ステマ規制とプロダクトプレイスメントについて

ABEMA、ドラマに「後付け」広告 AIで商品画像合成 - 日本経済新聞を見て若干考えたことがあるので、それについて書いていきます。問題は2つあります。

 

ステマ規制の根拠は何か?

  • 第1の問題は、ステマは表示主体を誤認させる行為であるが、それ自体が自主的合理的選択を阻害するから規制されるのか、それとも相当程度の蓋然性をもって商品の内容を誤認させ、それによって自主的合理的選択を阻害するから規制されるのかというものである。
  • これについて、ステマGL(「一般消費者が事業者の表示であることを判別することが困難である表示」の運用基準」)は、「一般消費者は、事業者の表示であると認識すれば、表示内容に、ある程度の誇張・誇大が含まれることはあり得ると考え、商品選択の上でそのことを考慮に入れる一方、①実際には事業者の表示であるにもかかわらず、第三者の表示であると誤認する場合②その表示内容にある程度の誇張・誇大が含まれることはあり得ると考えないことになり、この点において、一般消費者の商品選択における自主的かつ合理的な選択が阻害されるおそれがある。」としている。
  • ①は表示主体の誤認を問題にしており、②は商品の内容の誤認を問題にしている。「それ自体が自主的合理的選択を阻害するから規制される」という立場からは、②を問題とする必要はないから、ステマGLから窺われる消費者庁の立場は、「相当程度の蓋然性をもって商品の内容を誤認させ、それによって自主的合理的選択を阻害するから規制される」というものだということになる。

 

プロダクトプレイスメントはステマ規制の対象か?

  • 第2の問題は、プロダクトプレイスメントのうち、単に商品を登場させるケースは、ステマ規制の対象になるかというものである。
  • これについて、日弁連意見書(2017年)は、以下のとおり述べていた。
    • テレビドラマのシーンの中で,自社の製品を登場させて,それとなくアピールする手法(プロダクト・プレイスメント)もしばしば行われている。これについては,その態様が推奨表示と評価するに至らない程度にとどまる場合には,消費者の選択に与える影響も大きいとはいえず,また,法文上も景表法第2条第4項にいう「広告その他の表示」に該当せず,規制の対象にはならないと考えられる。/他方,自社の製品を登場させるにとどまらず,俳優をして積極的に当該商品を推奨する台詞を述べさせるような場合は,消費者の商品選択に与える影響も大きくなるし,実質的な広告に該当するものとして規制の対象とすべきである。もっとも,この場合においても,番組のエンドロール等で,「取材協力」等の表示をすることにより,当該事業者が無償で商品を提供したり,協力費を提供したりしたことを消費者に認識させることが可能と思われる。」
    • ここでは、単に商品を登場させるケース(単にプロダクトプレイスメントと言う場合、専らこちらを指すことが多いと思われる)と、俳優に商品を推奨する台詞を言わせるケースが区別され、前者はステマ規制の対象とすべきでないが、後者は対象とすべきであることが述べられている。その上で、後者を適法に行いうるための方法として、エンドロールへの事業者名の表示が挙げられている。
  • 一方、ステマ告示・ステマGL制定時のパブコメ165番では、以下の考えが示されている。
    • 御意見の概要:「(第3の2(2)アについて)「映画等におけるエンドロール等の表示」に関連して質問があるのですが、いわゆる、プロダクトプレイスメント(映画やドラマのシーン内で、自社の製品・サービスを積極的に利用・表示してもらうために、自社の製品・サービスを撮影のために無料で提供したり、または、広告費用を支払うこと)についても、今回の規制の対象になり、「映画等におけるエンドロール等」に表示が必要になるでしょうか。/また、プロダクトプレイスメントが、今回の規制の対象になる場合、エンドロールに、当該事業者の名称を、例えば、「協力」「撮影協力」「スペシャルサンクス」と記載するだけでは不十分で、エンドロールにおいて、事業者の名称とともに、「広告」、「宣伝」、「プロモーション」、「PR」といった文言まで必要になると考えるべきでしょうか。
    • 御意見に対する考え方:「景品表示法でいう「表示」には(注:「とは」?)、景品表示法第2条第3項及び第4項の規定に基づく「不当景品類及び不当表示防止法第2条の規定により景品類及び表示を指定する件」(昭和37年公正取引委員会告示第3号)第2項に規定されている「表示」であり、商品、容器又は包装等による広告(同項第1号)、見本、チラシ、パンフレット、ダイレクトメール、口頭による広告(同項第2号)、ポスター、看板(同項第3号)、新聞紙、雑誌等による広告(同項第4号)、インターネット等による広告(同項第5号)等の表示が対象となる(注:「含まれる」?)ところ、映画やドラマのシーンにおける表示も同法の「表示」に該当すると考えられます。/ただし、仮に、「映画等」が「事業者の表示」と判断される場合であっても、映画等のエンドロールにおいて事業者名が記載されている場合については、一般消費者にとって、映画やドラマ内に当該事業者の表示が行われていることが明瞭となっているものと整理しております。そのため、「広告」、「宣伝」、「プロモーション」、「PR」といった文言までは必要ないと整理しております。」
  • ここでの質問は、「単に商品を登場させるケース」を想定していると思われる。日弁連意見書によれば、このようなケースはそもそもステマ規制の対象ではないが、消費者庁は、そのような区別に言及せず、むしろ、このようなケースもステマ規制の対象であることを前提に、それを適法に行いうる方法としてのエンドロールへの事業者名の表示について説明している。

 

ステマ規制の根拠・再考

  • このことを前提とした場合、第1を再考する必要が生じる。単に商品を登場させるケースでは、日弁連意見書が言うように、類型的に商品の内容の誤認を生じさせる蓋然性が高いとも思われるからである。考えられる説明は、さしあたり3つある。
  • 1つ目は、「一般消費者が当該表示であることを判別することが困難であると認められる」表示は類型的に商品の内容の誤認を生じさせる蓋然性が高いのであり、「単に商品を登場させるケース」に限ってはそれが低いという反論は許さないというものである。
    • 白石忠志「景品表示法検討会ヒアリングにおける意見」12頁参照。ただし、個別の事件で商品の内容の誤認を生じさせる蓋然性が高いことを認定する必要があるかどうかと、それがないとする反論を一切許さないことは、一応別と考えられる(委任規定の趣旨に照らした受任規定の解釈といった手法もありうる)。
  • 2つ目は、「第1の問題」に関する上記の仮説がそもそも間違っており、ステマ(表示主体の誤認)は商品の内容の誤認とは関係なく、それ自体が自主的合理的選択を阻害するから規制されるのだというものである。
  • 3つ目は、実はステマGLは日弁連意見書と同じ立場なのだが、パブコメ回答作成時にはそのことを失念してしまい、「単に商品を登場させるケース」と「俳優に商品を推奨する台詞を言わせるケース」の区別を看過し、前者に関する質問(に見える)に対し、後者に関する記述をもって応答してしまったというものである。

 

結論/その他

  • 以上のとおり、プロダクトプレイスメントが規制対象なのかは、少なくとも消費者庁の文書を見る限り、よく分からないように思われる(規制対象ではないというのが常識的な議論なのだろうが)。仮に規制対象ではないとしても、サブリミナルな手法による自主的合理的選択の阻害という観点からは、改めて規制対象に含めることは検討されてよいのではないか(誤認によらない自主的合理的選択の阻害があるということである。なお、仮にそうする場合、法改正が必要となる)。パラダイムシフト専門調査会中間整理が述べているのはそういうことであり、第5回専門調査会では、山本龍彦委員がサブリミナルな手法による意思決定の歪曲を禁止するAI規則5条1項(a)に言及している。
  • プロダクトプレイスメントがステマ規制の対象となる場合、エンドロール(や動画の冒頭、概要欄など)に記載しておけば足りるとしてよいのかどうかは、改めて検討すべきではないか。というのも、そのような記載は、Instagramで大量のハッシュタグに#prを紛れ込ませるやり方(違法とされる)と同様に、表示主体の誤認を払拭する効果はほとんどないと思われる。特にプロダクトプレイスメントは、特にステルス性が高く(インフルエンサーによるステマや口コミの捏造のケースと異なり、推奨行動の外観すらない)、それに対して、エンドロールの記載は、一言一句までは読まない人も多いし、そこに事業者名が記載されていたところで、当該事業者がどのシーンにどのような態様で関与しているかは分からず、それでは自主的合理的選択を回復するには至らないのではないか。
  • 今回、ステマGLで一定の考え方が示されたが、元祖ステマ規制?である放送法12条についても、考え方を整理しておくべきだと思われる。同条は、「放送事業者は、対価を得て広告放送を行う場合には、その放送を受信する者がその放送が広告放送であることを明らかに識別することができるようにしなければならない。」としており、ステマ告示よりも厳格にも見える。

日本の医療法制の超基本

医療データスペース的なものを考える上で、日本の医療に関するレギュレーションの基本的な仕組みが分かる資料があればよいなと思ったのですが、すぐには見当たらなかったので、書いてみました。

 

  1. 医師法は、医師個人に関する法律である。
    • 免許制(2条)、行政処分(7条)、非医師の医業の禁止(17条)、応召義務(19条)、無診察治療の禁止(20条)などが定められている。
  2. 医療法は、医療機関を含む医療提供体制に関する法律である。
    • 医療情報提供制度・医療広告規制(第2章)、医療安全(第3章)、医療機関の開設・管理・監督(第4章)、医療計画その他の医療提供体制確保に関する制度(第5章)、医療法人制度(第6章)などが定められている。
    • 医療法上の監督権限は、主として都道府県知事に割り当てられている。例えば、医療機関開設の届出先・許可権者は都道府県知事であり、医療計画を定めるのは都道府県であり、医療法人の設立を認可するのも都道府県知事である。
    • 医療法は、自由診療と保険診療の区別なく適用される。健康保険法は、保険診療にしか適用されないので、自由診療のみを行う医療機関(美容外科のような)に対しては、本法が主たる規制法となる。
  3. 健康保険法は、保険診療に関する法律である。
    • 健康保険上の健康保険は、健康保険組合などが保険者となり、労働者が被保険者となり、被保険者が保険者に保険料を支払い、保険者が被保険者に現物給付として「療養の給付」を行う、というのが基本的な仕組みである。
    • もっとも、保険者は健康保険組合などであり、彼ら自身が「療養の給付」を行うことは必ずしも現実的でない。そこで、厚生労働大臣の指定を受けた保険医療機関(65条1項)が、「療養の給付」を「担当」する。彼らは保険者と「公法上の契約関係」にあり、厚生労働大臣が定める「保険医療機関及び保険医療養担当規則」(療担規則。70条1項)に従って「療養の給付」を行い、保険者から厚生労働大臣が定める診療報酬(76条2項)を受け取る。
      • 「公法上の契約関係」は保険者と保険医療機関の間に存するにもかかわらず、彼らの間での相対での交渉は行われず、厚生労働大臣が決定した内容・条件で診療が行われることが特徴である。
    • 保険医療機関に対する監督権限は、主として厚生労働大臣に割り当てられ、その一部はそこから各地方の厚生局長に委任されている。厚生局の監査では、医療法などの関連法令の遵守状況も監査対象とされている。
    • なお、保険診療に関する法律としては、他に国民健康保険法などもあるが、基本的には健康保険法とパラレルな仕組みなので、省略する。
  4. 審査支払について。
    • 健康保険法上、保険者は、診療報酬請求の審査・支払に関する事務を社会保険診療報酬支払基金(支払基金)に委託できるとされており(同法765項)、実際上、ほとんど必ず委託が行われている。支払基金による審査は、厚生局の監査と並んで、厚生労働大臣が決定した内容・条件で診療が行われることを担保する手段となっている。
    • 社会保険診療報酬支払基金は、社会保険診療報酬支払基金法に基づき設立され、統治される法人である。その監督は厚生労働大臣が行い、その定款変更(同法42項)、役員の選解任(同法111項)は厚生労働大臣の認可が必要とされている。

