企業法務マンサバイバル : 経産省の「パーソナルデータワーキンググループ報告書」を読んでの懸念

　
経済産業省が「ＩＴ融合フォーラムパーソナルデータワーキンググループ報告書」をリリースし、これを受けて日経が下記のように報じていました。

▼個人情報、企業の利用に指針　消費者が開示選択経産省、ビッグデータ活用を後押し（日本経済新聞）

経済産業省は企業が顧客の個人情報を二次利用するための指針をまとめた。物品の購入履歴や性別など消費者が同意した情報に限り、他の企業への販売などを認める。欧米では膨大な個人情報「ビッグデータ」を活用する動きが加速している。日本でもプライバシーに配慮した指針策定で企業の個人情報利用を促し、顧客データの分析を通じた市場開拓を後押しする。経産省は10日に公表する指針に基づき、年内にも個人情報を二次利用する企業向けの具体的なガイドラインを作成する。

この記事中の「個人情報を二次利用するための指針」という表現は、法的な厳密さを欠いた表現なので、正確なところは、経産省のサイトにアップされている資料をご確認いただいた方がいいと思います。

無理やり短くまとめると、これまで企業が長々とした利用規約（プライバシーポリシー含む）により“形式上の同意”をとってサービスの利用者からパーソナルデータを収集し“ユーザーに意識されないように”利用・第三者提供していたのを、確かな同意を取る方法を決めたり、審査・認証機関の設置をしたりするなどにより、企業が堂々と個人情報の利活用ができる道を作るべく経産省がリードしていこう、という指針。その具体的方法論の代表的なもの・目玉として、OpenID Foundation 理事長の崎村先生が以前から自身のブログ等で提唱されていた「情報共有標準ラベル」のアイデアがフィーチャーされています。これは利用規約とは別に、企業ごとに異なっている利用規約の中の重要な項目を定型化し、ユーザーにとって見やすいものにするというアイデアです。

実はこの「情報共有標準ラベル」のアイデア、私も以前から気になっていて、こっそり自分の勤め先の利用規約をこの形式で試しに作ってみたこともあります。しかしながら、これを運用するのは、メリットよりもデメリットの方が高い、と感じました。

利用規約の中でも、ここで議論の対象となっているプライバシーポリシーに求められる機能は２つです。

１）主に石橋を叩いて渡るユーザー向けに、個人情報の利用について事前のリスク開示を行う
２）リスクが現実のものとなった時のために、企業・ユーザー間の責任の所在を文言で残す

企業にとって困ったことなのかはたまた都合のいいことなのか、ほとんどのユーザーは、その商品・サービスの利便性とそこから生まれる企業ブランドを信頼し、利用規約を読まずに同意ボタンを押してしまいます。『利用規約の作り方』本にも引用させて頂いた株式会社ネットマイルの2012年調査によれば、利用規約を事前にちゃんと読む＝石橋を叩いて渡るユーザーはわずか15％。今回の経産省指針もまさにここを課題視しているからわけですが、情報共有標準ラベル化によって１）を簡便にする努力をしても、このタイプのユーザーが読んで理解してくれる気がしなかったのです。ラベル化すれば視認率が上がりそう、と言われればそんな気もするのですが、では実際のところ、スーパーで食品を買うときに食品ラベルを読んで買う人って、何％いらっしゃるのでしょうか？ラベル化等の工夫による契約内容の視認率・理解度向上の度合いについて、少しでも実証実験などが行われたのなら参考になったのですが、それがなかったのが１つめの懸念点です。

そして、一度でもシリアスに利用規約を作りそして運用までしたことがある方ならピンとくると思いますが、２）の責任の所在を法的な文言の解釈で争う際には、利用規約上の厳密な表記とそれを簡略化したラベル上の表記との齟齬が、これまでに無かった新たな紛争の種にさえなりかねないという点が２つめの懸念点です。食品においては食品ラベル以上の説明は必要ないのかもしれませんが、ウェブサービス等においては、民法の任意規定を契約内容に沿って書き改めるという契約法的機能の観点から、ラベルとは別の利用規約本文自体が無くなることはないでしょう。すると、上図表にもあるとおり、利用規約本文についてはリンクによってそれを示し読んでいただかざるを得ません。よかれと思って作ったラベルが厳密さを欠いたせいでユーザーを混乱・誤解させ、企業としての法的責任が重くなっては本末転倒です。今回のワーキンググループに参加されていた法律に詳しい他の委員の方から、この「表現の齟齬による法的責任の所在」について問うたり議論がなされた形跡が（少なくとも報告書上は）なかった点は残念でした。ちなみにこの経産省の動きと法律論の整理に関して、twitterで岡村先生もこのようにコメントされていました。

経済産業省がＩＴ融合フォーラムパーソナルデータワーキンググループ報告書「パーソナルデータ利活用の基盤となる消費者と事業者の信頼関係の構築に向けて」を公表。meti.go.jp/press/2013/05/…　ロングスパンで見れば保護法改正が必要だと思うのだが。
— 岡村久道さん (@Lawcojp) 2013年5月11日

私も同感でして、いったん年内に経産省が出すというガイドラインをまずは待ちたいと思うものの、法的に厳密な検討が進まないうちは、私自身は、利用規約そのものの文章・構成・表現を分かりやすくする工夫を追求する道を追求したいなと考えているところです。

さらに蛇足ながら、日経の同記事によれば、

ビッグデータの活用と個人のプライバシー保護の線引きは、欧米で議論が先行している。米国が商業利用の後押しに軸足を置く一方、欧州連合（ＥＵ）はプライバシー保護を重視している。日本は企業の利用促進に重きを置いて制度設計を進める。

とのことですが、この点についても懸念があります。私自身、世界の個人情報・プライバシー絡みのニュースを追いかけつつ、仕事絡みで欧米グローバル企業のプライバシー政策を耳にする限り、世界の趨勢は、経産省が目指す方向性とは逆の、EU型の流れが優勢になるのではという観測をもっているからです（それを望んでいるわけではないのですが）。

個人情報・プライバシーの問題は、日本国内だけが基準がはっきりしたところで、結局世界が求める基準に沿っていなければデータを合法的に越境させることができず、意味がないどころか逆に混乱をきたしかねません。日本政府としてそのあたりの「世界の風向きの見誤り」もないようにしていただきたいと願います。
　