展望 2020年の企業法務

第10回 法制の動向を見据え、社内で収集・蓄積されているデータの棚卸しを - 情報・セキュリティ分野(後編)

IT・情報セキュリティ

目次

  1. デジタル・プラットフォーム事業者への規制
    1. 個人情報等の取得・利用と独占禁止法
    2. 特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案
    3. 2020年以降の規制の方向性
  2. 改正サイバーセキュリティ基本法
  3. 海外の個人情報保護法制
    1. タイ個人情報保護法
    2. カリフォルニア州消費者プライバシー法(CCPA)
    3. EUのeプライバシー規則案
  4. 2020年の企業法務

 2020年は情報・セキュリティ関連分野において、「個人情報保護法の改正」や「デジタル・プラットフォーム事業者に対する規制に向けた動き」「海外の個人情報保護法制」といったトピックが見込まれています。同分野における2020年の企業法務に関わる展望を、牛島総合法律事務所の影島 広泰弁護士が解説します。

 本稿では、「デジタル・プラットフォーム事業者への規制」「改正サイバーセキュリティ基本法」「海外の個人情報保護法制」などに関する動向を解説しています。

2020年に見込まれる動向の概要と、個人情報保護法の改正について解説した、本稿の前編「第9回 個人情報保護法改正の動向と、企業の実務に与える影響に注目を − 情報・セキュリティ分野(前編)」もぜひご参考ください。

デジタル・プラットフォーム事業者への規制

 データの取扱いについては、個人情報保護法だけではなく、独占禁止法を中心としたデジタル・プラットフォーマーに対する規制という側面からの規律が急速に進められています。対象となる企業は対応を進める必要があります。

個人情報等の取得・利用と独占禁止法

 公正取引委員会が、2019年12月17日に、「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」(以下、「考え方」)を公表しました
 ここで規制されている「デジタル・プラットフォーム」とは、「情報通信技術やデータを活用して第三者にオンラインのサービスの「場」を提供し、そこに異なる複数の利用者層が存在する多面市場を形成し、いわゆる間接ネットワーク効果 1 が働くという特徴を有するものをいう」とされており、具体的には以下が「デジタル・プラットフォーム事業者(以下「PF事業者」といいます)」にあたるとされています。

オンライン・ショッピング・モール、インターネット・オークション、オンライン・フリーマーケット、アプリケーション・マーケット、検索サービス、コンテンツ(映像、動画、音楽、電子書籍等)配信サービス、予約サービス、シェアリングエコノミー・プラットフォーム、ソーシャル・ネットワーキング・サービス(SNS)、動画共有サービス、電子決済サービス等であって、上記の特徴を有するデジタル・プラットフォームを提供する事業者

 これらのサービスを提供している企業は、消費者(個人)の個人情報等を取得・利用する際に「考え方」を遵守する必要があります。

 独占禁止法2条9項5号は、「自己の取引上の地位が相手方に優越していることを利用して、正常な商慣習に照らして不当に」、「継続して取引する相手方」(同号イ及びロ)や「取引の相手方」(同号ハ)に対して、不利益を与える行為を優越的地位の濫用としています。

 そのうえで、「考え方」は、「消費者が、デジタル・プラットフォーム事業者が提供するサービスを利用する際に、その対価として自己の個人情報等を提供していると認められる場合」には、「消費者はデジタル・プラットフォーム事業者の『取引の相手方(取引する相手方)』に該当する」という解釈を示しています。
 したがって、PF事業者にあたる企業が、消費者から個人情報等を「対価として」取得して利用する際には、優越的地位の濫用にあたらないようにしなければなりません。
 なお、ここでいう「個人情報等」とは、「個人情報」および「個人情報以外の個人に関する情報」(消費者の属性、行動等、当該消費者個人と関係するすべての情報を含む)をいいます。

 また、優越的地位にあるとは、「消費者がデジタル・プラットフォーム事業者から不利益な取扱いを受けても、消費者が当該デジタル・プラットフォーム事業者の提供するサービスを利用するためにはこれを受け入れざるを得ないような場合である」とされており、具体的には以下のいずれかの場合には通常は取引上の地位が優越していると認められるとされています。

  1. 当該サービスと代替可能なサービスを提供するデジタル・プラットフォーム事業者が存在しない場合
  2. 代替可能なサービスを提供するデジタル・プラットフォーム事業者が存在していたとしても当該サービスの利用をやめることが事実上困難な場合
  3. 当該サービスにおいて,当該サービスを提供するデジタル・プラットフォーム事業者が、その意思で、ある程度自由に、価格、品質、数量、その他各般の取引条件を左右することができる地位にある場合

 報道では「GAFA規制」といわれ、巨大なPF事業者を想定しているようなイメージを持つ方も多いかもしれませんが、「考え方」が対象としているPF事業者はかなり広範囲におよびますので、留意が必要です