 

リピーター医師問題、オンライン診療の法制化、一般社団法人の診療所開設問題、外来医師過多地域での開業制限、美容医療の契約締結ルール(法制化しない理由が謎ですが…)、マイナ保険証・オンライン資格確認、医療DXと支払基金改革などはいずれも、これらのどこかに位置づけられます。

医療法制について詳しく知りたい場合、最近改訂された『病院・診療所経営の法律相談』を参照されるのがよいと思います。

3年ごと見直し追加ヒアリング資料について

個情委の追加ヒアリング資料のうち、板倉先生、曽我部先生、高木先生の資料について、重要だと思った部分を紹介し、青字で感想を書いていきます。ページ番号はPDFのページ番号です。

 

板倉先生

  • 外国法令調査
    • 「いわゆる「各国物」については,単に条文を比較するのではなく,制度趣旨(憲法や関連法令の状況を含む),運用状況を踏まえて,定期的に調査(現地調査を含む)頂くことをお願いしたい。シンクタンクや法律事務所に委託するだけではなく(協力してもらってもよいが),職員が主体的に関与し,知見を貯めて頂きたい。我が国におけるより積極的な会議開催もお願いしたい。その際,データ保護機関,政府機関以外も参加できるセッションが有効と思われる。「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国」(法28条1項),「当該外国における個人情報の保護に関する制度」(法28条2項)の基礎ともなる。」(2頁)。
    • 同感。例えばGDPRの特別カテゴリデータの処理の法的根拠や重大な自動決定の規制は上乗せ規制であり、それらの処理においてもまずは基本原則が重要である(上乗せ規制は担保規定にすぎない)ことが、個情委においては理解されていないのではないか(少なくとも中間整理の時点ではそう見えた)。
  • 自律的ガバナンス?
    • 「「①本人の関与による適正な取扱いの確保」のうち、「当事者間の自主的な規律を重視する」はその通りであろうが、前提として、個人情報・個人データの本人への適切な透明性確保(通知・公表・同意取得の前提の情報提供・「容易に知り得る」事項)が行われていることが必要であり、これらの透明性確保がなされていない、又は不適切である点は個人情報保護委員会…によってしか是正できない。」(5頁)
    • 「②「自立した権利主体としての本人」が揺らいでいることを前提とした議論が必要。「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律」…の議論はこの一例。」(6頁)
    • 同感。なお、
      • 「当事者間」という個情委の表現は適切ではないかもしれない。あくまで処理の当事者は事業者であり、本人はそこに関与(OECDガイドラインではparticipation)する権利が保障されているにすぎない(高木・情報法制研究14号130頁〜135頁参照)。
      • 透明性の欠如と代替困難性(優越的地位にあるとも言い換え可能であろう)は相互に独立な、本人関与による適正性確保を阻害する事由と整理できる。
  • 利用目的の特定
    • 「利用目的の特定の精緻化は明らかに示されている例が乏しいため(2例)、これを拡充することは是非とも必要である。」(7頁)
    • 同感。利用目的による制限は現行法の根幹であり、利用目的の特定はその前提であるところ、現在の個情委はそのことを忘れてしまっているように見える。関連性原則も、現行法の建付けをできるだけ尊重しつつ導入するとすれば、利用目的による制限の条文の解釈を変更するか、これを改正してワンフレーズ書き込むことになるだろう(利用目的による制限には既に関連性原則が含まれているのではないか―公正な採用選考の基本・職安指針・業務要領について - Mt.Rainierのブログ)。EU加盟国当局の法執行においては法的根拠の欠如が理由とされ、基本原則は正面からは問題とされていないことが多いが、日本法がこのまま法的根拠を導入せずに行くのだとすれば、基本原則に相当する利用目的による制限・正確性確保を通じて同等の保護水準を達成する必要がある。
  •  データポータビリティ
    • 「データポータビリティについては、開示請求の電磁的記録での応答で一部加味されているが、互換サービスへの提供を課すのであれば競争政策の観点からの検討が(再び)必要となる。なお、デジタル行財政改革会議(第8回)(令和6年11月12日)【資料3】「デジタル行財政改革の今後の取組方針について」17頁ではEUのPSD3(注:決済サービス指令。日本で対応するのは資金決済法と銀行法の平成29年改正部分)について触れられており、個別分野の施策が適切な場合も考えられる。なお、契約の附随義務に基づく取引履歴の開示請求や人格権に基づく差止請求は既に判例法理により認められているものであり、これらに該当しない何らかの権利を「プライバシー権等の見地から」として「個人情報保護法で」立法する必要性については疑問がある。」(7頁)
    • 同感。なお、競争政策と平成21年判例が認めた取引履歴の開示義務は別物である。後者は契約の性質に基づくものであるため、コンテスタビリティ的な議論に囚われる必要がない。
      • 医療も同じであり、伝統的に個情法上の開示請求権が使われてきたが、医療法で診療契約に基づく診療録の開示請求権への対応を定めるとすれば、死者対応もやりやすくなるのではないか。
  • クラウド例外
    • いわゆるクラウド例外…については、事業者(ないしこれに助言する者)の我田引水的な解釈が目立つ。GDPRに対応したプライバシーポリシーではProcessorであることを自認しているのに、個人情報保護法との関係では「取り扱っていない」と強弁する場面にも遭遇する…。欧州との相互認証にも鑑み、対日本と対欧州での二枚舌は許されるべきではない。「個人データを個人データとして取り扱わない」場合にのみ適用されるとの趣旨を明確にし、類似の場面(記憶媒体の修理、倉庫、宅配等)と合わせて整理すべき。」(10頁)
    • 同感。クラウド例外は第2要件(技術的措置)が決定的に重要であり、第1要件(契約条項)は不要であるし、第1要件による補完を必要とするような取扱いは第2要件を満たすとすべきでない。このように考えると、CSPの取扱いを否定できるのは、ユーザーが暗号化し復号鍵をユーザー側で保持するようなケースに限られるはずである(クラウド例外に関するいくつかの疑問 - Mt.Rainierのブログ)。
  • 要配慮個人情報
    • 「①要配慮個人情報についての上乗せ規定自体は必要性を認めるが、現在、ほぼ取得規制のみで規律していることが効果的であるかは疑問がある。法28条やGDPR9条2項各号のような取扱いに関する上乗せ規定が適切ではないか。」(12頁)
    • 同感。ただし、
      • 上記のとおり、要配慮個人情報においても(GDPRの基本原則に相当する)利用目的による制限・正確性確保が重要であることに留意すべきである。仮にそれらでは足りないと思われるのであれば、利用目的による制限・正確性確保の条文・解釈が不十分である(過小規制になっている)可能性をまずは検討すべきである。
      • 28条に関しては、その後の安全管理措置の解釈の展開(外的環境把握)も考慮すると、第三者提供規制の特則として位置づけることの合理性は失われているのではないか。GDPRでもそうはなっていない。
  • 生体データ
    • 法2条2項1号の個人識別符号だとすると、本人関与規制に期待するのは無理がある。」(12頁)
    • 仮に要配慮個人情報規制を及ぼす場合、同意原則が採用されるが、同意概念自体が希釈化されていること(極めて形式的な同意で足りるとされていること)、法執行活動であれば法令に基づく場合に該当するとされることから、ほとんど意味がないと思われる。生体データを要配慮個人情報に含めることに積極的に反対はしないが、重要なのは利用目的による制限・正確性確保であり、その実効性確保は本人の権利行使ではなく個情委の監視監督権限行使によることになる。
  • その他
    • 公的部門の規律の見直し(2頁)、個情法のスコープ(3頁)、基本原則(3頁)、個人データ概念への統一(5頁)、統計利用(8〜9頁)、Cookie(11頁)、保護法益のトリアージ(11頁)について同感。

 

