企業法務マンサバイバル

ビジネス法務に関する本・トピックのご紹介を通して、サバイバルな時代を生きる皆様に貢献するブログ。

プライバシーポリシー

MicrosoftもFacebook流の利用規約&プライバシーポリシーを踏襲 ― ネットサービスにおける法律文書の標準スタイルが固まってきた

 
2014年11月にレポートした「Facebookのデータポリシー改定案に見るプライバシーポリシーの新潮流」から約半年が経過したところで、今度はMicrosoftが、Facebook同様のインタラクティブな利用規約&プラポリへと変更します(規約の発効日は2015年8月1日)。

Microsoft サービス規約
Microsoftのプライバシーに関する声明

あたらしいプラポリのほうで、全体像と動きを確認してみました。



2カラム & 概要/詳細を折りたたみ式のスタイルにするという基本的なアイデアは、Facebookのものとまったく同じ。ITサービスの最大プレイヤーにして重鎮の一社であるMicrosoftまでもがこの2カラム & 折りたたみ式に追随してきたということで、ネットサービスの利用規約&プラポリは、このスタイルが標準となっていきそうです。

違いとしては、全体共通ポリシーの後にBing・MSN・Skype・Xboxといったサービスごとの個別詳細項目がぶら下がっているところ(プラポリのみ)。Microsoftの場合、どうしてもサービスが多岐に渡っていること、プライバシー管理もそのサービス特性ごとに異なることから、こうせざるを得なかったのでしょう。

また、違う側面で私が気になっているのが、こうしてユーザーへの分かりやすさ・透明性を追求しているはずのFacebook・Microsoftの両社が、いずれもアプリごとの個別プラポリ(いわゆるアプリケーションプライバシーポリシー)については設置しないスタンスを採っている、という点です。日本では総務省が、米国ではプライバシー問題に敏感なカリフォルニア州や米国商務省電気通信情報局(NTIA)が、それぞれショートフォーム形式のアプリプラポリを作成・設置することを推奨していた時期が2012〜2014年にかけてありましたが、サービスごとのプライバシー管理に加えてアプリごとにも分けていくとなると掛け算式に文書量が激増し負荷が高すぎて・・・ということなのかもしれません。
 
今後、アプリサービスにおける法律文書のスタイルがどう固まっていくのかにも、注目していきたいと思います。
 

Facebookのデータポリシー改定案に見るプライバシーポリシーの新潮流


サービスの注目度の高さゆえに、利用規約やプライバシーポリシーを変更するたびに世の中から怒られてしまうFacebook。それでもめげずに、またこれらを改定することになったようです。


Facebook、利用規約とポリシーを短くインタラクティブに改定へ
 米Facebookは11月13日(現地時間)、利用規約、データポリシー、Cookieポリシーの改定を発表した。現在改定案を提示しており、ユーザーからのフィードバックを受けた後、改定する計画。フィードバックは20日まで送信フォームで受け付ける。
 利用規約は従来より短くなるが、基本的な内容は変わらず、例えば広告主や開発者向けの項目がデータポリシーやプラットフォームポリシーなどに移行された。データポリシーはインタラクティブになり、Facebookがどのような個人情報を収集し、それをどう使っているかが分かりやすくなった。
 Facebookは2012年の米連邦取引委員会(FTC)との和解の条件の1つとして、プライバシー関連の設定を変更する場合は消費者にはっきりと通知して承諾を得ることを義務付けられている。今回の改定は、これまでに導入した新機能に対応した内容への改定となっている。


特に、新しいデータポリシー改定案は見た目も大きく変わっています。どんな感じにインタラクティブなのか、百聞は一見にしかずということで、動きをキャプチャしてYoutubeにアップしてみました。



ご覧のように、左側のメニューをクリックすると、プルダウンメニューのようなかたちで小項目が展開され、その小項目をクリックすると、右側のカラムの詳細な説明に飛んで行く、という作り。二世代前の改定から進めていたインタラクティブな作りを更に推し進めている感があります。

利用規約の改定案の方は依然として一般的な文書のカタチですが、この(一般企業におけるプライバシーポリシーにあたる)データポリシーについては、慣れないと逆に見にくく感じる人もいるかもしれません。また、このようなインタラクティブな作りこみは作成やメンテナンスの負荷もあり、そこそこの企業規模が必要となってくるので、必ずしもこれがスタンダードとはならないでしょう。しかしながら、ブレイクダウンされた項目見出しで一覧性を担保 → リンク先でその詳細について個別説明 というスタイルは、日本の総務省が推奨しているスマートフォンプライバシーイニシアティブのアプリプラポリや、米国商務省電気通信情報局(NTIA)が推奨するショートフォームも採用している構造であり、一覧性と透明性を同居させるための工夫としては、このスタイルがベストプラクティスとして定着したと私は考えます。プライバシーポリシーに関して今このスタイルを取っていない事業者も、今後こういう方向に変更せざるを得ない流れになるんじゃないでしょうか。


ちなみに、上記キャプチャ動画で見に行っている「デバイス情報」の項目は、スマホ時代におけるプラポリの書き方の中でも、どこまで詳細に書くべきか実務家が頭を悩ます一大論点です。この点、Facebookの今回の改定案のまとめ方は、なかなか興味深いものとなっています。

デバイス情報。
Facebookサービスをインストールしてあるコンピュータ、サービスへのアクセスに使用するコンピュータ、携帯電話、その他のデバイスからの情報や、それらについての情報を、利用者が許可した内容に応じて収集します。複数のデバイスを使用している場合には、収集した情報を関連付ける場合もあります。デバイスが異なっても一貫したサービスを提供するためです。収集するデバイスの情報を以下に例示します。

OS、ハードウェアのバージョン、デバイスの設定、ファイルやソフトウェアの名称と種類、バッテリーや信号の強度、デバイス識別子などの属性。
GPS、Bluetooth、Wi-Fiなどの信号から特定できる地理的位置を含む、デバイスの位置情報。
携帯電話会社やインターネットサービスプロバイダの名前、ブラウザの種類、言語とタイムゾーン、携帯電話番号、IPアドレスなどの接続情報。

現行データポリシーではやや曖昧な書き方にされていたところですが、今回の改定案から、電話番号やIPアドレスなどの接続情報とGPS等の位置情報を「デバイス情報」の下位概念に置いているんですね。これは新しいんじゃないかと。そして、アプリという語句を敢えて使わず、「サービスをインストールしてあるデバイス」という表現ぶりを編み出しているあたりも、参考になります。
 

プライバシーポリシーの“ショートフォーム”を作らなきゃ

 
米国商務省電気通信情報局(NTIA)が、スマホアプリ事業者向けのガイドラインとなる"SHORT FORM NOTICE CODE OF CONDUCT TO PROMOTE TRANSPARENCY IN MOBILE APP PRACTICES"のドラフトを出した件が、アメリカのいくつかのメディアで取り上げられています。

US telecom agency issues draft mobile app code of conduct with guidelines for user data collection (The Next Web)
The US government’s National Telecommunications and Information Administration today issued its first draft of what will be a mobile apps code of conduct intended to better protect consumers and their privacy. If made final, policy states that publishers must provide consumers with “short-form” notices in multiple languages informing them of how their data is being used.

アプリビジネスにおいてプライバシー情報の不正な取り扱いが行われないよう、プライバシー保護の透明性をこの“ショートフォーム“を作らせて事業者に表明させようとするこのアメリカの動き。アプリマーケットは結局グローバルにつながっているわけですから、いずれ日本のアプリ事業者にも影響を及ぼすことになるのではと思います。英語は読みやすく一読すればわかる文章になっていますので、特に解説の必要もないかもしれませんが、自分自身の理解と整理がてらメモを作ってみました。

s-IMG_2494


何を収集し、誰に個人特定情報をシェアするのかを具体的に


I. Preamble: Principles Underlying the Code of Conductに、ジャブ気味に、

When appropriate, some app developers may elect to offer short form notice in multiple languages.

と多言語対応の必要性にふれられているのを横目にスルーしつつ(苦笑)、NTIAが設置を推奨する“ショートフォーム”には何を入れればいよいのかを見てみると、以下の4つであるとII. Short Form Noticesの項で規定されています。

(a) the collection of types of data listed in Section II.A whether or not consumers know that it is being collected;
(b) a means of accessing a long form privacy policy, if any exists;
(c) the sharing of user-specific data, if any, with thirdparties listed in Section II.B as defined below; and
(d) the identity of the entity providing the app.

