経済産業省
文字サイズ変更

IT融合フォーラム パーソナルデータワーキンググループ(第2回)‐議事要旨

日時:平成24年12月18日(火曜日)10時~12時
場所:経済産業省 本館2階 東3共用会議室

出席者

委員
松本座長、石井(夏)委員、石井(純)委員、大倉委員、金子委員、小林委員、小松委員、崎村委員、佐藤委員、城田委員、関委員、高崎委員
経済産業省
商務情報政策局 永塚局長、中山審議官
商務情報政策局情報政策課 三又課長
商務情報政策局情報経済課 佐脇課長、宮田補佐
オブザーバー
消費者庁 消費者制度課個人情報保護推進室 板倉専門官、辻畑補佐
総務省 情報流通行政局情報流通振興課情報セキュリティ対策室 藤波補佐

議題

  1. 第1回WGの論点整理
  2. 崎村委員プレゼンテーション
  3. 討議

議事概要

第三者による認定の在り方

  • ISO/IEC 27001のようなマネジメントシステムの第三者認定は「失敗したらきちんと改善することを継続的に実施していること」を認定するのであって、「失敗しないこと」を認定しているわけではない。一方、消費者の期待は「失敗しないようにきちんと対策を施していること」にあるため、第三者認定の認識が誤解されたまま広まっている。
  • マネジメントシステムの第三者認定は、自社が取り組むと決めた対策を有言実行しているかの確認が限界であり、決めた対策内容が一般論として適正かを判断することはできない。第三者認定を活用するといった場合には、どのような効果を期待するかを決め、それに適した第三者認定の有無を確認し特定する必要がある。
  • トラストフレームワークにおいて、Policy Makerは、消費者団体が担当するべきである。Policy Makerが事業者側にあり、Assessor が事業者からの認定費用で運営しているとなった場合、エンフォースメントが全く効かなくなる。誰がどの役割をすべきかというガバナンスが非常に重要である。
  • ベンチャーなどは、ライバルよりもいかに早く商品をリリースし、いかに早く浸透させてビジネスを成立させるかに最大の関心を持っている。利用規約の必要性は認識しているが、優先順位が低くなりがちである。結果、他のサイトから引用して作成するが、後々不備が発生して問題となる。ベンチャーのような企業が後々炎上しないためにも、分別のある第三者によるチェック機構が必要と考える。
  • 米国のeTrustについては隠れ蓑になっているという批判がある。日本もPマークがあるが、消費者の認知度は低く、実効的ではないという批判もある。実効性の在り方について見直す必要があると考える。
  • マイナンバー制度で政府の第三者委員会ができると思うが、それが民間事業者にも適用可能かどうか、議論の対象に入れてもよいのではないか。

消費者からの期待

  • 日本の消費者は事業者に対して過剰に期待しすぎるが、事業者がそれらの期待に次々に対応していくとビジネスとして成立しなくなるのではないか。
  • 信頼とは、リスクをコミットして自分のやりたいことをやるというものであるが、日本人はリスクをコミットせずに事業者に対して過剰な期待をかけることが多い。
  • 消費者の反応は、リテラシーの変化、サービスの変化、技術の変化によって、常に変わっていく。事業者は試行錯誤を繰り返しながら、適切なポイントを探っていくしかない。
  • クラスアクションを起こすアメリカと、クラスアクションを起こせない日本という文化的、環境的な違いがある。日本の場合、クラスアクションを起こせないため、新聞やメディアを通して批判することで抑制、淘汰させるしかないのが現状である。
  • 黙示の同意でよいとされる時の「期待」と、事業者への信頼という文脈での「期待」は意味が違う。判例でも個人情報をみだりに開示されない旨の「期待」という言葉が使われており、この場合は消極的な期待を意味する。「期待」という言葉は法的な文脈でも使われるため、気をつけて使うべき。

同意取得の在り方

  • サービス利用約款の中に個人情報の利用が記載され、事業者が個人に同意を求めているが、利用許諾には2つの方向があることに注意する必要がある。ひとつには、サービス提供者である事業者が利用者に対してサービスの利用を許諾すること。もうひとつは、利用者が事業者に対して利用者自身の情報の利用を許諾することである。利用者はサービスを利用するためには、事業者から示されたサービスの内容や制約に合意した上で、それに必要な情報を事業者が利用することを許諾することが前提となる。このとき、事業者はサービス提供に必要最低限の情報をその目的達成のためだけに利用するのであれば、その利用の同意取得は必要ではなく利用範囲と目的を通知すればよい。しかし、そのサービス提供以外の目的に利用する場合には、その範囲と目的について明示した上で、利用者からの許諾を同意取得によって確認すべきである。
    利用約款のうち、サービス内容や制約は事業者がサービス利用を許諾するもので、そこで使用される利用者の個人情報は利用者が許諾するものであるという2方向の許諾についての合意があることに注意しなければならない。
    サービスの利用約款に同意するという手続き処理であることから、サービスの利用を事業者が許諾するという方向が目立つが、個人情報の利用については利用者が許諾するという逆方向の許諾である点が重要である。本来であれば、サービス提供目的以外の個人情報の利用については、利用者が認めた条件での利用を事業者が同意すべきところ、当該手続きの実務上、利用者だけが同意するという形式を取っているだけで、逆方向の許諾であることを忘れてはならない。
  • CRM(Customer Relationship Management)ではなく、VRM(Vendor Relationship Management)という考え方がある。個人が何に自分の情報を使っていいかを表明し、事業者がそれを使うという方法が効果的であるというもの。
  • 一回同意してしまったら永久に同意が続くのか。期限が長過ぎると同意の有効性に問題が生ずるので、一つの検討課題として意識していただきたい。
  • 同意の有効期限に加えて、期限内での不同意への変更についても適切に取り扱われるようにしなければならない。
  • 同意を取得する際に、能動的な行為を伴わない暗黙の同意(デフォルトオン)取得でよいかの一つの判断基準は2次的利用がないことである。2次的利用の同意については、慎重に扱うべきであり、能動的な行為を伴う同意(デフォルトオフ)取得で対応すべきである。
  • そのサービスを利用するのに必要最低限の範囲であれば黙示の同意でよいと考えるが、その範囲を超えて取得するならば1次利用でも同意取得が必要と考える。
  • 安全管理措置はコストがかかるので限界があるが、プライバシーコントロールはコストの話ではなく、事業者が意図的に行うこと。利用規約を曖昧に書いて「ここまでなら訴えられないだろう」ということを、わざとやるのはリスクの話ではないので、安全管理措置とプライバシーコントロールは分けて考えたほうがよい。