曽我部先生

  • 形式的ルールの限界
    • 「こうした(注:形式的ルールを基調とする)アプローチには限界がある。第1は過剰規制であり、第三者提供をしても弊害がないような場合にも形式的ルールには抵触してしまう、といった場合がそれに当たる。他方、それを避けるために同意の概念を大きく拡張してしまうのは、同意を要求した趣旨を没却しかねず問題であろう。…第2は過少規制であり、形式的ルールに課される規律の負担を避けるために、cookieが個人情報とはされず、民間の各種番号も個人識別符号とはされていないなど、個人情報の範囲が諸外国と比較して狭くなっている。」(99頁)
    • 同感。
      • 6月ヒアリングでは同意の希釈化に積極的(affirmative)な意義を見出すようなニュアンスの発言をされていたようにも見えたが、今回述べられていることが適切であろう。
      • 「第2」では、Cookieが個人情報に該当しないとする不合理な解釈(形式的には個人情報の定義規定中の「特定の」個人の解釈)を改めることができないでいる理由が、過剰な第三者提供規制であることが的確に指摘されている。
  • 自律的ガバナンス?
    • 「「参考4」の1では、現行法が「当事者間の自律的なガバナンスを重視する」ものだと位置づけている。現行法をそのように理解することは1つの考え方だが、それによって現行法のあり方を正当化しようとするのであれば賛成できない。第1に、ダークパターンのような問題以前に、もともと個人情報取扱事業者と本人との間には情報の非対称性や交渉力格差があり、「当事者間」という語が想起させるような対等な関係ではない。第2に、個人情報の不適切な取扱いによって本人に生じうる不利益はリスク段階であることも多く、本人がガバナンスのための権利を行使するインセンティブに欠ける。特に、訴訟提起という手段はコスト面で期待できない。要するに、「当事者間の自律的なガバナンス」が成立する前提を欠いているのであり、「当事者間の自律的なガバナンス」を基調とする制度は妥当ではなく、事業者と本人との格差を埋める手段が不可欠である。それは、委員会による法執行であり、民間団体による差止請求である。また、本人が開示等請求をした場合に事業者が応じない場合には、委員会がADR的な機能を提供するなどのことも考えられる。なお、以上の点はこどもについてはより一層重要となろう。」(100頁)
    • 同感。本人の権利行使と個情委の監督権限行使は相互補完的なエンフォースメントの手段であることが的確に指摘されている。そのような補完(特に個情委による補完)が必要とされる理由の指摘も重要であり、このことを的確に理解することが、個情委が重点的にリソースを配分すべき分野・プラクティスを特定する前提となる(端的に言えば、リスクの程度や権利侵害の広がりとともに、本人の権利行使が機能するか(どの程度機能するか)がリソース配分を決定する上での重要な考慮要素であり、市場支配的事業者、教育機関、法執行機関等を優先的な監督対象とすべきである)。
  • 課徴金
    • 「課徴金制度の導入は必要だと思われる。最近、保険会社等大企業による悪質な個人情報の利用事案が相次いでおり、課徴金導入の立法事実を提供している。課徴金の導入によって大企業のインセンティブ構造を変えることができるし、さらに発展させてリーニエンシー制度も導入できれば、さらに効果が期待できる。」(101頁)
    • 概ね同感だが、リニエンシー(課徴金減免制度)については(課徴金自体の正当化根拠と別に、かつ課徴金の要件・金額の算定方法を考慮した)議論が必要だと思われる。すなわち、
      • リニエンシーは、平成17年独禁法改正において初めて導入されたが、このときは、ハードコア・カルテルを発見するため、囚人のジレンマ状況を人為的に作り出すことに主眼があった。その後、令和5年平成26年改正景表法によりリニエンシーが導入された。景表法違反は基本的に単独行為なので、ハードコア・カルテルとは状況が異なるが、なお違反の発見が目的とされていたのかもしれない。これに対し、個情法ではもともと漏洩報告が義務付けられており、その対象に違法な第三者提供を含めることも提案されている。そうだとすると、義務を履行すると課徴金が減免されるという建付けは取り得ない可能性がある。
      • また、独禁法においては、令和元年改正により減免制度の改革がなされたが、これは、不法利得剥奪論の下で構築された非裁量的課徴金制度について、裁量的課徴金制度への全面的な移行というドラスティックな改革を回避しつつ、違反事業者に調査への協力(と言うと受け身に聞こえるが、実際には多額の費用を投じてデジタルフォレンジックと弁護士によるヒアリングを実施し、総括し、公取委に報告することである。)へのインセンティブを導入しようとするものである。翻って、個情法においてはそもそも不法利得剥奪論はなじまない可能性があり、そうだとすると、正面から調査協力を考慮して課徴金を算定すればよいようにも思われる。

 

高木先生

  • 自律的ガバナンス?
    • 「このように、データ保護法制は、独立データ保護機関の介入と本人関与の両面からなるガバナンスの仕組みと理解するべきである。」(70頁)
    • 漏えい報告を受け安全管理の指導をする程度であれば、所管する業界の事業者を監督する主務大臣制で足り、独立データ保護機関を設ける必要性がない。実際、平成15年法では、法の趣旨がその程度のものと考えられていたようである。」(69頁注10)
    • 同感。個情委が言及している「利用目的の公表を通じた社会におけるモニタリングを通じて規律されること」は、個情法制定時(平成15年)の思想である(なお、そこでいう「社会」とは個人の集合に他ならない)。しかし、そのモデルには(板倉先生、曽我部先生も指摘していたような)様々な限界があり、立法者はそのように認識したからこそ、平成27年改正によって個情委を設立した。個情委は自らに課せられたそのような役割を、よく理解するべきである。
  • 児童データ
    • 「再検討視点1③(注:ヒアリング対象の文書。個情委によるもの。)は、本人関与(これには上記の開示等の他に本人同意が含まれる)が必ずしも期待できない、子供を本人とする個人データ(子供データ)について、「その足らざる部分を補完する仕組みの導入は必要か」と問うている。その答えは、本人関与の機会がなければ法の目的を達成できないような個人データの処理は完全に禁止することである。」(71頁)
    • 「なお、上記…は、許されるべき必要な個人データの処理を不可能にするものではない。現行法において、本人同意を要する処理が禁止となるが、それは、本人同意を要する現行法の規定が過剰規制なのであって、そこから是正すべきことである。」(71頁)
    • 同感。補足すると以下のとおり:
      • EU法においては、同意は処理の法的根拠の一つとされるが、自由な意思に基づくものでなければならず、代替困難な地位にある場合(ガイドラインではimbalance of powerと表現されている)、サービス提供の条件とされる場合には同意は無効とされる。また、同意はいつでも撤回可能なものとされる。一方で、他の法的根拠として、契約締結・履行や、正当な利益がある場合が規定されており、これらによって正当化される処理は、同意を得る必要がない。
      • 日本法では、内部利用については、そもそも法的根拠のようなものは必要ないが、第三者提供については、法的根拠のようなものが必要とされている。しかし、そのリストはGDPRの法的根拠のリストよりも狭く、特に契約締結・履行や正当な利益が存在しない。このため、EU法であればそれらで処理されるような第三者提供が、同意(や財産保護)で処理されている。その結果、同意概念が極めて希釈化されてしまっている。
      • 日本法に契約締結・履行や正当な利益を導入した場合、同意を「正しく」解釈適用することが可能になる。そのような解釈の下での同意は、ターゲティング広告のような、必須ではない個人データ処理にのみ用いるべき法的根拠(と呼ぶかはさておき)となるから、これを禁止したところで、大きな問題はない。
      • なお、上記のとおり、日本法では、内部利用については、そもそも法的根拠のようなものは必要ないため、仮に「本人関与の機会がなければ法の目的を達成できないような個人データの処理は完全に禁止する」場合、どのような建付けとするかは検討を要する。個人的には第三者提供規制と不適正利用禁止規定を廃止し法的根拠で置き換えればよいと考えているが、そうしない場合、同意の解釈適用を厳格化するだけでは、そもそも同意が要求されていない内部利用を統制することはできない(端的に禁止規定を設けることになるであろうか)。
  • 取扱いの正当性を裏付ける基準?
    • 「再検討視点1⑤は、本人関与による規律に依存しない(個人データ利用の適正性を担保する)方法として、取扱いの正当性を裏付ける基準を導入するアプローチの是非を問うている。その答えは、前記①で述べたとおり、データ品質の原則(特に関連性の要件)がその基準である。」(72頁)
    • 同感だが、それに加えて以下のように考えた:
      • 関連性が何を意味するのか(特に「役に立つが当該データは使うべきではない」というときの関連性とは何なのか)は必ずしも明らかではない。EU加盟国も、このことが影響してか、Data minimisation単体での法執行は少なく、しばしばその代わりに法的根拠の欠如に依拠した法執行を行っているように見える(法的根拠が代理変数となっているように見える)。仮にそうだとすると、法的根拠を導入するのは一つの選択肢なのではないか。個情委が言う「取扱いの正当性を裏付ける基準」は法的根拠を念頭に置いているようにも見える。
  • 開示請求・データポータビリティ
    • 「個人情報保護法の開示請求権は、第一義的には、「データ利用の適正性の確保」のために訂正請求や利用停止請求を行う際の準備を可能にするものとして用意された制度であるが、副次的保護利益(前掲注5)としての「自己の情報を知る利益」をカバーする意義も併存しているといえる。例えば、医療分野において、患者が自身の診療録の開示を医療機関に求めることは、診療録の内容が適切かを確認するという趣旨(核心的保護利益のための開示の趣旨)を超えた「自己の情報を知る」ことそれ自体の意義があると考えられ、他の制度でカバーすべきものかもしれないところ、日本法では現在のところ、個人情報保護法の開示請求権がカバーしている。個人情報保護法では死者の診療録が開示対象とならないことがしばしば問題となるが、その必要性があれば、個人情報保護法ではなく他の制度でカバーするべきではないか。同様に、データポータビリティについても、個人情報保護法でカバーする必要はなく、他の制度でカバーすればよいと考える。」(73頁)
    • 「英国法では、Data Protection ActとAccess to Health Records Actの双方でカバーしており、死者の記録については 後者で対応している」(73頁)
    • 板倉先生が指摘されているとおり、取引履歴の開示は預金契約上の義務として判例上認められており、これと同様に考えれば、診療録の開示も診療契約上の義務として認められるように思われる。これを前提に、各業法(銀行法、医療法)上の義務としても位置づけ(つまり当局の監督対象とす)ることは可能である。そうする場合、「生存する個人」に限る必要性もなくなる。
  • 本人同意
    • 本人同意については、日本法では、同意による規律は、第三者提供時の同意、目的外利用時の同意、要配慮個人情報の取得時の同意の場面に現れるところ、これらの行為のその先で起きること…は、一般には不確かであり、「本人への影響が具体的に見込まれる状況でない場合」(注:個情委はそのような場合には本人関与は不要ではないかとしていた。)か否かは不明の状況である。これらの同意による規律は、それらが不明であるがゆえに、同意なしには認めない規制が課されているわけであるが、本人の立場からしてみれば、同意した結果どうなるのか見通しがない中で、同意するか否かの選択を迫られても判断のしようがないという問題がかねて存在する。」(75頁)
    • この指摘は、日本法にはインフォームドコンセントの観点が欠けている可能性を示唆している。同意を「正しく」解釈適用する場合、そのような同意は無効とすべきである。そしてこのように考えると、結局、同意というのはあってもなくてもよいような処理においてしか積極的意味を持ちえないのだと思われる。
  • 第三者提供規制の緩和
    • 「目的外での提供だけでなく目的内での提供をも本人同意を原則とする日本法の民間部門の規律は過剰規制となっている。日本法の民間部門がそのような規律とせざるを得なかったのは、平成15年法の立法時に、急激な新規制の導入に伴う事業者への配慮として、利用目的を特定する義務を大まかな特定で構わないとされた結果、その代わりに第三者提供を原則禁止とせざるを得なかったものである。したがって、「利用目的の特定」を十分に詳細なものとし、「第三者提供時の利用目的拘束」の仕組みを設けることを前提に、EU法でいうところの「契約の履行」に基づく場合に相当するような、「提供を当然のものと思うなど躊躇が想定されない場合」(注:個情委はこのような場合に第三者提供規制を適用しないことを提案していた。)といえるだけの限定された特定の利用目的の場合に限って、「第三者提供を禁止する必要のない類型」とすることは妥当である。」(76頁)
    • 先に述べたとおり、利用目的による制限は現行法の根幹であり、利用目的の特定はその前提であり、その特定を十分なものとすることは是非とも必要である。その方法として、ガイドラインを充実させることも考えられるが、個別性が高いため、実態調査を行い、十分な例と不十分な例を示すことも考えられる。また、利用目的拘束を伴う第三者提供については、個人的には第三者提供規制自体廃止して法的根拠に置き換えてしまってはと考えているが、そうしない場合、傾聴すべき提案だと考える。
  • その他
    • 決定の目的とデータ項目の公表(70頁)、ダークパターンは本人同意を阻害する要素であること(71頁)について同感。
    • 利用目的変更時の関連性(EU法ではincompatibleでないこと)は本質的ではないという指摘(71〜72頁)は確かにと思った。変更後の利用目的が変更前の利用目的と関連していなければ、利用目的と個人データの関連性は失われる可能性が高く、そのような利用目的の変更は予防的に禁止するが、それによって変更後の利用目的と個人データの関連性が担保されるほどのものではない、ということになるだろうか。
    • 要配慮個人情報についての「データ品質の原則(OECDガイドライン第2原則)の法制化がなされた暁には、特別カテゴリ、すなわち要配慮個人情報の類型は、本法にとって必要でないということになる。しかし、EUの状況を鑑みるに、特別カテゴリを廃止すればGDPRの十分性認定は維持できないだろうと予想されるので、何らかの形で残すことは避けられないと考える」(79頁)、生体計測的データ(biometric dataを生体データと訳すべきでないことについて80頁)についての「中間整理では、「どのようなサービスやプロジェクトに利用するかを含めた形で利用目的を特定することを求めることが考えられる」などと記載しているが、そのようなことは全ての個人データに対して求めることである。また、「本人がより直接的に関与できる必要がある」として、「事後的な利用停止を他の保有個人データ以上に柔軟に可能とすることが考えられる」などとも記載しているが、それで問題が解決するとは思えない。…やったふりだけの実効性のない規制になるなら今はやめておくべきである。」(80頁)は思わず笑ってしまったが、妥当な指摘だと思われる。
    • 上記に関連して、職安法3条が特定の属性による差別を禁止しているように見えて、実は関連性を問題としている可能性について、利用目的による制限には既に関連性原則が含まれているのではないか―公正な採用選考の基本・職安指針・業務要領について - Mt.Rainierのブログ。データの内容ではなく文脈(≒当該データが処理される目的との関連性)が重要であることについては、高木・情報法制研究16号112〜121頁参照。