(b)はロングフォーム、すなわちプライバシーポリシー本文へのリンクがあればそれを明示しろというだけですし、(d)はアプリを提供している責任主体(法人なら社名と住所ってあたりでしょう)を特定せよというだけのこと。問題は、(a)どんな情報を収集し、(c)集めた情報の中の個人特定情報(user-specific data)を誰に提供するのかを書け、という2点。しかしこの2点については、ちゃんと明示すべき事項がリストとしてはっきり書いてあるのがわかりやすい!この辺が、断定的にものを言わない日本の総務省・経産省との違いかもしれません。

まず(a)どんな情報を収集しているかについて、Section II.Aには、以下の情報を収集している場合には、それをショートフォームに書きましょう、と規定されています。

  • Biometrics (information about your body,including fingerprints,facial recognition, signatures and/or voiceprint.)
  • Browser History(a list of websites visited)
  • Phone or Text Log (a list of the calls or texts made or received.)
  • Contacts (including list of contacts, socialnetworking connections or their phonenumbers, postal, email and text addresses)
  • Financial Info (includes credit, bank and consumer-specific financial information such as transaction data.)
  • Health, Medical or TherapyInfo(including healthclaims and other information used to measure health or wellness.)
  • Location(precise past or current location of where a user has gone.)
  • User Files (files stored on the device that contain your content, such as calendar, photos, text, or video.)

なお、上記のリストに該当するデータであっても、ユーザーがオープンフィールドに自分で能動的に書き込んだような場合や、in-app purchaseである意味受動的に課金情報が収集される場合については、いちいちショートフォームを見せる必要はない、という補足説明がついています。

s-inapp


そうして集めた情報の中に、(C)の個人を特定する情報(user-specific data)があった場合で、かつ以下のような第三者に渡すのであれば、そのことをショートフォームに明示しましょうと、Section II.Bに規定されています。

  • Ad Networks (Companies that display ads to you through apps.)
  • Carriers (Companies that provide mobile connections.)
  • Consumer Data Resellers (Companies that sell consumer information to other companies for multiple purposes including offering products and services that may interest you.)
  • Data Analytics Providers (Companies that collect and analyze your data.)
  • Government Entities (Any sharing with the government except where required by law or expressly permitted in an emergency.)
  • Operating Systems and Platforms (Software companies that power your device, app stores, and companies that provide common tools and information for apps about app consumers.)
  • Other Apps (Other apps of companies that the consumer may not have a relationship with.)
  • Social Networks (Companies that connect individuals around common interests and facilitate sharing.)

この中で注意したいのは、下から3つ目のOS・プラットフォーム事業者でしょうか。日本でも、アドネットワークやSNSへのシェアについて言及するプライバシーポリシーも出て来ましたが、これはちょっと盲点だったかもしれませんね。

つづくSection II.Cには、例外規定として、ほとんどのアプリで必要不可欠な情報や法律上の要請に基づく情報については上記A/Bに該当しても対象外である旨が規定されています。

その他、III. Short Form Design Elementsでは、ショートフォームの表示上の留意点がいくつか列挙されています。デバイスの特性に応じた表示を認めながらも、フォントサイズを小さくしたり、上記.A/Bを一覧表示しなかったり、アクセスがしにくい場所に置いたりすることのないようにという、常識的ではあるけれども結構細かな注意があります。

予想はハズれましたが…


日本でも今年の5月、経産省のパーソナルデータWGで、崎村先生がこのショートフォームにかなり近いアイデアである「情報共有ラベル」の導入を提唱されていました。さらに最近では、スマートフォンプライバシーイニシアティブにおいて、「(アプリプライバシーポリシーの)概要版を作成・公表していること」が推奨事項として定められていたのは、記憶に新しいところです。私の中では、そういったものはアイデアとしてはいいが、しかし実際に作るとなると、省略した表現とプライバシーポリシー本体との齟齬が生じないかという不安が先立ち、そういう流れにはならないんじゃないかと予想していましたが(そしてブログにもそんなことを書いていましたが)、この予想が全くハズれた形となりました(恥)。

一方で、この文書が、まさに私が不安を感じていた「ショートフォームには書くべきことは何か、逆に書かなくてよいことは何か」を明らかにしてくれましたので、ここは心機一転前向きにそのショートフォームとやらを作ってやろう、という気になっております。事業者を動かすには、事業者がどうしたらいいかわからなくて困っていることを、現実的なラインでさっさと文字にしてくれるのが一番助かりますね。現時点ではまだドラフトではあるものの、これが揉まれて確定版になるころには、私もショートフォームの具体案を完成させたいと思っています。

今まさに国内でも、パーソナルデータ論やSPI 兇じわじわと浸透しつつあるところ。もしかするとその浸透を待たずに、こういった外国のガイドラインがアプリ競争のグローバル化にさらされることによって、日本のアプリ事業者のプライバシーの透明度が否が応にも高まっていく、という展開もありそうです。
 

【本】移動者マーケティング ― ビッグデータ・パーソナルデータとSuica乗降履歴販売問題を考えるこの夏の副読本

 
だいぶ前に、スマホ×ITビジネスという業界に入るにあたって、移動者を顧客とした企画が何かできないものかと、タイトル買いして読んでいた本。


移動者マーケティング移動者マーケティング [単行本]
著者:加藤 肇
出版:日経BPコンサルティング
(2012-09-06)


ちょうど今話題のSuica乗降履歴の話題と重なったこともありますので、ご紹介をさせていただきます。


ビッグデータは「個性の深堀り」ではなく「インサイトの輪切り」に使うもの


この本のキモはズバリここ。

ターゲットを絞り込む上で、最も一般的な方法に、年齢、性別、居住地といったデモグラフィックによる分割がある。しかし近年、そのような属性と実際の消費行動との乖離が大きく、手法としての限界が指摘されている。(略)これらのターゲットセグメンテーションに共通するのは、人をどのような視点で区分けするか、という「縦切り」の発想に基づいている点である。一方、移動者マーケティングは、移動のTPOによるセグメンテーション、つまり場面(シーン)で横切りすることに比重が置かれる。


s-IMG_2476

生活者の価値観が多様化し、各人がそれぞれバラバラなことを考えていても、特定の移動シーンにおけるニーズやインサイトは比較的共通していることが多い。若者も大人も、男性も女性も、その多くは朝の通勤・通学という移動シーンは「だるいなぁ」と思っており、帰宅時は多くが解放感に浸ってくつろぎたいと思っている。そこに取り立てて大きな違いはない。ちなみに、夕方の駅では炭酸飲料と缶ビールがよく売れる。未成年者は炭酸飲料、成人はビールの弾ける泡を楽しみながら「ぷは〜」とひと息ついているのだ。その根柢にあるインサイトには、属性を超えて相通じるものがあるのだろう。

ビッグデータで個人の個性がより精度高くわかり、その個性に応じた広告をピンポイントで出せるようになると喜んでいても、肝心の広告のクリエイティブが最大公約数的な作りになっていたりしないでしょうか?ビッグデータというと、保護法上の個人情報を取得せずとも個人の趣味嗜好がわかるという方向での発想にすぐになってしまいますが、セグメンテーションを細分化したマーケティングには自ずと限界があります。むしろ、効果的・効率的なマーケティングという視点では、人の個性をピンポイントに狙う縦切り=深堀りよりも、似たような境遇に居る人を場所によるインサイトで横切り=輪切りするほうが有効だろうなあと、読んでいて納得させられました。同時に、そのような個人性を追求しないビッグデータ活用であれば、プライバシーの問題もそうそう発生しないだろうとも思いますし。

そうなると、あらゆるユーザーの通勤・通学シーンのユーザー動向を一手に抑えている交通機関が最強ということになります。この本の内容もだんだんその方向に話がフォーカスして、あれなんか色がついているなこの本??と、よく見ると著者のお三方はJR東日本の広告小会社であるジェイアール東日本企画さん所属というオチでした(苦笑)。「移動者マーケティング」という言葉も同社が商標登録しているそうで・・・。

日本の大企業タッグがビッグデータビジネスに乗り出した


そんな中、そのJR東日本が日立と組んでSuica乗降履歴を販売し始めた、という話題が。

Suica利用履歴販売、JR東は「個人情報に当たらない」との見解(ビジネスメディア誠)
今回販売したのは、私鉄を含む首都圏約1800駅で、Suicaを利用して鉄道を乗り降りした履歴データ。JR東日本は、累積で約4300万件のSuicaを発行しているが、Suica定期券、My Suica(記名式)、Suicaカード(無記名)、モバイルSuicaすべての乗降履歴が対象だという。
「SuicaのIDにはひも付いていないから、個人が特定できるようにはなっていない。つまり、個人を特定できないので、(販売しているデータは)個人情報に当たらない」(広報部)
JR東日本では個人情報の取扱いに関する基本方針を定めており(参照リンク)、そこには下記のように記されている(略)。JR東日本としては、個人情報を第三者に販売する場合は事前に利用者や株主に許可を取らなくてはならないが、今回販売したデータは個人情報ではないので、あらかじめ許可を取る必要はなかった、という見解のようだ。

