企業法務マンサバイバル

ビジネス法務に関する本・トピックのご紹介を通して、サバイバルな時代を生きる皆様に貢献するブログ。

_情報法務

【本】『いちばんやさしい人工知能ビジネスの教本』― AI法務の種明かし


表向きまったく法律実務書の匂いはしないにもかかわらず、開いてみれば、勃興するAIビジネスの事例をたくさん紹介しながら、そこに潜む法律問題とリスク・責任について、現行法上の結論だけでなく分析のフレームワークから手取り足取り教えてくれる本でした。これからAI系新規事業開発をサポートしようとしている法務パーソンにとっては、神様のような“教本”です。

それもそのはず、本書は、私が企業法務パーソンにとっての基本書の1冊として推す『事業担当者のための逆引きビジネス法務ハンドブック』の著者のお一人 経営共創基盤パートナー 塩野誠さんと、同社弁護士 二木康晴先生の御著書なんですね。





人工知能によって権利を得または義務を負うとき、人工知能自身に法人格を認めてそれらを帰属させるべきか、それとも管理利用をしている人に帰属させるべきか?日本においても知的財産戦略本部をはじめすでにいろいろなところで議論がなされているところです。まだそういった基本的な部分さえはっきりとした結論が出ていない中だからこそ、法務パーソンは開発・推進をサポートするために現行法に基づく見解・解釈を出し続けなければならない苦しい立場に置かれます。

苦しいと言いましたが、それは新規事業・ベンチャーをサポートする法務パーソンの醍醐味でもあるでしょう。また、そういった活動を通じて得た経験をもとに、法律はどうあるべきかを意見していく側にまわるチャンスでもあります。

ですが、AIの法務に関しては、本書によってそのおいしいところの種明かしがほとんどされてしまった気がします(苦笑)。しかも、
・AIによる自動描画・作曲
・ディープラーニングを使った顔認証の精度向上
・ビッグデータによるマッチング&レコメンド
といったソフトウェアビジネスのリスクだけでなく、ハードウェアビジネスであるところの
・(車の)自動運転
・ドローン
の法的リスクまでをカバー。いま世の中で話題になっているようなAIビジネスは、ほとんど取り上げられています。AIビジネス先進国の米国でも、このような書籍はそうそう見かけません。このスピードでなんでもノウハウが開陳されてしまう日本の書籍文化恐るべしです。いや、このスピードでまとめあげてくださった著者のお二人に感謝ですね。


著者も本書で繰り返し述べているように、AIの法律論に結論は出ていないといっても、基本的には通常のビジネスと同じようにポイントを押さえて進めていくしかありません。冒頭述べたとおり、本書のすばらしさは、単に事例紹介とその分析だけでなく、法的リスク検討の基本フレームワークについても丁寧に解説されている点にあります。法務部門を持たない企業・経営者にとっても、弁護士等専門家に相談を持ちかける事前整理をするのに、大変に参考になる一節です。

IMG_AIkyouhon


2000年初頭のインターネットビジネス勃興期がそうであったように、AIビジネスの勃興は、法務の領域が混乱とともに拡大するフェーズになると思われ、そんな時代に法務に携われるのも一つのチャンスです。「AI法務の種明かし」と少しおちゃらけた言い方で本書を評してしまいましたが、基本となるフレームワークを押さえながら未知の事業領域の法務業務に携わることで、日々の経験が確実に糧となり、将来に通用する実力を身につけられるものと思います。
 

【本】『プライバシーなんていらない!?』― 利益衡量の前提を履き違えると、プライバシーは容易に安売りされる

米国におけるプライバシー法の第一人者であるダニエル・J・ソロブ教授が2011年に書かれた“Nothing to Hide"が、6年経ってようやく日本語で読めるようになりました。


プライバシーなんていらない!?
ダニエル・J. ソロブ
勁草書房
2017-04-28



2011年当時の私といえばプライバシー研究に燃えていたころで、ソロブの著書も4冊すべて原書で読んでいました。ところが、本書の原書“Nothing to Hide"については、他の3冊とくらべてどうも文体が読みにくく、紹介されている個々の視点や事例は参考にしながらも主題を理解できている自信がなかったため、ブログに紹介記事を書けずじまいだったのを覚えています。原文に忠実に訳してくださっている今回の日本語訳を読んで、案の定、タイトル“Nothing to Hide(やましいことは何もない)"に込められた主題を理解できていなかったことが確認でき、あの時へんな記事をUPしなくてよかったなあ・・・と胸をなでおろしている次第です。

IMG_8505

政府が個人情報を収集・分析するとき、多くの人は「心配しない」と言う。「やましいことは何もない」と彼らは言い放つ。「政府による個人情報の収集・分析を心配すべきなのは誤ったことをしている場合に限られるし、その場合にはそれを秘密にしておく価値はない。」。(P23)
裁判所、立法者その他の者がプライバシーが何を意味するのかを理解することに失敗しているがゆえに、多くの場合、プライバシー問題を対抗利益と適切に衡量することができないでいる。
パーソナルデータの収集・使用により発生する問題を記述するために、多くの論者は、ジョージ・オーウェルの『一九八四年』に依拠したメタファーを用いる。オーウェルは、ビッグ・ブラザーと呼ばれる政府により統治された凄惨な全体主義的社会を描く。ビッグ・ブラザーは、執拗に市民を監視し厳しい規律を要求する。このオーウェルのメタファーは、(禁止や社会的コントロールのような)監視の害悪に焦点を当て、市民に対する政府の監視を記述する傾向にある。しかし、コンピュータのデータベースで収集されるデータの大半は、(略)他人がこの情報を知ったとしても、人々は抑圧されたり、困惑したりしないと常にはいいきれなくとも、多くの場合にはそうであろう。
違うメタファーのほうが、よりよくその問題を捉えている。フランツ・カフカの『審判』である。カフカの小説は、逮捕された男に焦点を当てるが、なぜ捕まったのかの情報は与えられない。彼は必死になって何が彼の逮捕をもたらしたのか、彼にふりかかろうとしているのが何であるかを解明しようと試みる。秘密裁判所の組織が彼に関する事件記録を保有しており、彼を操作していることは分かるが、彼はそれ以上知ることはできない。(略)カフカの作品に描かれたメタファーにより描写される問題は、監視により引き起こされる問題とは異なる種類のものである。それらは、しばしば禁止をもたらさない。それは情報収集ではなく、データの貯蔵、使用、分析といった情報処理の問題である。それは、人々と近代国家の組織との間の力関係に影響する。その問題は、孤立感や無力感を生み出して人々を苛立たせるだけではなく、人々がその生活に関する重大な判断を行う組織との間で有する関係性の種類を変更することにより社会的構造にも影響を与える。
法的・政策的解決は、オーウェルの作品のメタファー(監視)の下のにある問題にあまりにもフォーカスし過ぎており、カフカの作品の問題(情報処理)に適切に対処できてない。実際にはデータベースと監視は異なる問題であるのに、論者たちが、データベースにより引き起こされる問題を監視の問題として把握しようとすることに、難点がある。(P28-29)
やましいことは何もない論のより深刻な問題は、近視眼的に、秘匿の一形態としてプライバシーを見ることにある。(略)プライバシー問題には、オーウェル的なものだけではなく、カフカ的なものも含まれるのである。政府の情報収集の問題【はっしー注:原文ママ。こちら原書P27の応当部分を確認したところ、“Government information-gathering programs”とあり、“problem”(政府の情報収集“の問題”)と“program”(政府の情報収集“プログラム”)を誤訳しているように思われます。】は、人々が隠したい情報が暴かれなかったとしても、問題性を秘めている。『審判』において、問題は行動の抑制ではなく、裁判所の組織がパーソナルデータを使用したり、主人公に対してその手続きを認識し、参加することを否定したりすることにより生み出される、息の詰まるような無力さや脆弱性である。その害悪は官僚主義的なもの――無頓着、誤謬、濫用、失望、透明性及び説明責任の欠如である。(P30)

プライバシーの「監視」の側面だけを捉えてしまうと、テロなどから国家・国民の安全を確保する必要性に鑑みれば政府に対してそれぐらいの個人の不自由は許容すべきだ、などと安易に考えてしまいがち。しかし、監視・収集後に行われる情報処理においてコントロールを失うことの怖さにも思いをはせるべきであると。

プライバシーの利益衡量にあたって重要な前提となるこのポイントを認識した上で初めて、
・憲法修正4条
・傍受法
・保存通信法
・ペンレジスター法
といった憲法・制定法で保障されているかのように見えて実は抜け穴だらけとなっているプライバシー権の具体的な弱点が、グサグサと突き刺さってきます。第19章(P222)には、「政府がテロリストらしき者のプロファイルを作り、それをもとに乗客が空港で特別な審査を受け、飛行機に乗る機会を拒否されたら」という例え話が出てきているのですが、実際に2017年1月にアメリカでこれに近いことが現実に行われたことを考えても、まさにソロブの懸念は的中しており、プライバシーに関する制定法すらない日本においては、まったく他人事とは言えないだろうことが実感できます。

また、翻訳書のお楽しみの一つが、その書籍のエッセンスを要約してもらえる訳者あとがき。訳者のおひとりである大島義則先生は、本書の解説にとどまらず、“Understanding Privacy”(日本語訳『プライバシーの新理論』)の内容をも簡潔にまとめてくださっており、この部分も価値の高いものとなっています。


本書のプライバシー論は、基本的には政府対国民という視点で書かれているものの、これを企業とユーザーに置き換えても、考えさせられる論点は少なくありません。個人情報の取扱いについて、ユーザーからプライバシーポリシーへの同意を得るタイミングは最初の情報取得の場面一度きりでよいのか?情報処理の場面において企業が追加的に同意を取る/承服できないユーザーが取り扱いを拒否できるタイミングをどのように設けるべきか?継続的サービスにおいて、ユーザーが取り扱いを拒否した場合の対応はどうあるべきか(メンバーシップから退出してもらうしかないのか)?そんなことを改めて考えさせられます。
 

EUのクッキー規制対策があちらの世界にイッちゃってて参考になる件


EU一般データ保護規則(General Data Protoction Regulation:GDPR)が正式に可決してはや半年。違反した場合には2,000万ユーロまたは前年度の全世界売上の4%のいずれか高い金額が制裁金として課されることもあり、2018年5月25日の施行日に向けて本格的な準備に入られている企業も多いことかと思います。

この影響かもしれませんが、いわゆるEUクッキー法(e-Privacy Directive)が施行された2012年ごろから対策が徹底されてきたEU圏のウェブサイトを訪問すると、トラッキングクッキー取得の同意ダイアログのトーンがまた一段階厳密になってきたような印象を受けます。

そんな中でも、先日私が衝撃を受けたサイトが、The Next Webさんです。

s-cookie1
吹き出しが現れ、“クッキー”をおでこの上に乗せた男性が。

s-cookie2
おもむろに顔の上でこのクッキーを滑らせはじめ、

s-cookie3
手を使わずに口に運び・・・

s-cookie4
パクっと食べて、

s-cookie5
ヤッターみたいな顔になっておりますwww


iPhoneのブラウザでこの動画(アニメーション)を見た瞬間、度肝を抜かれました。私は職業柄「クッキー取得の同意依頼をギャグ混じりにやってるわけね」と意味を察することができたのですが、サイトの動画コンテンツか、もしかするとうざったい全画面広告か何かと誤解される方もいたんじゃないでしょうか・・・。


私がこのスクショをとったのは10月5日のこと。その後、さすがのThe Next Webさんもやり過ぎだと思ったのか、本日現在はクッキーが目の上に載った写真だけに変わってしまい、動画(アニメーション)はやめられてしまったようです。残念。それでも顔にクッキーを乗せている静止画は見られますので、ぜひご訪問なさってみてください。

ここまでイッちゃってる事例もある中、EUにおいてどんなトーンや手法で有効なクッキー同意を取得すべきかについては、まだまだいろんなアイデアが出てきそうです。
 

【本】『個人情報管理ハンドブック〔第3版〕』― 情報法に悩まされ続ける企業法務担当者にとっての精神安定剤


1か月以上前にTMI総合法律事務所のY先生からご恵贈いただいた、にもかかわらず、書評をアップし忘れておりまして大変失礼致しました…。正直な所、先ほど伊藤先生がブログにアップされた書評を見て、アッと思い出した次第です。

私自身は恥ずかしながら本書第1版・2版のユーザーではありませんでしたが、個人情報保護法以外の関連法(マイナ法・民法・プロ責法・不競法・刑法・不ア禁法・著作権法・会社法・金商法・サイセキュ法)を広くカバーし、かつ企業が知りたい実務的な各論も漏らさずに網羅した、こんなにも使いやすい概説書があったんだな、と驚きました。





TMI総合法律事務所さんについて、私は、頭ごなしに専門知識を振りかざす前に企業の困りごとにきちんと耳を傾けてくださる先生が多いという印象を持っています。本書の内容も、そういったTMIの先生方から受ける普段の印象通り、企業法務担当者に寄り添った読んでいて安心できるものになっています。

たとえば、その一例が、「自己情報コントロール権」についての記載についてです。本書のような情報法の概説書を評価する際、私は「自己情報コントロール権」に関する記載ぶりをチェックするようにしています。というのも、アメリカでの自己情報コントロール権説の隆盛や、日本の一部の下級審判例で示された自己情報コントロール権を認める見解などを必要以上に大きく取り上げて、企業の不安を煽る書籍も少なくないからです。この点、本書の記載はまさに100点満点と言うべき内容でした。

プライバシー権を「自己情報コントロール権」、すなわち自己に関する情報をコントロールすることができる権利と積極的に定義づける見解がある。これは、コンピュータの発達に伴い、大量の個人情報が公的機関、民間事業者問わず大量にデータ化され、その保護が重要になったことに伴い、支持されてきた見解である(たとえば佐藤幸治『憲法〔第3版〕』(青林書院、1995年)等)。この見解に基づいた場合、プライバシー権は自己の情報の開示・訂正・抹消請求権を含むものと解されている(なお、法的権利性については、第7章430頁以下参照)。
下級審判決の中には、マンション購入者名簿事件(東京地判平成2・8・29判時1382号92頁)やニフティ掲示板事件(神戸地判平成11・6・23判時1700号99頁)等自己情報コントロール権の考え方に影響を受けた判決例が現れ始めているが、これらの下級審判決においても結局は私事性、非公知性等「宴のあと」事件判決以降採用されてきた3要件に基づいた判断がなされており、その意味で正面からプライバシー権を「自己情報コントロール権」であるとまで認めているものではない。(P65)
民法学説上は、ほとんどの学説において、少なくともプライバシーの権利が民法上保護され得る1つの権利ないし利益であることが承認されているが、なお従来のプライバシーの権利概念を前提としており、これを自己情報コントロール権として理解するにはなお消極的のようである。民事法の見地からは、プライバシーの権利を自己情報コントロール権と定義づけることは相当でなく、自己に関する記録を閲覧する権利、本来収集されるべきでない情報や誤った情報の訂正・削除請求権は、原則的に肯定する方向で検討する価値があるが、これをプライバシーの権利に包括することはきわめて困難であるとする見解がある。(P432)
最高裁も、最判平成20・3・6民集62巻3号665頁は、プライバシー権に自己除法コントロール権が含まれていることを認めた大阪高判平成18・11・30判時1962号11頁を破棄し、「憲法13条は、国民の私生活上の事由が公権力の行使に対しても保護されるべきことを規定しているものであり、個人の私生活上の事由のひとつとして、何人も、個人に関する情報をみだりに第三者に開示又は向上されない自由を有するものと解される」と判示して、自己情報コントロール権が憲法上保障された人権と認められるか否かについては正面から判断しなかった。(P433)


また、情報法に関する企業法務パーソンの最近の悩みどころナンバーワンと言えば、日本の改正法だけでなく、多数国に渡る個人情報保護法制についてもキャッチアップが求められているという点でしょう。これについても、第10章の40頁ほどを割いて、
・欧州
・米国
・韓国
・シンガポール
・香港
・台湾
・中国
・インド
といった主要国の情報法制のポイントを概説してくださっています。


s-IMG_7749

米国のCOPPAについては対応が悩ましい部分ではあるので、もう少し企業としてなすべきことはどこまでかといったレベルまで踏み込んで書いてくださっても良かったかな、と思うところもありましたが、これだけの国についてまずは確認すべき法令の存在を知らせてくれるだけでもありがたいというべきでしょう。


各章のトビラ部分には、経営者から企業法務担当者が聞かれがちな「つまりどういうこと?」「結局何を知っておけばいいの?」が端的にまとめられていて、こんなさりげないところにも本書執筆陣の配慮・サービス精神を感じました。


s-IMG_7753s-IMG_7755


ということで、久しぶりに法律書マンダラ2016を更新しておすすめしたい本に出会うことができました。このようなすばらしい書籍をご恵贈いただいたにもかからずご紹介が遅れたこと、Y先生には重ねてお詫び申し上げます。
 

ポケモンGO訴訟、はじまる

 
ポケモンGOが不法侵入・迷惑行為を助長するのではないかと不安を煽るような記事が日本でも雨後の筍のように書かれている中、アメリカでは早くも運営会社に対して訴訟を起こした方が出ました。し、仕事が早い…。

Pokemon Goes to Court in Backyard Monster Trespassing Case(Bloomberg)
A New Jersey resident with a pocket monster in his backyard filed what may be the first lawsuit against Niantic Inc. and Nintendo Co. for unleashing Pokemon Go across the U.S., claiming that players are coming to his home uninvited in their race to “catch ’em all.”
The West Orange man alleges the companies have created a nuisance with their GPS-based game and seeks class-action status on behalf of all Americans whose properties have been trespassed upon by players in search of Pokemon Go monsters.

