MCデータプラスに対する排除措置命令の一部執行停止決定について

個人情報保護 競争法

一部執行停止決定がされていたのでメモです。

 

事実関係に関するメモ

  • 公取委は最新のデータの提供を命じようとしたが、誤ってユーザーが入力したデータ(第三者により上書きされていることがあり、その場合上書き前のデータを復元する必要があるので、多大な労力を要する。)の提供を命じてしまった。
  • 対象者は上記多大な労力を「重大な損害」と主張して、執行停止を申し立てた。
  • 公取委は最新のデータの提供を命じる趣旨と主張したが、裁判所はこれを認めず、上書きされたデータの提出を命じた限りで排除措置命令の執行停止を命じた。
  • また、対象者は上書きされていないデータについて、これをユーザーに提供することは、
    • 第三者提供制限違反であり、また、
    • ユーザーが第三者提供制限に違反してスイッチ先のクラウドサービス提供者に第三者提供することを予見しながらユーザーに提供することであって、不適正利用であること
      を主張した。
  • 裁判所はこれを認めず、残りの申立て(つまり排除措置命令のうち上書きされていないデータに係る部分の執行停止の申立て)は棄却した。

 

判示(個情法関係)

長いので【】で見出しを付けた。

  • 第三者提供制限関係
    • 「申立人は、ユーザーが作業員情報を利用できる目的は、申立人のサービスにおける利用に限定されているから、本件命令(主文第1項)により、本人の事前の同意を得ないまま作業員情報を提供することが避けられないこととなり、個人情報保護法27条1項に違反する行為を強制されると主張する。」
    • 「しかしながら、【考慮要素1】前提事実⑵のとおり、関係法令上、元請会社に作成が義務付けられている施工体制台帳や施工体系図は、協力会社から提出される再下請通知書等の労務安全書類を基に作成されるものであり、各協力会社は、当該工事現場の工事に関与する自社の作業員に関する名簿(作業員名簿)を作成し、元請会社に提出しているものであることからすれば、別紙3記載の項目に係る情報については、作業員からユーザーの労務管理一般のために提供されることが想定されているものであるといえる。【考慮要素2】現に、元請会社の中には、協力会社及び各作業員から、工事施工に関して取得する個人情報があり、それについては、施工監理、安全管理の遂行、連絡及び建設業法、労働安全衛生法等の関係法令の要望事項を履行するために利用することなどを公表している事業者が見受けられる(乙4、5、11)。【考慮要素3】そして、申立人の営業担当部長も、ユーザーは社会通念上、自社の作業員から雇用契約等で自社の事業活動のために作業員の個人情報を利用することについて同意を得ていると考えられると述べているところである(甲27の6・7頁、乙13・5頁)。【結論】以上の事情を総合すると、提供先ユーザーが登録した作業員情報については、当該作業員は、自身の安全や仕事の遂行に関わる個人情報である当該情報を、自らに対する労務安全管理のために必要であることから、自己の雇用主等に提供(伝達)していることが一応認められ、当該作業員は、その提供(伝達)の際、提供先ユーザーが、当該作業員の労務安全管理のために、当該情報を取得及び利用することに黙示的に同意しているものと一応推認される。そして、当該作業員が、本件サイトにおける利用のためだけに限定して当該情報を提供(伝達)した事実は認められず、上記推認を覆すに足りる疎明資料はない。」
  • 不適正利用関係
    • 「申立人は、本件命令(主文第1項)により、提供先ユーザーに第三者・提供を行おうとする際に、提供先ユーザーが他社サービスの運営事業者に対して個人情報保護法27条1項に違反して個人情報データの提供を行うことが予見できるにもかかわらず当該提供先ユーザーに個人情報データを提供することとなり、個人情報保護法19条に違反する行為を強制されると主張する。」
    • 「しかしながら、前記⑴で説示したところによれば、【考慮要素1】①実務上、労務管理一般のために作業員情報が提供されることが求められており、作業員も、自身の労務安全管理のために、当該作業員情報が利用されることに黙示的に同意しているものと一応推認され、これが本件サイトにおける利用のみに限定された同意であるとは認め難い。このほか、【考慮要素2】②申立人の競争事業者である株式会社≪A≫及び≪B≫株式会杜も、それぞれの利用規約において個人情報を適切に取り扱うことを規定しているところ(乙9、10)、一件記録に照らしても、申立人の運営する本件サイトと、申立人の競争事業者が運営するクラウドサービスは、いずれも作業員の労務安全管理のためのツールを提供するものであるところ、両者について、作業員が、前者で利用されることには同意するが後者で利用されることには同意しないと区別しているとみるべき事情はうかがわれないこと、【考慮要素3】③もとより、ユーザーは、⑴作業員情報が記載されたPDF形式の帳票(作業員名簿)を自ら本件サイトから出力することにより当該作業員情報の提供を受けることができる上、⑵その内容を他社サービスの利用のために用いること(そのファイル形式をOCR技術の利用や手作業によりPDFファイルからCSVファイル等に適宜修正した上で、当該作業員情報を申立人に競争事業者に提供すること)もできるところ、申立人も、上記⑴を個人情報保護法違反とはしていないし、上記⑵を禁止してもいないこと(前提事実⑶ウ、審尋の全趣旨)をも総合すると、【結論】作業員は、自己の作業員情報を本件サイトに登録した提供先ユーザーが、当該作業員に対する労務安全管理のために他社サービスにおいて利用すべく、申立人から当該作業員情報を取得することについても、黙示的に同意している蓋然性が相当程度あるといえる。そうすると、申立人が本件命令に従って提供先ユーザーに作業員情報を提供することが、提供先ユーザーが他社サービスの運営事業者に対して個人情報保護法27条1項に違反して個人情報の提供を行うことが予見できるにもかかわらず当該提供先ユーザーに個人情報を提供することにはならず、違法又は不当な行為を助長又は誘発するおそれがあるとは認められないというべきである。」
    • 「さらにいえば、申立人の競争事業者が運営するサービスにおける利用について作業員の同意があるならば、申立人がいう個人情報保護法19条違反は問題にならないというだけでなく、仮に同意がないのであれば、その同意を提供先ユーザー又は当該競争事業者が取得すればよいのであって、申立人は、そのようにするよう提供先ユーザーに注意喚起することもできる。そうした場合に、申立人が個人情報保護法19条違反に問われることは、ますます考え難い。」