『利用規約の作り方』にも書いたとおり、プライバシーポリシーを作る上での考え方には
  1. "個人情報保護法上の個人情報(個人データ)”のみを対象とするもの
  2. 1のみならず、その外延にある"パーソナルデータ”も対象とするもの
と、大きく2つの流派にわかれているのが日本の現状です。では、JR東日本のプライバシーポリシー(個人情報の取扱いに関する基本方針/個人情報の取扱いの具体的な事項)の文言はどうなっているかというと、

jreastpp

suica3rdparty

上記2のスタンスを取っている企業のプライバシーポリシーの多くは、保護法の定義とは違う「利用者情報」を保護する旨を述べたり、第三者提供の同意取得文言において「分析結果や統計的情報などを第三者に提供する可能性」について言及しています。しかし、同社のプライバシーポリシーには、そのような文言は見当たりません。同社広報部の回答主旨に加えてこの点からも、JR東日本および日立は上記1のスタンス、すなわち保護法上の"個人情報”以外はそもそもプライバシーポリシーの対象にしない、だからSuica利用者からの情報取得にあたっても日立への提供にあたっても、同意は必要ないという理屈に立っているようだ、というのがビジネスメディア誠の分析になっています。

Suica乗降履歴は“パーソナルデータ”か否か


このようなJR東日本と日立のスタンスの是非を考えるにあたっての論点は、総務省が「パーソナルデータ研究会報告書」で示していた論点とも重なります。この「報告書」で示されている方向性を踏まえて有識者やネット上の感度の高い方々の間から発信されている意見は、おおよそ以下4つの論点にまとめられるようです。

  1. 保護法にいう“個人情報”ではないとしても、継続的に収集した乗降履歴(≒購買履歴)は、「パーソナルデータ研究会報告書」における“パーソナルデータ”に該当するのではないか?
  2. “慎重な取り扱いを必要とするパーソナルデータ”に該当しないか?該当する場合は、情報のプライバシー度に応じ、明示的な個別同意またはプライバシーポリシーによる包括同意を取る必要があるとされているが、いずれかを取得していたか?
  3. 形式的にはいずれかの同意を取得していたとしても、そもそも公共交通機関で利用がほぼ必須となっているカードにおいて「同意しない」という選択の自由は事実上ないのでは?
  4. 第三者(日立)にどのような形式でデータを渡すのか?データを提供した後、第三者の情報処理の過程で特定される可能性はゼロとは言えないのではないか?

実際、twitterなどでの一般ユーザーの反応を見ていると、「Suica乗降履歴が他社に販売されることについて同意した覚えはない」「利用場面で個人を特定されてしまう/しようとしているのでは」といった不安の声は少なくないようです。

この点、同意取得のJR東日本の見解については上述したとおりですが、利用の態様については、まさに冒頭でご紹介した本で披露されている“横切り=輪切り”のマーケティング目的でこのデータを活用することが謳われており(下記日立のプレスリリース参照)、必ずしも個人を特定する方向でのマーケティングには用いないことが表明されています。

交通系ICカードのビッグデータ利活用による駅エリアマーケティング情報提供サービスを開始(日立製作所)
本サービスでは、主に駅エリアを中心にビジネスを展開する企業に向け、毎月定期的に、駅の利用状況の分析データをさまざまな分類でまとめた「駅利用状況分析リポート」を提供します。本レポートは、駅の利用者の性年代構成をはじめ、利用目的(訪問者/居住者など)や滞在時間、乗降時間帯などを、平日・休日別に見える化するほか、これらの情報と独自の評価指標を用いて特徴を抽出することにより、駅のタイプ(住居/商業/オフィスなど)を割り出すなど、多岐にわたるマーケティング情報を網羅します。
これらの情報により、本サービスを利用する企業は、駅エリアの集客力や集客層、潜在商圏の広さ、通勤圏、駅エリアを最寄り駅とする居住者の規模や構成などを把握し、出店計画や立地評価、広告・宣伝計画などへ活用していくことが想定されます。

個人的には、このような利活用であれば、なぜその分野を研究していたJR東日本企画に子会社での共同利用という構成でこの分析を担当させる(またはそこから業務委託先への個人情報提供という構成で日立に分析を委託する)というソフトな活用の仕方にしなかったのか、なぜあえて第三者提供的に日立に情報を販売するというハードな道を選ばなければならなかったのか、不思議ではあるのですが。


いずれにせよ、この夏の日本の2大企業による“ビッグ(データ)なチャレンジ”の過程で、パーソナルデータの取り扱いにおける論点は、急速に整理されていくことでしょう。CCCのTポイントカード問題に負けず劣らず、情報産業に関わる方であればフォロー必須の話題となりそうです。
 

『スマートフォン プライバシー イニシアティブ 供SPI 供法戮瞭匹澆匹海蹐鬚んたんにまとめてみた

 
ようやく『スマートフォン プライバシー イニシアティブ 供SPI 供』に目を通しました。

総務省がこのたびまとめた「スマートフォン安心安全強化戦略」の中で、スマートフォンにおける利用者情報に関する課題への対応にフォーカスし、昨年8月の『スマートフォン プライバシー イニシアティブ(SPI 機』を踏襲して作成された文書がこの『SPI 供戞0娶公募締切が8/2締め切りで、今は案段階ですが、『SPI 機戮料偉磴鮓ると、ほぼこのまま採用されるかと思います。私と同様、なかなか読む気がしない方も多いかと思いますが、『SPI 機戮及ぼした影響に鑑みると、兇眩瓩瓩貌匹鵑蚤从を検討した方がよいかと。

それでも読むのが面倒だというみなさんのために、以下ポイントをまとめてみます。


改訂版ではなく発展・応用編


『SPI 機戮魏訂したものかと勝手に想像していたんですが、全然そうじゃなかったことに唖然。というか、だからVersion2と言わずに兇世辰燭里と合点。

全体の構成は
  • 1章・2章で、昨年11月の『SPI 機戰螢蝓璽晃紊寮い涼罎糧娠・流れをまとめ、
  • 3章で、新たな発展的提案として、プライバシーポリシーの記載と技術的なアプリ挙動との整合性を第三者によって検証する必要性について述べ、
  • 4章では事業者だけでなく、利用者側のリテラシー向上の必要性についても課題として取り上げ、
  • 5章で諸外国プライバシー制度との比較を行う
ものとなっています。

SPImokuji


1章・2章は参考までに


1章は、『SPI 機戮覗輒馨覆提唱した内容やモデル案が各業界でも踏襲されスタンダードとなりつつあることを、総務省が自画自賛気味に(笑)まとめた章。その後に悪質なスマホアプリの情報収集の実態が例を挙げて説明されています。このあたりはご存知の方も多いと思いますので、軽く読み流していただいてよろしいのではと。

ただし、1点見逃せないのは、『利用規約の作り方』を共著していただいた我らが雨宮先生属するAZX法律事務所が、このSPI基準のプライバシーポリシー普及の立役者としてP10の脚注に取り上げられている点。これは大拍手ものですね!

2章では、プライバシーポリシーの掲示の方法について、事業者ごとに統一感がまだ無いことについて課題視する記述が印象的。日米の実情を比較し、GooglePlayやAppStore等アプリをダウンロードするサイト(『SPI 供戮任蓮屮▲廛螢院璽轡腑鹹鷆.汽ぅ函廚筺GooglePlay紹介ページ」などと表現されている)にプライバシーポリシーを貼っていないことを問題視している点は、ちょっとケアをしておきたいところです。

keijihouhou

実際、あそこにプライバシーポリシーを置いても見る人は少ないので、アプリ立ち上げ時に利用規約とともに確認するようなフローがあればアプリ内だけでもいいのではと思ったりもしますが、ダウンロード前にプライバシーポリシーを確認できた方がいいと言われればまあそうかな、とも思います。

一番の読みどころは3章


肝心なのは3章です。

解決すべき課題として、SPI基準のプライバシーポリシーを制定している企業が少ないことに加え、ユーザーがわかり得ない方法でスマホ内にあるパーソナルデータをかすめとるアプリが存在することを指摘しています。そして、これを無くしていくために、技術的な側面からも検証力をもった第三者機関によって、プライバシーポリシーの記載と技術的なアプリ挙動との整合性をチェックする必要性があると述べます。

さらに注目は、P47にまとめられた「検証の基準」でしょう。

以下△慮‐擇隆霆爐砲いて、「●」の事項はいわば必須項目であり、これらの項目が満たされている場合には、一定の信頼性あるアプリケーションということができる。一方、「・」の事項については推奨項目であり、これらが併せて満たされている場合は更に透明性や信頼性の高いアプリケーションであると考えられる。


SPI2kensyoukijyun

最低ラインは大きな黒丸●、透明性を追求するなら小さな黒丸・の基準をめざせと、2つの基準が提示されたわけです。その上で
  • 取得される利用者情報とサービス内容、目的の関係が示している(←「示されている」の誤字ですね)こと
  • プライバシー性の高い情報(参考)を取得するアプリケーションの場合、個別に同意を取得していること
が最低ラインと明確に位置づけられた
のは、実際まだまだ日本の実情はそうはなっていないだけに、影響が大きい点かと思います。また後者は、個別同意の「個別」とはどのレベルか、常に個別同意がユーザービリティの観点からも本当に現実的なのかといったところが、事業者からもっとも意見が寄せられそうな箇所ですね。