2024年のデジタル政策を振り返る

2024年は、デジタル社会の実現に向けた政府の取り組みが本格化し、さらなる制度的変革への準備も進んだ年だったと感じています。本記事では、この変革期における日本のデジタル政策について、できるだけ相互の繋がりが分かる形で整理していきます。

 

 

サイバーセキュリティ

サイバー安全保障法制の準備状況

この分野における最も大きな動きは、サイバー安全保障法制の検討だと思われます。内閣官房に設置された有識者会議で検討が行われ、11月末に報告書が出されています。報告書では、情報収集・共有、トラフィック情報の分析、C&Cサーバ等のテイクダウン等、NISCの発展的改組(国家サイバー統括室?)の設置が提言されており、来年の通常国会に法案が提出されるものと思われます。なお、報告書は「デジタルインフラ」に言及していますが、NIS 2指令ではクラウドサービスがこれに含まれています。

関連して、通常国会で、港湾を基幹インフラに追加する経済安保推進法改正が行われ、重要経済安保情報保護活用法(「セキュリティクリアランス法」)が成立しています。医療の基幹インフラ指定は見送られてきましたが、12月、追加に向けた検討を行うとされています。

上記と並行して、NISCに設置された検討会で、「一定の社会インフラの機能としてソフトウェアの開発・供給・運用を行っている事業者」向けのガイドラインの検討が行われており、広範囲に影響する可能性があります。

個別分野では業法に基づく監督にセキュリティを組み込む取り組みが進んでいます。通常国会における地方自治法改正でセキュリティに関する規律が設けられ、金融分野では10月にサイバーセキュリティガイドラインが公表されています。

 

サイバーレジリエンス法施行とJC-STAR

また、EUでは12月、IoTデバイス等のセキュリティと脆弱性・インシデント管理態勢を求めるサイバーレジリエンス法が施行されました。日本では9月から任意のIoT製品に対するセキュリティ要件適合評価・ラベリング制度(JC-STAR)が開始されていますが、セキュリティについて消費者の選択が機能するかは未知数であり、法制化に進む余地も残されているように思います。

 

組織犯罪対策

トクリュウ、詐欺・強盗対策

組織犯罪対策においては、匿名・流動型犯罪グループ(トクリュウ)による犯罪が深刻化しており、国民を詐欺から守るための総合対策(6月)、いわゆる「闇バイト」による強盗事件等から国民の生命・財産を守るための緊急対策(12月)に基づき、SNS(広告媒体としての/情報流通プラットフォームとしての)、通信サービス、金融機関、雇用仲介事業者(バイトアプリ)、名簿業者など広範な分野に影響が及んでいます。特に雇用仲介業者については、自民党政調会が職安法改正を提言しており、来年改正が提案される可能性があります。

 

携帯法・犯収法上の本人確認におけるICチップ強制・JPKI一本化

詐欺対策の文脈で、携帯法・犯収法上の本人確認方法としてICチップを利用しない方式を原則として廃止する方向で検討が行われています(携帯法については第6回不適正利用対策に関するWGの資料参照)。政府は最終的にはJPKI一本化を目指しており、今後も継続的な見直しが行われるものと思われます。

 

オンラインカジノ対策―顧客の摘発

上記と並行してオンラインカジノ対策が進んでおり、昨年の決済代行の摘発に続き、アフィリエイターの書類送検(9月)、顧客57人の書類送検(9〜11月)、顧客の逮捕(12月)と摘発が進められています。決済代行の摘発により、暗号資産による決済が広まっていましたが、警察もブロックチェーン分析ツールを用いて捜査を進めているようです。

 

サイバー警察・金融庁の体制強化

以上の取り組みを支える体制として、2022年に初めて国家警察(警察庁関東警察局)の実働部隊として設置されたサイバー特捜隊がサイバー特捜部に格上げされ、金融庁では、マネロン室が金融犯罪対策室(金犯室)に改組されています。

 

デジタルID・トラストサービス

eIDAS 2規則の制定

EUでは4月、eIDAS 2規則が成立しました。同規則は2016年のeIDAS規則を改正するもので、加盟国にデジタルウォレット(EDIW)の提供を義務付けるものです。11月にはEDIWの具体的な要件を定める5つのimplementing actsの案が公表されています。

 

マイナ保険証、マイナ免許証、マイナカードのリニューアル

日本ではマイナ保険証が開始され、ICチップ読み取りが原則として強制されています。来年3月には任意のマイナ運転免許証の運用開始が予定されています。また、マイナンバーカードのリニューアルも準備されており、3月、検討会の取りまとめ案が公表されています。

 

マイナンバーカードのiPhone搭載

上記と並行して、マイナンバーカードの券面のiPhone搭載が準備されており、来年春リリース目標とされています。券面以外の機能の搭載の準備状況は不明ですが、署名用電子証明書・利用者用電子証明書が搭載されればJPKI一本化への大きな一歩になると思います。

 

行政機関本人確認ガイドラインの改定に向けた準備状況

デジタル庁では、昨年に引き続き有識者会議において行政機関本人確認ガイドライン改定に向けた検討が行われており、来年3月までに取りまとめを行うこととされています。

 

電子署名法認定基準の現代化、eシール認定制度

いわゆるトラストサービスに関しては、電子署名法上の特定認証業務の認定基準の現代化が検討されています。また、eシールについては2021年に指針が公表されていますが、任意の認定制度を設ける第2版が公表され、現在、業務規程の策定に向けた検討が行われています。

 

個人データ保護・利活用

3年ごと見直し

個情法については、2回目の3年ごと見直しが行われています。6月に中間整理が公表され、その後、課徴金・消費者団体訴訟制度の検討(有識者による検討会)と義務規定の見直しの検討(個情委によるヒアリング)が並行して行われ、12月に報告書案ヒアリング資料が公開されています。7月の体制入れ替え前の事務局の動きと検討会の仕切りがうまくなく、その影響が現在も解消できていない印象があり、今後の動きに注目したいと思います。

 

個情委の監視監督活動

監視監督活動は引き続き、漏洩を中心に行う方針が取られています。公表された内部不正事案としてはNTTマーケティングアクトProCXらの件(1月9月;持ち出し;実行犯は有罪判決)、NTTドコモらの件(シャドーIT)、四谷大塚の件(本質的には性犯罪;実行犯は有罪判決、法人は両罰規定で書類送検されたものの起訴はされていません)、電力会社の件(本質的には電気事業法上の公正競争ルール違反)、過誤事案としては長野県教育委員会の件(サポート詐欺に遭った教員がRDPをインストール)、宮崎県綾町の件(公開設定の誤り)、高松市の件(富士通Japanの過誤に起因する誤交付)、外部攻撃の事案としてエムケイシステムの件(ランサムウェア)、LINEヤフーの件(3・57月10月)(不正アクセス)があります。なお、他にイセトーの件、KADOKAWAの件が知られていますが、これらについては行政指導は公表されていません。また、7月には個情委自身がメールの誤送信を公表しています

闇名簿対策ではオプトアウト届出事業者に対する行政指導・報告徴収が行われ、その後、中央ビジネスサービスが虚偽報告で書類送検されています(NTTマーケティングアクトProCXらの件の捜査で虚偽報告が判明したものと思われます)。

注意喚起としては、クラウドサービスに関する注意喚起不正アクセスに関する注意喚起人事労務管理サービスに関する留意点公立病院のレセプトデータ等に関する注意喚起が公表されています。

個人的には、レセプトデータの件や教育データ利用の件(後述)は、委託関係の解釈が分かりにくすぎることも一因なのではないかと思います。また、本来個情法の根幹は利用目的による制限であり、そちらについても実態調査を行いつつ法執行を行ってはと思います。

 

公的機関による個人データ処理

標記に関して、不適正な教育データ利用大垣警察署市民監視事件無罪確定者の指紋・DNA型データ抹消の件国税のAI活用の件(実態は不明です)などが報じられました。個情委は、昨年のマイナンバーの紐づけ誤りの件を除いて(少なくとも表立っては)公的機関に対する監視権限を行使していませんが、上記のような本人による適正化が期待できない場面でこそ個情委の役割が重要になるはずであり、個人的には、このような分野にこそ優先的にリソースを投入すべきではと思っています。

 

データ法・Data Spacesとデータ利活用制度の準備状況

EUではデータ戦略の下に法整備が行われており、今年1月にはデータ法が施行され、今年4月には、European Data Spacesの一つである欧州医療データスペース規則(EHDS)について理事会と欧州議会の政治的合意が成立しています。日本では、内閣官房で今年11月以降、制度の検討が行われており、12月、医療、教育、金融を念頭に論点一覧が公表されています。

 

GDPR:ガイドラインと制裁金事例

EDPBからは、処理者に関する意見書正当利益に関するガイドラインAIモデルの開発・利用に関する意見書が公表されています。なお、AIモデルの開発について、12月にイタリア当局がOpenAIに制裁金を課しています(昨年一時サービス提供の停止が命じられた件です)。