 

個情法に関するメモ

下線部を追記しました(2025/5/28)。長めの引用はイタリックにしています。

  • 本件の位置付け
    • 公取委は、2022年に、「クラウドサービス分野の取引実態に関する報告書」(「クラウド報告書」)と「官公庁における情報システム調達に関する実態調査報告書」(「情報システム報告書」)を公表している。
    • 本件は、クラウドサービス提供者に対する初の処分事例と報道されているが、クラウド報告書で指摘された「クラウドサービス市場の特徴」(38頁以下)が濫用されたものとは言い難い。むしろ、(程度問題ではあるものの、)情報システム報告書において指摘された、「官公庁…に対し,合理的な理由が無いにもかかわらず,他のベンダーに対して仕様の開示を拒否すること,他の情報システムとの接続を拒否すること,又は既存システムから新システムへのデータ移行を拒否すること…などにより,他のベンダーが,官公庁の情報システムに関する入札に参加することや受注することができないようにさせる場合」(50頁)に近いと思われる。
    • もっとも、クラウド報告書が問題視するような行為についても、独禁法(のうち取引妨害を含む他者排除行為に関する規定)を適用しようとすれば、通常どおりの市場画定と排除効果の認定を行う必要があり(クラウド報告書36頁、注43、注44)、「クラウドサービス市場の特徴」それ自体が違反の成否を左右するわけではない。本サービスのように、業界・用途が限定されたクラウドサービスは、クラウド報告書にいう「クラウドサービス市場の特徴」は備えていないことが多いが、そうであればこそ、相対的に容易に排除効果が認められうる。
  • 個情法上の論点の位置付け
    • 情報システム報告書は、前記引用部分に続けて、「合理的な理由」がない例として、「知的財産権やノウハウとは無関係な部分であるにもかかわらず,それらを理由として開示等を拒否すること」を挙げている(51頁)。この知財・ノウハウが個情法に置き換わったのが本件であると言える。
    • 個情法に関する主張は、それ自体としては、およそ合理性のある主張ではなかったのであり、それを理由とした執行停止が認められなかったのは、当然のことだと思われる。
  • 個情法27条に関する判示について
    • 個情法27条について、共同利用の目的以外の目的のための提供は、共同利用の相手方に対する提供であっても、同条5項3号の要件を満たさない、との解釈(同号の文言からは必然的なものではない。)が前提とされているようにも思われる。しかし、27条は、18条の特則として、利用目的の範囲内であるか範囲外であるかを問わず、(原則として)同意を要求したものであるから、同項3号の解釈としても、共同利用の目的以外の目的のための提供であっても、同号に該当し、ただ、そのような提供(取扱い)は、18条に違反する、と解釈するほうが自然なのではないか。
    • もっとも、このことは、本決定の結論には影響しないと思われる。後者の解釈によったとしても、27条1項の同意の認定が、18条1項の同意の認定に置き換わるだけだからである。
  • 個情法19条に関する判示について
    • 個情法19条について、スイッチ先のクラウドサービス提供者に対する(ユーザーからの)提供に、同意が必要となることが前提とされている。仮に(多くのクラウドサービスがそうであるように)委託と構成されていたとすれば、27条1項(又は18条1項)の同意は必要ないため、19条の論点は、このように特異なスキーム(ただし、後述のとおり競争者も同様のスキームを採用している。)の下で生じたものであることに留意する必要がある。
    • もっとも、このことも、本決定の結論には影響しないと思われる。本決定は黙示の同意を認めているからである(同意と委託のどちらかがあれば、個情法27条1項にいう「提供」は適法になしうる。)。
  • 同意の認定(27条・19条に関する判示に共通)