リアル店舗での同意取得の在り方

  • リアル世界でのPOSデータ利用とか、電車のICカードデータ利用についても、実際にはマーケティングデータ等に利用されている現状がある。ネットでの利用についてルールを考えるのであれば、それはリアルと同じレベル感で考える必要がある。
  • リアル店舗の場合、インターネット環境のない高齢者等の同意取得に苦慮している。特に、再同意の明示的な同意は困難である。リアルの店舗での同意取得、は事業継続に影響する。
  • 情報の種類によって同意が必要か、不要かという問題もあるのではないか。例えば現実世界、人の手を介するなどしてデータが収集される場面では問題にされていない一方でバーチャル世界、コンピュータ経由でデータが収集される場面では問題にされるということもあり、そういった点も議論の対象となりうるのではないか。
  • リアルで既にやってしまっていることが、消費者の期待に反していることは結構ある。しかし、リアルでやっているからいいという話にはならない。リアル店舗でもITを使っているのだからケアしてくべき。
  • リアルで消費者の期待に反している事例として、カメラがある。防犯カメラは特に記載されていないが、防犯目的という消費者の期待の範囲内だからよいとなる。一方、デジタルサイネージのための顔認識を記載なしに行い、商用利用する場合は、消費者の期待に反しているといえる。

情報共有標準ラベル、ToS-DR等の事例について

  • 利用約款の内容からToS-DRのアイコンのようなものを導き出すのではなく、消費者団体などが必要なアイコンの定義をし、事業者は定義されたアイコンから自身が遵守を約束する事項に該当するアイコンを掲示するという方法ならば、よいアイディアと考える。
  • Tos-DRのような消費者による評価の仕組みを構築し、実害のあったものを報告してもらい、判断基準とするのも一つの方法と考える。
  • 個人情報やデータの利用目的、利用方法などを分かりやすく表示するには、ビジネスモデルまで深く入り込んで開示しなければいけない。ビジネスモデルの中には、競合との差別化要素、競争要因などが含まれていると考えられるので、事業者にしてみると、それらを開示するのは敷居が高い可能性がある。
  • 情報共有標準ラベルの方式はとてもよい。他社のものを参考にすることが多いが、一見分からなかったり、書き方がまちまちであったり、理解に時間を要するものが多い。
  • ToS-DRでBadと出たとしても、それに対応するコストと改善の効果を比較して、改善する/しないをビジネスの観点から判断をするだろう。改善しなければサービス停止になるというわけでもないので、評価は参考程度。
  • ユーザーが低い評価であることを認識してサービスを利用している分には問題ない。一方、高いレベルであるとの間違った認識を持たせて、低いレベルのサービスを提供している場合は詐欺である。
  • リアル店舗で情報共有標準ラベルのような表示をした場合、お客様から説明を求められ、本来のサービスが止まってしまいかねない。将来、浸透して理解されるようになって消費者が「ああ、あれね」とわかるようになっていれば、よい方法と思う。

消費者と事業者のコミュニケーション機会

  • ToS-DRのような評価の際に、事業者とコミュニケーションを取ることで、右も左もわからないベンチャー企業が勉強しながら、よりよいサービスを作り上げていくという可能性もあるのではないか。
  • ToS-DRは一方的な評価だが、ある認証事業では面談があり、弁明の場が与えられる。Assessor側が誤解している場合もあるので。ただし、弁明されてもダメというのは当然ある。
  • 世の中にサービスを提供した後、消費者とコミュニケーションを取ることで新しい示唆をもらうことも多々あった。そのようなコミュニケーションの機会は必要である。

バーチャル世界での契約論

  • リアルな世界での民法の契約論はかなり議論されて体系的に構築されているが、バーチャルの世界ではあまり議論されていない。法律論として整理する必要がある。
  • 利用規約とプライバシーポリシーが別となっているケースがある。プライバシーポリシーを意識的に利用規約に組み込んでいる消費者庁の報告書における有識者の分析では、プライバシーポリシーも利用規約も同じく契約(約款論)の範囲とのことだとされているが、争ってみないとわからない。
  • 誰も訴訟を起こさないのであれば、立法で解決するしか無いのではないか。
  • プライバシーポリシーを表示しているのみでは、契約とは言わないのではないか。アメリカでは、それが嘘である場合には、嘘つき表示としてFTC法違反で取り締まるということをしている。
  • 契約法によるエンフォースメントと、契約にならなくとも表示で消費者を誤った方向に誘因している場合のエンフォースメントの両方がある。

以上

お問合せ先

商務情報政策局 情報経済課

関連リンク

最終更新日:2013年3月5日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.