制裁金事例としては、Amazon France Logistiqueの件Clearviewの件Uberの件Metaの件LinkedInの件などがあります。Metaの件はセキュリティの事案(ユーザーのPWを平文で保存していた)ですが、Amazon、Clearview、LinkedInの件では基本原則(特にdata minimisation)や法的根拠の欠如が理由とされており、日本法の立案・運用においても参考にすべきと思われます。Uberの件のような越境移転の事案は、加盟国当局が最も積極的に法執行を行ってきた分野です。

 

米国:APRAとDOJガイドライン

米国では超党派で米国プライバシー権法(APRA)が提案されており、成立する可能性があるとされています(が前回もそう言われてましたね…)。また、DOJが法執行と市民権に関するAI使用に関するガイドラインを検討中と報じられています。

 

AI規制

EU:AI規則の制定と行動規範の準備状況

EUでは5月、AI規則が成立しました。2020年の欧州委員会案からの最も大きな修正点は、OpenAIやGoogleのような汎用AIへの対応であり(欧州委員会案は使用目的に応じた規制を課すものであるため、そのままでは汎用AIは規制対象とならない可能性がありました)、汎用AIモデル全般と最先端の(「システミックリスクを有する」)汎用AIモデルについて、段階的に規制を課すこととされました。

AI規則、特にハイリスクAIシステム規制と汎用AI規制は、大枠のみを定めており、詳細は認証基準、行動規範、ガイドラインに委ねていますが、12月、汎用AIに関するCode of Practiceの第2草案が公表されています。

 

日本:AI事業者ガイドラインとAI基本法?

日本においては、4月に任意のAI事業者ガイドラインが公表され、その後、法制度について内閣府で検討が行われてきましたが、12月、研究会の中間取りまとめ案が公表されています。法制度による対応が明記されているのは司令塔組織(AI戦略本部?)の設置・権限付与、実態調査への協力の求め、インシデント報告であり、個人的にはサイバーセキュリティ基本法プラスアルファのような法律を想定しており、EU法と対置されるプロ・イノベーションな制度モデルを提示しようとしている印象を持っています。

なお、AI規制のハーモナイゼーションにおいては、G7が重要な役割を果たしてきましたが、来年、外務省経済局にデジタル、AI等の外交戦略立案を担当する課を設置することが報じられています。

12月には、総務省に「行政通則法的観点からのAI利活用調査研究会」が設置されており、今後検討が行われるものと思われます。

 

米国:大統領令とFTCの欺瞞的慣行に対する法執行

米国においては、昨年、国防生産法に基づく報告要求を含む大統領令が発せられています。一方、今年、FTCは、AIを使用したサービスの性能等に関する欺瞞的行為・慣行に対する法的措置を取っています(一連のオペレーションに関するリリース保安システムに関する件顔認識ソフトに関する件)。個人的には、AIを用いたサービスについては、AIを使用したからといって実現できるわけではないことをできるかのように宣伝したり、AIとは言い難い処理(例えば単なる若干複雑なルールベースの処理)をAIと称するすることが横行している印象を持っており、独禁法・景表法の運用においても参考とすべきではないかと思います。

 

競争政策(デジタル分野)

スマホ法ー日本のBig tech規制

この分野における最大の動きは、「日本のBig tech規制」として知られるスマホ法の制定だと思われます。5月に法律が成立し、検討会でのヒアリング・検討を経て12月に政省令が公表されており、指定基準は4種類のソフトウェアともMAU 4000万人以上とされ、AppleとGoogleが指定される見込みとされています。今後公表されると思われるガイドラインの内容が注目されますが、個人的には理論的整理にも関心を持っています。

 

3年目の透明化法―権限行使の本格化と3年後見直し

透明化法については、令和5年度報告書について6月からモニタリング会合においてヒアリング・検討が行われ、12月、大臣評価案が公表されています。また、ヒアリング・検討の過程でAmazon、Apple/iTunesに対し取引条件の開示に関する勧告、公取委に対しAmazonに関する措置請求が行われています(同法は透明性については自己完結し、公正性については独禁法に委ねる作りになっています)。

また、12月、施行3年後見直しに関するパワポ資料が公表されており、規制強化・分野の追加等が検討事項とされています。

なお、デジタル広告については、総務省が新法を提案する可能性がありますが(後述)、まずは透明化法に基づく大臣評価で対応するようです。

 

独禁法に基づく調査・法的措置

独禁法の執行活動としては、Googleに対し、4月、検索連動広告に関する供給拒絶について確約認定が行われましたが、12月、Androidの端末メーカーとの取引に関し排除措置命令を発する予定であることが報じられています。MCデータプラスの件は、クラウドに関する初の処分事例と報じられています(ただし取引妨害の事案であることに留意)。

処分に至っていない案件としては、VISAの件VMwareの件Amazonの件が報じられています。VISAはIRFの標準料率の(恣意的)設定を通じた他社オーソリシステムの排除、VMwareは抱き合わせ(急激なライセンス料引き上げが報じられていますが、そちらではないようです)、Amazonはカートボックスへの表示(cf. 「他の出品者」としての表示)の条件としてのMFNに関するものです。Amazonの件は透明化法に基づく措置請求を受けて立入検査が行われたもので、出品者からの情報募集が行われています。

実態調査としては、3月にコネクテッドTV等の実態調査報告書が公表され、10月には生成AIに関する情報募集が開始されています(公取委のディスカッションペーパー付き)。後者について、世界的にはNVIDIAの濫用行為が問題とされており、今後の動きが注目されます(個人的にはこちらやVMwareの件こそが「クラウド市場における寡占」の本筋ではと思います)。

なお、これらのデジタル分野における競争政策を支える体制として、来年度、公取委に局長級のデジタル・国際総括審議官を設置し、50人規模のチームを設置することが報じられています。

 

欧州委員会のTFEUの執行状況―制裁金・確約認定、Google Shopping事件判決、排除ガイドライン

EU競争法(TFEU)の執行案件としては、Appleの件(3月)(アンチステアリング条項;Spotifyの申立てに基づく)、Microsoftの件(Office 365へのTeamsの組み込み;Slackからの申立てに基づく)、Appleの件(7月)(サードパーティアプリにNFCへのフルアクセスを認めていなかった件)、Metaの件(自己優遇?)などがあります。

8月には排除型支配的地位濫用に関するガイドライン案が公表され、9月にはGoogle Shopping事件のECJ判決がなされています(欧州委員会の勝訴)。ガイドライン案は前半は日本の排除型私的独占ガイドラインに類似の構成になっていますが、後者で排他的取引を目的としない条件付きリベート、複数製品リベート、自己優遇(価格以外の方法による点で略奪的価格やマージンスクイーズと区別されています)、アクセス制限(完全な拒絶ではない点で供給拒絶と区別されています)が扱われています。

 

欧州委員会のDMAの執行状況―Gatekeeperの指定、iOSの機能開放

DMAに関しては、iPad OS, BookingをGatekeeperとして指定し、iMessage, Bing, Edge, Microsoft Advertising, X Ads, TikTok, X (online social networking service)を指定しないことを公表しており、これらの結果、Google, Amazon, Apple, Booking, ByteDance, Meta, Microsoftの7社がGatekeeperとなっています。

iOS (iPhone)は既に規制対象サービスとして指定されていますが、欧州委員会は、通知、自動Wi-Fi接続、AirPlay、AirDrop、自動Bluetoothオーディオ切り替えの開放を提案しています。日本のスマホ法では「スマートフォンの動作に係る機能」(7条2号)がこれらをカバーしているようにも見え、公取委が上記の提案をどのように参考にするのかが注目されます。

 

米DOJの対Big tech訴訟―Google検索訴訟など

米国ではDC連邦地裁でのGoogle検索に関する訴訟において、8月に違反を認める中間判決がなされ、現在、救済(remedy)として何を命じるべきかが審理されています。本件は、GoogleがGoogle検索をデフォルトとすることについて、Appleほかに多額の金銭を支払っていたもので、DOJは支払いの禁止に加えてChromeとAndroidの売却を提案しており、一方、Appleは支払いの禁止により損害を被るとして共同被告としての参加を申し立てています。

他には、Google広告、Apple、Visa、Meta、Amazonの訴訟が係属しており、それぞれkiller acquisition、競争者排除的な効果を持つペナルティ・リベートなどが問題とされています。これらの訴訟は公取委の被疑違反行為の選択(や欧州委員会のTFEU・DMAの運用)にも強い影響を与えているものと思われます。

 

FTCの動き―Click-to-cancel規則、虚偽のレビューなど

FTCは(AIの箇所で言及した欺瞞的行為・慣行のほか)サブスクリプションサービスの解約を困難とする行為に関し、Adobeを提訴し、さらにFTC規則(Click-to-cancelルール)を採択しています。ただし、トランプ政権下では、同規則に反対していたファーガソン委員が委員長に就任予定であり、同規則も破棄される可能性があります。

また、同委員会は、虚偽のレビューを禁止する規則を公表し、虚偽のレビューの作成サービスを提供していた企業に対する行政命令を発しています。昨年の景表法の見直しに当たっては、広告主以外の者を規制対象に含めることは中長期的課題とされていますが、悪質な広告代理店の存在は日本でも指摘されており、FTCの実務は当該中長期的課題の検討に当たって参考とすべきと思われます。

 

消費者政策(デジタル分野)

「消費者法制のパラダイムシフト」、取引DPF消費者保護法3年後見直し

消費者政策においては、具体的な法改正やその準備は行われていませんが、消費者法制度のパラダイムシフトに関する専門調査会(10月に中間整理が公表)、デジタル社会における消費取引研究会で検討が行われています。

来年は取引DPF消費者保護法の施行3年後見直しの時期であるため、制定時に「さらなる検討」を行うとされたCtoC取引を含め、何らかの改正に向けた動きがある可能性があります。EUではAliExpressTemuがDSAに基づく調査対象とされていますが、「日本版DSA」である情プラ法はECサイトは基本的にカバーされておらず、特商法を含めた改正が検討される可能性もあるように思います。

 

景表法に基づく措置命令ーステマ広告規制の新展開

景表法の執行活動として、12月、大正製薬に対する措置命令が行われています。同社が依頼して行ってもらったInstagram投稿をそのことを明示せずに口コミとして引用したもので、FTCが問題視している虚偽のレビューと似た状況に対処しています。なお、この措置命令はステマ告示に基づくものですが、このような運用を考えると「ステマ告示」という略称はやめたほうがよいのかもしれません(「主体誤認表示」とか?)。

 

