設置(明文化)
4 プライバシーバイデザイン(PbD)とプライバシー影響評価(PIA)の体制組入
5 データ・セキュリティ侵害通知制度の法令義務化

1・2は大綱に明記されましたし、3・4は大綱案の議論の中でも聞き覚えのあるところで特に意外性はありません。ですが、5番のデータ・セキュリティ侵害通知義務化については完全に不意打ち。カリフォルニア州法が率先して取り入れたことで、なんでもOECD改正プライバシーガイドラインやEU規則提案でも採用されつつあるのだとか。これ、本当に入ったら結構なインパクトがある気がします。ユーザーはおろかJIPDECや主務官庁等にも報告されず、闇に葬られているメール誤送信事件とかデータ紛失事件が山のようにあるはずですからね。
 
大綱が出て一区切りついたような気になってましたが、具体的な法改正まで、まだ一波乱も二波乱もありそうな気がしてきました。
 

【本】情報セキュリティ管理の法務と実務 ― ベネッセ個人情報漏洩事件を踏まえて現行法義務を総点検する

 
2004年に発生したソフトバンクの個人情報漏洩事件に次いで、様々な文献で事例として語り継がれることになるであろう、ベネッセの大規模個人情報漏洩事件。

管理委託の外部業者が個人情報流出か(NHKオンライン)
nhkbenesseベネッセコーポレーションの通信教育サービスを利用している顧客の子どもや保護者の名前や住所など、およそ760万件の個人情報が流出したもので、流出した個人情報は最大でおよそ2070万件に上る可能性があるとみられています。
警視庁は、企業の営業秘密に当たる顧客の個人情報を何者かが外部に流出させたとみて、不正競争防止法違反の疑いで捜査していますが、顧客データベースの保守管理は本社から委託を受けたベネッセのグループ会社が、外部の業者に再委託していたことが警視庁などへの取材で分かりました。
データベースへのアクセス権限は、業者の中でも一部の担当者にしか与えられていなかったということです。
ベネッセによりますと、データベースに不正にアクセスされた形跡はないということで、警視庁は、こうした外部業者の担当者が情報を記憶媒体にコピーするなどして持ち出し、流出させた疑いがあるとみて調べています。

IPAの「組織内部者の不正行為による インシデント調査 − 調査報告書 − 」にも記載されているとおり、個人情報漏洩事件のほんどは外部からの攻撃である一方で、今回のような業務委託先を含む内部関係者の不正行為による漏洩事件となると、防止・発見が難しいことと相まって被害人数が多くなるという特色があります。

パーソナルデータ検討会以降、個人情報保護法が今後どう変わるかばかりを気にして浮足立っていたところがありますが、今回ベネッセに起こっていることを他山の石とし、そもそも自社が現行法を順守できているのかを改めて見直す機会としたいところ。その参考となりそうな新刊をご紹介したいと思います。


情報セキュリティ管理の法務と実務
野村総合研究所・浅井国際法律事務所
きんざい
2014-05-12




本書は、そのタイトルに忠実に、情報セキュリティに関わる法令上の義務を概説する「法務編」と、その義務を果たすために具体的に何をやるべきかをまとめた「実務編」に大きく二分されており、そのどちらも秀逸な出来となっています。

前半の「法務編」は、カバーする法令の網羅性に加えて、金融機関に求められる法的義務に目線を合わせているところが特徴となっています。その心は、
企業における情報セキュリティに関する法規制のほか、最先端の情報セキュリティが確立している金融機関に関する法規制や金融機関の取り組みを多数紹介しているが、これは、当該法規制や当該取組みがBtoC取引に携る一般事業会社にとっても実務上参考になると考えたからである。
(巻頭言より)
というもの。

