ブログ
【デジタルプラットフォームと法】第4回 デジタルプラットフォームとプライバシー関連規制
2021.10.14
はじめに
ブログ連載「デジタルプラットフォームと法」の第4回では、デジタルプラットフォームビジネスにおけるプライバシー関連規制及び通信の秘密に関する論点について取り上げたいと思います。
デジタルプラットフォームという事業の性質上、プラットフォーマーがサービスの利用者に関する情報を取得しそれを集積することや、ある利用者の情報を別の利用者に提供することがあります。ここでやり取りされる「情報」が個人情報に該当する場合は、プラットフォーマーや事業者は個人情報保護法上の規制を遵守する必要があります。
なお、個人情報保護法については、2022年4月1日に令和2年改正法(以下「令和2年改正法」といい、条番号は令和2年改正法施行後のものとします。)が施行されます。今回の令和2年改正法においてはデジタルプラットフォームとの関係でも大きな影響が生じうるような規制が追加されておりますので、令和2年改正法の施行を見据えて対応を検討する必要があります。
また、プラットフォーム内で、サービス利用者間でやり取り可能なメッセージ機能などが実装されている場合もあります。この場合は、プラットフォーマーに電気通信事業法上の通信の秘密に関する規制や、届出義務が課される可能性があります。
さらに、B to C型のプラットフォームの場合、プラットフォーマーや事業者が消費者に対してメルマガや広告宣伝メールを送信するような場合がありますが、この場合には特定電子メールの送信の適正化等に関する法律(以下「特定電子メール法」といいます。)の適用を受ける可能性があります。
以下では、これらの論点について詳しく検討していきたいと思います。
個人情報保護法上の規制
(1)総論
前述のとおり、プラットフォームの利用者である消費者から個人情報を取得し、様々な方法で利用することが想定されます。以下では、デジタルプラットフォームの性質上特に問題となりうる点について解説します。
(2)個人情報の取得主体
事業者が個人情報を取得する際に、その取得主体を偽ることは許されません(現行法17条1項)。また、個人情報の取得主体を明確にしておくことは、誰がその管理について第一次的な責任を負うかを確定させるためにも重要です。
しかしながら、プラットフォーム上でユーザーの個人データを取得する場合には、誰がその取得主体となるのかが不明確になりがちです。たとえば、ECサイトにおいて、会員登録をし、商品の購入を行うという一連のプロセスにおいてユーザーが入力する氏名、送付先住所、注文内容、商品レビューなどは、プラットフォーマーが第一次的に取得するのか、プラットフォームへの出店企業が第一次的に取得するのか、あるいは双方とも取得するのか、いずれでしょうか。法的にはいずれの構成もありえますが、いずれの構成をとるにせよ、誰が個人情報の取得主体であるかを、ユーザー視点で分かりやすく示しておくことが重要です。なお、プラットフォーマーが第一次的に取得し、これをプラットフォーマーから出店企業に提供する構成をとる場合には、後述のとおり、個人データの第三者提供に関する規制が適用されます。
(3)利用目的規制
オンライン・フォーマットへの入力など、電磁的方法により個人データを取得する場合には、本人に対してあらかじめ利用目的を明示する必要があります(現行法18条2項)。
デジタルプラットフォームおける明示方法としては、利用目的を記載したプライバシーポリシーをウェブサイト上で公表するとともに、利用者のサービス利用登録・会員登録の際にプライバシーポリシーを提示することが多いと思われます。
また、利用目的については、できる限り特定しなければならず(現行法15条1項)、どのような目的で個人情報を利用するのか、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することを求められています(ガイドライン(通則編)3-1-1)(※1)。例えば、「事業活動に用いるため」とか、「マーケティング活動に用いるため」では、特定の程度としては足りないとされています。
特に、ターゲティング広告など、利用者から取得した個人情報をもとに本人の興味・関心等を分析した上で利活用することを考えている場合には、「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」といった程度に、さらに具体的な記載が求められます。
(4)第三者提供規制
個人データを第三者に提供する場合は、原則として本人の同意を取得しなければなりません(現行法23条1項)。
デジタルプラットフォームにおける事業の性質上、プラットフォーマーが取得した利用者の個人データを他の利用者や事業者に提供する場合があります。この場合、あらかじめ利用者から個人データを第三者に提供することに対する同意を取得しておく必要があります。