5章は外国法制度の調査の端緒として役立ちます


諸外国のプライバシー保護規制を整理・比較する5章も貴重な存在。1章につづき自画自賛気味なのはさておいて、米国・韓国等のスマホ先進国の取り組みを日本語でまとめてくれているのは、大変ありがたいです。こういう簡単なまとめで概略がつかめさえすれば、詳細はこちらで原典を探して調査できますんで。

たとえば、米国COPPAが今年の7月1日に改定されていて、写真や位置情報(以前から対象とされていた住所ではなく)の収集については保護者への通知・同意が要件として追加されている、というあたりの細かい情報は、お恥ずかしい話英語文献だけではフォローできていませんでした。これ、自分のまわりでもあまり話題になってないんですが、みなさん対応済みなんでしょうか?また、同ページにまとめられたEU個人データ保護指令→規則の流れなんかも、up to dateで助かります。

coppaeu


以上、ご紹介を省略した4章でも、事業者ばかりでなく利用者のリテラシーのなさにも課題ありという目線もあったりと、よく読むとSPI気茲蠅盪訶世梁人佑機疹霾鵑領漫震度の濃さいずれも盛り沢山な文書となっているSPI 供ここで私が紹介しきれていない要素もあろうかと思いますので、ご自身のビジネスに関係ある人は早めにご一読の上、正式版がリリースされた暁にはフォローアップされることをおすすめします。
 

アプリへのプライバシーポリシー入れ忘れがカリフォルニア州に見つかると死にます

 
iOS,Android,WindowsPhoneアプリの“Fly Delta"にプライバシーポリシーを入れ忘れたままリリースし、アプリ経由個人情報を2年間取得し続けていたデルタ航空に、カリフォルニア州が制裁のための訴訟を起こしたというニュース。


米デルタ航空のモバイルアプリ、個人情報保護法違反で加州で民事訴訟対象に(マイナビニュース)
米カリフォルニア州で米デルタ航空(Delta Air Lines)を相手にした民事訴訟が行われ話題になっている。同社がマイル会員ユーザー向けに提供している「Fly Delta」モバイルアプリにおいて、ユーザーの許可なく情報収集を行ったことが同州の法律に抵触しているとのこと。アプリのダウンロード即刻停止ならびに1件あたり2500ドルの損害賠償請求を行っているという。
Fly Deltaアプリが2004年に制定された同州の個人情報保護法に違反しているのが理由という。実際、Fly Deltaアプリではプライバシーポリシーの掲示がなく、機能の少なさも含めて非常にシンプルな作りになっているのが特徴で、この点が問題になったとみられる。


マイナビニュースでは「損害賠償請求」と訳されていますが、State of California Department of Justiceのプレスリリース原文と訴状を見ると「COMPLAINT FOR CIVIL PENALTIES」なので、「1DLあたり最大$2,500の課徴金を支払わせるべし」との訴えですね。2年間で仮に10万DLぐらいと低めに見積もっても、2億5千万ドル=ドル円82円換算で200億円超の課徴金・・・死にます。


deltaapp2


念のため、デルタ航空は個人情報を漏らしたわけではありません。あくまで、(単に、というと怒られそうですが)プライバシーポリシーを掲示せずに個人情報を取得していた初歩的ミスに対するペナルティ。漏洩しても監督官庁からのちょっとした注意(とマスコミ+消費者によるバッシング)だけで終わる寛大なわが美しい国ニッポンとの隔たりたるや、です。訴状(PDF)をざっと読んだ限りではカリフォルニア州におけるDL数に限定されるとかそういった記載も見当たりません。ただ課徴金はあくまで「最大」ですし、最後は州とデルタ航空の和解で終わるのだとは思いますが・・・しかし、見せしめにしても恐ろしい。

iTunesストアやGooglePlayでアメリカ国内にアプリを販売するのも、ボタン1つで簡単にできるようになってしまっている便利な世の中。スマートフォンの普及に伴い、LINEのように世界でヒットすればすぐに数千万ダウンロードに達してしまいますし、日本の小さなアプリ開発会社のゲームアプリでも100万ダウンロードに達する例は珍しくなくなってきました。

しかし、世界には実に様々な法律や規制があります。中でも、カリフォルニア州は個人情報に関する法律やその取扱いに関して、行政や市民団体の監視の目も含めて特に厳しい地域です。今回のこの事例自体は、初歩的ミスといえばそうですが、アメリカを含む地域で個人情報を取得するアプリをリリースする際は、カリフォルニア州法に精通した同州弁護士を起用するなどしてよくよく注意の上レビューをしておかなければならないということが、よく分かる事例かと思います。
 

『スマートフォン プライバシー イニシアティブ』がやばいので、法務系LTイベントで喋ることにしました(追記あり)

 
何がやばいかって、読んでみたら全然スマートフォンの話に限定されていない総務省による「新しい個人情報保護法解釈基準」と「プライバシーポリシー作成ガイドライン」だったのです。タイトルにだまされて、スルーするところでした。

総務省がスマホプライバシー基準を公開 端末IDに個人情報並みの扱い求める(日経コンピュータレポート)
今回の提言は、事業者への拘束力が弱い点は配慮原則と同じだが、各スマートフォンに固有のIDの扱いや、プライバシーポリシーに記述する項目の具体的な基準を示すなど、適正か、不適かの線引きをはっきりさせた点が大きく異なる。

 例えば、利用者が簡単に変更できない契約者・端末固有IDについては、氏名などの個人情報に準じた形で取り扱うことが適切としている。固有IDは単体では個人を特定できないが、IDにひも付く情報が蓄積、流通することで個人を特定できる可能性があるためだ。具体的には、取得の事実や利用目的をプライバシーポリシーに明記する必要がある。


この記事で紹介されているスマホプライバシー基準というのが、今回の文書『スマートフォン プライバシー イニシアティブ(案)』です。

容易に変更できない情報は個人情報


「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

こちらは、もう皆様見飽きてしまったどころかすらすら暗誦さえできると思われる、個人情報保護法第2条に書かれた個人情報の定義。この定義をとってもシンプルにまとめれば、
 1)生存性
 2)個人識別性
の2つの要素に集約されるわけですが、今回の文書のすごいところは、今までハッキリと定義されてこなかったこの2番めの“個人識別性”の判断基準・評価軸として、“利用者が容易に変更できるか否か”がポイントであると具体的に言及しているところ。

そしてその“変更可能性”基準に従って、スマートフォンに内蔵される情報について、個人識別性を評価・分類した表がこれ。
SPI1
SPI2

ところがこの表、タイトルこそ「スマートフォンにおける〜」となっていますが、よく見るとGPSやAndroidIDなどのスマホ特有の情報だけでなく、普通にPCでウェブサービスを運営していても収集してしまいそうな項目も含まれているんですね。「スマホに限らず、ここで変更可能性に×や△がついた情報は個人識別性が高い=個人情報として取り扱うべし」と総務省は考えているように私には読めます。

プライバシーポリシーを詳細化せよ


さらにP47あたりには、保護法の利用目的の特定(15条)義務についても、

例えば「マイニングすれば何か役に立つ情報を抽出できるかもしれない」等との意図の下、明確な利用目的を示さずに個人情報を取り扱うことは、法第 15 条の違反となる可能性が高い。

と、スマホの話はどこかに忘れて、よくあるプライバシーポリシーテンプレート文言への具体的ダメ出しに。

さらにP59に各論として、プライバシーポリシーのお手本までもが掲示されています。
SPI3

、ぁ↓Α↓┐△燭蠅脇辰肪躇佞靴燭い箸海蹇F辰豊┐砲呂気蟲い覆

当初取得した同意の範囲が変更される場合、改めて同意取得を行う。

と、企業がよく使う「利用者に通知して◯日後に変更(みなし同意)」はNGと書いてありますよ・・・。

この『スマートフォン プライバシー イニシアティブ(案)』に素直に従うと、ざっくり見積もって7〜8割方の企業のプライバシーポリシーは、修正する必要がでてくるんじゃないでしょうか。事実、すでに「この文書を読んで気づいたセキュリティ・法務担当者が何人も相談に来ている」とは、ある弁護士先生の談。

読む時間がない人は、法務系LTに参加しよう(未承諾広告)


確かにウェブ利用環境がPC前提であった時代から個人情報の塊であるスマホの時代に変わり、ブラウザだけ気にしていればよかった時代からブラックボックス化したアプリの時代に変われば、総務省の考え方も変わるんだといわれればそうですが、いやーそれにしても恐ろしい。これはよく読んで皆さんとディスカッションしたい・・・。

ということで、7/31(火)19:00より、三軒茶屋のレクシスネクシス・ジャパンさんの会議室をお借りして、第2回の法務LT(ライトニングトーク)イベントで、この『スマートフォン プライバシー イニシアティブ』についてしゃべることにしました!はい、そうです。イベントの宣伝です。


第2回 法務系ライトニングトーク(ATND)

ATNDLLT2nd


詳細は上記ATNDのページでご確認を。あ、もちろん『スマートフォン プライバシー イニシアティブ』について喋るのは私だけで、他の参加者のみなさんはそれぞれご自身のご専門についてお話いただけるので、どうぞご安心を。ふるってご参加ください!