    • 総合考慮で黙示の同意(ないし推定的同意。金融分野個人情報保護ガイドラインQ&A 6-4参照)が認められているのは、日本の個情法の実務からすると違和感はないが、他の公法上の同意(例えば刑法上の同意)や、GDPR上の同意との比較においては、やはり特異に映る(JILISレポート11頁の「(4) 契約履行のための提供」とそこに付された脚注を参照)。
  • MCDPが共同利用者とされていることについて(本排除措置命令及び本決定を離れた検討)
    • クラウドサービスに係る個人情報保護の実務からすると、そもそもMCDPが共同利用者の一人となっている点が、特異に感じられる。
    • 排除措置命令書から窺われる)実態を素直に反映すれば、①建設業者間は第三者提供、各建設業者とMCDP間は委託と整理するか、②建設業者間は共同利用、各建設業者とMCDP間は委託と整理するのが一般的だと思われる。このように整理した場合、ユーザーへのデータの提供は、委託者に対する提供(「委託戻し」などと呼ばれることがある。)として、そもそも第三者提供制限の対象にならない。一方、共同利用の場合、共同利用の目的以外の目的で利用することは、目的外利用となり、同意が必要になる。このように、クラウドサービス提供者が共同利用者となること自体、スイッチングコストを引き上げる面がある。
    • 共同利用を採用しているのは、MCDPだけではない。排除措置命令書で競争者として言及されているシェルフィー及びリバスタもまた、共同利用としている(Greenfile.work利用規約54条2項、Buildee利用規約18条4項、Buildeeにおける個人情報の共同利用について)。なぜこうなっているのかは分からないが、仮に今後本案の審理が進めば、訴訟記録から分かることがあるかもしれない。
    • もっとも、クラウドサービス提供者を共同利用者の一人としていた/すること自体が、個情法27条1項3号を満たさないかを考えると、少なくともこれまでの解釈による限り、必ずしもそうとは言えないと思われる立案担当者解説通則ガイドラインには、共同利用の限界が実質的に示されていないからである。これは、2012年頃問題となったTポイントの件で既に顕在化していた論点である(当時の記事として、例えば鈴木先生のインタビューが掲載されたTカードは個人情報保護法違反に該当するのか? | プレタポルテ by 夜間飛行
      • 「共同利用の限界が実質的に示されていない」というのは、個情法の文言に即して言えば、2753号の「特定の者との間で共同して利用される個人データが当該特定の者に提供される場合」がどのような場合かが示されていないということである。通則編ガイドラインは、「「共同利用の趣旨」は、本人から見て、当該個人データを提供する事業者と一体のものとして取り扱われることに合理性がある範囲で、当該個人データを共同して利用することである。/したがって、共同利用者の範囲については、本人がどの事業者まで将来利用されるか判断できる程度に明確にする必要がある。なお、当該範囲が明確である限りにおいては、必ずしも事業者の名称等を個別に全て列挙する必要はないが、本人がどの事業者まで利用されるか判断できるようにしなければならない。」としているが、明確にしさえすればどのような事業者との間でも共同利用が認められるのかは、明らかではない。「【共同利用に該当する事例】」として挙げられている例からすると、より実質的な一体性が求められているようにも思われるが、その外縁は明らかではない。
    • なお、この問題は、敢えて独禁法上位置付けるとすれば、「仮にMCDPが共同利用者の一人となることが個情法27条5項3号を満たさないのであれば、公取委の排除措置命令は違法行為の継続を命じるものであることになる」という意味で、排除措置命令の適法性の問題であるといえる。ただ、本決定は、黙示の同意を認めており、そのような同意が認められる限り、この論点は、排除措置命令の適法性には影響しない(同意と共同利用のどちらかがあれば、個情法27条1項にいう「提供」は適法になしうるからである。)。