記事によれば、「お宅の庭にポケモンがいるから捕まえさせてくれ」と(笑)少なくとも5人が玄関をノックするありさまで、迷惑していると。本当にそんな程度で訴訟まで起こすものですかねとカリフォルニア州裁判所サイトにウラを取りに行ったら、7月29日に本当に提訴されファイルされてました。ということは、前回エントリの利用規約解説で触れた仲裁合意のオプトアウトも済みってことなんでしょうね。

mardervniantic

ポケモンGOの下地を作ったIngressではここまでの問題にならず、ポケモンGOがこうなってしまったのはなぜなのか。Ingressをやっていた方ならご存知のとおり、現実世界にリンクするかたちでARの世界に設置された「ポケストップ」に相当する「ポータル」の設置数はもっと多かったですし、かなりマイナーな場所にも設置されていました。一方、ポケモンGOのポケストップは、実際にプレイしてみると公道沿い・公園内など私有地・住宅地を避けるかたちで設置されており、しかもIngressのポータルの数に比べてかなり限定的に設置されています。運営会社としてIngressとのユーザー規模・ITリテラシーの違いに配慮しながら、画面上に表示するユーザーへの注意文言に加えて私有地への不法侵入や近隣への迷惑行為が発生しにくいように配慮したと思われる形跡が(私には十分に)感じられたのですが。本件については(ポケストップの場所とは関係なく)たまたま私有地に多数のレアなポケモンが湧いてしまった、ということなのかもしれません。

Ingresspokemon


このレベルの努力や配慮でも「足りない」という法的評価となると、事業者にとって、今後AR技術を使ったビジネスは相当窮屈なものになることが予想されます。記事後段では、Ryan Morrison弁護士がこの点について同様のコメントを出しています。

The maps are based on Niantic’s original GPS-based, augmented reality game called Ingress, which generated a cult following after it was released in 2013. As they played the game, Ingress users helped build the map now used in Pokemon Go, said Ryan Morrison, a lawyer in New York who specializes in legal issues related to video games.
“There’s going to be 200 lawsuits, that’s for sure," Morrison said in a phone interview. “If the court comes along and says this kind of suit is OK, what a terrible blow it will be to augmented reality technology."

「訴訟は間違いなく200件は起きるだろう」という彼の予言が現実のものとなる前に、この問題を解決するアイデアや仕組みを考えたいところです。
 

2016.8.4追記

下記のとおりミスをご指摘をいただきまして、一部訂正いたしました。ありがとうございます。


Pokémon Goのような<位置情報×AR>サービスを運営する事業者の法的責任

 
Pokémon Goがアメリカを中心に大ブームとなりつつあります。

Pokémon Goとは、スマートフォンに表示される現実世界をベースとした地図をゲームフィールドとして、ユーザーが実際に現実世界を歩きまわる=位置情報が更新されることで見つかるPoké-stopと呼ばれる拠点でアイテムを入手しながら、どこかに隠れているポケモンを探して捕獲し、さらに移動しながら捕獲したポケモンを育て、敵チームのポケモンとバトルしたり、ユーザー同士で協力してボスを倒すといったことを楽しむゲームサービスです。




「任天堂のスマホアプリが大ヒット」というような報道がされていますが、実際のところは、位置情報×ARサービスとして著名な“Ingress”を作ったNiantic,Incが発売元・販売元(任天堂・ポケモンカンパニーはNianticの株主でありライセンサーという立ち位置)となっています。日本でも2008年ぐらいに位置情報ゲームが一定の認知を得ていたと思いますが、個人的には、その性質上ハイテク好きのコアなユーザー向けゲームにどうしてもなってしまうのかなと思い込んでいました。位置情報に有力IPを使った親しみやすさとARの要素を掛け合わせることで、ここまでサービスを爆発的に流行らせることができるとは、さすがポケモン、さすがNianticです。

このゲームが市民権を得たことによって、今後<位置情報×AR>ゲームが続々とリリースされていくことでしょう。そして、そのようなゲームに共通するであろう特徴として
  • ゲーム世界でのアイテム取得・アイテムの育成・バトルのためにユーザーを現実に移動させる
  • ゲーム世界の拠点・アイテムをARオブジェクトとして現実世界の土地・建物内に設置する
  • ユーザーの位置情報を連続的に取得し、サーバーを介し多数ユーザーに共有する
といった要素が導入されることは、間違いなさそうです。そこで、ゲームに限らずこのような要素を盛り込んだ<位置情報×AR>サービスを提供するにあたり、事業者がその責任を問われることになるであろう法的リスクについて、実際にPokémon Goのヒットによって発生しはじめているトラブルを参考に、ざっくりと整理をしてみました。以下のとおり、大きく4つに分類できるのではないかと思います。


1)迷惑行為の誘引

サービスがユーザーの現実世界における注意力・判断力を減退させることで、歩きスマホ・ながら運転・危険エリアへの立入り等による迷惑行為や事故が発生する。

論点1−
サービスを運営する事業者が、ユーザーによる共同社会の利益を害する迷惑行為(いわゆるパブリック・ニューサンス)を誘引したことについての責任を負うか?
負うとすれば、それを減免するための注意義務はどこまでか?

2)所有権の侵害

他者が所有する土地・建物内にARオブジェクトを設置することで、その場所にユーザーが集まる。

論点2−
ARオブジェクトを設置した事業者が、土地・建物所有者が持つ権利(所有権・施設管理権)を侵害したことになるか?

論点2−
ARオブジェクトを設置した事業者が、ARオブジェクトの取得等を目指すユーザーの違法行為(不法侵入・不退去罪)を助長した責任を負うか?

3)知的財産権の侵害

他者が所有する知的財産にARオブジェクトを付着させたり重ねて投影することで、1つのオブジェクトのように表示しサービス内のプロパティとして一体利用する。

論点3−
ARオブジェクトの投影が、知的財産権の侵害(無許諾の改変としての著作権侵害、商標権侵害、著名表示冒用等不正競争防止法違反)となるか?

4)プライバシー権の侵害

位置情報をベースとしたユーザーのサービス内活動が、現実世界の氏名・肖像・住所・職業といった個人情報・プライバシー情報の意図せぬ流出・漏洩を引き起こす

論点4−
事業者として、情報保護法制の観点から求められるユーザー同意取得の水準は、通常のネットサービスより高くなるか?

論点4−
EUユーザーが、他国に越境しサービスを利用する場合において、4月に欧州議会で承認されたEU一般データ保護規則(General Data Protection Regulation)に抵触しないようにするには、どうすべきか?


論点2や3については、ARサービスがカネになるビジネスとして育てば育つほど、原権利者(地主や著作権者ら)の権利とAR事業者との対立を調整する立法も必要になるかもしれません。その一方で、論点1や4については、ARが多くの人にとって普通のものとなれば(つまり人間の側がARに順応すれば)、落ち着くところに落ち着くような気もします。今はPokémon Goの突然のブームで初めてARサービスを実体験している人たちによって騒ぎが起きているものの、かつてIngressでも同じような事件・事故は起きていたからです。4−△離如璽燭留朸問題については、通常のネットサービスよりもユーザーの移動モチベーションが高まるため頭の痛い問題になるでしょうが、法的に特殊な対応を考えなければならないものは、全体としては心配されているほど多くはないのではないかと考えています。

なお、Pokémon Goはまだサービスインから間もなく、ユーザーからの課金方法またはAR広告の態様などについて明らかでない部分もあり、その方法によってはリスク評価が大きく変わる可能性もあります。また、(Pokémon Goはそんなことはしないと思いますが)ARがポルノや出会い系と言った性風俗分野のサービスと融合することで、別途特有のリスクが生じるケースはあるかもしれません。
 

一般的なARビジネスの法的論点について述べた書籍としては、いま販売されているものではこちらが一番まとまっていると思います。上記Pokémon Goの事例では論点としては挙げていない「ARによる広告の不当表示や書き換え」といった問題についても言及があります。




Pokémon Goの法的論点について述べているサイトのリンクも貼っておきます。

▼POKEMON GO AND THE LAW OF AUGMENTED REALITY
http://www.technollama.co.uk/pokemon-go-and-the-law-of-augmented-reality

▼Is PokemonGo Illegal?
http://associatesmind.com/2016/07/11/is-pokemongo-illegal/

▼Pokemon Go Ushers in a New, Augmented World of Legal Liability Concerns
http://www.jdsupra.com/legalnews/pok-emon-go-ushers-in-a-new-augmented-36311/

▼How Pokemon GO Players Could Run Into Real-Life Legal Problems
http://www.hollywoodreporter.com/thr-esq/how-pok-mon-go-players-909869

▼Signs of the Times: How Pokemon Poses Municipal Regulation Questions
http://ht.ly/VKc8302i3iF

▼Your Pokemon Go Legal Rights … Don’t Get in Trouble!
http://lawnewz.com/high-profile/your-pokemon-golegal-rights-dont-get-in-trouble/

▼Pokemon Go Strips Users Of Their Legal Rights; Here’s How To Opt Out
https://consumerist.com/2016/07/14/pokemon-go-strips-users-of-their-legal-rights-heres-how-to-opt-out/
 

【本】『ネット炎上の研究』― 炎上騒ぎを利用するメディア

 
NHKの番組等でも取り上げられ、話題となりつつある本書。「企業はむやみな情報発信を控えよ」と説教するばかりの従来のネット炎上対策本とは一線を画し、炎上参加者を定量的に分析したうえで、人々の自由な情報発信を萎縮させないために社会として炎上をどう抑制するかを提言します。


ネット炎上の研究
田中 辰雄 (著), 山口 真一 (著)
勁草書房
2016-04-22



本書前半では、これまでの日本のネット炎上事件を網羅的にまとめています。2016年4月刊行ということもあり、直近ではオリンピックエンブレム事件あたりまでがフォローされています。炎上した経緯、ブログ記事のスクリーンショット、SNSの写真(プライバシー配慮の目隠しあり)や企業側の謝罪文等の集積は、資料的な価値も高いと思います。

s-IMG_6674


著者らはこれらを振り返ったうえで、アンケート調査および日経テレコン/Twitterデータ等をもとに独自の定量的分析を行い、炎上発生と拡大のメカニズムを明らかにします。ちなみに著者らの分析による犯人像は、

炎上に積極的に参加している人は、年収が多く、ラジオやソーシャルメディアをよく利用し、掲示板に書き込む、インターネット上でいやな思いをしたことがあり、非難しあっても良いと考えている、若い子持ちの男性であるといった人物像(P112)
炎上事件に伴って何かを書き込む人はインターネットユーザの0.5%程度であり、1つの炎上事件では0.00X%のオーダーである(P137)

だそうです。

s-IMG_6672


私も何度か所属組織でネット炎上に巻き込まれた経験があります。そうした経験を何度か重ねると、慣れ・落ち着き・開き直りのようなものがでてきて、炎上当事者になってもあわてずに状況の観察ができるようになります。そのうちに、自分が関わらない団体で発生した炎上についてもわがごとのように注意深く観察するようになりました。そこで私が感じていたのは、
  • 炎上参加者のほとんどが10代後半〜20代前半の時間を持て余した若者である
  • 鎮火させようと反応するほどかえって燃料を提供することになるためほうっておくのがよい
ということです。本書の調査の母集団が20歳以上ということもあってか、人物像は私の観察経験から少し乖離していますが、本書の分析結果の信ぴょう性は高そうというのが私の感想です。


ところで、本書では取り上げられていなかった点として、ネット炎上騒ぎにおけるメディアの責任についても、もう少し真剣に検討したほうがよいと思っています。炎上の功罪が話題になるときにはいつもSNSやそこで炎上加担者となる一般人ばかりが批判の矢面に立たされているのですが、それ以上に、マスメディアが「取材コストを掛けずに手軽にニュース化できるネタ」として安易に取り上げる姿勢に問題があるのではないか、と常々感じています。

 twitter等で炎上発生
   ↓
 △泙箸瓮汽ぅ箸でき被害とは無縁なネットユーザーたちも騒ぎだす
   ↓
 B膽蠖景梗劼自己の運営するウェブサイトの記事として記事を掲載
   ↓
 い修離ΕД峙事を見た読者が義憤にかられそれを拡散しエスカレート
   ↓
 タ景綱椹罎了飜未坊悩
   ↓
 Δ修凌景控事をさらにテレビが取り上げて・・・

結局、新聞社という社会的にはその名義に信用力を備えたメディアがそれを取り上げるかどうか、具体的にはまたはイ離譽戰襪飽楾圓垢襪どうかが、ネット炎上全体の大きさと企業側の対応コストを左右する2つの大きな分水嶺になっています。メディア側としては、紙面や電波という有限なリソースを割いて取り上げるまでのバリューがあるかを、ウェブでのネットユーザーの反応を見ながら決めているところがあると思います。しかし、本書の分析通りここで焚き付けている人々がほんの一握りの同一人物だとすると、社会全体がその一握りに踊らされている感は否めません。

というか、メディアもそれを分かっていてやっているというのが、本当のところなのでしょう。
 

【本】『情報法概説』― ネットビジネスのプラットフォーマー問題が爆発する日は近い

 
昨日に続きまして、法律書マンダラ2016の情報法部門より、弊ブログでは未紹介だった12月の新刊をご案内します。


情報法概説
曽我部 真裕
弘文堂
2015-12-22



インターネット法』よりももう少し幅広く、かつさらに法学的な切り口で、情報全般に関する法律と基本概念を体系的に整理する本書。中でも特に集中的に論じられているのが、媒介者=プラットフォーム事業者が負うべき法的責任についてです。

私有地においてビラを配布したことが住居等侵入罪(刑法130条)等の法令違反に問われた事案は著名なものだけでも相当数存在するが、そこでは、実際には土地所有者・管理者の権利と表現の自由との調整が問題となっており、多くの場合、私有地内での行為だけに、いわゆるパブリックフォーラムの法理の適用も困難であり、後者に不利に解決されてきた。
このように、私人の管理する場における表現の自由という主題は新しいものではないが、インターネットにおいては私人の管理する場で行われる表現の量や種類が圧倒的に増大しており、それだけに問題は深刻となる。そこで、情報法においては、公権力、プラットフォーム等の情報媒介者、一般利用者という三面構造を前提とする必要がある。(P33)
アプリストアにおいては、OSの開発者たるプラットフォーム事業者が特定の決済手段の利用をアプリ提供者に強制し、他の決済手段の利用を認めていないことがある。これは決済に関する情報(顧客情報、販売金額等)を集中的に取得し、プラットフォーム事業者としての地位を強化するという事業者の戦略と考えられるが、このような行為は独占禁止法上、不公正な取引方法等に該当する場合がある。(P81)
近時、プラットフォーム事業者の利益水準の相対的な高さに注目が集まっており、一部のコンテンツ事業者はこれを不満に感じている。プラットフォーム事業者の利益水準が高いこと自体は、それがプラットフォームのイノベーションにつながるという側面もあり、責められるべきものではない。ただ、プラットフォームに関わる事業者全体の余剰や、消費者余剰を考えた場合には、利潤の適性な配分については検討の余地がある。そこで、コンテンツの多様性、プラットフォームの効率性(イノベーションの促進)等、プラットフォームに関わる社会厚生についてどのように評価すべきかが課題となる(P81脚注)

このような、プラットフォーム事業者の市場独占によって発生する弊害についての言及が随所になされている点が、一番の読みどころとなっています。

s-IMG_6327


ITビジネスに携わる中で、プラットフォーム事業者が有する圧倒的な優位性に脅威を感じることや、取引の媒介者として本来負担すべき法的リスクの一切を他者に転嫁しようとする態度について憤りを感じる機会は増える一方です。この一年は、その問題意識について関係者にご理解いただくための活動を、私なりの方法でさまざまやってきました。しかし、官公庁にはそういったプラットフォーム事業者と利害が一致する部門があり、この問題で困っている当事者に対し理解を示そうとしない・見てみぬふりをする向きも少なからずあるようです。

