利用規約と個人情報、プライバシー

「良いウェブサービスを支える「利用規約」の作り方」（雨宮美季+片岡玄一+橋詰卓司  共著、技術評論社）は、ウェブサービスを提供する側の視点から、「利用規約」にはどのようなことを書くべきか、或いは書くべきでないか、を解説した書籍である。
しかし本書は、そもそもインターネット上でビジネスを展開する場合、どのような法律が関係し、どのようなことが問題になるかを知ることが出来るという点において、ウェブサービスを利用する側の人が見ても参考になる内容である。なお、本書には、利用規約のひな型とプライバシーポリシーのひな型、などが付いている。

(1)個人情報とプライバシー情報の違い

個人情報やプライバシーに関わる問題が、マスコミやIT系のメディアで度々話題になる。
この問題を考える際に、先ず個人情報とプライバシー情報の違いを知っておかなければならない。
個人情報保護法で定められた「個人情報」とは、生存する個人に関する情報で、氏名や生年月日などにより「特定の個人を識別できるもの」である。
また、「他の情報と容易に照合することができ」、それによって「特定の個人を識別できるもの」も含まれる。
即ち、直接的、間接的に特定の個人を識別できるものが個人情報である。

一方、プライバシー情報は、上記の個人情報よりも広い概念であり、特定の個人を識別できなくても、プライバシー情報になり得る。
具体的には、端末固有ID、外出時の位置情報、アプリ利用履歴やウェブサイトの閲覧履歴などは、プライバシー権による保護を受けられる”可能性がある”とのことである。
プライバシーの保護については、個人情報保護法のような明確な法律が存在する訳ではないが、「私生活をみだりに公開されない法的保障ないし権利」として、憲法13条に基づく判例が存在している。

(2)個人情報やプライバシーにかかわる問題

最近発生したプライバシーに関わる問題では、JR東日本のSuica履歴販売が有名であり、日経コンピューター10月17日号でも取り上げられている。
これは、駅の改札機から収集したSuicaの乗降履歴データを、JR東日本が匿名化処理をして日立製作所に販売、さらに日立製作所が統計処理を施したうえで、このデータを販売したものである。
ここで主に問題になったのは、以下の点である。
①利用者に対して事前の説明がなく、またオプトアウト手続きも周知していなかった。
②JR東日本は、当初、収集データは匿名化処理を施したので、個人情報にはあたらないと考えていた。
しかし、「他の情報と照合することで特定の個人を識別できる可能性がある」点で個人情報に該当する可能性がある。また、個人情報には該当しない場合であっても、ユーザーの同意なく利用した場合は、プライバシー侵害にあたる可能性がある。
海外でも似たような事例があることが本書の中で紹介されている。
Facebookが「Beacon」という広告配信の仕組みをリリースしたが、「事前にユーザーに説明したうえでオプトインするべきなのに、それを怠った」として集団訴訟にまで発展し、結局FacebookはBeaconの中止へと追い込まれた。
また、アメリカのオンライン映画配信・DVDレンタル会社であるNetflix社が、データ分析コンテスト向けに匿名で映画のユーザーレーティング情報を公開したが、Web上の公開情報と照合することにより、特定の個人を識別されてしまった、という事例が紹介されている。

(3)オプトインとオプトアウト

契約を成立させるためには、ユーザの同意を得る必要がある。利用規約やプライバシーポリシーを単にWebに掲載しただけでは適用することができない。
ユーザから利用規約の同意を得る方法として、
・同意してくれるユーザから明示的に同意を取得する方法（オプトイン）
・同意したくないユーザに拒否権を与える方法（オプトアウト）
がある。
オプトアウト方式は、何か問題が発生した時にユーザから「同意した覚えはない」と主張されると、ウェブサービス事業者として反論が困難になる可能性がある。従って、例えば、個人情報保護法上の第三者提供に対する同意などについては、オプトイン方式で、明示的に同意を取得すべきである。