・個人情報保護法 
・不正競争防止法 
・経済産業省告示 ーソフトウェア等脆弱性関連情報取扱基準(平成16年経産省告示第235号)
 ー情報システム安全対策基準(平成7年通産省告示第518号)
 ーコンピュータ不正アクセス対策基準(平成8年通産省告示第362号)
 ーコンピュータウイルス対策基準(平成7年通産省告示第429号)
 ーソフトウェア管理ガイドライン(平成7年公表)
・会社法 ー内部統制システム構築義務(362条4項6号、会社法施行規則100条)
・刑法 ー窃盗罪(235条)
 ー私文書毀棄罪(259条)
 ー建造物侵入罪(130条)
 ー器物損壊罪(261条)
 ー背任罪(247条)
 ー偽計業務妨害罪・威力業務妨害罪(233条・234条)
 ー不正指令電磁的記録に関する罪(168条の2および3)
 ー電子計算機損壊等業務妨害罪(234条の2)
 ー電子計算機使用詐欺罪(246条の2)
 ー電磁的記録不正作出・供用罪(161条の2)
 ー支払い用・預貯金引き出し用カードに関する罪(163条の2ないし4)
・不正アクセス禁止法 ーアクセス権限のないコンピュータを利用する行為の禁止(2条4項)
 ー他人のパスワード等を不正に取得・保管する行為の禁止(4条・6条)
 ーフィッシング行為の禁止(7条)
 ーアクセス管理者による防御措置構築に関する努力義務(8条)

といった、どの企業にも関係する法規制について網羅的に概説しながらも、金融機関における情報セキュリティ規制を定める
・金融商品取引法
・銀行法施行規則
・金融検査マニュアル
・金融分野における個人情報に関するガイドライン
・中小・地域金融機関向けの総合的な監督指針
そしてさらには、
・電気通信事業法と総務省ガイドライン(通信履歴・発信者情報・位置情報)
・番号(マイナンバー)法
・ISMS・Pマーク等の認証制度
・行政機関における情報の取扱に関する規制
まで取り上げます。またこれにあわせて、金融機関において発生したセキュリティ事件に関する判例が多く紹介されています。ベネッセ事件との絡みでは、特に安全管理義務や外部委託先管理責任について、金融機関に求められているレベルを知っておいて損はないでしょう。

s-IMG_3964


後半の実務編は、
・情報セキュリティの組織・体制・ルール
・従業員管理・教育訓練
・情報資産/施設・環境/端末・媒体/ネットワークごとのセキュリティ対策
・セキュリティ監査
・グループ管理
ごとに、章を分けて解説。

委託先管理という観点でやはり最近気になるのは、既に水・電気の如く必要不可欠な存在となってしまったクラウドサービスの存在。クラウドベンダー側に確認すべき事項がまとまっているところなどは、最新刊ならではの読みどころです。

s-IMG_3966


漏洩の規模もさることながら、謝罪会見において「センシティブ情報が漏れたわけではなく、金券を配布することは検討していない」と頭ごなしに賠償責任を否定した同社のスタンスや、名簿屋を通じてジャストシステムが当該情報を購入していたことの是非についても議論が波及、さらには大臣が情報の消去義務について個人情報保護法改正の必要性に言及するまでに発展している同事件。被害を受けている方にとっては不謹慎な物言いとなってしまいますが、企業法務パーソンにとっては格好の学習・反省材料ともなりそうです。
 

参考:

▼内部関係者による情報漏えいを繰り返さないためにできること(@IT)
http://www.atmarkit.co.jp/ait/articles/1407/11/news158.html
 

パーソナルデータの沙汰も第三者機関次第

 
パーソナルデータの利活用に関する制度改正大綱(事務局案)」がリリースされました。


s-IMG_3468


この大綱が決まるまでビッグデータビジネスの展開を様子見としていた企業にとっては、首を長くして待っていた文書であったはず。果たしてその期待に応えるものとなりそうでしょうか。

個人情報保護法改正の看板は下ろされた?