そんな中、海外ではライドシェアリングサービスについてタクシー事業者との衝突が、そして日本では民泊あっせんサービスと近隣住人との衝突が取り沙汰されはじめています。2016年も同様の問題が次々と顕在化し、これまでのような対応では済まされなくなるのではないでしょうか。

来年以降は、違ったアプローチでこの問題に取り組んでいきたいと思っていたところ、その法的理論武装の助けとなる頼もしい文献がこうして出版されたのは喜ばしいことです。
 

【本】『インターネット法』― ネット上での活動の自由と規律とのバランスの取り方


インターネット上で行われる表現・コミュニケーション/電子商取引/知財/紛争解決合意に関する法律の今を、研究者の視点から整理し、将来を展望する本。実務家の間で定評のあった高橋編『インターネットと法』の正統な後継書と言ってよいでしょう。法律書マンダラ2016推薦図書です。





インターネットに関わる法律のほぼすべてを概説するこの本が特に力点を置いているのは、ネット上での活動の自由と規律とのバランスの取り方についてです。私がクリエイティブ方面に強い新進気鋭の先生方とインターネット法に関する私的勉強会を持たせてもらっている中でもちょうど話題になっているテーマですし、ネットビジネスの事業者にとっても、これからますます問題が顕在化し実務上も対処に苦慮することになるであろう論点でしょう。

この点、代表編者である松井先生の総論としては、

やはり原則はインターネットのうえでの自主的な規制に委ねつつ、現行の法律を個別的にインターネットに適用し、その適用に際して、インターネットの特性に応じて修正してゆくほうが望ましいように思われる。

ということなのですが、だからといってなんでもフリーダムでOKというような乱暴な論稿にはなっておらず、まさにその“個別的な適用”について各分野の専門家が丁寧に論じています。

個人的には、山口いつ子先生による第2章「インターネットにおける表現の自由」、とくにその中の「インターネット法の新たなデザインに向けて」と題する図とこの全体像に基づく論稿のおかげで、1社目に就職した国家から管掌された放送・通信事業者で得た経験と、そして今いるプラットフォーマー(媒介者)に支配されるコンテンツ事業者での苦悩が、自分の中で一つのフローとしてつながった感覚をおぼえました。まだはっきりとした言葉にまではできておらずもやもやしているところなのですが、この章が自分なりのアイデアをまとめる大きなヒントになりそう。

s-IMG_6318


また、もう一つの読みどころとしては、第13章「国境を越えた紛争の解決」の章が挙げられます。ここでは、インターネット法の最重要論点ともいうべき準拠法と裁判管轄の問題について、Twitterの利用規約等を例に挙げながら他の類似書・論文よりもかなり具体的なあてはめ・解釈にチャレンジしています。その一例として、以下P337およびP342脚注より。

例えば、Twitterの利用規約では、「12.一般条件 B.準拠法および裁判管轄」として、「本サービスに関連する一切の請求、法的手続きまたは訴訟は、米国カリフォルニア州サンフランシスコ郡の連邦裁判所または州裁判所においてのみ提起されるものとし、ユーザーはこれらの裁判所の管轄権に同意し、不便宜法廷地に関する一切の異議を放棄するものとします」とされているが、民事訴訟法上は、日本に居住する消費者との契約に関するこの合意は原則として有効とはならない。しかし、このことは、Twitter社がカリフォルニア州で日本居住の消費者を訴えることを妨げるものではない。手続法は法廷地法によるのが原則であり、カリフォルニア州では日本の民事訴訟法を全く考慮しないで裁判管轄を判断するからである。ただし、日本の管轄規定上許されない管轄原因に基づき下された判決として、後述する外国判決の承認・執行時に問題となる可能性は高い。
消費者契約にかかる管轄合意は原則無効であるのに対して、準拠法合意は原則有効である。したがって、上述した、Twitterの利用規約「12.一般条件 B.準拠法および裁判管轄」中で、「本規約およびそれに関連して行われる法的行為は、米国カリフォルニア州の法に準拠するものとします」という部分は原則有効となる。

この章だけをとっても、ネットビジネスに携わる方にとっては必携の本と言って良いと思います。

それにしても、今年見た法律書の中でも本書は装丁がダントツにカッコいいですね。奥付を拝見すると田中あゆみさんという方が担当なのでしょうか。装丁がいい本は良書という法則は、どうやらこの本にも当てはまるようです。
 

MicrosoftもFacebook流の利用規約&プライバシーポリシーを踏襲 ― ネットサービスにおける法律文書の標準スタイルが固まってきた

 
2014年11月にレポートした「Facebookのデータポリシー改定案に見るプライバシーポリシーの新潮流」から約半年が経過したところで、今度はMicrosoftが、Facebook同様のインタラクティブな利用規約&プラポリへと変更します(規約の発効日は2015年8月1日)。

Microsoft サービス規約
Microsoftのプライバシーに関する声明

あたらしいプラポリのほうで、全体像と動きを確認してみました。



2カラム & 概要/詳細を折りたたみ式のスタイルにするという基本的なアイデアは、Facebookのものとまったく同じ。ITサービスの最大プレイヤーにして重鎮の一社であるMicrosoftまでもがこの2カラム & 折りたたみ式に追随してきたということで、ネットサービスの利用規約&プラポリは、このスタイルが標準となっていきそうです。

違いとしては、全体共通ポリシーの後にBing・MSN・Skype・Xboxといったサービスごとの個別詳細項目がぶら下がっているところ(プラポリのみ)。Microsoftの場合、どうしてもサービスが多岐に渡っていること、プライバシー管理もそのサービス特性ごとに異なることから、こうせざるを得なかったのでしょう。

また、違う側面で私が気になっているのが、こうしてユーザーへの分かりやすさ・透明性を追求しているはずのFacebook・Microsoftの両社が、いずれもアプリごとの個別プラポリ(いわゆるアプリケーションプライバシーポリシー)については設置しないスタンスを採っている、という点です。日本では総務省が、米国ではプライバシー問題に敏感なカリフォルニア州や米国商務省電気通信情報局(NTIA)が、それぞれショートフォーム形式のアプリプラポリを作成・設置することを推奨していた時期が2012〜2014年にかけてありましたが、サービスごとのプライバシー管理に加えてアプリごとにも分けていくとなると掛け算式に文書量が激増し負荷が高すぎて・・・ということなのかもしれません。
 
今後、アプリサービスにおける法律文書のスタイルがどう固まっていくのかにも、注目していきたいと思います。
 

「検索結果とプライバシーに関する有識者会議」報告書 ― “裁判実務”って何ですか?


ヤフージャパンさんが公表された「検索結果とプライバシーに関する有識者会議」の報告書を拝読しました。こういった検討結果を開示してくださるのはありがたいことだと思います。

以下、その問題提起部分と結論部分を超ダイジェストで抜粋。

しかし、私にはどうも理解が追いつかない部分がありまして・・・。


検索結果とプライバシーに関する有識者会議 報告書

yahookensaku

3 検索結果に関する法的な問題
まず、議論の前提として、インターネット上に自己のプライバシーに関する情報が掲載されているとして非表示措置を求める者(以下「被害申告者」という。)が検索結果の非表示を求める法的根拠について確認が必要である。
次に、一定のアルゴリズムに基づいて自動的・機械的に作成される検索結果について、検索サービス提供者が非表示措置を講じる義務があるのかという問題がある。
さらに、検索サービスのいずれの側面がプライバシー侵害になりうるのかという問題がある。すなわち、検索結果の表示内容自体(検索結果に表示されるタイトル、スニペット等の記載自体)をプライバシー侵害と考えるのか、それとも、侵害サイトに移動できるリンク(以下「リンク情報」という。)が検索結果に掲載されている状態(検索結果に表示される情報の記載自体には必ずしも権利侵害性はない)をプライバシー侵害と考えるのか、そのいずれもプライバシー侵害たりうるのかという問題である。加えて、非表示措置基準と非表示範囲をどのように考えるべきかについても検討が必要となる。
本会議では、これらの問題について検討を行い、第4にその結果をまとめた。
(1)非表示措置の法的根拠
非表示措置に関する法的根拠については、民法上の不法行為の効果として認められるのか、それとも人格権に基づいて認められるのかといった議論が存在する。両者の違いは、主観的要件の違いに現れ、前者は非表示措置について故意・過失といった主観的要件が必要となるのに対し、後者では必要とされない。
現在の裁判実務は、プライバシー侵害、名誉毀損に基づく非表示(削除)命令については人格権侵害を根拠としており、本会議においても、非表示措置は、プライバシー権、名誉権といった人格権を根拠に求めることができるという考えについて特段異論は出なかった。このため、本会議では、人格権侵害を前提に検討を行った。
(5)本会議での検討方針
検索結果の表示内容自体がプライバシー侵害となるのか、それとも、リンク情報の検索結果への掲載がプライバシー侵害となりうるのかについては、現在の裁判実務においても、必ずしも確定した考えは存在していない。このため、本会議では、いずれの考えも成り立ちうることを前提に、第4の2で検索結果の表示内容自体によるプライバシー侵害について、第4の3でリンク情報の検索結果への掲載によるプライバシー侵害について、それぞれ具体的な措置基準について検討を行うこととした。
4 結論
以上が、検索結果の非表示措置に関する、本会議における検討の結論である。非表示措置に関する本会議の見解を再説すると、その要旨は以下のとおりである。
(1)検索結果の表示自体によるプライバシー侵害に関する基本的な考え方
検索結果の表示内容自体(検索結果に表示されるタイトル、スニペット、等の記載自体)から権利侵害が明白な場合に限って非表示措置を講じる。非表示措置は、プライバシー侵害情報が掲載されている部分について講じる。
(2)検索結果にプライバシー侵害サイトへのリンクが掲載されていることによるプライバシー侵害に関する基本的な考え方
原則として、リンク先ページに対して対応を求めるべきであるから、リンク先ページの削除を認める裁判所の判断がある場合に限って検索結果の非表示措置を講じる。プライバシー侵害の被害救済の観点から、例外として、仝⇒侵害がリンク先ページの表示自体から明白で、かつ、権利侵害に重大性又は非表示とする緊急性が認められる場合にも非表示措置を講じる。


私がこの有識者会議の見解として一番知りたかったのは、問題提起部にあるように検索結果の非表示を求める法的根拠でした。しかし、この点については「現在の裁判実務では人格権を根拠に非表示措置を求めることが出来る点に異論がない」と言い切って終わり。せっかくの豪華メンバーによる検討過程の詳細が窺い知れなかったことに加え、ここでいう“裁判実務”とは何なのかも明らかにされていません。

また、大前提において“裁判実務”で明らかといいながら、一方で、検索結果の表示内容自体がプライバシー侵害となるのか、それとも、リンク情報の検索結果への掲載がプライバシー侵害となりうるのかという問題点については、「現在の裁判実務においても、必ずしも確定した考えは存在していない」と。うーん。

私の判例DBの検索の仕方がヘタなだけかもしれませんが、私が検索結果とプライバシーの問題に関する裁判例を眺めた所感では、後段でも言及されているように、結局はケースバイケースの判断でしかなかったものと思われます。実際、ヤフージャパンさんもブログでこう述べていらっしゃいます。

このような検索結果の非表示措置の対応においてYahoo! JAPANが依拠してきたのは、日本においてこれまで判例等で積み重ねられてきたプライバシー侵害に関する判断基準です。インターネットの普及以前から、「表現の自由」とプライバシーという対立する利益をどのように調整するかは重要な社会の関心事であり、主に小説や雑誌等の出版において一定の判断基準が示されてきました(例:ノンフィクション「逆転」事件判決等)。なお、検索サービスからの情報の非表示に関して、これまでYahoo! JAPANが当事者となった訴訟が複数ありましたが、いずれの訴訟においても裁判所からYahoo! JAPANが情報の非表示措置を命じられたことはありません。

だからこそ、その裁判例の積み重ねを整理・類型化する作業を、この有識者会議の豪華メンバーがやってくれるものと思っていたのですが・・・ちょっと残念。せっかくの有識者のみなさんの検討結果ですので、もしよろしければ、その検討の前提とした裁判例のリストだけでも追加で公開していただけると、続く研究の参考になるのではないかと思います。
 

【本】『アプリビジネス成功への法務戦略』 ― ついに出た、アプリ対応版『利用規約の作り方』


技術評論社の高屋さま、そして著者のお一人である橘大地先生より、発売前の見本紙をご恵贈いただきました。ありがとうございます。





一言で評するならば、“ついに出た『良いウェブサービスを支える「利用規約」の作り方』のアプリビジネス対応版”。同書と同じ出版社である技術評論社さんでこういう企画があったなら、同書に関わったお前が書けよというツッコミをいただいてしまいそうですが(笑)、浅学かつ遅筆な私には残念ながらこのスピード感では書けませんでした。このスマホ法務の分野でアグレッシブな法律サービスを提供されている、GVA法律事務所さんならではの、タイムリーな価値あるお仕事だと思います。

内容としては、『利用規約の作り方』同様、利用規約/プライバシーポリシーの二大文書のポイント解説がボリュームゾーンとなってはいますが、この本の読みどころは、それらよりも第2章「アプリビジネスを取り巻く法律問題」のパートなのかな、と思います。特に、
・ゲームアプリ
・ソーシャルシェアリング
・クラウドソーシング
・クラウドファンディング
・電子決済サービス
といった、『利用規約の作り方』ではカバーされていない新しいビジネスモデルにつきまとう資金決済法や貸金業法等の問題点について、ある程度まとまった形で言及された文献は、この本がお初になるのではないでしょうか。

s-IMG_4635


また、景品表示法、COPPAや税法といった海外展開につきまとう法律問題など、アプリビジネスの法務担当者の間ではよく話題になるリスクポイントについても触れてあります。純粋な法律専門書ではなく紙幅も限られているため、ひとつひとつの論点の深掘りにまではいたっていないとはいえ、広範なリーガルリサーチまではなかなか手がまわらないベンチャー経営者にとっては、目から鱗のネタ・ヒントがたくさん詰まっているはずです。


著者のお一人である橘先生とは、同業界の法務パーソンとして昨年暮れに接点をもたせていただく機会を頂戴しました。この本を書き終えられた後息つく暇もなくシンガポールに向けて発たれ、今後は日本からアジア展開を図るベンチャー企業を支援する活動に従事されるとのこと。高い理想と行動力の両方を持ち合わせた先生のご活躍に、私も期待しています。
 
また私自身も、そう遠くないうちにこのアプリサービスの分野でみなさんのお役に立てるような文献が出せたらと思っています。そのご紹介が出来る日まで、もう少しお時間をいただければと。
 

やっと出ました個人情報保護法改正案 ― とりあえずはこの3点

 
ようやく、みなさんお待ちかねだった個人情報保護法の改正案が、具体的な条文案のかたちになりました。下記リンク先の新旧対照表P11以降をご覧になると、見やすいと思います。

個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案 新旧対照表

s-PDtaisyouhyou



企業法務に関わる改正ポイントの主だったところを3つだけ、ピックアップしてみます。


1 個人情報の定義の変更

定義規定が変更され、「個人識別符合がふくまれるもの」が個人情報の定義に加わりました(2条1項2号)。では「個人識別符号」とは何か、というと

2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

という定義(2条2項)。

以前当ブログでも言及したとおり、「個人情報の定義は広がらない」としていた事前報道とは異なり、携帯電話番号のようなかなり身近に取り扱われている番号・記号・符合も、政令で指定しさえすれば個人情報となります。

2 匿名加工情報の新設

そして、政府的にはパーソナルデータの利活用を目指すための目玉としている「匿名加工情報」が、以下の定義で新設されました(2条2項)。

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

ただし、匿名加工情報であれば自由に取り扱ってよいというものではなく、
・匿名加工情報を作成したとき:そこに含まれる情報の項目
・匿名加工情報を第三者提供するとき:そこに含まれる情報の項目および提供の手段
を、個人情報保護委員会規則に従って公表する義務が設けられ(36・37条)、あわせて他の情報と照合するなどの再識別化も行ってはならないことが法定されました(36・38条)。

3 第三者提供の制限の強化

特にオプトアウト方式で個人データの第三者提供を行う場合について、個人情報保護委員会への届出が新たな義務として法定されました(23条2項)。事業者等から届出があった事実は、個人情報保護委員会が公表することとなります(23条4項)。