この場合も、プライバシーポリシーに第三者提供に対する同意文言を記載しておき、利用登録・会員登録の際に併せて同意を取得できるように対応することが一般的です。
なお、個人情報保護法において「本人の同意」を取得する場合は、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならないとされています。そのため、「会員登録した者は同意したものとみなす」というようないわゆるみなし同意ではなく、積極的な同意を取得することが必要となります。また、「プライバシーポリシーを確認のうえ同意する」などの文言のチェックボックスをクリックさせるなど、本人が積極的に同意したことを明確に記録に残しておくことができる仕組みを構築することが望ましいと考えられます。
また令和2年改正法では、新たに、「個人関連情報」という概念、及び「個人関連情報の第三者提供規制」が創設されました。
「個人関連情報」とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの(令和2年改正法26条の2第1項)とされており、Cookieなどを通じて収集されたウェブサイトの閲覧履歴、購入履歴、IPアドレスなどが該当例として挙げられます。
そして、個人関連情報を第三者に提供し、提供先において個人関連情報を個人データと紐づけて利用する場合には、原則として提供先においてあらかじめ本人の同意を取得しなければならないものとされました(令和2年改正法26条の2第1項)。
例えば、プラットフォーマーにおいて、消費者の興味関心をもとに消費者に対して個別のおすすめのサービス情報を提供するため、パブリックDMP(Data Management Platform)などからCookieに紐づく消費者の他のウェブサイトの閲覧履歴情報を取得し、これを保有している利用者情報に紐づけて情報のリッチ化を図るような場合には、原則として提供先であるプラットフォーマーにてあらかじめ利用者本人の同意を取得する必要があります。
(5)開示請求等への対応体制
個人情報保護法では、本人に対して一定の場合に保有個人データの開示、訂正、追加、削除、利用停止、消去又は第三者提供の停止請求(以下「開示等の請求」といいます。)をすることができる権利を与えています。
プラットフォーマーは、消費者からの開示等の請求を受け付ける方法として、ウェブサイト上にお問い合わせ窓口を設置したり、開示等の請求書ひな型リンクを掲載したりして、消費者からの開示等の請求に対応する体制を構築しておくことが必要です。開示等の請求等を受け付ける方法を定めないでいると、自由な申請を認めることとなるので注意が必要です。
デジタルプラットフォームにおける個人情報の取扱いと独占禁止法
デジタルプラットフォーマーの提供するサービスは、ネットワーク効果、低廉な限界費用、規模の経済等の特性を通じて拡大し、独占化・寡占化が進みやすいとされています。そして、特定のデジタルプラットフォーマーにデータが集中することにより、利用者の効用が増加していきますが、それによりさらにデータの集積・利活用が可能となっていきます。また。データの集積方法として、サービスの提供と引き換えにデータを収集することを求めるようなビジネスモデルが発展してきており、この場合にデジタルプラットフォーマーが消費者の自主的な判断を阻害し、不利益を与えるなど不公正な方法によりデータを収集・利用することに懸念の声が上がっていました。そこで、公正取引委員会は、デジタルプラットフォーマーが提供するデジタルプラットフォームにおける個人情報等の取得や利用においてどのような行為が消費者に対する優越的地位の濫用(独占禁止法第2条9項5号)として独占禁止法上問題となるかを整理・公表しました(※2)。具体的には以下のとおりです。これらの行為は、基本的には、個人情報保護法違反にもなりうるものですが、あわせて独占禁止法違反として公正取引委員会による処分の対象となりうる点に留意が必要です。
(1)個人情報等の不当な取得
ア 利用目的を消費者に知らせずに個人情報を取得すること。
【想定例①】
デジタルプラットフォーマーであるが、個人情報を取得するに当たり、その利用目的を自社のウェブサイト等で知らせることなく、消費者の個人情報を取得した。
イ 利用目的の達成に必要な範囲を超えて、消費者の意に反して個人情報を取得すること。
【想定例②】
デジタルプラットフォーマーが、個人情報を取得するに当たり、その利用目的を「商品の販売」と特定して消費者に示していたところ、商品の販売に必要な範囲を超えて、消費者の性別・職業に関する情報を、消費者の同意を得ることなく取得した。
ウ 個人データの安全管理のために必要かつ適切な措置を講じずに、個人情報を取得すること。