第1回パーソナルデータに関する検討会議事要旨にも記録されているとおり、もともとこのパーソナルデータの議論には、個人情報保護法の改正も視野に入っていたはずです。民間企業も、この大綱で改正の方向性がどう示されるかに注目していたと思います。

しかし、今回の大綱案では
法律では大枠を定め、具体的な内容は政省令、規則及びガイドライン並びに民間の自主規制ルールにより対応することとする
と記されるにとどまっています。また、この大綱のベースとなっている第10回会合の資料4ー2「これまでの議論を踏まえた論点整理表」の中にも
・現行法の個人情報については、解釈の明確化を図る。
(理由:現行個人情報の定義につき、カッコ書きを削除するべきという意見については、事業者内部において個人を特定してデータを利活用できるものが保護対象から外れることとなり、個人の権利利益保護の観点より受け入れられない。)
・一般的な同意取得方法を定めることは多様な情報利活用実態より困難であり、法律の改正によらず、第三者機関のガイドライン等の策定や自主規制の導入により改善を図ることとする。
といった記述が見られます。

これらから、グレーゾーン問題の原因ともなっていた個人情報保護法の大改正に踏み切るのは、どうやら諦めていることが伺われます。期待を裏切られたと思う企業法務パーソンも少なくないかもしれません。

第三者機関への依存度の高さが気になる


大綱案P7以降で、制度改正の基本的な枠組みとして、
 1 本人同意がなくてもデータの利活用を可能とする枠組みの導入等
 2 基本的な制度の枠組みを補完する民間の自主的な取組の活用
 3 第三者機関の体制整備等による実効性ある制度執行の確保
の3つが掲げられたわけですが、よくよくその中身を読んでみると、少々おかしなことに気付きます。

3に第三者機関が登場するのは分かるのですが、1についての説明においても
データの加工方法等について自主規制ルールを策定し、第三者機関による認定を受ける
とあり、また2についての説明においても
「個人情報」等の定義への該当性判断は、第三者機関がガイドライン等を用いて解釈の明確化を図る
オプトアウト規定を用いて第三者提供を行う場合には、現行法の要件に加え、第三者機関に対し、法に定める本人通知事項等を届け出ることとするほか、第三者機関は届け出られた事項を公表するなど、必要な措置を講じる
とあり、つまるところ、解決すべき問題の行き先はすべて第三者機関頼みとされているのです。

国際的にはプライバシーコミッショナーの設置が急がれている中、第三者機関の設置の必要性に異論を唱える委員はほとんどおらず、すんなりと決まって事務局もほっとしているというのが正直なところではないかと思いますが、それをいいことにほとんどの問題解決を先送り第三者機関に押し付けているように見えるのは、私だけでしょうか。

あるべき基準は待っていても誰も教えてくれない


合法違法の基準定立と処分権限を第三者機関に一元化し、取り締まり事例を積み重ねることでだんだんと基準を明らかにするというやり方は、まるで第三者機関がコモンローの国の裁判所を務めるかのよう。さらにはマルチステークホルダープロセスを取り入れるとも言っているわけで、肝心のパーソナルデータの取扱い基準自体が確立するまでに長い時間がかかりそうですし、それを見出す道程は、専門家が入るとは言っても、第三者機関には少々荷が重いような気もします。そして、主務官庁ではない、しかしなんらかの行政処分権限を持つ機関が新たに生まれ、民間企業等の情報の取り扱いに関与するということについて、憲法的な意味でもう少し議論や抵抗があっても良かったのではと。

いちおう制定法主義かつ三権分立の国なのですから、行政を縛る意味でもはじめは緩やかな基準からでも個人情報保護法またはその施行令で基準を明文化し、それで問題となる事例が生まれればだんだんと厳しくしていく(ただし正当な法令改正の手順を踏んで)というやり方が望ましいのではないか。法令化が無理でガイドラインで対応するにしても、第三者機関が誕生してから考えはじめるのでなくて、緩やかなガイドラインをこの検討会で定めた上で、第三者機関に託してスタートしてはどうだろうか。そんなことを思いましたが、今の流れでは難しいでしょう。

自分たちのビジネスにおけるあるべきパーソナルデータの取扱い基準は、待っていても誰かが作ってくれるものではない。誰の目にも耐えられるものを、第三者機関ができるまでに自分たち自身で考えておけ。そういうメッセージと私は受け止めています。
 
記事検索
月別アーカイブ
プロフィール

はっしー (Takuji H...