(4)ウェブサービスと関連法規

本書では、ウェブサービスを提供する場合に関係する法律が紹介されている。
但し、それぞれの法律に関しては概略程度しか書かれていないので、より詳細な内容を知りたい場合は、別途それぞれの法律に関する解説書などを参照する必要がある。
ウェブサービスを利用する一般ユーザーであっても、どのような法律が関係しているのか、利用者はどこまで守られているのか、程度は知っておいた方が良さそうだ。
まず、利用者が未成年者である場合、「保護者の同意がない場合、未成年者はその取引をいつでも取り消すことができる」のが民法上の原則である点は押さえておきたい。
もう一つ誤認識が多いのは、「通信販売にはクーリングオフの制度がない」点である。
従って、ウエブサービスには、クーリングオフと同等の「返品特約」を付けている場合があるので、実際に取引をする場合（商品やサービスを購入する場合）は、契約内容を良く確認した方が良い。

本書では、ウェブサービスを類型化して、それぞれについて関係する法律が書かれている。
例えば、物件の賃貸や売買の仲介では、「宅地建物取引業法」が関係してくるが、これは何もウェブに限った話ではない。
同様に、求人求職情報の仲介であれば「職業安定法」、旅行やホテルの仲介であれば「旅行業法」、食品の販売であれば「食品衛生法」、など、リアルのビジネスで関連する法規はウェブ上のビジネスでも関係してくる。
ウェブサービスならでは、と思われる法規は、コミュニケーション型サービスに関連する、「電気通信事業法」と「出会い系サイト規制法」、広告メールを送付する際に関係する「特定電子メール法」あたりだろうか。
また、消費者を保護するという観点では、「消費者契約法」と「特定商取引法」が関係してくる。

2019年８月追記　：リクナビ内定辞退率提供問題
複数メディアの情報では、 就職情報サイト「リクナビ」を運営するリクルートキャリアが、就職活動中の学生の「内定辞退率」を 推定し、企業に提供していたことが判明、世間に波紋を呼んだ。
「内定辞退率」とは、 サイトに登録した就職活動中の学生の行動履歴データなどを基に、ある企業について、学生がその企業からの内定を辞退する確率（5段階評価）をAI（人工知能）で推論したもののようだ。
問題とされたのは、リクルートキャリアが「内定辞退率」データを企業に提供する際、本人の同意確認が不十分だった点である。同社は、学生がサイト登録する際、同社のプライバシーポリシーおよび利用規約に同意したうえでサービスを提供していたと説明した。
しかし、政府の個人情報保護委員会などから「利用規約が学生に伝わりにくい」などの指摘を受け、7月末でサービスを一時中止する事態となった。
なお、その後の報道では、リクルートキャリアは（一部のデータについて）本人の同意を得ずに情報を提供していたことが判明、結果このサービスを廃止することになった。
この問題は、個人情報の提供とプライバシーに係る問題であるが、それ以外にもXAI（Explainable Artificial Intelligence：説明可能なAI）に関する問題がある（と考えられる）。
①学生は自身のデータ、すなわち自分の内定辞退率を知ることができるのだろうか？
また、自身の内定辞退率について「なぜそのような評価になったのか」、データ提供事業者に説明を求めることができるのだろうか？
（消費者の説明を求める権利。企業の説明責任。説明可能なAI。)
②自身のデータである内定辞退率に納得できない場合、このデータを削除するよう依頼できるのだろうか？
あるいは、利用規約に同意したことを撤回できるのだろうか。（同意管理の問題）
現在のAI（機械学習やニューラルネットワークと呼ばれる技術）では、AIがなぜそのような結果を推論したのか、説明することが困難だと言われている。（AIのブラックボックス問題）
ニューラルネットワークの技術を、個人の信用スコア算出や、自動運転、医療分野に応用する場合は、なぜそのような結論を導いたのか、根拠を利用者に説明できることが求められる。これが「説明可能なAI（XAI)」の問題である。