デジタル金融

資金決済法改正の準備状況ーWG報告書に載ったこと、載らなかったこと

資金決済法改正について、金融審WGで検討が行われ、12月に報告書案が公表されており、来年の通常国会に資金決済法改正が提案されるものと思われます。

報告書案では、クロスボーダー収納代行が一定のものを除き為替取引に該当する旨の確認規定、暗号資産の媒介限定の業の新設等が提案されている一方、当初報じられたBPSPについての記載はありません(貸金業該当性について考慮要素が簡潔に示され、貸金業法の柔構造化が中長期的課題とされています)。

一方、当初報じられた暗号資産の金商法移行については、非公開で勉強会が行われており、来年の特別国会(あるいはそれ以降)に法案が提出されるものと思われます。

 

DMM BitcoinにおけるBTC流出

5月、DMM Bitcoinから482億円相当のBTCの漏洩が発生し、9月、業務改善命令が行われ、この時点では原因不明であったものの、12月、FBI・警察庁などが共同で、Lazarusの一部であるTraderTraitorが、ウォレットを開発・提供するGincoの従業員に対するソーシャルエンジニアリングおよびセッションハイジャックの手法で暗号資産を窃取したとするパブリックアトリビューションを行いました。今後、Gincoの従業員(の端末)がなぜ暗号資産を移転できる状況にあったのかが調査されるものと思われ、その結果次第では暗号資産交換業者全般の管理(暗号資産の)・委託先管理の実務や監督に影響が生じる可能性があります。

 

BaaSの広まりと監督上の問題

銀行代理業は2006年に導入された制度ですが、近年、オンラインで、代理業者独自のUIで、代理業者独自のサービスを付加して提供するケースが増えており(BaaSと呼ばれています)、4月にはJRE Bankがローンチされています。一方で、11月にはヤマダNEOBANKが年利実質18%となるキャンペーンをローンチしたところ、申込みが殺到し、撤回を余儀なくされることがありました。これについて金融庁・財務局の具体的な動きは報じられていませんが、注視する必要があります。

 

その他の行政処分等

行政処分事例として、CoinBest社に対するIEO業務の停止命令・業務改善命令エコレミットジャパンに対する業務停止命令・業務改善命令イオン銀行に対する業務改善命令が行われています。マネロンガイドライン対応の完了率は99%とされていますが、暗号資産交換業者においてトラベルルール対応が不十分な例が指摘されており、詐欺対策・オンカジ対策の文脈でもAMLがますます重要となっており、来年以降も積極的な法執行が行われる可能性があります。

 

クレジットカードの国際ブランド・アクワイアラによる「検閲」

クレジットカードの国際ブランドまたはアクワイアラが恣意的に特定の商品の取扱いの取りやめを要求し、これに応じなかった場合決済を停止する実務が問題とされています。表現の自由を実質的に侵食する面や優越的地位濫用(・競争者排除)としての面がある一方、国際ブランドやアクワイアラは「政府の代理人」として加盟店・取扱商品審査を行っている面もあり、今後の動きが注目されます。

 

通信

NTT法・電通法改正の準備状況―かなり現状維持的

NTT法・電通法については、通信政策特別委員会で検討が行われていましたが、昨年の第1次報告書に基づいて今年4月、NTT法改正が行われており、ユニバ・公正競争・経済安保WGでの検討を経て、11月、最終報告書が取りまとめられています。当初はNTT法廃止も視野に入っていましたが、推進派が勢いを失ったこともあり、かなり現状維持的な内容に落ち着いています。来年の通常国会に法案が提出されるものと思われます。

 

NTT西、LINEヤフーに対する行政指導

今年、総務省は漏洩に関し、NTT西(子会社かつ委託先であるNTTマーケティングアクトProCXを通じて指定電気通信役務に係る顧客データが漏洩)、LINEヤフーに対する行政指導(3月4月)を行っており、また、12月、LINEアルバムの件で報告徴収を行っています。

LINEヤフーの3月の件は、LINEが韓国の関連会社であるNAVER Cloudとネットワーク・認証基盤を共用していたため、NAVER Cloudを踏み台にLINEに侵入されたものですが、総務省はNAVERが株主であることがNAVER Cloudに対する監督を困難としていたとして、NAVERとの株式売却交渉を求め、韓国政府が差別的措置があってはならない旨の見解を表明する事態に発展しました。この件は最終的に、総務大臣がLINEヤフーの取り組みに一定の評価をするという形で収束しましたが、経済安保の濫用リスク(国内では東芝の件が記憶に新しく、米国では日本製鉄の件が現在進行形です)と電気通信事業における株主規制の必要性の双方を示唆しているように思います。

 

SNS規制

欧州委員会のDSAの執行状況―依存性、未成年者保護、ルーマニア大統領選挙の無効

DSAにおいては、VLOPs/VLOSEsの指定は概ね2023年中に完了しており、運用が始まっています。TikTokの件(2月)TikTokの件(4月)Metaの件(4月)Metaの件(5月)では、依存性(ゲーミフィケーションやリワードプログラム)、詐欺広告・偽情報対策、政治的コンテンツの透明性、未成年者保護等について正式調査が開始され、今年7月にはXに対し、認証済みアカウントに関する慣行等についてDSA違反とする予備的見解が示されています。

12月には、ルーマニアの大統領選挙がロシアにより操作され、憲法裁判所により無効とされる出来事があり、欧州委員会はレコメンデーションシステムを通じた組織的な不正操作や政治広告・有料政治コンテンツに関するリスクについてTikTokに対する正式調査を開始しています。日本でも11月の兵庫県知事選挙でSNSに関連する違反について捜査が行われており、政府の動きが注目されます。

一方で、米大統領選挙期間中に、DSAを担当するブルトン委員が、大統領候補者であったトランプ氏とマスク氏のSpacesでの対話について独断で警告を行った件では、むしろEUによる選挙介入ではないかとの疑義が呈されました

 

英国:オンライン安全法の制定と反移民暴動

英国では5月に違法コンテンツ・未成年者保護のためにSNS・検索サービスを規制するオンライン安全法が成立し、12月、Ofcomが違法コンテンツに関する声明を公表しています。8月には、SNS上で拡散された偽情報を信じた人々による反移民暴動が発生しており、(早くも)規制強化の必要性が指摘されています。

 

米国:NetChoice対Paxton、TikTok禁止法

テキサス州は、2021年、TwitterとFacebookがトランプ氏のアカウントを停止したことを受けて、大規模SNSによるコンテンツモデレーションを原則として禁止する法律を制定しており、NetChoice, LLC v. Paxtonでその合憲性が争われていました。今年7月、連邦裁判所は、9人の全員一致でSNS自身の表現の自由を尊重する意見を述べた上で、控訴裁判所の判決を破棄し、事件を控訴裁判所に差し戻しています。トランプ政権下で委員長に就任予定のカー委員は、Metaが保守派の言論を抑圧していると主張しており、連邦レベルの動きも注目されます。

一方、TikTokについて、4月、連邦議会は外国敵対勢力の支配下にあるアプリの提供禁止・売却を定める法律を制定し、2025年1月に最高裁がその合憲性について口頭弁論を開く予定です。また、8月には、COPPA違反で司法省がTikTokを提訴しています

 

ブラジル:Xの全面禁止と解除

ブラジルはXを一時、全面的に禁止したことが注目されます。

同国においては、2023年のブラジル議会襲撃事件に関連し、モラエス連邦最高裁判事がXに極右アカウントの停止を命じたところ、Xがこれに従わず、現地代理人選任義務も履行しなかったため、8月、同判事は、改めて義務履行を命じるとともに、マスク氏、X、Starlinkなどの資産を差し押さえ、AppleとGoogleにiOS/AndroidでXとVPNを使用できないようにする措置を命じ、通信事業者にXを使用できないようにする措置を命じ、Xを使用した個人に罰金を課す命令を発しました

この命令は、Xが未払の罰金を支払い、アカウントの停止を実施し、現地代理人を選任したことを受けて解除されましたが、今後の「ブロッキング」は、通信事業者のみならず、OS、アプリストア、ブラウザの提供者に働きかけることで行われることを示唆しています。

 

日本:情プラ法制定、26条ガイドライン、デジタル広告規制?

日本においては、5月、誹謗中傷対策の文脈でプロ責法が改正され、指定役務提供者(SNSなど)について、権利侵害情報の送信防止措置(投稿の削除)の迅速化と送信防止措置(権利侵害情報以外のものも含まれます)の透明化に関する規律が導入されました(題名が変更され、略称も情プラ法に変更)。

その後、総務省においては、健全性検討会において偽情報を含む違法有害情報対策が議論されていましたが、議論が収束せず仕切り直しとなり、9月から諸課題検討会が行われています。諸課題検討会ではデジタル広告、特に広告主向けガイドラインの検討が先行して行われていますが、今後、デジタル広告の規制法(広告主の本人確認、広告審査、広告主・広告媒体の透明性などの)や情プラ法の再改正の検討に進む可能性は相当程度あるものと思われます。

ところで、今般のプロ責法改正は、上記のとおり、元々は誹謗中傷対策の文脈で行われたのですが、改正直後から、詐欺・強盗対策で一定の役割を果たすことが求められるようになっており、総務省は12月、26条1項2号が「送信防止措置を講ずる法令上の義務」がある場合には事前に公表した基準によらずに投稿を削除できる旨規定していることを足がかりに、SNSに違法な投稿を削除させるためのガイドライン案を公表しています。また、この改正が施行されるのは来年ですが、6月と12月、なりすまし広告闇バイト募集について、大規模SNSに対する要請を行っています。

個人的には、権利侵害以外の違法情報対策は規制権限リスクが大きく、それゆえに健全性検討会でも官民協議会を通じて対処することとされていたところであり、個々の行政指導を超えて包括的なガイドラインまで示すのは若干やりすぎではないかとも感じています。

利用目的による制限には既に関連性原則が含まれているのではないか―公正な採用選考の基本・職安指針・業務要領について

情報ネットワーク法学会からの帰りの飛行機の中で「公正な採用選考の基本」について若干考えたので、雑駁ですが書いていきます。

 