2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

一・二 (略)
三 第三者への提供の方法
四 (略)
五 本人の求めを受け付ける方法

また、個人データを第三者提供した年月日、相手先等の記録保存義務が追加されたことに加え、第三者提供を受けた(個人データを受領した)側にも、
・誰から取得したのか、およびその個人データの取得の経緯を確認する義務
・そのデータの提供を受けた年月日を記録し保存する義務
が新設されました(26条)。


さらに細かいところを見ていくと、利用目的の特定義務について、現行法の15条2項では「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて(利用目的の変更を)行ってはならない」とするところ、「相当の」がさりげなく削除されていたり(15条)、正確性確保義務が拡充される形で利用終了後の個人データに関する遅滞なき消去努力義務が追記されていたり(19条)、外国へ個人データを提供する場合には別途その旨の同意を取得する義務がさらっと新設されていたり(24条)、興味深い点もたくさん見つかるのですが。

まずは、上記3点を抑えて、事業者としてやるべきことをリストアップしはじめるのが良いと思います。
 

【速報】米国ホワイトハウスが「消費者プライバシー権法」案をリリース

 
日本のパーソナルデータ法制の行く末を、また大きく変えそうなものが出てきました。米国ホワイトハウスによる「消費者プライバシー権法(CONSUMER PRIVACY BILL OF RIGHTS ACT)」案です。


CONSUMER PRIVACY BILL OF RIGHTS ACT(ADMINISTRATION DISCUSSION DRAFT)

CPBR


内容をざっくり読んで要約すると以下のような感じ。法案に記載の順に、特に気になる部分を中心に抽出してみました。
速報につきスピードを優先しましたので、間違いあればご指摘いただけるとありがたいです。

・定義の明確化(SEC. 4. Definitions)
「パーソナルデータ」「非識別化データ」「パーソナルデータ取扱事業者」「取得」「コントロール手段」「削除」「コンテクスト」等の言葉の定義を明確化

・透明性の担保(SEC. 101. Transparency)
パーソナルデータの取扱い方針および実践内容について、わかりやすい説明とタイミングで明示・通知をする義務を設定

・消費者の情報コントロール権(SEC. 102. Individual Control)
消費者にパーソナルデータへのアクセス手段を提供し、消費者の請求から45日以内の同意撤回権・削除権を与え、利用目的を変更する際には明示的同意の再取得(オプトイン)を義務とする等、消費者に合理的な範囲での情報コントロール権を持たせる

・コンテクストの尊重(SEC. 103. Respect for Context)
コンテクストに沿わないパーソナルデータの分析利用については、第三者機関としてのFTCによる監査・承認が得られた場合に限り可能とする

・明確な取得と責任のある利用(SEC. 104. Focused Collection and Responsible Use)
利用し終わったパーソナルデータについては、合理的な期間内に削除、廃棄、非識別化

・セキュリティの確保(SEC. 105. Security)
内外のリスク分析を行った上で情報セキュリティを確保し、プライバシーアセスメントを定期的に実施する

・アクセス権と正確性(SEC. 106. Access and Accuracy)
SEC. 102記載の権利の具体的手段の提供

・説明責任(SEC. 107. Accountability)
従業員教育等、体制の構築、パーソナルデータ取扱関係者との契約の締結義務等

・執行力の担保(SEC. 201. Enforcement by the Federal Trade Commission)
州検事総長・FTCによる訴追権、課徴金を設定

・自主規制によるセーフハーバールール(SEC. 301. Safe Harbor Through Enforceable Codes of Conduct)
自主規制としての“Codes of Conduct”を作成しFTC承認等を得ることで、本法の一部適用除外を受けることも可能とする


米国メディアも蜂の巣をつついたような状態ですが、法案を評価する声と懸念の声に分かれているようです。主だったところのリンクを貼っておきます。

Here’s a draft of the consumer privacy “Bill of Rights” act Obama wants to pass(Gigaom)

White House Drops ‘Consumer Privacy Bill Of Rights Act’ Draft(Tech Crunch)

White House Proposes Broad Consumer Data Privacy Bill(The New York Times)

The White House’s draft of a consumer privacy bill is out — and even the FTC is worried(The Washington Post)

Proposed privacy bill protects industry more than it does people(Engadget)


マイクロソフトは早くも、同法案を評価する旨の声明をCPO名義で出していました。

White House proposal elevates privacy, transparency discussion(Microsoft)


私の感想としては、パーソナルデータの定義が明確化されるところや、連邦法が出来ることによってマイナーな州法の乱立が避けられるだろう点は評価したいところです。ただ正直なところ、個人の情報コントロール権がこのような形ではっきり書かれるとは、まったくの予想外でした。
一方で、上記リンクの米国内報道でも指摘があるとおり、自主規制(Codes of Conduct)によるセーフハーバールールが企業にとっての「対抗策」(メディアによっては“抜け穴”と評されている)として残されてもいるようですので、そこについては検証を深めなければと思います。


それにしても、日本のパーソナルデータ法制の立法事務局は、こういう米国の動きをきちんと察知できていたのでしょうか。直近の報道などを見ていると、どうもそのようには思えず、そしてまたこの法案を見て右往左往し議論が振り出しに戻るのかと思うと、頭が痛くなってきます。
 

個人情報の定義の明確化はどのように行うべきか

 
2014年末に出された骨子(案)をベースに、各消費者団体・業界団体・行政間での水面下の調整が行われていた個人情報・パーソナルデータ論議の嵐も、政府与党から「個人情報保護法改正に関する提言」が出されたこともあって、この2月半ばになってようやくおさまってきた感じがします。


個人情報保護法とマイナンバー法改正案の概要を公表、マイナンバー等分科会(ITpro)
IT総合戦略本部のマイナンバー等分科会は2015年2月16日、開会中の通常国会に提出する個人情報保護法と行政手続き番号法(マイナンバー制度)の改正案の概要を公表した。個人情報保護法改正では「個人情報の定義の拡充」や「利用目的の制限の緩和」という文言が消え、マイナンバー制度では預貯金口座への付番や医療分野での利用範囲の拡大などを盛り込む。

個人情報保護法改正案の概要では、2014年12月のパーソナルデータ検討会で示された骨子案の「個人情報の定義の拡充」が、「個人情報の定義の明確化(身体的特徴や個人に発行される符号などが該当)」となった。

ソースはこちらですね。

個⼈情報の保護に関する法律 及び ⾏政⼿続における特定の個⼈を識別するための番号の利⽤等に関する法律の⼀部を改正する法律案(概要)

s-mynumbertoubunkakai


数年後にEUの十分性認定を取ろうとするには、4の個人情報保護委員会の権限が弱すぎるのでは・・・という将来への懸念もありますが、目先の立法論として残る大きな論点としては1の「個人情報の定義の明確化」がどのようになされるのか、という点に絞られてきたように思います。

この点につき、個人情報の定義は広げないとする報道が散見されるものの、報道後とあるご高名な先生を囲んだ勉強会で伺ったところでは、
  • 具体的な定義は保護法本体に書かれるのではなく、政令に委任される
  • その政令の定義の粒度としては、身体的特徴=「指紋データ」や個人に発行される符号=「パスポート番号」のほか、「携帯電話番号」が列挙される程度には具体的なものになる
というのが事務局サイドの風向きらしいとのこと。ところがこの点、冒頭でもご紹介した政府与党「個人情報保護法改正に関する提言」では、

4. 個人情報の定義(範囲)の拡大は行わないこと。現状においては、個人情報か否かを明確に線引きすることが困難であり、新たなグレーゾーンと萎縮効果を拡大しかねないものである。他方、個人情報とは言えないものの、メールアドレスや携帯電話番号のように、それ単体が本人の意思に反して提供・流通することにより、個人のプライバシーへの影響が小さくないものがあることから、委員会が規定するこのような情報の第三者提供ついては、取扱事業者が自主ルールを定めるなどの対応とすること。

と、メールアドレスや携帯電話番号は「(それ単体では)個人情報とは言えない」「自主ルールで対応」とする立場ですから、まだまだ見解の相違と調整の必要がありそう。


このような中で、改正保護法+政令で個人情報として列挙するもの/しないもののボーダーラインをどういう基準で仕切るべきか?内閣府の方もいまごろ頭を悩ませている部分だと思います。たとえば、事務局案と政府与党提言とで取り扱いが食い違う「携帯電話番号」ひとつにしても、これを個人情報として政令に明記することは、市民感情としては理解できなくもありませんが、一抹の不安と違和感を感じています。この違和感はどこからきているのかを探るべく、今の私の頭の中の基準を表してみたものが、以下のマトリックスです。

変更困難性 × 容易照合性マトリックス

henkoukonnan_youisyougou


以前「識別・特定 × 容易照合性マトリックス」というのを書いてツッコミを多数頂いたにもかかわらず、また懲りずに同じようなものを作ってしまいました。容易照合性のヨコ軸はそのままに、当該情報と特定個人との紐付きの強さ/切り離しやすさをボーダーラインの一つの基準にしてみてはどうかというアイデアです。列挙している情報項目は、骨子(案)等で例示されていたものから拾ってみました。

生体情報は逆立ちしても変更しようがないので、トッププライオリティになるのは異論がないところでしょう。これに対して、行政から付与される番号なんかは、手続きとコストさえ踏めば変更できるようにすればいいのにという気がします。また、争点の携帯電話番号などは、2年に一度の機種変更のタイミングを少し前倒してついでにMNPもお断りすれば変更できる情報、という見方もできるかもしれません。このように、特定個人との紐付きが解除可能なものについて、どこまで個人情報として法で保護すべきか、という問いになります。
 

そういえば勉強会では、「いちばん大事な部分を法律に定めずに政令に委任してしまうのは、憲法上問題ないのか?」という議論もありました。私は、ある程度のフレキシビリティを法令に持たせるためにその一部を政令に委任するのはしょうがないにしても、保護法の条文上に、政令委任にあたっての考え方・趣旨・委任の範囲を限定する文言は入れていただく必要はあるんじゃないかな、と思います。
 

【本】『インターネットの憲法学 新版』― インターネットを殺すのは、安易なグローバル・スタンダード迎合主義


ネットビジネス・情報ビジネスに携わる法務パーソン必読の書。自分の携わるビジネスが、ここまで幅広く憲法に関わっているのだということを、改めて認識し総点検するために。


インターネットの憲法学 新版
松井 茂記
岩波書店
2014-12-18



松井茂記先生といえば、いわゆる実務書でありながらも当時から先進的な論稿を多く含んでいた共著書『インターネットと法』があります。私も同書には第4版の刊行から5年経った今もお世話になっているのですが、本書はそういった実務書とは趣の異なる学術書の体裁をとります。短期的な解決策やノウハウを求めている方の期待に応えるものではありません。

では、格式張った憲法学の教科書のような内容かというと、そうでもない。プロバイダー責任、フィルタリング、ドメインネーム、ブラウザと市場独占、ポルノやプライバシーと表現の自由といったインターネット創世記から問題となった基本論点を抑えた後は、
・児童ポルノ
・ヘイトスピーチ
・公平な利用(フェアユース)
・政府によるインターネット監視
・国境を超えるインターネット
・ネット選挙
といった、今まさに問題になっているキーワードを次々に取り上げ、良い意味で学問としての憲法学の体系にとらわれずに論じていきます。しかも、その言説はかなり大胆。先生がご専門とするアメリカ・カナダでの議論を踏まえて、両論併記というよりは松井説のみをはっきりと叙述するスタイル。読者としては、首肯しがたい結論もかなり多いでしょう(P365の「何がプライバシーで何が個人情報か」の一節などは、日本の読者も気になる論点であるはずですが、あまりに一刀両断過ぎてドキドキすること間違いなしです)。

s-IMG_4540

こういったスタイルを敢えて採用した理由は、数々の論点が憲法学上の論争にすらなっていない日本憲法学への憂いなのか?議論をしていては間に合わないという焦りなのか?その切迫感は、本書のクライマックスに近づくほど高まり、安易な「グローバル・スタンダード」迎合に対する警鐘へとつながっていきます。P438より。

国際社会でインターネット上の表現の自由やプロバイダーの法的責任について合意が形成されるとは考え難い。また、もし合意が形成されたとしても、それは日本国憲法のもとで表現の自由に対して与えられる憲法上の保護を下回るような基準で合意がなされる可能性が高い。最も自由の保護の低い国の基準がグローバル・スタンダードとなり、インターネット上の表現の自由が著しく萎縮する危険性が高いといえよう。
そうだとすれば、表現の自由の観点からは、各国がそれぞれ自主規制を重視し、域外におけるインターネット上の表現行為に自国の法律を適用することを控えることこそが、インターネット上の表現の自由を確保する上で最も適切な方向性を示すものだということになろう。
たしかに、インターネットが提起する諸問題を解決するには、それぞれの国がかってにその国の法律を適用していたのでは、決して満足のゆく解決は得られないであろう。しかし、表現の自由に対して与えられる憲法上の保護は、国によって大きく異なる。プロバイダーの法的責任についても、国によって考え方に大きな違いがある。このことは、国境を超えたアプローチには、重大な危険が伴うことをも示唆する。国家の揺らぎを理由に、国際的協調を安易に主張することにはもう少し慎重であるべきだろう。

確かに、日本では今、民法(債権法)、著作権法、プライバシー法制、労働法制といった分野でことさらに特定の外国法制を紹介し、「日本だけが世界から遅れている」といった外圧アプローチで法改正の必要性を声高に叫ぶ向きが多いように思います。かくいう私も、「長いもの=世界の潮流にはいったん巻かれておいて、その上でいち早くビジネスで現実対応するのが得策」と考えがちなタイプであることは、否定できません。

遠いブリティッシュ・コロンビア大学から、日本を憂いてらっしゃるのであろう松井教授のこの警告に、自分の頭で考えることを放棄しているのを見透かされたような、恥ずかしい思いがしました。
 

【本】『プライバシー大論争 あなたのデータ、「お金」に換えてもいいですか?』 ― プライバシー大論争年表を作ってみました


日経BPの浅川さまよりご恵贈いただきました。 ありがとうございます。


プライバシー大論争 あなたのデータ、「お金」に換えてもいいですか?
大豆生田 崇志 (著), 浅川 直輝 (著), 日経コンピュータ (編集)
日経BP社
2015-01-24



煽り系のタイトルに嫌悪感を持たれる方もいらっしゃるかもしれませんが、本文はこの分野を追いかけ続けている浅川記者と大豆生田記者の手によるものだけあって、内容はいたって冷静な本。

筆者がこの本を企画した動機は、こうしたデータプライバシーの議論について、日本固有の歴史や事例を発掘し、議論の土台として紹介したかったことである。
本書の執筆に当たっては、プライバシーの専門家に加え、100人を超える企業関係者に取材した。「今は消費者がプライバシーに敏感なので、このテーマでは語りたくない」と取材を断る企業が多かった中、取材を引き受け、率直に語っていただいた企業および担当者の方々に、厚く御礼を申し上げる。今後、日本の企業、政府、消費者がデータプライバシーについて議論する際、本書が互いの共通認識を形作る一助になれば幸いだ。

このような趣旨のもと、ベネッセ名簿漏洩/Suica騒動/CCC(Tカード)&ヤフージャパンによるデータビジネスの3つを中心に、プライバシーが取り沙汰された事件、法改正、活用事例等を丹念に振り返り、世界と日本のプライバシー観の変化を追い、また特に昨年からのパーソナルデータ検討会の議論の過程については細かく描写し、来たる個人情報保護法の大改正を展望しています。プライバシー関連のニュースは意識的に追いかけている私でも、本書で紹介されているもののうち忘れかけていた事件・出来事がいくつかあり、記憶の整理に大変役立ちました。1点、「(現行)個人情報保護法が自己情報コントロール権の考え方を部分的に取り入れたもの」という記述がいくつか見られた(P35など)のは、現行法の法解釈としてはミスリーディングなように思われましたが。

s-IMG_4495

もう1点、出来事が年月を追って順に紹介されているわけではないのが、資料という意味では惜しいなあ…と。

なので、余計なお世話ついでに、本書で紹介されている全事件・法改正のメモを取り、年表形式に編集してみました。こうしてみてあらためて、本書執筆者の取材の丹念さに感服する次第です。