【想定例③】
デジタルプラットフォーマーが、個人データの安全管理のために必要かつ適切な措置を講じずに、サービスを利用させ、消費者の個人情報を取得した。
エ 自己の提供するサービスを継続して利用する消費者に対して、消費者がサービスを利用するための対価として提供している個人情報等とは別に、個人情報等その他の経済上の利益を提供させること。
【想定例④】
デジタルプラットフォーマーが、提供するサービスを継続して利用する消費者から対価として取得する個人情報等とは別に、追加的に個人情報等を提供させた。
(2)個人情報等の不当な利用
ア 利用目的の達成に必要な範囲を超えて、消費者の意に反して個人情報を利用すること。
【想定例⑤】
デジタルプラットフォーマーが、利用目的を「商品の販売」と特定し、当該利用目的を消費者に示して取得した個人情報を、消費者の同意を得ることなく「ターゲティング広告」に利用した。
【想定例⑥】
デジタルプラットフォーマーが、サービスを利用する消費者から取得した個人情報を、消費者の同意を得ることなく第三者に提供した。
イ 個人データの安全管理のために必要かつ適切な措置を講じずに、個人情報を利用すること。
【想定例⑦】
デジタルプラットフォーマーが、個人データの安全管理のために必要かつ適切な措置を講じずに、サービスを利用させ、個人情報を利用した。
チャット機能と電気通信事業法の通信の秘密
デジタルプラットフォームでは、プラットフォームにおけるサービス利用者とサービス提供者との間で簡単に連絡を取るための方法として、いわゆる「チャット機能」を実装している場合があります。当該チャット機能については、①電気通信事業法における「電気通信事業」(電気通信事業法2条3号、4号)に該当するか、また、②電気通信事業に該当するとしてプラットフォーマーは「電気通信事業を営もうとする者」(同法9条)に該当し登録又は届出が必要となるか検討が必要であり、③その場合に電気通信事業者はどのような規制を遵守しなければならないか確認する必要があります。
①「電気通信事業」の該当性
まず、「電気通信事業」とは、「電気通信役務を他人の需要に応ずるために提供する事業」(同法2条4号)をいい、「電気通信役務」とは「電気通信設備を用いて他人の通信を媒介……すること」(同法2条3号)などをいいます。また、「他人の通信を媒介する」とは、「他人の依頼を受けて、情報をその内容を変更することなく、伝送・交換し、隔地者間の通信を取次、又は仲介してそれを完成させることをいう」とされています(※3)。
例えば、デジタルプラットフォームにおいて提供されているチャット機能がサービス利用者とサービス提供者との間で一対一でのメッセージの送受信を可能とするいわゆるクローズド・チャット機能である場合は、サービス利用者とサービス提供者のメッセージを変更することなく転送しており、上記の定義に合致するため、「電気通信事業」に該当すると考えられます。
②届出の要否
「電気通信事業を営」むとは、利用者に対して、電気通信役務を反復継続して提供して、その対価として料金を徴収することにより電気通信事業自体で収益を得ようとすることをいいます。名目上電気通信役務の提供について料金を徴収していないとしても、実質的に電気通信役務の提供により収益を上げているとみなされるときには、「電気通信事業を営」むことに該当するとされています。また、「通販サイトやマッチングサイト等におけるモノやサービスの売買や仲介等に際して、利用者間のメッセージのやり取りを媒介する」行為について、「提供するサービスが利用者間のメッセージの媒介のみではない場合であっても、サービスの一部として利用者間のメッセージの媒介を行う機能を提供している場合は、登録又は届出を要する電気通信事業と判断され」ます(※3)。
したがって、「電気通信事業を営」むものであるか否かは、それぞれのデジタルプラットフォームの業態によって異なりますが、例えばショッピングモール型のように、サービス提供者がプラットフォーム上に出品し、消費者がこれを購入することができるようなプラットフォームにおいて、プラットフォーマーが両者に提供するサービスの一環としてチャット機能を提供している場合は、届出を要する電気通信事業と判断される可能性が高いと言えます。
なお、電気通信事業を営む者が、「電気通信回線設備」(送信の場所と受信の場所との間を接続する伝送路設備及びこれと一体として設置される交換設備並びにこれらの附属設備をいいます。)を設置している場合は、届出ではなく登録が必要となりますが、デジタルプラットフォーム上でチャット機能を提供するだけであれば、通常、登録が必要になることはありません。
③通信の秘密