2012/7/22 14:00 追記

このエントリについて高木浩光先生よりtwitterでRTおよびコメントを頂きました。ありがとうございます。


企業法務部風情・・・相変わらず手厳しくていらっしゃいますが、企業法務部の多くのみなさんは「そんなの書かなくていいよ、個人情報じゃないし。」とは思っても言ってもいなかったと思います。むしろこのような解釈を社内で述べても、経営者を説得できずにいたところに、今回この文書というある意味の“援軍”が来た、というのが本音じゃないかと。ただし確かに私自身、情けないですが一部において経営者を説得しきれなかった経験はあり、そのことは反省しております。あと、迷いながらもキャッチーさを狙って「やばい」という語を使ったのも、よくなかったなと思います。

 

プライバシー&セキュリティナイトに参加してきました

 
もう面倒なので勝手に「プライバシー&セキュリティナイト」と愛称をつけてしまいましたが(笑)、正式名称 “TokyoStartupSchool vol.4 ー「スタートアップが気をつけるべきプライバシーとセキュリティ」” @NOMAD NEW'S BASE by Startup Dating に参加してきました。


利用規約ナイトでも活躍のご存知AZX総合法律事務所 雨宮美希弁護士に、元野村総研他→日本ベリサイン→現FrogApps取締役&株式会社エヴォルツィオ代表の高橋伸和さん、そしてOpenID ファウンデーション・ジャパン事務局長の山中進吾さんと、それぞれ法務/セキュリティ/アイデンティティの“実務”を知り尽くした専門家が登壇。私にとっては超豪華メンバーで、万難を排して参加しなければと思っていたイベントです。

s-IMG_9371


例によって、USTもtweetも制限つきのオフレコトーク満載のイベントだったのですが、雰囲気が伝わればということで私のメモの一部をご披露するとこんな感じ。質問・ディスカッションの時間が足りなかったのがちょっと残念でしたが、19:00〜21:00ちょっと過ぎまでの2時間あまりでこれだけのボリューム。その筋の方には、ヨダレモノのお話だということが伝わるのではないかと。
※ご登壇者・ご参加者各位におかれましては、補足あればぜひ。

【法務】by雨宮先生
  • プライバシーは自己情報コントロール権から自己決定権まで広がる余地のある捉えどころの難しい権利。
  • 個人情報保護法(皆さんが思うよりも狭い保護)と憲法によるプライバシー権(皆さんが思うよりも広い保護)の差があまりにも大きいのが、ベンチャーが道を踏みあやまりがちな理由。
  • ライフログ=蓄積された個人の履歴。大量に蓄積することで個人識別性を持ちうる。識別性がなくてもセンシティブだからたちが悪い。
  • 行動ターゲティング。広告事業は個人情報取扱事業者に当たらないと『第二次提言』では言われたものの、プライバシー権が及ぶことには注意をした方が良い。
  • プライバシー、セキュリティに関して抑えておくべき法律・ガイドライン
     1 個人情報保護法
     2 憲法
     3 電気通信事業法
     4 提言及び自主規制(『総務省第二次提言』&『JIAA行動ターゲティング広告ガイドライン』)
  • 個人情報保護法の保護範囲は狭い。利用停止請求だって、不正入手でなければ応じる義務なし。
  • 安全管理措置をどこまですればいいかは、経産省ガイドラインを熟読すべし。
  • プライバシーポリシー制定はベンチャーと言えどもmust。目的/第三者提供/開示変更請求等への対応/保護方針のアピール。
  • 電子メール広告。同意はプライバシーポリシーへの同意だけでは足りない。独立して同意取得が必要。
  • 利用規約の同意。経産省準則を参考に。※ただし雨宮先生はリンク同意は望ましくないとの見解
  • クッキーポリシー。行動履歴情報の“収集”/“利用”の可否は、それぞれを分けて選択できるようにすることが必要。
  • 実名あげての企業事例(オフレコ)
  • 最後に…ユーザーテストは必須。プライバシーに対する感覚は、サービスを作っている側だけではズレていることが多い。

【セキュリティ】by高橋先生
  • ベンチャーで、セキュリティを無視する人は、RPGで武器だけカネをつぎ込めばどうにかなると思っちゃう人。バランスが大事。
  • 807件・570億分のセキュリティインシデントが起きている。ベンチャーにとっては100万円の事故でもイタイ。セキュリティで良いビジネスが潰れるのはもったいない。
  • 100%のセキュリティは無いが、「コンセンサスゾーン」は目指さなければならない。かけられるお金がなくとも。
  • 大企業は何をしているか?
    −プライバシー委員会
    −CSO任命
    −セキュリティ技術の開発・標準化コミット
  • ベンチャーはどうすべきか?
    −最低限の知識は身に付ける
    −専門家に相談する
    −少しだけ、セキュリティインシデントに関するネット記事を気にしよう
  • 「個人情報保護法だけ守ればイイ」というのは、ベンチャーによくある間違い。いやベンチャーだけではないかも…(オフレコ)。日本は緩い方の国。日本の法律が足を引っ張って産業を潰しているという言説は多くの場合間違い。
  • アメリカのプライバシー権利章典はよく読むべし。「コンテキストプライバシー」
  • プライバシー≒セクハラ
  • 「ベンチャーがセキュリティやプライバシーについて考えるべき50のこと(メソッド)」を作ろう!

【アイデンティティ】by山中先生
  • いきなり某有名人のお話(すべてオフレコ笑)
  • マイナンバー制度の議論を見ていても、名寄せがもたらすプライバシーへの脅威をわかっていない人が多い。
  • UDIDも同じ話。この辺リワード広告界隈で安易な使い方がされる傾向にあるが。(またオフレコw)
  • UDIDはなりすまされるので認証に使うのはナンセンス。
  • ダボス会議“Personal Data is the new oil of the Internet and the new currency of the digital world"。パーソナルデジタルエコノミーの世界に入った。
  • FBの株価のからくりは、時価総額10兆円/ユーザー数10億人=10,000円/人。株価が2/3になったのは、1/3がスパムアカウントだと市場も気づいているから。
  • 車にブレーキがついているのはなぜ?=より速く走るため。ベンチャーが速く走るためには、性能の良いブレーキ=セキュリティも必要。
  • 世の中からパスワードをなくしたい。それが最近のテーマ。
  • 「利用規約」という訳は好きではない。Term of Useじゃなくて本来はTerm of Service。利用規約やプライバシーポリシーにも、おもてなしの心が必要。Googleの利用規約・プライバシーポリシーには、アンチfacebookもあって、おもてなしの片鱗が垣間見える。


「本当は大御所を呼ぼうかと思っていた」とのお話ですが、聞きたかった実務とベンチャーとの現実的ヒモ付けのお話だけでなく、プライバシーとセキュリティの大局的な流れについても3つの側面からまとめて聞くことができ、このメンバーがベストだったと思います。既知の雨宮弁護士に加え、高橋さんや山中さんというこれからの日本のプライバシー実務をリードしていくであろう方々とお会いできたのが、私はとても嬉しかったです。


2012年に入り、3月に利用規約ナイト、そしてこの6月にプライバシー&セキュリティナイトが開催されたわけですが、2010年ごろからそろそろくるなぁと思っていた日本のプライバシーの夜明けが来た感じがします。雨宮先生や猪木先生あたりをハブに、そろそろプライバシー旋風の前のそよ風を敏感に感じていらっしゃる法務/セキュリティ/アイデンティティの各クラスタの皆さんの叡智が集結し、化学反応が起きるんじゃないか、そんな予感漂う夜でした。

私はまだまだ若輩ですが、裏方としてでも、このテーマとコミュニティの成長にご協力できればと思っています。
 

契約書は多国籍化する ― Googleの規約改訂ポイント解説(その3)


Googleのプライバシーポリシー/サービス利用規約の解説(その1その2)は、質はともあれ速報としてお届けしたことが評価され、一部の方から感謝のお言葉までいただきました。この場を借りて御礼申し上げます。

一方で、「指摘されていることのいくつかは別にSNS・クラウドとは関係ない、昔からあったリスクの話だ」など、知識共有系ブログで起こりがちな知ったかぶりしてんじゃねーよ的ご指導もいただきまして、こちらもありがとうございます。

懲りずに3発目いかせていただきます(笑)。
言葉を商売道具にする法務パーソンにとって、これが一番ショッキングな現実だったりするのですが。

あるはずのアレがなくなった


契約書は、人間が読める自然言語によって書かれます。

多くの日本人にとっては、やっぱり日本語で読めるのが一番ありがたいはずですし、また結果としてそのほうが読み違いによる誤解・クレームも起こらなくなるでしょう。とはいえ、すべての国の言語で契約書を作っていたら、キリがありません。できれば1通のマスター契約書を読んでもらって利用者全員との共通の基準とさせてもらうのが効率的です。そうなると、世界共通語としての英語をマスター契約書の使用言語として選択することが必然の選択となります。