『プライバシー大論争』年表
内容 本書ページ
17世紀 イギリスで住居が部屋で分かれるようになる P27
18世紀 産業革命により職場が家庭から工場・事務所へ P27
1890 アメリカで「放っておいてもらう権利(right to be let alone)」が認められるようになる P28
1961 「宴のあと」事件、プライバシーという言葉が巨人、大鵬、卵焼きとならぶ流行語となる P29
1963 核家族が流行語となる P29
1963 ダイヤル式黒電話「600形電話機」登場 P31
1964 東京地裁がプライバシー権を正面から認める P29
1967 住民基本台帳法施行 P31
1970 政府自治体による統一個人コード導入議論により、自己情報コントロール権の概念が加わる P30
1970 名簿業者が電話帳をコンピュータ入力しはじめる P32
1980 ダイレクトマーケティング理論の本格導入 P32
1980 OECD「プライバシー保護と個人データの国際流通についてガイドライン」採択 P35
1981 警察庁「Nシステム」導入開始 P94
1987 日経社説「情報を伝えるDMが多くて何が悪い」 P33
1989 世論調査「現住所・電話番号は他人に知られたくない」10.9% P34
1990 クーリングオフ制度の強化 P33
1995 EUデータ保護指令採択 P104
1996 民間信用情報機関の個人情報が社員によって引き出され債権回収業者へ P33
1998 早稲田大学江沢民講演会出席者名簿事件 P60
1999 京都宇治市住民票データ流出事件 P34、P60
2000 5 EUと米国によるセーフハーバー合意 P108
2002 5 TBC無料体験応募者名簿流出事件 P61
2003 5 個人情報保護法成立 P10
2003 世論調査「現住所・電話番号は他人に知られたくない」42.9% P34
2004 2 Yahoo!BB加入者記録流出事件 P59
2004 10 APECプライバシーフレームワークに基づく越境執行協力 P143
2005 3 住民基本台帳閲覧による名古屋市強制わいせつ事件 P36
2005 4 個人情報保護法全面施行 P10
2006 11 住民基本台帳法改正法施行 P35
2007 4 経産省「情報大航海プロジェクト」開始 P42
2007 4 ホンダによるGPS情報提供開始 P75
2009 12 警視庁「テロ対策に向けた民間カメラの活用に関する調査研究報告書」公開 P95
2010 2 アン・カブキアンの「プライバシー・バイ・デザイン」がFTCプライバシーレポートに採用 P159
2010 3 経産省「情報大航海プロジェクト」終了 P43
2010 5 総務省「配慮原則」公開 P44
2011 1 世界経済フォーラム報告書「パーソナルデータは新しい原油」 P105
2011 9 カレログ騒動 P69
2011 10 ミログ事件 P41
2012 1 EUデータ保護規則改正案提案 P108
2012 2 アメリカ消費者プライバシー権利章典発表 P108
2012 2 カリフォルニア州司法長官がグーグル・アップル等主要6社とプライバシーポリシー表示について合意 P174
2012 3 アメリカFTC「急変する時代の消費者プライバシー保護」でFTC3条件を提示 P130
2012 7 総務省「スマートフォンプライバシーイニシアティブ」公開 P47
2012 10 アメリカFTC顔認証データのビジネスの応用について勧告 P91
2013 3 NHK「震災ビッグデータ」放映 P71
2013 5 トヨタ自動車「ビッグデータ交通情報サービス」開始 P76
2013 6 アメリカNSAによる職員による私的通信傍受が暴露 P96
2013 7 OECDガイドライン改訂 P109
2013 7 Suica乗降履歴販売騒動 P13、P64、P121
2013 9 政府IT戦略本部(内閣官房)「パーソナルデータに関する検討会」開催 P48、P111
2013 10 NTTドコモ「モバイル空間統計」サービス開始 P74
2013 12 パーソナルデータ検討会の下部組織技術検討WGによる「技術検討WG報告書」が公表される P125
2014 1 行政手続番号法(マイナンバー制度)での「特定個人情報保護委員会」発足 P113
2014 3 EUデータ保護規則が欧州議会で可決 P108
2014 4 IT総合戦略本部事務局がパーソナルデータ検討会において準個人情報の類型を提案 P138
2014 5 経産省がパーソナルデータ検討会において利用目的規制の緩和を要求 P134
2014 5 総務省「位置情報プライバシーレポート」 P72
2014 6 CCCとヤフーが購買履歴・閲覧履歴を共有する提携 P82
2014 6 内閣官房「パーソナルデータの利活用に関する制度改正大綱」公表 P111
2014 6 購買履歴や健康情報から児童で医薬品をレコメンドする行為が改正薬事法で禁止される P100
2014 6 ヤフーやDeNAによる遺伝子検査サービス参入 P97
2014 6 ソニー電子お薬手帳サービス開始 P101
2014 7 ベネッセ個人情報漏洩事件 P10、P54
2014 10 東京地裁がグーグルに検索結果の一部を削除するよう命じる仮処分 P183
2014 11 CCCがT会員規約を変更 P78、P148
2014 11 情報通信研究機構大阪駅ビル実証実験騒動 P86
2014 11 欧州議会が米グーグルに対して検索事業の分社化を求める決議案を承認 P173
2014 11 欧州委員会作業部会「忘れられる権利」ガイドライン公表 P182
2014 12 CCCとマイクロアドが属性情報突合で提携 P83
2014 12 全国万引犯罪防止機構「防犯画像の取り扱いに関する見解及び提言」公表 P93
2014 12 内閣官房「パーソナルデータの利活用に関する制度改正大綱骨子案」公表 P111
2015 個人情報保護法改正(予定) P10ほか多数


保護法の改正については、昨年12月に出された骨子案によって、おぼろげではありますが改正後の姿が見えてきています。一方で、その骨子案に対して、複数の委員からEUの十分性認定やOECDガイドラインへの抵触に懸念が呈されている現状があります。特に、新保先生ら学者筋の方々から批判が集中しているのが、「利用目的変更に関する規制緩和」、いわゆるオプトアウトによる取得後の利用目的の変更を認めることとする規制緩和案です。

パーソナルデータ検討会後半では匿名化のあり方に議論が集中していた中、青天の霹靂のように出てきたこの論点、いつ上がっていたのだろうと改めて振り返ってみると、決して土壇場で突然ねじ込まれたわけではなく、2014年5月時点で経産省がこれを提案していたことが分かります。検討会のメンバーにはあれだけの論客が揃っていたにもかかわらず、経産省の意見がこうして事務局案にスッと入ってしまうあたりに、コンプガチャ騒動後に消費者庁が動いた際にも感じた日本の「行政立法の闇」が垣間見えるような気もします。実際に、この5月のタイミングで経産省に働きかけた事業者が具体的に存在したのかどうかは不明ですが、こういった役人へのロビイング活動が与える影響はやはり大きいのだろうなと感じざるをえません。

本書では、検討会以外に個人情報保護法制の今後に影響を与えるであろう存在として、OpenIDファウンデーション、モバイル・コンテンツ・フォーラム(MCF)、インターネット広告推進協議会(JIAA)といった業界団体とその活動も紹介されています。この辺りキーパーソンを掴まえてきっちりと取材されている点も、本書の素晴らしいところです。我々ビジネスサイドが事実上の立法権を握る行政に影響力を有していくためには、検討会に参加されているような一部の有識者任せではなく、こういった業界団体を巻き込んでの議論をしていくことがますます大切になってくると、私も強く感じています。


法改正までの残り時間も少なくなってきました。事業者としては、骨子案の線で改正・施行されてもビジネスが停滞しないよう、法改正が見込まれるポイントについては先取りで自主規制の強化やビジネスの変更を進めるなど、やれることを粛々とやっていくのみです。
 

Facebookのデータポリシー改定案に見るプライバシーポリシーの新潮流


サービスの注目度の高さゆえに、利用規約やプライバシーポリシーを変更するたびに世の中から怒られてしまうFacebook。それでもめげずに、またこれらを改定することになったようです。


Facebook、利用規約とポリシーを短くインタラクティブに改定へ
 米Facebookは11月13日(現地時間)、利用規約、データポリシー、Cookieポリシーの改定を発表した。現在改定案を提示しており、ユーザーからのフィードバックを受けた後、改定する計画。フィードバックは20日まで送信フォームで受け付ける。
 利用規約は従来より短くなるが、基本的な内容は変わらず、例えば広告主や開発者向けの項目がデータポリシーやプラットフォームポリシーなどに移行された。データポリシーはインタラクティブになり、Facebookがどのような個人情報を収集し、それをどう使っているかが分かりやすくなった。
 Facebookは2012年の米連邦取引委員会(FTC)との和解の条件の1つとして、プライバシー関連の設定を変更する場合は消費者にはっきりと通知して承諾を得ることを義務付けられている。今回の改定は、これまでに導入した新機能に対応した内容への改定となっている。


特に、新しいデータポリシー改定案は見た目も大きく変わっています。どんな感じにインタラクティブなのか、百聞は一見にしかずということで、動きをキャプチャしてYoutubeにアップしてみました。



ご覧のように、左側のメニューをクリックすると、プルダウンメニューのようなかたちで小項目が展開され、その小項目をクリックすると、右側のカラムの詳細な説明に飛んで行く、という作り。二世代前の改定から進めていたインタラクティブな作りを更に推し進めている感があります。

利用規約の改定案の方は依然として一般的な文書のカタチですが、この(一般企業におけるプライバシーポリシーにあたる)データポリシーについては、慣れないと逆に見にくく感じる人もいるかもしれません。また、このようなインタラクティブな作りこみは作成やメンテナンスの負荷もあり、そこそこの企業規模が必要となってくるので、必ずしもこれがスタンダードとはならないでしょう。しかしながら、ブレイクダウンされた項目見出しで一覧性を担保 → リンク先でその詳細について個別説明 というスタイルは、日本の総務省が推奨しているスマートフォンプライバシーイニシアティブのアプリプラポリや、米国商務省電気通信情報局(NTIA)が推奨するショートフォームも採用している構造であり、一覧性と透明性を同居させるための工夫としては、このスタイルがベストプラクティスとして定着したと私は考えます。プライバシーポリシーに関して今このスタイルを取っていない事業者も、今後こういう方向に変更せざるを得ない流れになるんじゃないでしょうか。


ちなみに、上記キャプチャ動画で見に行っている「デバイス情報」の項目は、スマホ時代におけるプラポリの書き方の中でも、どこまで詳細に書くべきか実務家が頭を悩ます一大論点です。この点、Facebookの今回の改定案のまとめ方は、なかなか興味深いものとなっています。

デバイス情報。
Facebookサービスをインストールしてあるコンピュータ、サービスへのアクセスに使用するコンピュータ、携帯電話、その他のデバイスからの情報や、それらについての情報を、利用者が許可した内容に応じて収集します。複数のデバイスを使用している場合には、収集した情報を関連付ける場合もあります。デバイスが異なっても一貫したサービスを提供するためです。収集するデバイスの情報を以下に例示します。

OS、ハードウェアのバージョン、デバイスの設定、ファイルやソフトウェアの名称と種類、バッテリーや信号の強度、デバイス識別子などの属性。
GPS、Bluetooth、Wi-Fiなどの信号から特定できる地理的位置を含む、デバイスの位置情報。
携帯電話会社やインターネットサービスプロバイダの名前、ブラウザの種類、言語とタイムゾーン、携帯電話番号、IPアドレスなどの接続情報。

現行データポリシーではやや曖昧な書き方にされていたところですが、今回の改定案から、電話番号やIPアドレスなどの接続情報とGPS等の位置情報を「デバイス情報」の下位概念に置いているんですね。これは新しいんじゃないかと。そして、アプリという語句を敢えて使わず、「サービスをインストールしてあるデバイス」という表現ぶりを編み出しているあたりも、参考になります。
 

アドテクとパーソナルデータとプロファイリングと

 
アドテクとパーソナルデータについての勉強会に出席。

いわゆる“クッキー(cookie)”が、ネット広告エコシステムの中で広告主/広告メディア/エンドユーザーの間をどのように流通し取り扱われているかについて、過去アドテク企業で働いたご経験をお持ちの法務パーソンから、お話を伺いました。その勉強会のお話の中で、特に私が興味を抱いたのがこの図(発表者の方に掲載許可を頂きました。ありがとうございます)。

s-benkyoukai20140913-1s-benkyoukai20140913-2

ネット広告エコシステムの中には、ネット上の様々なサーバーに蓄積されたビッグデータやサイトのログデータなどを一元管理・分析し広告配信の最適化を実現するDMP(Data Management Platform)という存在がいます。そして、このDMPに対し、表示する広告の最適化を目的に、エンドユーザーが使うブラウザのクッキーをKeyにして属性情報に関する問い合わせを行うのが、DSP(Demand-Side Platform)とSSP(Supply-Side Platform)です。そしてそのDSP/SSPは、DMPからの属性情報照会結果(DMPデータ)を使って、RTB(Real Time Bidding)=広告枠の入札/応札を行います。さて、ここで問題となりそうなのが、DSP/SSPがこのDMPデータを意志を持って溜め込んだ場合、個人情報保護法違反またはプライバシー権侵害とならないと考えてよいか?という論点です。

勉強会出席者(主にアドテクではない法務な方々)からは、
・DMPが提供している個々のDMPデータ自体は個人データではないから、第三者提供にもならない
・それをDSPやSSPが溜め込んでも、容易照合性はないだろう
・仮にDMPデータの集積から特定識別できたとしても、個人側に具体的な損害がないのでは
・そもそも、広告事業者側にDMPデータを溜め込むインセンティブはあるのか
・結局は、自己情報コントロール権みたいな話でしょう
と、総じて「それほど問題はないのでは」という反応でした。アドテクに使われているパーソナルデータが内包しうるプライバシー性は理解しつつも、保護法で定義される個人データとは一致しないというところに、これを保護・規制しようとする流れには直ちには首肯できない、といった様子(出席者全員がそうだったわけではありません)。

その一方で、少なくともEUの一般データ保護規則提案では、このような論点が「プロファイリング」問題として取り上げられ、すでに規制される流れになっていると私は認識しています。以下、石井夏生利先生の『個人情報保護法の現在と未来』より引用。

 第20条「プロファイリングに基づく措置」は、現在のネットワーク社会におけるプライバシー・個人情報保護の問題を捉える上で重要性を増している。この権利に違反した場合も、異議申立権違反と同様、最も思い行政的制裁が課せられる(第79条6項(d)号)
 第20条は、次のように定めている。

「1 すべての自然人は、当該自然人との関連で法的効果を生じさせ、又は当該自然人に重大な影響を与える措置であって、当該自然人に関連する一定の個人的側面を評価し、又は、とりわけその自然人の業績、経済状況、位置、健康、個人的嗜好、信頼性若しくは行動を分析又は予測することを意図した自動処理のみに基づく措置に服さない権利を有するものとする。」

 第20条は、自然人に対し、コンピュータ処理を手段としたプロファイリングに基づく措置に服さない権利を有する旨を定めている(1項)。ただし、(a)契約の締結又は履行の過程において実施される場合であって、それがデータ主体の求めによるか、適切な安全保護措置が提示されたものである場合、(b)EU法又は加盟国の法が明示的に権限を付与し、データ主体の適法な利益を保護するための適切な措置を定める場合、(c)データ主体が同意した場合であって、同意の条件を満たし、かつ適切な安全保護措置を講じた場合は適用除外される(2項)。しかし、その場合でも、管理者は、特別な種類の個人データのみに基づく評価を行ってはならない。また、2項の場合にデータ主体へ提供すべき情報には、プロファイリングに関する措置を講じるための取扱いの存在や、当該取扱いがデータ主体に与え得る影響等が含まれる(4項)

また、米国でも、雇用や信用情報をプロファイリングし販売していたSpokeoに対してFCRA(公正信用報告法)違反で罰金を課した実例があります。


講師の方曰く、
「DMPデータは鮮度も重要なので相当な頻度で更新されているので溜めたところで使えないだろうし、DSP/SSPも、法律に触れないにしてもDMPデータは蓄積すべきではないという考えはもっていて、ほとんどの事業者がプロファイリングを目的としたデータ蓄積はしていないはず。」
とのこと。そうだろうなと思いつつも、例えばヤフージャパンさんのような、大きな集客メディアと人気ある広告枠を持っている企業が、尖った属性情報を持つデータアグリゲーターと提携し、容易照合性が疑われるようなことがあると、日本でもこの論点がもう少し注目を集めることになるのかも。と、ここまで書いて、ヤフージャパンさんが最近データアグリゲーター大手と提携されていたことを思い出したり・・・。


このプロファイリングというキーワード、日本のパーソナルデータ検討会では継続検討課題として大綱にはかろうじて入っているものの、議事次第を追跡すると、鈴木委員以外の委員からは規制をかけることにネガティブな意見が相次いでいた部分でもあり、優先度が低いテーマになっているように見受けられます。が、名簿屋規制というパンドラの箱まで開かれた今、バズワードに育つのも時間の問題のように思われます。