職安法3条と憲法14条1項

  • 職安法3条は憲法14条と同趣旨とされている(倉重=白石編・実務詳解職業安定法87頁)。そのため、「憲法14条1項は、国民に対し法の下の平等を保障した規定であつて、同項後段列挙の事項は例示的なものであること、およびこの平等の要請は、事柄の性質に即応した合理的な根拠に基づくものでないかぎり、差別的な取扱いをすることを禁止する趣旨」尊属殺事件判決)であるとの解釈は、職安法3条にも当てはまる可能性がある。
    • 実際、職業紹介事業の業務運営要領第9の1(1)(101頁)は、「法第3条の趣旨にかんがみ年齢(注:非列挙事由である。)による不合理な差別的職業紹介は不適当である」としており、非列挙事由による差別が同条により(「趣旨にかんがみ」という形ではあるものの)違法とされる余地を認めている。
    • 逆に、列挙事由による差別が適法とされる余地は、少なくとも厚労省見解としては認められていないと思われる。もっとも、例えば、公務員(雇用ではないので職業紹介にならないが)の採用に当たって国籍による差別をすることは当然であるし、マネジメントや専門的業務に従事する労働者を中心に、「従前の職業」による差別をすることは当然である。このことを考えると、暗黙のうちに列挙事由による差別が適法とされる余地が認められている可能性がある。
  • このように解した場合、列挙事由は重要な意味を持たないことになるが、それでも一定の意味を見出すとすれば、ある差別が「事柄の性質に即応した合理的な根拠に基づくもの」かどうかを判定するのには(エンフォースメント/コンプライアンス)コストがかかるため、そのコストを削減するため、一応の基準として、典型的に不当性(事柄の性質に即応した合理的な根拠に基づかないこと)が認められる事由を列挙したもの、と言えるのではないか。
  • 以上のように解した場合、職安法3条の列挙事由が憲法14条1項のそれとは微妙に異なっているのは、両条項が規律しようとする差別のコンテクストが異なるからだと説明できる。すなわち、憲法14条1項は国家行為全般を対象としているのに対し、職安法3条は職業のあっせんを対象としている。従前の職業や労働組合の組合員であること(職安法でのみ列挙されている)による差別は、国家行為における差別としてはそれほど典型的ではないが、職業のあっせんにおける差別としては典型的である。また、国籍による差別(これも職安法でのみ列挙されている)は、国家行為における差別としては合理性があることも多いが、職業のあっせんにおける差別としては不当なことが多い。判例の「事柄の性質に即応した」というフレーズは、このような合理性判断のコンテクスト依存性を表している。

 

「公正な採用選考の基本」と職安法5条の5

  • 公正な採用選考の基本」は、「(3)採用選考時に配慮すべき事項」として、「次のaやbのような適性と能力に関係がない事項を応募用紙等に記載させたり、面接で尋ねる、作文の題材とするなどによって把握することや、cのような採用選考の方法を実施することは、就職差別につながるおそれがあります<a.本人に責任のない事項の把握> 本籍・出生地に関すること (注:「戸籍謄(抄)本」や本籍が記載された「住民票(写し)」を提出させることはこれに該当します) ・家族に関すること(職業、続柄、健康、病歴、地位、学歴、収入、資産など) ・住宅状況に関すること(間取り、部屋数、住宅の種類、近隣の施設など) ・生活環境・家庭環境などに関すること<b.本来自由であるべき事項(思想・信条にかかわること)の把握> ・宗教に関すること ・支持政党に関すること ・人生観、生活信条などに関すること ・尊敬する人物に関すること ・思想に関すること ・労働組合(加入状況や活動歴など)、学生運動などの社会運動に関すること ・購読新聞・雑誌・愛読書などに関すること<c.採用選考の方法> ・身元調査などの実施 (注:「現住所の略図等を提出させること」は生活環境などを把握したり身元調査につながる可能性があります) ・本人の適性・能力に関係ない事項を含んだ応募書類の使用 ・合理的・客観的に必要性が認められない採用選考時の健康診断の実施」としている。
  • 上記の記載の法的根拠は明らかではないが、「(2) 公正な採用選考を行うためには・・・・」の記載(特にアとイ)からすると、不当な差別(同ア)と個人情報保護(同イ)の双方の観点から問題とされているようである。このことからすると、労働者の募集を行う者が「公正な採用選考の基本」の(3)の行為を行った場合、職安法5条の5に違反し、業務改善命令(同法48条の3)、報告徴求命令・立入検査(同法50条)の対象となる可能性がある(募集・求人業務取扱要領IVの2(23頁))。
  • 実際、職業紹介事業の業務運営要領第5の1(2)は、職安法5条の5に関し、「職業紹介事業者、求人者、労働者の募集を行う者…は、その業務の目的の達成に必要な範囲内で、当該目的を明らかにして個人情報を収集することとし、次に掲げる個人情報を収集してはならないこと。ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りでないこと。イ 人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項 ロ 思想及び信条 ハ 労働組合への加入状況」とし、募集・求人業務取扱要領IVの1(8)イ(ロ)(19頁)は、このうちイについて「家族の職業、収入、本人の資産等の情報(税金、社会保険の取扱い等労務管理を適切に実施するために必要なものを除く。)」ロについて「人生観、生活信条、支持政党、購読新聞・雑誌、愛読書」ハについて「労働運動、学生運動、消費者運動その他社会運動に関する情報」を例示している。
    • なお、職業紹介事業の業務運営要領は、基本的には募集・求人業務取扱要領と同内容ながら、家族の職業等の後に「容姿、スリーサイズ等差別的評価に繋がる情報」を挙げている。

 

職安法3条・5条の5と個情法

  • 職安法3条は、上記のとおり、合理的根拠に基づかない差別を禁止するものである可能性がある。一方、(少なくとも日本法が準拠していることになっているOECDプライバシーガイドラインにおいて)個人データ保護の核心的保護利益は、個人データ処理による個人に対する評価・決定の適切性確保であるという指摘がなされており(高木・情報法制研究16号97頁)、それを直接に確保しようとするのが個人データの関連性(を含むデータ品質原則)であり(同98頁、111頁)、かつ、この構造は平等原則と同じである(同122頁)という指摘がなされている。これらがいずれも正しいとすると、職安法3条は、結果的に個人データの関連性原則と同等の規律となっている可能性がある。
  • もっとも、職安法3条は、(雇用主自身が行う)労働者募集には適用されない。また、職安法5条の5には、個情法の不適正利用禁止規定に相当する内容は含まれていない。そうであるにもかかわらず、「公正な採用選考の基本」に上記のような、関連性原則を前提としているかのような記載が含まれている理由は何かが問題となる。そこで職安指針を見ると、同指針(先に引用した部分)には、一定の情報の収集は原則として禁止されるが、業務の目的の達成に必要不可欠な場合にはこの限りではない旨が書かれている。これは、労働者の採用という利用目的を前提とすると、当該一定の情報は、特段の事情がない限り、収集・使用の必要性がないことを言うものであるように思われる。このことからすると、利用目的の「達成に必要な範囲内」という文言自体は職安法5条の5と個情法18条で共通だから、ここにいう必要性には関連性に相当する内容が含まれるということは言えるかもしれない(なお、パブコメでは利用目的による制限に関連性が含まれることを法改正又はガイドライン改正で明確化すべき旨を書いた)。
    • 法解釈っぽく表現すると、「必要な範囲内」と認められるためには、事業者が当該情報を取得・利用することを必要とするだけでは足りず、利用目的との関係で当該情報を取得・利用することが客観的に合理的と認められることを要する、といったところであろうか。「客観的に合理的」とは何かが問題となるが、採用に関して言えば、「公正な採用選考の基本」にいう「応募者の適性・能力に基づいた基準により行うこと」、言い換えれば、応募者の適性・能力を示す情報だけが客観的に合理的と認められる、ということになるのだろう(もちろん、適性・能力本位の採用こそが正義・公平に適うと言えるのはなぜかという問題は残るが)。
  • なお、個情法上は、事業者が特定した利用目的に照らして取扱いの必要性が判断されるのに対して、職安法5条の5においては、「その業務(注:本稿の文脈では労働者の募集の業務)の目的」に照らして取扱いの必要性が判断されるという違いがある。重要ではない可能性もあるが、とりあえず気づいたので書いておく。

公然性を有する通信という概念について

標記について、若干考えたことがあるので備忘として簡単に書き残しておきます。

 

  • SNSは新聞のようなメディアなのか、通信サービスのような伝送インフラなのかが問題とされてきた。これに関して、米国では現在、SNSがリベラルなコンテンツを優先していると主張するいくつかの保守州が、そのようなコンテンツモデレーションを禁止する立法を行っている(プラットフォームをめぐる闘争──とある情報法研究者のアメリカ滞在記|成原慧 | webゲンロン)。一方、日本政府は近時SNSに違法有害情報対策を義務付けようとしている()。ここでは、米国は伝送インフラとしての側面を重視して「検閲」を禁止しようとしているのに対し、日本はメディアとしての側面を重視して「検閲」を義務付けようとしているといえ、興味深い。
    • なお、上記に関連するが一応別の問題として、SNSの責任を限定する連邦通信法(通信品位法)・プロバイダ責任制限法が適切か、刑事法上の共犯規定をSNS(やアドネットワーク、労働者募集アプリ)に対してどのように適用すべきかが議論されている。ここでは、メディアとしての側面を強調すればSNSにも「普通に」責任を課し、伝送インフラとしての側面を強調すれば謙抑的に(例えば確認を行うべき特段の事情がある場合に限って)責任を課すことになる。
  • 上記に対し、令和4年電気通信事業法改正では、3号事業に該当するSNSは、媒介相当電気通信役務として位置付けられ、特定利用者情報規律の対象(となりうる)とされている。ここでは、SNSの伝送インフラとしての側面が重視されている。
  • このようなことをTwitterに書いたところ、成原先生から、1990年代後半に「公然性を有する通信」という概念が編み出された段階で、メディアでもない伝送サービスでもない情報流通プラットフォーム的なものが想定されていた旨のコメントをいただいた(午後0:55 · 2024年12月8日)。すなわち、伝統的には「不特定者向け=放送、特定者向け=通信」とされてきたところ、プロ責法等では、不特定者によって直接受信されることを目的としないが、不特定者によって受信されることを目的とする通信という概念(=公然性を有する通信。プロ責法上は「特定電気通信」)を作り出し、そこに特別の規律を課した。
  • 上記のコメントを読んで、私はこれまで1990年代から2000年代にかけて言われた「放送と通信の融合」とは放送のIP化に過ぎないのではないか(実際「情報通信法」でYouTubeのような動画サイトに放送法並の規制は提案されなかったように;現在検討されている偽情報対策と2000年代後半の通信・放送法制の見直しの関係について - Mt.Rainierのブログ)と思っていたが、実はそれに先んじて通信でもコンテンツレベルで「通信の非公然性」が揺らぐ事態が生じており(すなわち公然性を有する通信というものが現れており)、日本法は既にそれについて一定の対応を行っていたのだな、と気付いた。
  • このように考えると、「公然性を有する通信」の一般法たるプロ責法(令和6年改正後の情プラ法)が2000年代後半の通信・放送法制の見直しの際に議論されたオープンメディアコンテンツの規律のようなものを持とうとすること自体は自然なのかもしれない(その当否はまた別の問題だが)。

個人データ保護における関連性と刑事裁判における関連性の関係について

標記について、若干考えたことがあるので備忘として簡単に書き残しておきます。

 