それでも、日本は1億人のマーケットということもあって、多くのサービスで日本語での翻訳が用意されており、英語が苦手な人でも契約内容が理解ができるようになっています。ただし、その翻訳版の契約には、決まってこんな添え書きがなされているのが常。

たとえば、twitterはこう。
ご参考までに日本語の翻訳を用意しました。ただし、法的な拘束力があるのは英語版であることをご了承ください。

Facebookはこう。
本規約は英語(米国)で書かれたものです。本規約の翻訳版と英語版に相違がある場合は、英語版が優先されるものとします。セクション16には、米国外のユーザーに関する一般的な規定の変更が記載されていますので、ご留意ください。

もちろんAmazonEC2も然り。
アマゾンが本契約の英語版の他言語による翻訳を提供した場合であっても、翻訳版と英語版との間に齟齬がある場合には、英語版が優先するものとする。

そしてGoogleの旧規約にも、この記載がありました。
3. 本規約の使用言語
3.1 Google が本規約の翻訳を提供している場合、かかる翻訳はユーザーの便宜を図ることのみを目的としたものであり、ユーザーと Google の関係に関しては、本規約の英語版が適用されることに同意するものとします。
3.2 本規約の英語版と翻訳版で相違や矛盾が発生する場合、英語版が優先するものとします。

“規約の内容・解釈で揉めた際には、英語版を正として争うことになりますよ”という注意書き。これは、これまでの法務の世界では当たり前のエクスキューズでした。

しかし、驚くべきことに、今回リリースされたGoogleの新規約からは、このエクスキューズがなくなっているのです。そう、Googleは、「英語版が正」という逃げ道を作らず、プルダウンで選択できる43カ国すべての国の言語それぞれでこの規約の正規版を作成するという、まさかと思うことをやってのけ、その国の言語に基づいた契約解釈を正面から争うことを表明しています。


s-multiling


こんなことをやってのけるのは、クレ●ジーなGoogleだけなんじゃないか・・・そう思ってMicrosoftのクラウドサービスの利用規約を見たところ、同じく、契約解釈についての言語の限定はありませんでした(仲裁手続きにおける使用言語の指定とドイツにおけるサービス利用時の例外を除く)。世界を股にかける前提のサービス利用規約においては他言語化の波はいやがおうにも避けられないという現実が、露わになってきたということでしょうか・・・。

法務のマルチ○○○○化からはもう逃げられない?


以前、私はこんなことをこのブログで書きました。

法務のアウトソーシング(LPO)を進めなければならないワケ
取引のグローバル化が進んでいる今、“マルチリンガル”が求められるのはどの職種でも同じです。しかし法務については、その国の言語が分かるだけでは役に立たず、そのそれぞれの法律や商習慣といった文化までもが分かる人材を確保して“マルチリーガル”“マルチカルチュラル”にならなければなりません。
マイクロソフトやヒューレットパッカードは、コストセーブのことだけ考えてアウトソースをしているのではなく、国ごとの言語・法律・文化という障壁が存在する限り内製で法務業務を行うのには限界があること、そしてアウトソーシングを進めることが法務ダイバシティを高めそれに対応するベストな手段であることにいち早く気づき、行動を始めたのだ。この記事にははっきりとそう書いてあるわけではありませんが、そのように読み取るべきだと思います。自前では多国籍軍化しえない企業法務部門が、グローバルな競争を勝ち進むためには、必然的にLPOに頼らざるを得なくなっていき、それを契機に法務業務全体の外注化に拍車がかかっていく。私はそう考えています。

Googleもこの規約を多国籍化させるために、法的有効性・顧客が読んだときの分かりやすさについて、現地弁護士事務所にLPOして検証したことでしょう(いや、もしかしたらGoogleだけに自社法務に43カ国の弁護士を抱えているのかもしれませんが・・・)。

SNS・クラウドといった新しいネットサービスがこれだけ急激に広まるようになったのも、どんな国からでもアクセスできること、そして1カ国のブームではなく様々な国でサービスが同時多発的に広まることで生まれるネットワーク効果がサービスの価値を高めるからこそ。その爆発力というメリットの裏側には、いままでの常識が通用しないこんな負担も孕むことになっていくのだなあと、考えさせられてしまいました。

それにしても、非常識に思える多国籍対応を軽々とやってのけ、それを広報で自慢したり鼻にかけたりするわけでもなく、何事も無かったかのようにリリースしているGoogle。この会社の法務と一戦交えるようなことは、できる限り避けたいものです。
 

SNS・クラウド時代のプライバシーポリシー/利用規約とは ― Googleの規約改訂ポイント解説(その2)

 
さて、前回の「プライバシーポリシー」編に続いて、今回は「サービス利用規約」編です。

前回の記事を書いた直後から、Googleへのログイン時にこんな↓オプトインの画面が表示されたり、
s-googleoptin2

Googleからのこんな↓お知らせメールが届き始めたりしていると思いますが、
s-googleoptoutmail


ここまでされると、さすがにみなさんも気になりはじめているはず。このエントリが、みなさんの理解に少しでもお役に立てば幸いです。

どうしてこんなに短くできた?


例によって、新旧対照表を作りましたので、まずは一読を。

Googleサービス利用規約 新旧対照表
s-googletos


プライバシーポリシーがとっても長くなったのに対して、サービス利用規約はとっても短くなりました。旧versionは11,416文字、対して新versionは5,385文字、なんと半減です(ちなみに英語版も4,223文字→1,720文字)。きっとGoogleの法務のみなさんは、50%減を明確な考課目標と定めていたに違いありません(笑)。

さらに、れっきとした利用規約=契約であるにもかかわらず、条文につけられていた条項番号すらなくなってしまいました。こうなるともはや、契約を読んでいる気すら薄れて、サービス説明のお手紙のような文章にも見えてきます。

どうしてこんなに短く、シンプルにしたのか?一言でいえば、それはGoogleがユーザーと正面から対峙する覚悟を決めたからだと思います。


ポイント1:「訴訟に勝てる」規約ではなく、「読んで分かる」規約に


特に、このすっきりあっさりとした保証・免責条項に、旧versionと新versionの顕著な違いが現れています。

保証および免責

Google は、商業上合理的な水準の技術および注意のもとに本サービスを提供し、ユーザーに本サービスの利用を楽しんでいただくことを望んでいますが、本サービスについて約束できないことがあります。
本規約または追加規定に明示的に規定されている場合を除き、Google またはそのサプライヤーもしくはディストリビューターのいずれも、本サービスについて具体的な保証を行いません。たとえば Google は、本サービス内のコンテンツ、本サービスの特定の機能、その信頼性、利用可能性、またはユーザーのニーズに応える能力について、何らの約束もしません。本サービスは「現状有姿で」提供されます。
一部の法域においては、商品性、特定の目的への適合性、および権利の侵害がないことに関する黙示保証などの保証が認められることがあります。法律で許されている範囲内で、Google はすべての保証を排除します。

基本的には何も保証できない、そして提供できるサービスを「現状有姿」=あるがままに提供するのみである、ということだけをきっぱりと宣言するこの文言。旧versionの14・15条のような具体的な事項例示もせずに一切の免責と書いただけで本当に免責が有効になるのかとか、あるがままとはどのくらいのサービスレベルを指すのかとか、契約的には曖昧さが残る分、裁判となった場合には面倒なことになるのでしょう(たとえば日本の消費者契約法との関係についてはこちら)。

しかし、誰も読まないあからさまな裁判対策用の規約を作るのはやめて、ユーザーが読もうと思える合理的な長さにし、読んでもらうことであらかじめGoogleの姿勢を理解してもらうべきだ。Googleはそう考えたのではないでしょうか。そしてもし訴訟となったときには、この頼りなくなった文言なりの戦い方をしようと、覚悟を決めたのだと思います。

「契約書」とは誰が読むためにあるのか。契約相手か?はたまた裁判官か?この問いは、法務パーソンの中でも意見が分かれるところなのですが、それは裁判官ではない、とGoogleは考えたと見えます。SNSやクラウドサービスは、誰もが手軽に・便利に使えるからこそ、契約書も誰もが読める文言にするのが筋。この英断は、世の中に星の数ほどあるweb上の利用規約に大きな影響を与えることでしょう。


ポイント2:SNS・クラウド時代の契約締結方式「従業員代理型契約」


プライバシーポリシーでも、隙の無いSNS・クラウド対応巧者ぶりを見せつけたGoogleが、利用規約でもまた見せつけてくれました。

事業者による本サービスの利用

本サービスを事業者のために利用する場合、その事業者は本規約に同意するものとします。かかる事業者は、Google とその関連会社、役員、代理店、従業員を、本サービスの利用または本規約への違反に関連または起因するあらゆる請求申し立て、訴訟、法的措置について、請求申し立て、損失、損害、訴訟、裁判、告訴から生じる法的責任および費用、弁護士費用を含め、免責および補償するものとします。

例えば、手軽に始められるエンタープライズ向けSNS/クラウドサービスの代表格Yammerを、会社の中の小グループだけで登録して勝手に使ってる方って、結構いると思います。あんな風に、会社の中で個人が勝手にクラウドサービス使うのって、Yammerの利用規約にもとづく契約はその個人とYammerが結んでいるのか、それともYammerと従業員が所属する法人との間でしているのかが明らかではありません。

