デジタル庁

プラットフォームにおけるデータ取扱いルールの実装に関するサブワーキンググループ(第2回)

概要

  • 日時:令和4年2月14日(月)13時から14時30分まで
  • 場所:オンライン開催
  • 議事次第:
  1. 開会
  2. 事務局説明(内閣府知的財産戦略推進事務局)
  3. 質疑応答・議論
  4. 閉会

資料

参考資料

関連政策

議事概要

日時

令和4年2月14日(月)13時から14時30分まで

場所

オンライン会議

出席者

  • 渡部主査

  • 生貝委員

  • 太田委員

  • 沢田委員

  • 宍戸委員

  • 田丸委員

  • 増島委員

  • 眞野委員

  • 望月委員

議事概要

ステークホルダーについて

  • データ流通に関与する際の立場を定義したことで、誰のどんな懸念・不安を解消する必要があるのかがより明確になった。

  • PFの構成を示している図3にはプラットフォーム運営者と直接契約関係があるプラットフォームユーザだけでなく、プラットフォームユーザにデータを提供するデータ提供者やプラットフォームユーザにデータを取得される被観測者の存在も明示したほうが良い。

  • プラットフォーム運営者と直接契約関係がある者(プラットフォームユーザ)か否かと、ガバナンスが及ぶ者か否かとは別の話であり、ガバナンスはプラットフォームユーザだけでなく、その先にいる被観測者にも及ぶよう構築する必要がある。例えばプラットフォームユーザであるデータ提供者が不正に取得したデータを提供していないかといった事項は、不正が生じないような担保をプラットフォーム運営者がきちんと講じなければならず、プラットフォームユーザの上流にいる被観測者やデータ提供者の権利利益が害されないようにすることも、ガバナンス構築の目的に含まれる。この点はガイダンスの文章を読めば分かるが、図面にも表れている方が良いので、図3にはステークホルダーを全て明示する方が良い。

  • 図3にはどのようなステークホルダーがいるのかが記載されていて、図4にはガバナンス構築のためにどのステークホルダーが何をしなければいけないかが記載されている。現在の図3と図4は対応関係が不明で2つの図が全然つながりのない図のように見える。図3にステークホルダーを書ききった上で、これを踏まえて図4を表現すると良い。

コントローラビリティの定義について

  • 被観測者がデータの利用を許諾可能か否か、をコントローラビリティの要件とすると、実態とそぐわない場面が生じ得るので、定義の記載は再考が必要。直接の契約がなく被観測者が許諾やオプトアウトによるコントロールを利かせることが無理な場合であっても、被観測者の権利利益を害さないよう措置を講ずべきであって、それもコントローラビリティの概念に含むようにする方が良い。

  • 例えばカメラ画像の利用を念頭に置くと、全てのケースで本人の許諾が必要だとしてしまうと、利活用が出来なくなってしまうケースも出てくる。

  • 例えばプライバシー保護責任者を置いたり、被観測者が苦情を言えるようにしたり、どのようなデータをどのように取り扱っているかを事前に通知・公表するといった取り組みもコントローラビリティ確保の手段と考えられ、これらについては既にガイダンスに記載がある。定義についても、許諾だけがコントローラビリティの確保方法だと捉えられない記載とする必要がある。

  • コントローラビリティの中には、同意、許諾以外のものが含まれ得る。例えば自らのデータにアクセスしたり、必要に応じて修正を求めたり、場合によっては削除が認められることもあるかもしれない。自分のデータへのアクセス等、同意以外のルートによるコントロールもコントローラビリティの概念には含むようにしておくのが良い。