広告という商業活動に無縁な事業者など皆無なだけに、なかなかにヘヴィーなテーマです。
 

【学会誌】法とコンピュータ No.32 ― 提供元基準 vs 提供先基準論争は続くよどこまでも

 
法とコンピュータ学会の2014年7月版学会誌を入手。当然ながらパーソナルデータネタ盛りだくさんとなっていて、関心のある方も多いのではと思います。しかし、学会ウェブサイトは更新・運営の手が止まっている様子で、弁護士会館ブックセンターさんあたりに行かないと入手困難かもしれません。


s-IMG_4068


中でも、岡村久道先生の基調講演録(論稿+スライド)がアツかったです。個人情報保護法における容易照合性の判断基準について、提供元基準か提供先基準かという論争について、「政府解釈は提供元基準」ということですでに終止符が打たれたかのように早とちりしていた私でしたが、この講演では岡村先生が
・『石に泳ぐ魚』事件(最判ではなく東京高判平成13年2月15日のほう)
・長良川少年報道事件(最判平成15年3月14日)
・東京地判平成24年8月6日事件
・さいたま地判平成23年1月25日事件
等、プライバシー情報の公表や提供に関するいくつかの判例理論を分析した上で、やはり提供先基準と考えるのが適切であると力説されています。また、マサチューセッツ州知事の医療データが識別された事件に代表されるような、ネットやSNS上から入手しうる情報を用いて照合(link attacks)し再識別化されるケースにおける保護法の適用についても言及。


s-IMG_4079


法務パーソンとしてどちらに与するかは別として、日ごろは安全サイドに立って提供先での特定可能性も検討するのですが、考えてみれば「政府解釈は提供元基準」だからといって、司法においてもそれが踏襲されるという保証は無いわけです。個人情報保護法の容易照合性の判断基準について明言する最高裁判例が無い中では、岡村先生がここで取られているような裁判例を紐解くアプローチの方が正攻法では、という気もしました。


そしてもう一つ、「ビッグデータビジネスと程よいWebプライバシー」という、なんとも興味を引くタイトルの論稿が。こちらは通信事業者にお勤めの実務者の方による研究報告で、ネット広告エコシステムを転々流通する情報に、電気通信事業法(通信の秘密)と個人情報保護法を重畳して適用する必要があるのか?という論点。


s-IMG_4078


このアドテク×プライバシーという論点については、写真中の図にも表されているように登場人物(関係する事業者)が多く、理解するのをなかば放棄していた分野なのですが、遅まきながらきちんと勉強しておこうと、先日勉強会にも参加した次第。次回はその模様について書きたいと思います。
 

【本】パーソナルデータの教科書 ― 「わかった気」で終わらせないための端折る技術


法的に緻密な分析を端折って捨てて、リサーチャー的にパーソナルデータにまつわるトピックスと参考情報を集めて整理することに振り切ったことで、読み手にとっての分かりやすさを追求した本。


パーソナルデータの教科書
小林慎太郎
日経BP社
2014-07-31



全体の構成は、
第1章で、Suica事件をはじめとする炎上案件とそこから見えた反省・課題を踏まえ、
第2章で、パーソナルデータの議論でもっともややこしい「特定」と「識別」の違いを解説し、またその理解を難解にさせている原因を「3つのグレーゾーン(個人特定の可能性/容易照合性/属性推定の可能性)」として整理し、
第3章で日本のプライバシー保護法制を
第4章で米国のプライバシー保護法制を
第5章でEUのプライバシー保護法制をそれぞれ概観しながら、
第6〜9章で、日本の法改正の展望と今から企業が行うべきことを提言する
という流れ。

あとがきで筆者自身が認めているように、法律家やパーソナルデータ検討会の関係者らが書いた本ではないぶん、

個人を「特定」できる情報とは、個人の名前や顔が分かる情報のことで、例えば、住所録などの氏名と組み合わされた情報が該当する
識別・非特定情報を、識別もできない状態、つまり誰か一人の情報では分からないようにデータの加工処理(非識別化)すると、非識別・非特定情報となり、これが事実上の「匿名情報」に相当する

といったような、リテラシーのない方が読んでそのまま鵜呑みにしてしまうと危険かもしれない記述もあるにはあります(特に2〜3章にいくつか)。が、抽象的な概念・議論を豊富な事例紹介と図表によって噛み砕くことに腐心されている分、読んでいてわからなくなる箇所がありません。中途半端な法律セミナーに参加して「わかった気」になるより全然いいんじゃないでしょうか。理解のとっかかりさえできれば、後は自分で理解を深めることもできますしね。

s-IMG_1299
s-IMG_1300


また、6〜9章の提言部分は、パーソナルデータ大綱が示す道すじに忠実に、では企業として具体的に何を準備しておけばよいのかを大綱以上に踏み込んで述べている点、すばらしいと思いました。中でも、著者のコンサルタントとしての経験を踏まえての、プライバシー影響評価(PIA)の具体的な進め方のアドバイスは、法律家が書く論稿にはない価値が感じられたパートです。

s-IMG_1298

本書全体を通底する提言の内容としても、今後のパーソナルデータ取扱の基本方針として、安易に「同意を取らないで済む道」を追求するのではなく、
・同意を取得した方が結果的にビジネスで使える情報になる(個別同意と包括同意を併用しながら)
・その同意取得プロセスがあったとしても、オプトアウト手続きの提供は必須
といった主張が繰り返されていた点も、個人的に共感を覚えました。

端折ることで正確さをある程度捨てている点、そういったところをないがしろにしたくない向きからは批判もあるかもしれませんが、パーソナルデータ検討会の最大の功績である技術検討ワーキンググループ報告書を読む前の準備運動として、そしてそれを読んで理解した後の行動を踏み出す具体的指針として、オススメな本です。
 

【本】個人情報保護法の現在と未来 ― プライバシーの国際水準に合わせるためには、第三者機関設置だけじゃまだ足りないようです

 
曖昧模糊としたパーソナルデータ大綱が出た後、必死で法改正の風向きを読もうとしている企業法務のみなさんがその拠り所としているEU・米国のプライバシー法に関する最新動向をまとめ、そこから読み取れる日本の個人情報保護法改正の潮流を説いてくれる一冊。

なんとその語り部は、日本のプライバシー法の第一人者たる堀部先生の直系のお弟子さんである、石井夏生利先生です。確かにみんながこういう本を求めてはいたけれど、このタイミングでこの方がお出しになるとは誰も思ってなかったはず、な本がでちゃいました。


石井 夏生利
勁草書房
2014-07-31



この分野を追いかけているやまもといちろうさんや日経の大豆生田さんの解説もわかりやすいのですが、そろそろきちんとした学術的な解説も読めたらとは思っていました。とはいえ、鈴木正朝先生や森亮二先生は当事者(委員)としてかかわられてお忙しそうだし・・・と思っていたところに、いつもは奥の方で控えめにいらっしゃる印象の石井先生が、こうも軽やかに最前線に登場されるとは驚き。

中身の方もかなり最新ネタに突っ込んだ、フットワークの利いたものになっています。肝心のパーソナルデータ大綱がとりあげられているのはもちろんのこと、米国に関しては5月に米国ホワイトハウスが発表した「BIG DATA: SEIZING OPPORTUNITIES, PRESERVING VALUES」を、EUに関しては「EU一般データ保護規則提案」については6月6日会合までを、さらに最近のプライバシー時事ネタについても「忘れられる権利」に関して5月に話題になった欧州裁判所によるGoogleに対するリンク削除命令事件といったあたりまでもが取り上げられていました。石井先生は前著でも海外法制の動向をずっとフォローされてきた方なのでこのあたりはお茶の子さいさいであろうとはいえ、この本の奥付発行日が7月30日ですから、入稿ギリギリまで相当粘って書き上げられたものと推察します。

s-IMG_4008


そんな石井先生が、「日本が国際水準を目指すにあたって最低限導入が必要」と最終章で提言される制度が、以下の5つ。

1 独立監視機関の設置
2 越境執行協力
3 基本原則の設置(明文化)
4 プライバシーバイデザイン(PbD)とプライバシー影響評価(PIA)の体制組入
5 データ・セキュリティ侵害通知制度の法令義務化

1・2は大綱に明記されましたし、3・4は大綱案の議論の中でも聞き覚えのあるところで特に意外性はありません。ですが、5番のデータ・セキュリティ侵害通知義務化については完全に不意打ち。カリフォルニア州法が率先して取り入れたことで、なんでもOECD改正プライバシーガイドラインやEU規則提案でも採用されつつあるのだとか。これ、本当に入ったら結構なインパクトがある気がします。ユーザーはおろかJIPDECや主務官庁等にも報告されず、闇に葬られているメール誤送信事件とかデータ紛失事件が山のようにあるはずですからね。
 
大綱が出て一区切りついたような気になってましたが、具体的な法改正まで、まだ一波乱も二波乱もありそうな気がしてきました。
 

【本】情報セキュリティ管理の法務と実務 ― ベネッセ個人情報漏洩事件を踏まえて現行法義務を総点検する

 
2004年に発生したソフトバンクの個人情報漏洩事件に次いで、様々な文献で事例として語り継がれることになるであろう、ベネッセの大規模個人情報漏洩事件。

管理委託の外部業者が個人情報流出か(NHKオンライン)
nhkbenesseベネッセコーポレーションの通信教育サービスを利用している顧客の子どもや保護者の名前や住所など、およそ760万件の個人情報が流出したもので、流出した個人情報は最大でおよそ2070万件に上る可能性があるとみられています。
警視庁は、企業の営業秘密に当たる顧客の個人情報を何者かが外部に流出させたとみて、不正競争防止法違反の疑いで捜査していますが、顧客データベースの保守管理は本社から委託を受けたベネッセのグループ会社が、外部の業者に再委託していたことが警視庁などへの取材で分かりました。
データベースへのアクセス権限は、業者の中でも一部の担当者にしか与えられていなかったということです。
ベネッセによりますと、データベースに不正にアクセスされた形跡はないということで、警視庁は、こうした外部業者の担当者が情報を記憶媒体にコピーするなどして持ち出し、流出させた疑いがあるとみて調べています。

IPAの「組織内部者の不正行為による インシデント調査 − 調査報告書 − 」にも記載されているとおり、個人情報漏洩事件のほんどは外部からの攻撃である一方で、今回のような業務委託先を含む内部関係者の不正行為による漏洩事件となると、防止・発見が難しいことと相まって被害人数が多くなるという特色があります。

パーソナルデータ検討会以降、個人情報保護法が今後どう変わるかばかりを気にして浮足立っていたところがありますが、今回ベネッセに起こっていることを他山の石とし、そもそも自社が現行法を順守できているのかを改めて見直す機会としたいところ。その参考となりそうな新刊をご紹介したいと思います。


情報セキュリティ管理の法務と実務
野村総合研究所・浅井国際法律事務所
きんざい
2014-05-12




本書は、そのタイトルに忠実に、情報セキュリティに関わる法令上の義務を概説する「法務編」と、その義務を果たすために具体的に何をやるべきかをまとめた「実務編」に大きく二分されており、そのどちらも秀逸な出来となっています。

前半の「法務編」は、カバーする法令の網羅性に加えて、金融機関に求められる法的義務に目線を合わせているところが特徴となっています。その心は、
企業における情報セキュリティに関する法規制のほか、最先端の情報セキュリティが確立している金融機関に関する法規制や金融機関の取り組みを多数紹介しているが、これは、当該法規制や当該取組みがBtoC取引に携る一般事業会社にとっても実務上参考になると考えたからである。
(巻頭言より)
というもの。

・個人情報保護法 
・不正競争防止法 
・経済産業省告示 ーソフトウェア等脆弱性関連情報取扱基準(平成16年経産省告示第235号)
 ー情報システム安全対策基準(平成7年通産省告示第518号)
 ーコンピュータ不正アクセス対策基準(平成8年通産省告示第362号)
 ーコンピュータウイルス対策基準(平成7年通産省告示第429号)
 ーソフトウェア管理ガイドライン(平成7年公表)
・会社法 ー内部統制システム構築義務(362条4項6号、会社法施行規則100条)
・刑法 ー窃盗罪(235条)
 ー私文書毀棄罪(259条)
 ー建造物侵入罪(130条)
 ー器物損壊罪(261条)
 ー背任罪(247条)
 ー偽計業務妨害罪・威力業務妨害罪(233条・234条)
 ー不正指令電磁的記録に関する罪(168条の2および3)
 ー電子計算機損壊等業務妨害罪(234条の2)
 ー電子計算機使用詐欺罪(246条の2)
 ー電磁的記録不正作出・供用罪(161条の2)
 ー支払い用・預貯金引き出し用カードに関する罪(163条の2ないし4)
・不正アクセス禁止法 ーアクセス権限のないコンピュータを利用する行為の禁止(2条4項)
 ー他人のパスワード等を不正に取得・保管する行為の禁止(4条・6条)
 ーフィッシング行為の禁止(7条)
 ーアクセス管理者による防御措置構築に関する努力義務(8条)

といった、どの企業にも関係する法規制について網羅的に概説しながらも、金融機関における情報セキュリティ規制を定める
・金融商品取引法
・銀行法施行規則
・金融検査マニュアル
・金融分野における個人情報に関するガイドライン
・中小・地域金融機関向けの総合的な監督指針
そしてさらには、
・電気通信事業法と総務省ガイドライン(通信履歴・発信者情報・位置情報)
・番号(マイナンバー)法
・ISMS・Pマーク等の認証制度
・行政機関における情報の取扱に関する規制
まで取り上げます。またこれにあわせて、金融機関において発生したセキュリティ事件に関する判例が多く紹介されています。ベネッセ事件との絡みでは、特に安全管理義務や外部委託先管理責任について、金融機関に求められているレベルを知っておいて損はないでしょう。

s-IMG_3964


後半の実務編は、
・情報セキュリティの組織・体制・ルール
・従業員管理・教育訓練
・情報資産/施設・環境/端末・媒体/ネットワークごとのセキュリティ対策
・セキュリティ監査
・グループ管理
ごとに、章を分けて解説。

委託先管理という観点でやはり最近気になるのは、既に水・電気の如く必要不可欠な存在となってしまったクラウドサービスの存在。クラウドベンダー側に確認すべき事項がまとまっているところなどは、最新刊ならではの読みどころです。

s-IMG_3966


漏洩の規模もさることながら、謝罪会見において「センシティブ情報が漏れたわけではなく、金券を配布することは検討していない」と頭ごなしに賠償責任を否定した同社のスタンスや、名簿屋を通じてジャストシステムが当該情報を購入していたことの是非についても議論が波及、さらには大臣が情報の消去義務について個人情報保護法改正の必要性に言及するまでに発展している同事件。被害を受けている方にとっては不謹慎な物言いとなってしまいますが、企業法務パーソンにとっては格好の学習・反省材料ともなりそうです。
 

参考:

▼内部関係者による情報漏えいを繰り返さないためにできること(@IT)
http://www.atmarkit.co.jp/ait/articles/1407/11/news158.html
 

パーソナルデータの沙汰も第三者機関次第

 
パーソナルデータの利活用に関する制度改正大綱(事務局案)」がリリースされました。


s-IMG_3468


この大綱が決まるまでビッグデータビジネスの展開を様子見としていた企業にとっては、首を長くして待っていた文書であったはず。果たしてその期待に応えるものとなりそうでしょうか。

個人情報保護法改正の看板は下ろされた?