これに対してGoogleは、上記引用文言によって、従業員が従業員として会社の業務でGoogleのサービスを使った場合には、それはその会社とGoogleとの契約になるよ、ということをこの利用規約で明言しているわけです。従業員としては大変おそろしい文言ですが、前回の記事の「ポイント3:クラウドが消す“法人と個人の境界”」でも述べたように、SNSやクラウドが会社の内と外の境界を曖昧にしていくことによって、契約の責任主体が誰かも分かりにくくなり、今後かなりの訴訟においてこの「契約者は法人だったのか?個人だったのか?」が争点になるはず。予めここまで文言化するあたりさすがGoogleです。勝手ながら今後、私はこれをクラウドサービスにおける従業員代理型契約と呼ぶことにします。


情報流出を防ぐという意味でfacebookやevernoteを社内からアクセスブロックしている会社は最近増えてきましたが、Google検索やYoutubeまでブロックしている会社は少ないと思われます。そんな現実を考えると、会社として勝手に契約成立させないためには、「Googleのwebサービスを勝手に使うな」という非現実的なルールを徹底するしかなくなりますね…。

ポイント3:それでも絶対にGoogleが譲らない条項が1つあった


最後に、ちょっと法務に詳しい方向けのお話を。

契約書の最後の方には、裁判管轄、不可抗力、完全合意の確認、損害賠償、免責etcといったどんな契約にも共通して規定される「一般条項」とよばれる条文があります。とくに英文契約ではそのパートだけでA4×2〜5枚ぐらいになってしまのが常で、webサービスのように不特定多数を相手にする契約では、会社としての防御本能はより一層強くなることから、勢い文字数も増えていくのが当たり前でした。しかし、Googleの利用規約は、そんな私たち法務の常識を打ち破り、その一般条項ですらスリムにしてしまいました。完全合意条項もカットされていれば、損害賠償額の上限設定すらありません。

それでも、Googleがここだけは死守しようとしたであろう、ほとんど文字数を減らしていない条項が1つだけあります。それは“準拠法&裁判管轄”条項です。

カリフォルニア州の抵触法を除き、本規約または本サービスに起因するまたは関連するいかなる紛争に関しても、アメリカ合衆国カリフォルニア州の法律が適用されます。本規約または本サービスに起因するまたは関連するいかなる主張についても、アメリカ合衆国カリフォルニア州サンタクララ郡内に所在する裁判所においてのみ裁判手続を取ることができるものとし、ユーザーと Google はその裁判所の対人管轄権に同意するものとします。

(冒頭「カリフォルニア州の抵触法の原則に関する条項を除き」の方が適切かと思いますが、それはさておき)その他の条項がどんなに曖昧であろうが、勝手知ったるカリフォルニア州法を準拠法として、自社のホームグラウンドであるサンタクララの裁判所を戦いの土俵にさえできれば、完全勝利にはならなくとも、常識的な範囲でおさまり大負けはしないはず。Googleは、これまでの数多くの訴訟経験の積み重ねの中で、そう割り切ったのだと思います。

以前、準拠法と裁判管轄の交渉でリードする方法についてエントリを書いたことがありますが、やはり契約交渉においては、この2つの要素を抑えた方が勝つのだ、そう確信させられた今回の利用規約改訂でした。
 

SNS・クラウド時代のプライバシーポリシー/利用規約とは ― Googleの規約改訂ポイント解説(その1)

 
Googleが、プライバシーポリシーとサービス利用規約の3/1付け大規模変更をアナウンスしました。

検索サービス、Gmail、Youtubeを含むほぼすべてのサービスに適用される今回の変更。Googleが嫌いでも、インターネットを使っていてGoogleのサービスを全く使っていない人はそうそういないはずで、その意味ではインターネットの法律が変わったようなものとも言えます。そこで速報的にではありますが、ポリシー編と規約編の2回に分けて、ポイントを抑えておきたいと思います。

今日はまず、Googleの個人情報の取扱いについてのお約束文書である「プライバシーポリシー」編です。


「長く」なったのは何のため?


まずは、現行の旧versionと3/1リリースの新versionとの差異が分かりやすくなるよう、新旧対照表を作成してみました。このブログの幅に貼り付けてしまうと見にくくなりますので、Googleドキュメントにアップロードした表をご覧ください(公開設定していますので、ログイン等は不要です)。

Googleプライバシーポリシー新旧対照表
s-googlepp0


一見して分かること。それは新Versionのポリシーの方が長くなった、ということでしょう。そう、普通こういった企業のプライバシーポリシーの類に起きがちなのは、企業が訴訟やトラブルを抱える度にその反省から定義が厳密に・細かくなっていき、その分文字量ばかりが増えていくという現象です。

しかし新Versionを読みすすめてみると気づくはずです。長くなったにもかかわらず、圧倒的に読みやすく・理解しやすくなっているということに。そしてこの長さは、下記3点のポイントを実現するのに必要最低限な長さになっているのです。


ポイント1:ポリシーの全サービス共通化による“シェア”への対応


今回のプライバシーポリシー/利用規約の改訂により、60を超えるGoogleのサービスの(ほんの一部の例外を除く)ほぼすべてに、同じプライバシーポリシーが適用されることになりました。

私は最初、これは「いろんなプライバシーポリシーがあると、Googleも管理しきれないだろうし、ユーザーも読む気がしないからなんだろう」ぐらいに思っていたのですが、少し考えてそれだけではないことに気付きました。サービス間をまたいで個人情報が行き来しはじめているという現実に正しく対処するための、あるべきポリシーの姿なのだということに。

s-googlepp1

たとえば、Googleが始めたSNSであるGoogle+上で、ユーザーAさんが「●●がほしい」と投稿したり、Bさんの投稿に対して“+1”ボタンを押した商品の情報を、Aさんがその後にGoogle検索したときの検索結果や広告表示の命中率を上げるために用いる。そんな行為も、今まではGoogle+とGoogle検索の2つのサービスのプライバシーポリシーを満たしていないと説明がつかなかったり、整合性がとれなかったわけですが、ポリシー自体が1つに統一・共通化されていれば、堂々とサービス間でユーザーの個人情報の受け渡しができるようになるわけです。

実際、Googleは"Search, plus Your World"というコンセプトを打ち出し、Youtube等ですでにこれを実装しはじめています。また、今回のプライバシーポリシーの中にも、以下のような規定で「サービス間でまたがって使う」ことを宣言しています。

お客様による情報の共有
Google の多くのサービスでは、お客様は他のユーザーと情報を共有できます。お客様が情報を公開されると、Google などの検索エンジンのインデックスの登録対象になることがあります。Google サービスでは、お客様のコンテンツの共有と削除に関して、さまざまなオプションをお客様に提供しています。

書いてしまうとなんだそんなことか、という感じではありますが、SNSとはすなわちシェア文化の加速であるという本質を端的に捉え、プライバシーポリシーを全サービスで統一するという面倒な作業を厭わず整合性を追求しようという姿勢は、(facebookと並んでプライバシーの取扱いに関して何かと叩かれるGoogleですが)評価してよいと思います。


ポイント2:「収集する個人情報と利用目的」のイノベーション


ポリシー作りに一度でも関わったことがある人は分かると思いますが、「収集する個人情報と利用目的」の明確化は、ポリシーを作成する上でもっとも悩ましい問題です。

法律やプライバシーマーク基準そして顧客保護の視点からは、できるだけ具体的に定義をしろという要請があるわけです。その一方で、具体的に定義をしてしまえばしてしまうほど、後々自由に個人情報が収集できなくなり、変化を余儀なくされるサービスの成長に対する足かせ・制約条件になってしまいます。しかも今回、上記ポイント1にあるように、サービスを横断的に情報が行き来できるよう、全サービス共通化したのですから、そのひとつひとつをすべて定義し列挙していたら、いくら情報の種類を羅列してもし切れない気がしてきます。

そこでGoogleが編み出したアイデアが、“収集する情報の種類”や“利用方法のバリエーション”を定義するのをやめて、“収集する方法”によって情報を定義するという手法

Google は、すべてのユーザーによりよいサービスを提供するために情報を収集しています。その内容は、お客様の使用言語などの基本的情報から、お客様にとって最も役に立つ広告やオンラインで最も重要視している人物などの複雑な情報まで、多岐にわたります。
情報の収集は以下の 2 種類の方法で行います:

・お客様からご提供いただく情報
たとえば、多くの Google サービスでは、Google アカウントのご登録が必要です。ご登録に際して、氏名、メール アドレス、電話番号、クレジットカードなどの個人情報の提供をお願いしています。Google が提供する共有機能をすべてご活用いただく場合は、公開される Google プロフィールを作成していただくようお願いすることもあります。これには、名前や写真などを掲載することができます。