  • 刑事裁判において、証拠には関連性が必要だとされている。この関連性は自然的関連性法的関連性に分けられるとされてきており(現在揺らいでいるものの)、証拠が要証事実について最低限度の証明力を持たない場合には自然的関連性が否定されるが、それだけでなく、最低限度の証明力はあるが事実認定を誤らせる危険が相当程度高い場合には法的関連性が否定されるとされている(リーガルクエスト刑事訴訟法第2版357頁)。
  • 法的関連性(ただし最高裁はこの言葉を使っていないことに注意)が問題となったケースとして、最判 平成24年9月7日刑集66巻9号907頁がある。同判決において、最高裁は、前科証拠は一律に法的関連性が否定されるわけではないものの、「実証的根拠の乏しい人格評価によって誤った事実認定に至るおそれがない」こと、特に犯人性の証拠とする場合には「前科に係る犯罪事実が顕著な特徴を有し,かつ,それが起訴に係る犯罪事実と相当程度類似することから,それ自体で両者の犯人が同一であることを合理的に推認させるようなものである」ことが必要であるとし、当該事案ではこれを否定した。
  • この関連性が個人データの関連性とのどのような関係にあるのか(何らかの有意な関係があるのか、それともたまたま名前が同じだけなのか)を検討する必要があるように思う。特に、自然的関連性が高木連載(9)にいう「役に立つ」という意味での関連性、法的関連性がそうではない意味での関連性に近いようにも思われる。
  • なお、上記の前提として、証拠能力証明力という2つの概念が重要である。
    • 証拠の関連性は証拠能力の一種であり、それが否定されると事実認定者の裁量的判断(自由心証)の対象とならない(裁判官は証拠を却下しなければならない)。これに対して証明力つまり当該証拠にどの程度の推認力を認めるかは、事実認定者の合理的裁量に委ねられる。この区別は特に裁判員裁判の対象となる重大犯罪において重要となる。一般的な刑事裁判では証拠の採否(証拠能力はここで判断される)の決定と事実認定(証明力はここで判断される)が時間的に近接して、かつ同一人物によって行われるが、裁判員裁判では裁判官だけで証拠の採否を決定し、後日裁判員が多数となる合議体で事実認定を行う。
    • 証拠能力がある場面でも裁判所は必要性なしとして裁量的に証拠を却下できるが、証拠能力を議論する上ではこのことはあまり重要ではない。むしろ、強力な証明力がある(ように見える)場面でこそ証拠能力が争われるからである。前科証拠もそうであり、強力な推認力があるように見えるからこそ問題になる。

現在検討されている偽情報対策と2000年代後半の通信・放送法制の見直しの関係について

標記について、若干考えたことがあるので備忘として簡単に書き残しておきます。

 

LINEアルバムの「通信の秘密」該当性について

標記について、若干考えたことがあるので備忘として簡単に書き残しておきます。

 

  • LINEのアルバム写真が流出した件について、総務省は通秘漏洩に当たるという前提で対応している。これについて、「アルバムは通信というよりは通信を使ったサービスであり、通信の秘密の漏洩とは言えないかもしれない」という指摘がある(LINEアルバムの不具合で「突然他人の写真」 震えるユーザー:日経ビジネス電子版。ただし総務省の対応が明らかになる前の報道)。
  • 個人的には、当初通秘漏洩だろうと考えたものの、上記の指摘に接して、確かにそうかもしれないと考えた。すなわち、電通法4条1項は、「電気通信事業者の取扱中に係る通信の秘密」の侵害を禁止しており、一度到達した後のアルバム画像は、例えばGmailで受領した後Google Driveに保存したファイルと同様に、「電気通信事業者の取扱中に係る通信」ではないのではないかと考えた。
  • もっとも、最終的に、やはり通秘漏洩ということでよいのではないかと思うに至った。すなわち、LINEアルバムは、トークルームに付属しており(トークルームとアルバムは一対多で紐づいており、アルバムは複数のトークルームに紐づくことはない)、かつ、LINE上で普通に画像を送信する場合とアルバムに追加して画像を送信する場合ではUIにあまり違いはない。このような状況に照らすと、アルバムはトークルームと一体として通信サービス(電気通信役務)を構成しており、アルバムはやはり通信ないし通信記録(単なるストレージではなく通信用のストレージである)と見ざるを得ないのではないか。
    • このように考えた場合、上記のような「ストレージか通信サービスか」という問いの立て方はそもそも適切ではなく(通信サービスの提供にストレージを使用することはありうるし、更に言えば非同期の通信サービスのほとんどは原理上ストレージの使用を伴う)、やはり「通信サービスの一部かどうか」という問いを立てるべきなのだと思われる。

個人情報保護法の課徴金制度案について

第6回 個人情報保護法のいわゆる3年ごと見直しに関する検討会」を聞いたので、思ったことを書いておきます。

 

課徴金制度案の概要

今回事務局が提案した課徴金制度の概要は以下のとおりです(事務局説明資料)。

  • 課徴金の要件として、①一定の義務に違反し、それによって財産上の利益を得たたこと(不法利得)、②相当の注意を怠ったこと(注意義務違反)、③個人の権利利益が侵害され又は侵害されるおそれが生じたこと(権利侵害)、④違反行為に係る本人の数が一定規模以上であること(大規模性)を課す(29頁、4頁)。
  • ①課徴金の対象とする違反行為は、利用目的による制限違反、不適正利用・不適正取得、安全管理措置(従業員監督、委託先監督を含む。以下同じ)の懈怠、第三者提供制限違反とする(5頁)。
  • 安全管理措置の懈怠については、さらに、個人データに係る本人の数が1,000人を超える漏えい等が発生し、かつ、安全管理を著しく怠っていた場合等に限定する(5頁、16頁〜18頁)。
  • 課徴金は、「「違反事業者の違反行為をした期間における事業活動により生じた売上高」×「算定率」」によって算定する。自主的申告をした場合には減算し、繰り返し違反した場合には加算する(20頁、24頁〜27頁)。売上高は違反行為によって得られたものに限られない(事務局口頭説明)。

 

コメント

  • 第1に、「不法利得を剥奪することによって違反行為を抑止する」という、従前独禁法を中心に行われてきた説明は、個情法には適切ではない。すなわち、前回記事にも書いたとおり、個情法違反行為は必ずしも経済的利益を得るために行われるものではないし(独禁法違反行為が競争を制限し超過利潤を得ることを目的としており、景表法違反行為が消費者を誤認させることによって商品やサービスを売ることを目的としているのとは異なる)、法目的すなわち個人データ処理の適正化による個人の権利保護の観点からしても、経済的利益を目的としない行為の抑止の必要性が低いわけでもない。そして、それこそが、令和2年改正時に内閣法制局の指摘により課徴金制度を断念せざるを得なかった理由だったはずである。
    • さらに言えば、前回書いたとおり、不当な取引制限はもともと刑事罰の対象とされていたため、憲法39条との関係を問題とする余地があり(ただし現在の刑法=憲法学の理解について、さしあたり第287回個人情報保護委員会議事録32頁の宍戸発言参照)、不法利得剥奪論はこれを回避するロジックとしての面があったが、個情法においては基本的に直罰規定は存在せず、そのような前提が存在しない。
  • 第2に、事務局案においても、「不法利得を剥奪することによって違反行為を抑止する」という考え方は維持されていない。事務局案は、課徴金の要件としては違反行為による財産的利得を要求しつつ、課徴金額の算定に当たっては違反行為による売上ではなく、(違反期間の)売上高全体をベースとしているからである。事務局担当者は、これについて、労務に関連する違反のように違反行為に関連する売上高の算定が困難な場合がある旨の説明をしていたと記憶しているが、このことは、まさしく、個情法違反行為は必ずしも経済的利益を得るために行われるわけではなく、したがって不法利得剥奪論は適切ではないことを示している。
  • 第3に、注意義務違反要件と自主的申告による減算は、不法利得剥奪論の弊害を緩和しようとしたものである可能性があるが、失敗している。すなわち、前回記事では、不法利得剥奪論を維持した場合の不都合として、(利得がないのに課徴金が課されるのはおかしいという議論が成り立ってしまうこととともに)事業者の体制整備の状況を考慮して課徴金を課すことが困難となり、体制整備へのインセンティブとして機能させることができなくなることを述べた。事務局が、(i)注意義務違反要件と(ii)自主的申告の場合の減算を提案しているのは、これと同様の問題意識に出たものと思われるが、(i)注意義務違反を課徴金額の算定時の考慮要素としてではなく、課徴金の要件として規定してしまうと、柔軟な運用が困難になるし(ほとんど発動されない免責要件となり、インセンティブとして機能しなくなってしまうだろう)、(ii)自主的申告については、漏洩報告義務との整合性が不明である(囚人のジレンマ状況を作り出すことに意味があるカルテルとは、状況が異なる。景表法にあるから持ってきたというだけなら、やめたほうがよい)。
  • 第4に、そもそも加算・減算事由を立法レベルで定めることは、適切ではない。独禁法が様々な加算・減算事由を立法レベルで定めているのは、憲法39条に関する現在は通用していない解釈を前提に、一度不法利得剥奪論に基づいた立法をしてしまい、それを段階的に修正しようとしてきたからである。今回新規に立法する個情法上の課徴金制度について、それを踏襲する必要はないし、上記のとおり、個情法違反行為の性質上、(景表法とも異なり)それを踏襲することはそもそも困難である。行政罰だとすれば、(立法レベルではなく)行政処分レベルで個情委が具体的な諸事情を適切に考慮して課徴金額を算定することが事の性質に適しており、それでよいはずである(中川構成員の5月10日ヒアリング資料参照)。なお、そうする場合でも、もちろん、立法レベルで考慮事情を例示することはあってよいし、それがなされるかどうかにかかわらず、個情委は恣意性排除のためにガイドラインを示すべきであるし、そのようにしてなされた行政処分は、裁判所による具体的な諸事情を前提とした個別的な審査に服する。

 

その他

  • 事務局案では外国第三者提供制限が課徴金制度の対象とされていないのは、不自然に思われる。EUでは(米国企業による米国への)越境移転規制こそが、最も積極的な法執行の対象(の一つ)となっている。利用目的特定義務も、利用目的による制限の前提であるから、課徴金の対象とすべきではないか。
  • 宍戸座長代理から指摘があったとおり、そして中川構成員が従前から指摘されているとおり、課徴金は「極悪層」には通用しない。これについてはパブコメ意見に書いたので、引用する。「中間整理15頁は、課徴金の立法事実として、新破産者マップ事案、名簿屋事案を挙げているが、これは適切ではない。すなわち、(注:前者については)刑事手続によっても摘発できなかった者について、課徴金を徴収することは困難である。また、後者は、犯罪インフラを提供することによって収益を上げており、課徴金が課されるからといって法令遵守へのインセンティブは持たないし、収益も当然隠匿すると考えられるから、行政上の措置である課徴金というよりは、詐欺等の共犯規定や犯罪収益規制によって対処することが適切である」。
  • 本記事では主として課徴金制度について述べたが、個人的には、課徴金制度より先に中核的な義務規定を見直すべきであり、経済団体の真の懸念もそこにあると考えている。その背景と方向性については、パブコメ意見及び前回記事を参照。