第1回パーソナルデータに関する検討会議事要旨にも記録されているとおり、もともとこのパーソナルデータの議論には、個人情報保護法の改正も視野に入っていたはずです。民間企業も、この大綱で改正の方向性がどう示されるかに注目していたと思います。

しかし、今回の大綱案では
法律では大枠を定め、具体的な内容は政省令、規則及びガイドライン並びに民間の自主規制ルールにより対応することとする
と記されるにとどまっています。また、この大綱のベースとなっている第10回会合の資料4ー2「これまでの議論を踏まえた論点整理表」の中にも
・現行法の個人情報については、解釈の明確化を図る。
(理由:現行個人情報の定義につき、カッコ書きを削除するべきという意見については、事業者内部において個人を特定してデータを利活用できるものが保護対象から外れることとなり、個人の権利利益保護の観点より受け入れられない。)
・一般的な同意取得方法を定めることは多様な情報利活用実態より困難であり、法律の改正によらず、第三者機関のガイドライン等の策定や自主規制の導入により改善を図ることとする。
といった記述が見られます。

これらから、グレーゾーン問題の原因ともなっていた個人情報保護法の大改正に踏み切るのは、どうやら諦めていることが伺われます。期待を裏切られたと思う企業法務パーソンも少なくないかもしれません。

第三者機関への依存度の高さが気になる


大綱案P7以降で、制度改正の基本的な枠組みとして、
 1 本人同意がなくてもデータの利活用を可能とする枠組みの導入等
 2 基本的な制度の枠組みを補完する民間の自主的な取組の活用
 3 第三者機関の体制整備等による実効性ある制度執行の確保
の3つが掲げられたわけですが、よくよくその中身を読んでみると、少々おかしなことに気付きます。

3に第三者機関が登場するのは分かるのですが、1についての説明においても
データの加工方法等について自主規制ルールを策定し、第三者機関による認定を受ける
とあり、また2についての説明においても
「個人情報」等の定義への該当性判断は、第三者機関がガイドライン等を用いて解釈の明確化を図る
オプトアウト規定を用いて第三者提供を行う場合には、現行法の要件に加え、第三者機関に対し、法に定める本人通知事項等を届け出ることとするほか、第三者機関は届け出られた事項を公表するなど、必要な措置を講じる
とあり、つまるところ、解決すべき問題の行き先はすべて第三者機関頼みとされているのです。

国際的にはプライバシーコミッショナーの設置が急がれている中、第三者機関の設置の必要性に異論を唱える委員はほとんどおらず、すんなりと決まって事務局もほっとしているというのが正直なところではないかと思いますが、それをいいことにほとんどの問題解決を先送り第三者機関に押し付けているように見えるのは、私だけでしょうか。

あるべき基準は待っていても誰も教えてくれない


合法違法の基準定立と処分権限を第三者機関に一元化し、取り締まり事例を積み重ねることでだんだんと基準を明らかにするというやり方は、まるで第三者機関がコモンローの国の裁判所を務めるかのよう。さらにはマルチステークホルダープロセスを取り入れるとも言っているわけで、肝心のパーソナルデータの取扱い基準自体が確立するまでに長い時間がかかりそうですし、それを見出す道程は、専門家が入るとは言っても、第三者機関には少々荷が重いような気もします。そして、主務官庁ではない、しかしなんらかの行政処分権限を持つ機関が新たに生まれ、民間企業等の情報の取り扱いに関与するということについて、憲法的な意味でもう少し議論や抵抗があっても良かったのではと。

いちおう制定法主義かつ三権分立の国なのですから、行政を縛る意味でもはじめは緩やかな基準からでも個人情報保護法またはその施行令で基準を明文化し、それで問題となる事例が生まれればだんだんと厳しくしていく(ただし正当な法令改正の手順を踏んで)というやり方が望ましいのではないか。法令化が無理でガイドラインで対応するにしても、第三者機関が誕生してから考えはじめるのでなくて、緩やかなガイドラインをこの検討会で定めた上で、第三者機関に託してスタートしてはどうだろうか。そんなことを思いましたが、今の流れでは難しいでしょう。

自分たちのビジネスにおけるあるべきパーソナルデータの取扱い基準は、待っていても誰かが作ってくれるものではない。誰の目にも耐えられるものを、第三者機関ができるまでに自分たち自身で考えておけ。そういうメッセージと私は受け止めています。
 

パーソナルデータ検討会事務局案に対する感想

 
内閣府のパーソナルデータに関する検討会第7回において、事務局案が提出されました。このテーマを継続的に追いかけている人でも、一見分かりにくい内容だったように思います。以下感想の域を出るものではありませんが、メモとして。


「個人情報」等の定義と「個人情報取扱事業者」等の義務について(事務局案)<詳細編>

s-pdkento25


「準個人情報/準個人データ」の存在がクセモノだった


わかりにくさやとまどいの原因となったのは、従来の個人情報/個人データ/保有個人データとは別に、「準個人情報/準個人データ」と「個人特定性低減データ」という2つの階層が増えた点が大きいと思います。しかも、その名前のキャッチーさで注目を浴びてしまった「準個人情報/準個人データ」が、かなりクセモノでした。

「準個人情報/準個人データ」は、“一人ひとりは識別されるが、個人が特定されない状態の情報”として、技術検討WGが「識別非特定情報」と名づけていたものがベースとなっています。具体的には、携帯IDや複数の事業者で継続して共用される広告IDなどの“識別子”、さらには事務局案には明確には記載がありませんでしたが、データセットから一人ひとりが識別される(個人の特定まではされない)“準識別子”を含むデータの保護をターゲットにしたものと思われます。

これらが「現行個人情報保護法にいう個人情報/個人データではない」ことを明確に位置付けた点に、今回の事務局案の意義があります。そう位置づけることによって、利用目的の変更などについては同意を取らないでも良いこととするほか、本人からの開示請求への対応を不要(そもそも本人が観念できないため?)とするなど、個人情報保護法上の義務を軽減する案としているのです。

一方、この情報の状態では第三者提供は一切不可(オプトアウトも認めない)と、他事業者への融通に関してはかなり厳格な規制を掛ける意向のようです。なんのためにこの定義を作ったんだっけ?とハシゴを外された思いを抱く方もいらっしゃるかもしれません。この点、「行動ターゲティング広告や広告IDが使えなくなるけど大丈夫?」との指摘もすでに出ているところです。

s-pdkento05


利活用の本丸「個人特定性低減データ」はまだ玉虫色


そうなると結局、パーソナルデータの利活用は認めない方向なのですか?いや、そんなことないですよと、事務局が考えた定義が、もう一つの「個人特定性低減データ」というもの。これこそが利活用および事業者間の相互流通を前提とした情報であり、今回の提案の本丸のはずなのですが、これが玉虫色でわかりにくい。

s-pdkento07


まず、準個人情報/準個人データからさらに情報を間引いて、個人が特定されないようにしたデータが「個人特定性低減データ」なのだろう…と、私はしばらく勘違いしたまま資料を読んでいたのですが、これが大間違いでした。そうではなく、下図に示されているとおり、「個人データ」または「準個人データ」の“双方”から「個人が特定される可能性を低減させる措置」を施した情報のことを言っているのですね。だとすると、いよいよ準個人情報/準個人データの存在意義がよくわからなくなってきます。

s-pdkento09


しかも肝心の、「個人が特定される可能性を低減させる措置」として何をどこまでやれば「個人特定性低減データ」となるのかというルールについては、結局のところ政令に委ねられる案になっていて、法文上は不明のままとなりそう。検討会としては、下部組織の技術検討WGに対して「最低限のルールを決めてほしい」と依頼したようですが、なかなか難しい注文のような気がします。唯一現状決まっているのが、FTCルールに倣った再識別化の禁止という1点というのは、議論の土台としてはさびしいものがあります。

鳴り物入りで作られる第三者機関と事業者の関係も、だんだんと心配になってきました。個人特定性低減データを第三者に提供=流通するにあたっては、(提供する側の、だと思われますが)事業者が第三者機関に「報告」することになっています。しかし、報告は(文字通り)事後でいいのか?、第三者機関が報告をどのくらいのスピードで捌いてくれるのか?、報告の結果第三者機関がNGと判断したらどういう法的効果が発生するのか?などなど、色々と心配は尽きません。このあたりはまだ具体的な議論がこれからだと思いますが、全部第三者機関に丸投げ・問題先送りだけは避けないと、法としての予測可能性がなくなってしまうので、その点は十分配慮していただきたいところです。

「機微情報」の行く末も気になる


また、あまり専門家の間では議論になっていないようですが、個人情報/個人データの中に「機微情報」というカテゴリもつくられようとしています。オプトアウトによる利用を禁止するなどの厳しい措置をとる方向のようで、ここに指定された情報を扱う事業者は注意が必要です。

現状はOECDプライバシーガイドラインにおける「センシティブ情報」をパクっているだけのように見えますが、ここに何が追加されるか・されないのかは要注目。人材ビジネス関連事業者などは、履歴書や職務経歴とともにこういうデータをそこそこ持っているはずなので、該当するのは間違いなさそうですが、大丈夫でしょうか。

s-pdkento13


階層はできるだけ少なくしたほうがいいのでは


以上事務局案を総合すると、日本において、「個人に関する情報」は、
1)個人情報/個人データ/保有個人データ(機微情報を含む)
2)個人情報/個人データ/保有個人データ(機微情報を含まない)
3)準個人情報/準個人データ
4)個人識別性低減データ
5)非個人情報(生存しない個人に関する情報・散在情報)
と、5つの階層に分かれてその取扱いルールが変わることになる模様。

今後の議論で、3や4についても機微情報を含んだ場合は取扱いルールを変えるなどという展開になったりすれば、階層がさらに増えるおそれもあり、これはいかにも複雑すぎる気がします。消費者にとってわかりやすい・安心できる個人情報保護制度にするはずが、事業者にすらわかりにくい・取扱いルールすら理解できない制度になってしまうような気がするのですが、私の頭が悪いだけでしょうか。

せめて、「準個人情報/準個人データ」というレイヤーは作らずに、保護を第一義とする「個人情報/個人データ」と利活用可能情報としての「個人特定性低減データ」の二階層に再度整理すれば足りるのではないのだろうか、または逆のアプローチで、非個人情報を法律上もっと明確に・幅広く定義することで、保護法への過剰反応を取り除くことはできないだろうかなどと、対案を考えているところです。
 

Oh 準個人情報 君の名を呼べば僕は切ないよ

 
パーソナルデータの議論に、久しぶりに大きな動きがありました。

先日、安倍総理が新経連のサミットで「IT利用を推進する規制改革として、ビッグデータに含まれるパーソナルデータの利用が進むよう、個人情報保護法の改正を行う」と明言したとの報道もあり、そんな風向きは感じていましたが、早速その意向が十二分に汲まれた案が提示されたとのこと。ここまでの議論はなんだったんだと切なくなるほどのそのドラスティックさに、委員が混乱している様子が記事からも伺えます。


「準個人情報」など類型示す事務局案に異論相次ぐ、パーソナルデータ検討会

事務局案によると、保護されるパーソナルデータの範囲について、現行法の「個人情報」の定義を維持しながら、「特定個人を識別しないが、その取り扱いによって本人に権利利益侵害がもたらされる可能性が高いもの」を仮称「準個人情報」とする類型を示した。

「準個人情報」の例示としては、パスポート番号や免許証番号のほか、IPアドレス、携帯端末ID、顔認識データなど個人情報端末に与えられる番号で継続されて共用されるものや、遺伝子情報、指紋など生体・身体的情報、移動や購買履歴などを挙げている。個人情報に該当するか判断が困難なグレーゾーンの拡大に対応するため、これらの利用では現行法にある本人同意や通知などを求める義務を課すのは妥当ではないとしている。

しかし会合では「準個人情報」について、個人情報と明確に峻別できるのか疑問という指摘や、個人情報の定義に含めて同等の扱いを求める意見が相次いだ。


こちらのtogetterがその様子を知るのに大変参考になります。まとめられたtweetから拾い集めた事務局案を整理すると、概要以下のとおりです。

  • 現行個人情報保護法における「個人情報」「個人情報データベース等」「個人データ」「個人情報取扱事業者」の概念は変更しない
  • 新たに「準個人情報」「準個人情報データベース」「準個人データ」「準個人情報取扱事業者」を作り、さらに新概念として「個人特定性低減データ」「個人特定性低減データ取扱事業者」を追加
  • 準個人情報の定義:〔筏証番号、携帯端末ID等の個人または個人の情報通信端末等に付番され、継続して共用されるもの、顔認識データ、遺伝子情報、指紋など個人の生体的・身体的特性に関する情報で普遍性を有するもの、0榮依歴、購買履歴等の特徴的な行動の履歴
  • 受領者内において個人特定性低減データとその他の情報との突合、分析・評価すること、準個人情報とすることを禁止するものではない。
  • 容易照合性は第三者機関が判断基準をガイドライン等で示していく

他の主要国の法制には見られない発想を取り入れたという点は、外国法を安易にコピーしなかった事務局の努力としては、評価したいと思います。とはいえ、個人情報ではないけれど取扱い注意な情報としての「“準”個人情報」という概念は、日本語って便利だな〜と感心しつつ、はてこれをどうやって英語に訳すのかは早速気になっております。英語に訳そうとすると、日本語では曖昧にされていた意味がクリアになることってありますしね。そして、一言でその性質をうまく言い表せない・訳せないような難解な概念になってしまうと、委員のみなさんが懸念しているように、諸外国に理解をいただけず世界から日本だけがおいてけぼりになるばかりか、それをなんとか理解してもらうための多大な説明コストが、結局企業に転嫁されてしまうことにもなりかねません。

さて、まだ資料が公開されていないので確からしいことは申し上げられないのですが、これらを読んで伝わってくる事務局案の意図として、現行法を変えないことで社会への影響を最小限に抑えることを優先しつつ、最も“わかりやすい”事例であったSuica乗降履歴の販売事例をモデルケースとして、このようなケースをも合法と解釈するためにどのような建て付けにすればよいかを前提にした整理なのではと見受けました。それを頭ごなしにダメだというわけではなく、もしそうなのであれば、それをオープンに言ってもらったほうがよかったかもと。やっぱり具体的なイメージがないと論点が拡散してしまいそうなので、そういう議論の進め方もありかと思います。

事務局としては、技術検討WGを含めて委員内外から広く意見をもとめていくという姿勢のようですが、「準個人情報」の定義から否定しはじめるとほぼ事務局案の全否定となってしまう点、これだけ土俵が整えられてしまうと反対意見を唱える側は戦いにくいはずなので、法務パーソン的に言えば、反対意見を唱える側はBattle of Forms、つまり事務局案相当の骨子案を提出し直すべき場面でしょう。

さて、この事務局案の流れのままで勝負あった、となるのでしょうか。
 


2014.4.18追記

第7回資料が早速公開されましたので、ご案内します。
読んでの所感はまた後日。

▼第7回 パーソナルデータに関する検討会 議事次第
http://www.kantei.go.jp/jp/singi/it2/pd/dai7/gijisidai.html

パーソナルデータの「識別・特定 × 容易照合性マトリックス」を書いてみた(追記あり)

 
BUSINESS LAW JOURNAL5月号の「パーソナルデータ 企業法務の視点」は、色々な違和感を感じた特集でした。





パーソナルデータ検討会の技術検討WGがせっかく識別特定/識別非特定/非識別非特定という分類を定義・整理してくれたのに、企業サイドとして登場する人たちがその分類をベースとした議論をせず、未だに個人情報保護法や経産省ガイドラインにおける個人情報(個人データ)の定義を拠り所に反論しているように見えたのが、違和感を感じた主な原因だと思います。

この点に関連して、上沼紫野先生がこのような指摘をされていました(P35)。

氏名到達性がなくても個人は識別可能であり、氏名到達性がなくても個人情報該当性は認められるべきであり、近頃はそれが前提となっている。
どうも事業者の実務担当の方は、提供先基準説を当然の前提にし、提供元基準の可能性を考慮されていないのでは、と思われることが多い。確かに、提供先で特定個人が識別できなければ問題となる可能性が少ないという一般的な感覚は理解できる。ただ気になるのは、個人識別性については氏名到達性を前提としていると思われる点である。第三者提供に関しては、プライバシーに関する一般的感覚に基づいて判断するのであれば、個人識別性もプライバシーに関する一般的感覚で判断し、氏名到達性を要件としないのが一貫するのではないだろうか。データの活用という事業上のニーズは分かるものの、若干つまみ食い的になっているような点が気になるところである。

私も同様の感想を持っていますが、惜しむらくは、上沼先生もやはりこの記事で技術検討WGの定義をそのまま使っていらっしゃらない点。「氏名到達性」を用いたのもミスリードを生みそうな。

と、議論の土俵が微妙にズレたままお互い批判しあっている記事をみてその感想を述べても何も前に進まないので(笑)、この議論を一歩でも前にすすめるために、パーソナルデータの取扱いのあり方をより具体的に検討・議論するための私案として「識別・特定 × 容易照合性マトリックス」を書いてみました。


識別・特定 × 容易照合性マトリックス(GoogleDriveスプレッドシート)

STYSmatrix


まず議論のベースを技術検討WGが定義する識別特定/識別非特定/非識別非特定情報に置きたいと思います。その上で、この表の特徴・新味としては、いわゆる「容易照合性」の高〜低評価について「技術的に困難かどうか」を基準とするのではなく、「社会生活を営む上で通常その情報が露出を前提としたものかどうか」を基準としてみた点にあります。容姿をひた隠し、氏名や住所をどこにも出さずに社会で生きようとしても、そもそも住民登録や学校・会社に入ることすらできないわけでほぼ無理なわけですが、視聴履歴や端末IDは自分から公表したりあえて誰かに情報収集されなければ、表には出ないですよね。分類が難しいのが、この表の真ん中の列に挙げた体臭・詳細な職歴・乗降履歴・病歴といった「知っている人は知っている(身近な人・他人が知りうる)」系の、一定の露出をふせげない情報になります。提供先基準(受領者基準)で不安を感じる人の懸念に照らすと、識別・特定という軸と自己情報の露出度合いを掛けあわせて“漠然とした不安”を重みづけすれは議論しやすいのではないかと、このような軸を定義してみたわけです。