 規制の詳細を述べることは本稿の趣旨に反すると思われますので、以下では、PF事業者に対する規制を簡単にまとめます。
 以下は、優越的地位の濫用として問題となり得ます。

  1. 個人情報等の不当な取得
    ア 利用目的を消費者に知らせずに個人情報を取得すること
     この点に関し、「利用目的の説明が曖昧である、難解な専門用語によるものである、利用目的の説明文の掲載場所が容易に認識できない、分散している、他のサービスの利用に関する説明と明確に区別されていないこと等により、一般的な消費者が利用目的を理解することが困難な状況において、消費者の個人情報を取得する場合には,利用目的を消費者に知らせずに個人情報を取得したと判断される場合がある」とされていることに、注意が必要です。
     サービスの利用規約の中に、「第◯条 個人情報の取扱い」などとして利用目的を記載している事例を多く見かけますが、そのような実務は修正した方がよいと考えられます。利用目的は、利用規約の中ではなく、「個人情報との取扱いについて」といった別の項目・ページを設けるなどして、分かりやすく記載する必要があるということです。

    イ 利用目的の達成に必要な範囲を超えて、消費者の意に反して個人情報を取得すること
     たとえば、利用目的を「商品の販売」と特定して消費者に示していたところ、商品の販売に必要な範囲を超えて、消費者の性別・職業に関する情報を、消費者の同意を得ることなく取得することなどがこれにあたるとされています。実務的には、ウェブの入力フォームのなかで、利用目的の達成に必要のない項目は「必須」ではなく「任意」項目とするなどの対応を検討する必要があるでしょう

    ウ 個人データの安全管理のために必要かつ適切な措置を講じずに、個人情報を取得すること

    エ 自己の提供するサービスを継続して利用する消費者に対して、消費者がサービスを利用するための対価として提供している個人情報等とは別に、個人情報等その他の経済上の利益を提供させること
     これは、上記ア~ウのような行為が行われていなくても問題となるとされています。

  2. 個人情報等の不当な利用
    ア 利用目的の達成に必要な範囲を超えて、消費者の意に反して個人情報を利用すること
     たとえば、利用目的を「商品の販売」と特定し、当該利用目的を消費者に示して取得した個人情報を、消費者の同意を得ることなく「ターゲティング広告」に利用するケースがこれにあたるとされています。
     上記①イと合わせて考えれば、PF事業者は、ターゲティング広告に個人情報を利用することについて、同意を得る必要があると考えられます。

    イ 個人データの安全管理のために必要かつ適切な措置を講じずに、個人情報を利用すること

 以上のPF規制は、該当する企業においては、2020年にただちに対応しなければならない喫緊の課題といえるでしょう。

特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案

 2020年2月18日に、「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案(以下「特定PF法案」といいます)」が閣議決定され、国会に提出されました。この法案は、デジタル・プラットフォームのうち、「その事業の規模が当該デジタルプラットフォームにおける商品等の売上額の総額、利用者の数その他の当該事業の規模を示す指標により政令で定める規模以上であるものを提供するデジタルプラットフォーム提供者」(特定PF法案4条1項、特定デジタルプラットフォーム)を規制対象としたものです。影響がある企業の数は、「超大手」の数社であろうといわれていますが、該当する企業は動向に留意が必要です。

2020年以降の規制の方向性

 「個人情報の保護に関する法律等の一部を改正する法律案(以下、改正法案)」、優越的地位の濫用の「考え方」、「特定PF法案」を総合すると、2020年以降は、データの取扱いについて概ね以下の方向で規制されることになりそうです。企業は順次対応を進めていく必要があります。

規制を受ける企業 すべての企業(現行の個人情報保護法) すべての企業(改正個人情報保護法案) デジタル・プラットフォーム事業者 2 特定デジタルプラットフォーム事業者 3
根拠法、規制の方向性を示す資料 個人情報保護法 個人情報の保護に関する法律等の一部を改正する法律案」(2020年3月10日) 公正取引委員会「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」(2019年12月17日) 特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案」(2020年2月18日)
保護の対象

  • 個人情報

  • 個人情報

  • 個人情報
  • 個人情報以外の個人に関する情報 4(個人情報とあわせて「個人情報等」)

(同左)5
本人に対する
情報提供
個人情報

  • 利用目的


保有個人データ

  • 事業者の氏名または名称
  • 利用目的
  • 開示等の請求に応じる手続
  • 苦情の申出先

個人情報

  • 利用目的


保有個人データ

  • 事業者の氏名または名称、住所、代表者の氏名
  • 利用目的
  • 開示等の請求に応じる手続
  • 苦情の申出先
  • 個人情報の取扱体制や講じている措置の内容
  • 保有個人データの処理の方法等