  • コントローラビリティは、あくまでもプラットフォームにデータを提供する者がそのデータに対して何ができるかにすべきで、その源泉である前工程の関与者が何ができるのかについてまで広げると際限なく定義が広がってしまう。プラットフォームにデータを提供する者の合法性の証明や不作為な行為がないことの証明はデューティーとして求めるものの、あくまでコントロールするのはプラットフォームに直接参加するデータ提供者が何を持ち込むかであって、その源泉たるデータがどうつくられたかとか、どう観測されたか、そこに誰が関与したかまで遡って全部をコントロールするとなると、トレーサビリティーを確保しながらデータのサプライチェーン中の全ての権利をコントロールしなければいけなくなる。それはかなり非現実的。したがってコントローラビリティの文言については、「同意した範囲の利用目的でのみデータが利用がされる環境で」というのは良いが、「被観測者やデータ提供者がデータの利用を許諾可能なこと」の実装は現実には非常に難しい。大事なことは、自分がプラットフォームに提供するデータに対して、複写、再頒布、削除、再提供のための加工等を自分の意思に基づいてできる権利を有するのかどうかということ。被観測者の権利への配慮は必要だが、それはプラットフォームにデータを持ち込む提供者のデューティーに位置付けるべきで、被観測者の権利としてコントローラビリティを位置付けると実装できない。

  • コントローラビリティと呼んでいるものは、基本的には本人関与ではないか。個人情報保護法の基礎になっているOECD8原則でも、まず本人関与の原則がある。関与の仕方は場面場面によって、本人の同意であったり、通知・公表であったりする。コントローラビリティという言葉で呼んでいるコンセプトを、本人関与の意味合いに代替するか、あるいはコントローラビリティの定義として少なくともパーソナルデータについては本人関与のコンセプトを採用し、本人関与の方法には濃淡があることを明確にして、コントローラビリティの概念を立て直したほうがよい。
    コントローラビリティは、実体的な個々の規律ではなく理念として捉える方が良い。上流関与者から下流関与者まで考慮が必要だが、実体的な規律としては、被観測者の関与が全くなくてもいいという場合から、通知・公表で良い場合、被観測者が認めたということをデータ提供者に保証させる場合、それから被観測者が何らかの形で請求権を行使できることを実効的に担保しなければならない場合まで、リスクに応じて被観測者が関与できる度合いはいろいろ場面がある。

  • 各委員はそれぞれ御専門の観点から基本同じことを指摘されている。プラットフォーマーの義務が契約に基づいた義務なのか契約を超えた信託受託者としての義務なのかといえば、契約がなくても生じる義務は信託受託者としての義務という言われ方をするが、被観測者に対してプラットフォーマーが一定のやらなければいけないことがあるというのはまさに受託者としての基本的な義務になる。日本は信託っぽいものも委託のように整理をしたり、取締役の義務のような善管注意義務といった信託なのか契約なのかよく分からない整理をすることがある。その意味で、ふわっと処理するのが日本の受託者の義務の全体的な傾向であり、なかなかきれいに物権的に、契約がなくても縛られるとか、契約がなくても権利になるとか、もしくは契約がある人に対しての義務といった形に記載することは、どこまで行ってもできない。今回ガイダンスでは、コントローラビリティ確保メカニズムの構築方法として利用規約が明記されていて、日本だと利用規約は契約という整理になるので、規約に同意した者が契約に縛られるという考え方をすることになる。そうすると、契約当事者ではない人、上流の被観測者等に対する縛る根拠は何か、契約の当事者である別の人に対する表明保証というやり方によって間接的に利益や権利が確保された状態をつくるというやり方もあるが、どこまで行っても契約がない人に対してプラットフォーマーが縛られる根拠が結局どこにあるのかということに帰着してしまい、これをきれいに説明することは相当に難しい。したがってコントローラビリティは概念として記載するしかない。

プライバシー侵害に関する表現について

  • プライバシー権については様々な説・解釈があるので、「プライバシー権の侵害」という表現よりも、「個人の権利利益が害される」という表現を用いる方が良い。
  • プライバシー侵害が違法かどうかは侵害という言葉の定義の問題で、侵害でも正当化・適法化される場合があるという意味あいで侵害という言葉を広く使う場合もあれば、侵害というからには違法という言葉遣いもある。言葉遣いをきちんと整理しておくことが重要。

今後の進め方について

  • ご指摘を踏まえて事務局で修文し、メールで委員全員に展開しご確認頂いた後に、ガイダンス案をSWG案としてデータ戦略推進WGに持っていく。
  • 特にコントローラビリティの概念については、重要故に修正の適否をご確認頂く。