BLJの特集では、この容易照合性について何人かの方が「一般人にとって技術的に困難かどうか」を基準とする主張をされています(P36、P42など)。しかし、もし技術的困難性だけを容易照合性の判断基準としてしまうと、たとえばDNA鑑定は一般人が行うのは困難であるはずであることからDNA情報には容易照合性がないことになり、これを拡大解釈していくと、DNAが個人情報に該当しないパーソナルデータとも評価されかねないので、それはやっぱりヘンじゃないかなあと思った次第です。

なお、氏名など特定/非特定が必ずしも断定できない(同姓同名の可能性もあれば、世界に一人という名前もありうる)ものは、ここではいったん非特定に寄せています。DNAも何兆分の一で一致する可能性があるようですが、そこは現実的なラインで識別特定情報としています。ちなみに体臭は、一卵性双生児であっても犬にかかれば完全に嗅ぎ分けが可能だそうですよ(どうでもいいか)。

赤色セル部分が現行法上も単独で個人情報(個人データ)に該当するであろうことはほぼ議論がないと思いますが、黄色セル部分の情報にどんなものがあるのかを具体的に想定・例示しながら、その情報を取り扱う際の義務をどう規定すべきかを議論できないものかと考えています。私もこの私案を履歴を残しながら随時ブラッシュアップしていくつもりですが、もし、この私案に意見をいただけるのであれば、GoogleDriveのほうにコメント記入権限がついていますので、そちらにご記入いただくか、本ブログのコメント欄にでも残していただければ、修正・改善していきたいと思います。


17:30追記

高木先生から以下tweetでご指摘をいただきました。なるほどと理解ができた点・私の理解が追いつかない点がそれぞれあるのと、この区分が意味を成さないとして何か代わりに議論がしやすくなる土俵を考え付くことができていないので、恐縮ながら取り急ぎtweetのご紹介のみとなります。








2014.3.23 12:00 追記

高木先生より引き続き補足をいただいております。










個人情報を“散在情報”と意味のある整理を施した“処理情報”に分け、そのうち処理情報のみが個人情報保護法上の「個人データ」であるという点を重視し、これと識別非特定情報の概念を掛け合わせるというのは、3月15日のMIAU設立6周年記念イベント「MIAU祭2014」 で高木先生が披露されていた考え方で、私も当該イベントをニコ生で見て興味を持っていた点。以下当日のパワポスクリーンショットを貼っておきます(観客の頭が被ってしまって画面下の文字が確認できなかったのですが、おそらく「個人データ(個人情報データベース等を構成する個人情報)」かと思われます)。

37


これと最後のtweetでチラ見せ(笑)いただいている表を併せ読むと、最も広い概念である“個人に関する情報(=散在情報+処理情報)”のうち、“処理情報”に含まれる“識別情報(=識別特定情報+識別非特定情報)”を「個人データ(改)」として保護対象とすることをお考えのご様子。つまり、これまで曖昧だった「個人に関する情報」「パーソナルデータ」の定義から、“散在情報”を明確に取り除き、仮に散在情報に識別特定・識別非特定情報が存在しても、処理情報として取得・管理していなければ関係ないことを(現行法でも19条〜30条についてはそのように限定解釈する余地もあったがこれまで以上に)明確にすることで、保護法により生じた混乱やいわゆる過剰反応問題を解決できるのでは、というアイデアのようです。
 

「匿名化」の議論に道筋がついてもなおパーソナルデータ利活用に残されている課題は大き過ぎて片付く気がしない

 
「匿名化神話」に終止符を打つ政府見直し方針・技術検討WG資料をおさらいする法律雑誌の論稿は数多出されましたが、“「匿名化」の先に残されている課題”が語られた論稿は少なかったと思います。対照的に、それがはっきりと示されていたのが、ジュリスト3月号です。





特集の冒頭に収録された、内閣府パーソナルデータ検討会で座長代理を務めた宇賀克也先生の論稿は、情報法が業務に関連する方は是非お読みになることをお勧めしたい…とか言って、私も先日伊藤先生のFootprintsに「この種の問題を取り扱う人にとっては必読」とあったのをみてあわてて積読を解消しただけなんですが(汗)。なお太字は小生によるもの。

先に述べた「技術検討ワーキンググループ」における検討によって明らかになったように、汎用的な匿名化の手法が存在せず、ケースバイケースの判断によらざるを得ないため、事前に匿名化のための明確なガイドラインを示すことは困難と思われる。そして、事案ごとにパーソナルデータの有用性を斟酌しつつ適切な匿名化の方法を決定することは決して容易ではないため、各企業の判断に委ねた場合、適切な匿名化が行われる保障(注:原文ママ)は必ずしもないと思われる。
そこで、匿名化の適切さを担保するための第三者機関による事前審査の仕組みを導入するかが、重要な論点となろう。
多種多様にわたる民間ビジネスにおけるパーソナルデータの匿名化を第三者機関が悉皆的かつ機動的に事前審査することは可能か、日本版ノーアクションレター制度による場合、照会内容の公表が前提となるため、このことがこの制度の利用の障害にならないか等、検討を深めなければならない論点が少なくない。また、2014年4月には、欧州議会本会議でEU個人データ保護規則案が採択される見込みであるので、それとの整合性にも配慮する必要がある。

ジュリストのこの特集がすばらしいのは、宇賀先生が示すこの懸念に応える形で、宍戸常寿先生が第三者機関を、新保史生先生がEUの個人情報保護制度を、鈴木正朝先生が(特にEUとの)越境データ問題を論ずる論稿を同録した点で、総合的にも他誌より半歩先を行ってるように感じました。

s-IMG_3129


一方で、私達現場側がこれにキャッチアップできているかというと、Footprintsでも指摘されていたとおり、未だ個人情報保護法における個人情報(個人データ)の定義すらあやふやな担当者・事業者は少なくないのが現状。また、データがビッグになればなるほど言うは易し行うは難しとなるはずのオプトアウトの例外をさらに拡大しようという意見もちらほら聞かれるようになっている気がします。さらに日経新聞3月8日一面にいたっては

経済産業省は、商品の購入履歴や鉄道の乗車記録といった消費者データの安全な活用を促すため、企業に新たな認証制度を導入する。行動履歴が第三者に転売されてトラブルになるなど、個人情報を巡る企業への不信感は強い。情報の取得方法や外部提供の有無などを審査して「お墨付き」を与え、消費者の安心感を高める狙いだ。個人情報を新商品開発や広告に生かす「ビッグデータ」の発展につなげる。
経産省が年内に設ける新制度では、情報が安全にサービスに用いられているかなどを審査し、「サービス約款」を簡単にすることを認める
簡易にする約款は経産省がNPOなどを指名して審査してもらう。審査に合格すれば「認証マーク」を与え、企業はインターネット上や店頭などで表示することができる。

という、宇賀先生らが懸念される第三者機関に対する悩みはどこ吹く風といった、夢の新認証制度の創設をまことしやかに報じる記事が出る始末。パーソナルデータの利活用に向けた過剰な期待だけが高まっているような気がしており、匿名化のヤマが片付いて議論が前に進むかと思いきや、かえって混沌としてきた感すらあります。当初、法改正が2015年になると聞いた時はだいぶのんきなペースだなぁと感じたわけですが、今になって思えば、この大きなギャップをしっかりと埋めていくには1年ぐらいかけてしっかり議論するぐらいでちょうどよかったかもしれません。いや、1年で足りるのかな…という気すらしてきました。


こうした現状に鑑みて、一法務パーソンとしての私自身は、事業者サイドにとってのワーストシナリオである「結局、パーソナルデータを適切に匿名化することで提供者の同意なく利活用できる道は見つかりませんでした。」という結論になった場合に備えて、必要十分な同意を真正面から取ってビジネスを行うための「プランB」を具体的に練っておく必要を感じています。
 

意外なまでに真面目イベントだった「プライバシーフリーク・カフェ」視聴感想メモ

 
「プライバシーフリーク・カフェ」というイベントのニコ生タイムシフト動画を拝聴しました。プライバシーまわりに興味のある法務担当者は、ニコ生の視聴期限が切れるまでに一度と言わず二度ぐらいご覧になる価値があるのではないかと思います。


第1回プライバシーフリーク・カフェ(山本一郎・高木浩光・鈴木正朝)

s-pfc3men


山本氏のファシリテーションにより、以下設定された6つのQに従って進行。

Q1 「プライバシーフリーク」とは?
Q2 個人情報とは? 
Q3 第三者提供とは何か?
Q4 広告ビジネスにおけるプライバシー問題について
Q5 Suica問題
Q6 パナソニックヘルスケア事件


まず冒頭、Q2のパートで20分を掛けて高木先生が丁寧に個人情報保護法の誤読問題を解説するところから始まります。“ウェブの履歴情報及び特性情報”は、氏名・生年月日・連絡先と分離することで「(法の規定する)個人情報以外の情報」となる、と定めるヤフージャパンのプライバシーポリシーの問題点を具体事例に挙げて解説。これを踏まえて山本氏が、「ICT業界全体が、個人情報保護法の定義を誤読(というよりも、ウェブ利用履歴を同法上の個人情報とされては困ると考えて限定的に解釈)している」と指摘していました。この保護法の誤読もしくは限定解釈問題は、知ったかぶりでよく分かってない人が法務の世界にも沢山います。私も「利用規約の作り方」本を執筆している際にどう解説すれば正確に記述できるか腐心したのですが、この点に関してここまで丁寧に解説している講演というのは、今まで無かったかもしれません。

s-pfcQ2


ついで、Q3パートは鈴木先生の独壇場。Tポイントカード等の共通ポイントカードデータで使われている「共同利用」という手法の何が問題かを詳しく解説されていました。保護法の共同利用が、下図でいう“A社のデータをB社に脱法的に引き渡す”ための方便として使われていること、そして、共同利用者全員に共同DBへのフルアクセス権を与えるのが本来の共同利用のはずであるが、それをやってしまうとDBの持ち主が競争力を失うのでやっていないし、むしろ規約でDB開放は行わないことを表明しているのは矛盾であると指摘。この「共同利用の潜脱的利用」論は、鈴木先生が論文や講演等様々なところで語られているところですが、他で聞くよりもわかりやすかったと思います。

s-pfcQ3


Q5のSuica問題についてはすでに語り尽くされた感もあり、お三方とも比較的おとなしめでしたが、昨年から内閣府でも始まったパーソナルデータの議論の中で、データセットのみで事後的かつ可逆的に個人を識別できてしまう「準識別子」という考え方がどう導かれたかについて、語られていました。

s-pfcQ5


広告ビジネスにおけるプライバシー問題については、以下のようなキーワードがこの講演中もでてきて、山本氏もいろいろ言いたげではあったものの、次回当事者を呼んで詳しく、とのこと。というかこれ次回もあるんですね(笑)。
・DSPモデル(アドネットワークの媒体社による串刺し)の問題点
・クッキーによる名寄せ→オプトアウトの形骸化
・スマホは専用アプリを使って動かすとURL=収集当事者がよくわからない問題
・SmartnewsやGunosy等のアプリを介したターゲティング広告
 

まとめの一言は、
「“この情報は個人情報ではない”と無理な解釈で逃げる方向で自由度を高めようとするのではなくて、個人情報だと認めた上できちんと同意・オプトアウトの手続きを守り、真正面から役に立てるビジネス設計をして欲しい」

タイトルを見ただけの印象ではもう少しおちゃらけた特定企業糾弾イベントになるのかと思っていましたが、蓋を開ければ、個人情報・プライバシーという難しい問題を具体的な事例を挙げて分かりやすくかみ砕き、かつ問題点を抽象化して摘示していこうという点、意外なまでに真面目なイベントになっていました。次回テーマとなるであろう広告ビジネスのプライバシー情報の取扱いは、本当に広告ビジネスサイドの担当者も参加するのであれば(交渉中らしいです)、貴重な講演になりそうです。
 

スマートフォン・プライバシー保護法制の動向を理解するための必読リンク集 2014

 
先日公開した「パーソナルデータ・プライバシー保護法制の動向を理解するための必読リンク集 2014」に続きまして、今回は「スマートフォン・プライバシー保護法制の動向を理解するための必読リンク集 2014」を作ってみました。

スマホプライバシーは、パーソナルデータ・プライバシー保護法制の下位概念に位置しますので、もし先日のリンク集をお読みでない方はそちらから先に辿っていただくのがよいと思います。ではでは。


s-1340911_21662636


(a)スマートフォン プライバシー イニシアティブ

http://www.soumu.go.jp/main_content/000171225.pdf

パーソナルデータを取得しやすい端末であるスマートフォンアプリ時代をにらみ、アプリ単位で明示すべき「アプリケーションプライバシーポリシー」の水準を可能な限り明らかにした、総務省発の提言文書です。日本は個人情報保護には遅れている国と言われるものの、国が主導してスマホに特化したプライバシーについての文書を発表したという意味では、アメリカに次ぐ先進性はあったのではないかと。個人情報保護法の評判の悪さがかえって関係者に課題意識・危機感を醸成し、そのおかげでこの成果物が意外にも早く誕生したと言うべきでしょうか。ただし、ヤフージャパンの法務担当役員の方の発言が話題となったように、その考え方が事業者の側にも浸透・納得されているかというと、そこはまだなのかなという気がします。

(b)スマートフォン プライバシー イニシアティブ

http://www.soumu.go.jp/main_content/000236366.pdf

上記「機廚でてから1年足らずで、同じく総務省から発信された文書。これが出た当時の弊ブログの記事でも読みどころをまとめているとおり。特に、アプリケーションプライバシーポリシーが満たすべき必須条件/推奨条件について踏み込んで書いてあるので、チェックしておきましょう。

(c)法律を知らずにビッグデータは扱えない ― 個人情報、プライバシー、通信の秘密それぞれに配慮せよ

http://itpro.nikkeibp.co.jp/article/COLUMN/20130214/456270/?ST=bigdata

スマホプライバシーイニシアティブが生まれることになった経緯について、これまでの個人情報保護法制との対比をしながら、日本の情報法の第一人者である岡村先生がインタビュー形式でわかりやすく語る記事。初心者向けにおすすめ。

(d)モバイルコンテンツ関連事業者のための個人情報保護ガイドライン 第2版

http://www.mcf.or.jp/privacymark/pdf/guideline_for_mobilecontent.pdf

一般社団法人モバイルコンテンツフォーラム(MCF)さんが、スマホプライバシーイニシアティブの求める水準をモバイルコンテンツの実務に当てはめるとこうなる、という考え方を示したもの。同法人はプライバシーマーク指定審査機関でもあるため、Pマーク視点も網羅されているのが特徴です。

(e)ABC 2012 Spring - 高木浩光氏が「スマホアプリの利用者情報送信における同意確認のあり方」について講演

http://news.mynavi.jp/articles/2012/03/28/abc2012_06/

やや古めの講演まとめ記事ですが、スマートフォンからのデータ収集に際して、
・適切な同意の取り方
・端末固有ID利用のリスク
に絞って解説されています。

(f)スマートフォン プライバシー イニシアティブと国際的動向

http://www.jssec.org/dl/1121/06_smartphone%20privacy%20initiative.pdf

総務省の「パーソナルデータの利用・流通に関する研究会」の資料として事務局が調査しまとめた国際動向についての資料をさらにまとめたもののよう。図表が豊富で、自分で社内説明資料を作成する際なんかに役立つんじゃないかと思います。総務省さんが作成したものなので、引用している資料以外は流用してもたぶん怒られないであろう点便利(笑)。

(g)スマホアプリにおけるアプリケーション・プライバシーポリシー掲載の国際比較調査

https://staff.aist.go.jp/takagi.hiromitsu/paper/scis2014-3D1-1-ichinose-dist.pdf

そのタイトルのとおり、アプリケーションプライバシーポリシーが適切な方法・形式・内容になっているいるかについて、Google等プラットフォームに実際に陳列されているアプリをサンプリング調査したレポート。

日本はプライバシーポリシーが適切な場所に掲載されている割合の順位が 49か国中 45 位、より精密に評価した場合で 25 か国中 23位と、最下位クラスに属するレベルであった。また、掲載内容が適切な様式で書かれているかを 7か国で比較したところ、他国に比べて適切に書かれていないことも明らかとなった。

日本のプライバシー保護はまだまだダメ、という批判はよく聞きますが、「何がどうダメなのか」をこの資料のレベルまで定量的に分析・指摘しているものは少なく、その意味で参考になります。
そして、こういった比較のアプローチを見ていると、法律ではなく、GoogleやAppleのようなプラットフォームのレギュレーションによって事実上の国際水準が作られていく、そんな未来が透けて見える気がします。
 

※取りこぼしなどがあれば、2014年中は適宜こちらのエントリに追加していきたいと思います。皆様からもコメント欄等でご指摘・おすすめをいただけますと助かります。
 
記事検索
月別アーカイブ
プロフィール
Google