電気通信事業者の取扱中に係る通信の秘密は、侵してはならないとされています(同法4条)。そのため、プラットフォーマーは、利用者間の通信について、その内容を監視したり、利用者の意思に反して利用したり、他人が知りうる状態に置いたりすることはできません。プラットフォーマーにおいて、通信内容をサービスの向上等のために利用したいというニーズがあることも考えられますが、その場合には通信当事者から事前に「有効な同意」を取得する必要があります。どのような要件を満たせば「有効な同意」となるかは、通信内容の利用目的や利用態様によって個別事案ごとに異なりますので、総務省が公開しているガイドラインを参照しつつ、同意取得方法を検討する必要があります(※4)。
特定電子メール法に基づく規制
冒頭に述べたとおり、デジタルプラットフォームにおいては、そのサービスの一環として、プラットフォーム事業者から消費者に対して、プラットフォーム上で提供される商品・サービスに関するメールマガジンや、お知らせメールなどが送信されることがあります。当該メールについては、特定電子メール法が適用される場合があります。
特定電子メール法における規制の対象となるのは、「特定電子メール」(2条2号)です。「特定電子メール」とは、事業者が「自己又は他人の営業につき広告又は宣伝を行うための手段として送信する電子メール」をいい(※5)、商品やショップ、サービスを紹介するための広告メールなどがこれに該当します。
特定電子メールを送信するためには、あらかじめ受信者から同意を得ておく必要があります(3条1項1号)。当該同意の際には、受信者に対して、誰が送信者か具体的に特定できるように示しておく必要があります。デジタルプラットフォームにおいても、オンラインショッピングモールを展開するプラットフォームや、ホテル・レストランを予約できるプラットフォームなど、B to C型のプラットフォームにおいては、プラットフォームのインターフェース上でメールマガジン等の送信に関するユーザー同意を取得するものの、実際にはショッピングモールの出店者やホテル・レストランが送信者となる場合があります。この場合には、消費者が同意を行う際に、プラットフォーマーが送信者になると誤解することが無いように、実際の送信者を適切に表示する必要があります。
また、特定電子メール法では、送信者に対して以下のような義務を課しています。デジタルプラットフォームにおいて特定電子メールを送信する機能を提供する場合には、併せて以下のような義務を履行できるような体制を整備する必要があります。
(「特定電子メールの送信等に関するガイドライン」27頁より抜粋)
さいごに
このブログでは、デジタルプラットフォームという業態において関連するプライバシー及び通信の秘密に関する規制について説明しました。
デジタルプラットフォームでは、その性質上、利用者のデータをいかに有効に活用するかが、ビジネスの拡大やサービスの向上の鍵となることが珍しくありません。しかしながら、ひとたび取扱い方を誤るとそのままレピュテーションリスクにつながりかねない分野でもあります。したがって、個人情報保護法等の法令上のルールを遵守することはもちろんのこと、ユーザーの立場に立った、丁寧な説明や真摯な対応が不可欠です。
次回は、デジタルプラットフォーマーと物流に関する規制(例えば、許認可の要否等)について解説します。近年、ショッピングモール型のプラットフォームにおいて、商品を最終的に消費者に届けるための法的枠組みをどのように考えるべきか、問題となっています。プラットフォームという仕組みにも密接に関係する重要な論点です。
(※1)個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/files/pdf/210101_guidlines01.pdf
(※2)「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」(令和元年12月17日 公正取引委員会)
https://www.jftc.go.jp/dk/guideline/unyoukijun/dpfgl.html
(※3)「電気通信事業参入マニュアル[追補版]」(令和元年10月1日最終改定 総務省)
https://www.soumu.go.jp/main_content/000477428.pdf
(※4)「同意取得の在り方に関する参照文書」(総務省)
https://www.soumu.go.jp/main_content/000734726.pdf
(※5)「特定電子メールの送信等に関するガイドライン」(平成23年8月 総務省総合通信基盤局 消費者行政課、消費者庁 取引対策課)
https://www.caa.go.jp/policies/policy/consumer_transaction/specifed_email/pdf/110831kouhyou_2.pdf