・サービスのご利用時に Google が収集する情報
Google は、ご利用のサービスやそのご利用方法に関する情報を収集することがあります。たとえば、Google の広告サービスを使用しているウェブサイトにアクセスされた場合や、Google の広告やコンテンツを表示または操作された場合です。これには以下の情報が含まれます:
  • 端末情報  Google は、端末固有の情報(たとえば、ハードウェア モデル、オペレーティング システムのバージョン、端末固有の ID、電話番号などのモバイル ネットワーク情報)を収集することがあります。Google では、お客様の端末の ID や電話番号をお客様の Google アカウントと関連付けることがあります。
  • ログ情報  お客様が Google サービスをご利用になる際または Google が提供するコンテンツを表示される際に、サーバー ログ内の特定の情報が自動的に収集および保存されます。これには以下の情報が含まれることがあります:
(中略)
Google は、どの Google サービスから収集した情報も、そのサービスの提供、維持、保護および改善、新しいサービスの開発、ならびに、Google とユーザーの保護のために利用します。Google は、お客様に合わせてカスタマイズしたコンテンツを提供するため(関連性がより高い検索結果や広告を提供するなど)にも当該情報を利用します。

まず冒頭で「その内容は、〜多岐にわたります」と、そりゃ情報の種類はいろいろありますがな!とあっさり言い放った上で(笑)、かと言って何も定義しないわけでなく、「情報の収集は、以下の2種類の方法で行います」という収集の方法論に置き代えてできるだけ具体化する努力をしているのです。

これは、読み手であるユーザーにも抵抗がなく、かつ定義はちゃんとしてますよと主張でき、将来の拡張もしやすい、プライバシーポリシーのイノベーションなのではないかと思います。


ポイント3:クラウドが消す“法人と個人の境界”


データの量や重要性という意味で、SNSでの個人情報の取扱いよりももっと悩ましいかもしれないのが、クラウドの問題です。例えば、ユーザーのデータが外国のサーバーに保存されることもあるという越境性の問題についての規定などは、クラウドサービスを実施されている事業者の法務部門の方は、手探りで文言を検討されていたと思います。

もちろん、クラウドが国境を無きものにするという“越境問題”については、Googleともなればさすがにすでに現行ポリシーでも規定対応済み。しかし、それを超えるさすがGoogle!という問題意識の高さが垣間見える規定が、今回のポリシーから新たに挿入されていました。それがこれ。

Google は、以下のいずれかに当てはまる場合を除いて、個人情報を Google 以外の企業、組織、個人と共有することはありません:

・お客様の同意を得た場合
Google は、お客様の同意を得た場合に、個人情報を Google 以外の企業、組織、または個人と共有します。Google は、事前の同意なしに、機密性の高い個人情報を共有することはありません。

・ドメイン管理者の場合
お客様の Google アカウントがドメイン管理者によって管理されている場合(Google Apps ユーザーの場合など)、お客様のドメイン管理者と、お客様の組織にユーザー サポートを提供する販売代理店は、お客様の Google アカウント情報(メールなどのデータも含む)にアクセスすることができます。ドメイン管理者は、以下の事項を行うことができます
  • お客様のアカウントに関する統計情報(お客様がインストールしたアプリケーションに関する統計情報など)を表示すること。
  • お客様のアカウントのパスワードを変更すること。
  • お客様のアカウントのアクセス権を一時停止または停止すること。
  • お客様のアカウントの一部として保存されている情報にアクセスし、またはその情報を保持すること。
  • 該当する法律、規制、法的手続または強制執行可能な行政機関の要請に応じるために、お客様のアカウント情報を受け取ること。
  • 情報またはプライバシー設定の削除や編集を行うお客様の権限を制限すること。
詳細については、お客様のドメイン管理者のプライバシー ポリシーをご覧ください。(以下略)

注目すべきは、ドメイン管理者への個人情報の開示・コントロール権の付与を保護の例外として明示していること。つまり、クラウド時代になると、ビジネスとプライベートの境界がなくなり、Googleの法人向けクラウドサービスを通じて管理者が従業員個人の個人データを収集したり、逆にプライベートで使っていたGoogleアカウントをビジネスでも利用する人が増えて、会社も個人アカウントを管理するようになるよね、ということを規定に表現したわけです。

「本人が会社と合意して業務目的でGoogleのアカウントをビジネスユースしてるんだったら、本人がドメイン管理者に対してコントロール権を渡したとみなしちゃっていいんじゃないの?」などと乱暴に考えたくもなるところですが、そういった解釈論に逃げず、国境はおろか法人と個人の境界すらなくしてしまおうというクラウドコンピューティングのあり方を真正面から捉え、契約的な解決策を提示した好例ではないかと思います。

2012.1.30追記:
twitterで、こんなご指摘をいただきました。
2012/01/27 17:19:05
「Google アカウントがドメイン管理者によって管理されている場合」とちゃんと前提条件書いてあるのに「クラウド時代になると、ビジネスとプライベートの境界がなくなり」って結論づけたいがために無理な読み方してないか。

ご指摘のようにクラウドが境界を無くすという仮説ありきの発想ではありますが、この例外規定の中でわざわざ「お客様の同意を得た場合」という場合分けと並列に「ドメイン管理者によって管理されている場合」が並べられているのを見ると、「同意を得なくてもドメイン管理者の定義を広めに解釈すれば例外適用可能」というような邪悪方向に拡大解釈する意図と可能性を感じました。この部分については、もうちょっと検討してみたいと思います。


(次回「サービス利用規約」編に続きます)
 

新しいFacebookプライバシーポリシーに学ぶ契約法務の将来像

 
このブログでは、2年前ぐらいからFacebook関連の法務ネタを数多く取り上げており、とりわけ利用規約関連のネタには注目するようにしています。最先端かつ成長著しいFacebookが抱える優秀な法務部隊の成果物である利用規約を通じて、明日の契約法務の課題が透けて見えるのではないかと思うからです。

そんなFacebookが、Data Use Policy(プライバシーポリシー)の変更に向けてドラフトを掲出し、意見収集を始めました。このドラフトにも、そんなエリート法務部隊の知恵と工夫が見え隠れしています。

Facebook Data Use Policy (draft)

s-FbDUP

今回の変更の特徴は以下3つ。

1)プレーンイングリッシュ
まず誰もが一読して分かるように、非常に読みやすい・易しい英語で書かれています。日本の中学生・高校生でも十分に読めるレベルです。

2)トグルスイッチ
一方、易しい言葉で説明をすることにはデメリットもあります。文章がどうしても長くなるということです。これをカバーする2つ目の工夫が、分り易い見出しの右側にある「+」「ー」印のトグルスイッチ。これを押すことで必要な文章が展開する仕組みです。

3)スクリーンショット
3つめに、スクリーンショットを多用していること。マニュアルにスクリーンショットを入れるのはもう当たり前の時代ですが、企業としての契約文書の一つであるプライバシーポリシーに入れている会社は、そうそうないでしょう。


この3つの特徴の中でユーザーから最も評価されるのは、おそらく1なのでしょう。しかし、法務的な視点で見ると、実は3のスクリーンショットを入れた点こそが、Facebook法務部隊が一番神経を使ったポイントだったはずと、私は確信しています。

通常、サービス業のプライバシーポリシーは、将来サービスが変更になっても読み替え・拡大解釈ができるよう(事業者としてのフレキシビリティを担保するために)、あえて“抽象度の高い文言”を積極的に使うものです。このために、いかにも契約文言チックな難しい書き振りと相まって、一般人には何を言っているのか分からない文章になります。これに対し、スクリーンショットを入れてポリシーを分かりやすく説明しようと思うと、必然的に画面に表示されたサービス用語と1対1の同じ言葉をポリシーの文言に盛り込むことになります。ということは、将来スクリーンショットで撮られた画面やサービスで使われる用語が変わったときには、機動的にプライバシーポリシーも変更する必要がでてくるわけです。

プライバシーポリシーを不動のものとしてその範囲でサービスを設計するのではなく、サービスの変化に応じ、面倒でもプライバシーポリシーを修正・メインテナンスしていく。Facebook法務部隊は、今回の変更でそれを改めて覚悟したのだと思います。これはサービス・顧客視点で見れば当たり前のようでいて、残念ながら普通の法務部門ではなかなか持てない発想であり、できない覚悟です。

(とはいえ、こんな「多少サービス変更していくのは許容してね」という文言を入れることも忘れていないあたり、さすが隙はありません。)
Granting us this permission not only allows us to provide Facebook as it exists today, but it also allows us to provide you with innovative features and services we develop in the future that use your information in new ways.

意見収集ページに集まったコメントを見ても、今回のプライバシーポリシー変更案には肯定的な意見が多いようです。中には“complaints and reports”入れ忘れてるんじゃない?なんて至極まっとうな指摘もあったり。超エリート集団のFacebook法務とはいえ、これだけたくさんのコメントが集まれば、気付かされることも多いはず。

サービスのスピードの速さに向き合い、そして高まり続けるユーザーの要望に向き合う覚悟を決めた契約法務のありかたが、このプライバシーポリシー変更案に見え隠れしています。
 
記事検索
月別アーカイブ
プロフィール
Google