(同左) (同左)
利用者(利用事業者)に対する提供条件等の開示 6
情報提供の透明性 7
8 (同左)
個人情報の取得に際しての本人の同意 ×(同意不要9 (同左) 利用目的の達成に必要な情報
→×(同意不要)

利用目的の達成に必要ない情報
→◯(明示的な同意が必要。やむを得ず同意した場合は意に反すると判断される可能性あり)10
(同左)
個人情報の適正利用
(不適正な利用の禁止)

利用目的の達成に必要な範囲を超えて、消費者の意に反して個人情報等を利用することは不当な利用とされます。11
◯(同左)

改正サイバーセキュリティ基本法

 2012年に開催されたロンドン・オリンピックにおいては、開催期間中に延べ2億件を上回るサイバー攻撃が行われたとされており 12、2016年のリオデジャネイロ・オリンピックでも大規模な攻撃が行われたとされています 13。今後開催される東京オリンピックにおいても、開催期間中に大規模なサイバー攻撃が行われる可能性があるとして、対策が進められています。
 その一環として、サイバーセキュリティ基本法が2018年に改正され、2019年4月1日に施行されました(一部は、2020年4月1日施行)
 改正法では、「官」(国の行政機関と地方公共団体)、「民」(重要インフラ事業者とサイバー関連事業者)、「学」(研究教育機関)を横断する「サイバーセキュリティ協議会」が新設され、サイバーセキュリティについての情報共有と対策等の協議が行われるようになりました。
 サイバーセキュリティにおいては、最新・具体的な情報をいち早く収集する筋道を確保することが重要です。協議会では、構成員等から提供された情報やタスクフォースが収集した情報にもとづいて、構成員等に対して情報提供が行われます。

 協議会は、一般にも情報提供するとされていますが、「機微な情報は構成員限り(転送禁止)として共有することがある。」とされており、そのような情報は提供する情報全体の25%程度であるとされています(内閣サイバーセキュリティセンター(NISC)「サイバーセキュリティ協議会について」20頁(2020年3月、2020年3月24日最終閲覧)。

 サイバーセキュリティ協議会への次期加入申し込みは2020年3月10日〜27日を予定しているとのことですので、攻撃を受けるリスクが高い企業などは構成員 14 となることを検討してもよいでしょう。

 なお、企業側としては、自らが情報提供すると社名が漏れることがないかが大きな問題となりますが、サイバーセキュリティ基本法では、協議会の事務に従事する者または従事していた者に対して守秘義務が課せられており(サイバーセキュリティ基本法17条4項、罰則はサイバーセキュリティ基本法38条)、秘密が守られることになっています

海外の個人情報保護法制

タイ個人情報保護法

 タイの個人情報保護法(個人データ保護法、以下、「PDPA」(Personal Data Protection Act)は、2019年5月24日に制定され、法律全体は同月28日に施行されましたが、民間企業の義務を定めた条文については1年間の猶予があり、2020年5月27日に施行されます(PDPA 2条)。

 タイPDPAは、EU一般データ保護規則(GDPR)を参考に作成されていますが、本人の同意をより重視しているという特徴があります。すなわち、PDPAその他の法令が認めた場合を除き、本人の同意がなければ個人データを収集・利用・開示してはならず(PDPA 19条)、本人以外から個人データを取得した場合には30日以内に本人に通知して同意を得る必要があります(PDPA 25条)。本人の同意なく個人データを取得できる例外としては、データ主体を当事者とする契約を履行するため等に必要である場合、管理者または管理者以外の個人または法人の正当な利益のために必要である場合、法令を遵守するために必要である場合などが定められています(PDPA 24条)。

 タイPDPAの適用がある個人データを収集・利用・開示(第三者提供)している企業は、例外に該当しない限り、本人の同意を取得するフローを2020年5月27日までに構築しておく必要があります。

 情報管理、情報漏えい時の72時間以内の通知義務(PDPA 37条)や、収集した個人データ等の記録の保持(PDPA 39条)、処理者(委託先)との契約締結義務等の監督義務(PDPA 40条)、データ保護担当者(Data Protection Officer、DPO)の選任義務(PDPA 41条、42条)などの情報管理の体制も整える必要があります。また、本人からの削除請求・開示請求等への窓口の設置や業務フローの整備も必要となります。

 さらに、国外への移転については、受領国が十分性認定を受けていない場合には「本人の同意を得る」「個人データ保護委員会規則に従った個人データ保護ポリシーまたは適切な保護措置を講じる」などの対応が必要となります。タイの現地法人等から日本への個人データの移転をしている企業は、今後当局から公表される詳細を踏まえて、2020年5月27日までに対応する必要があります。

海外移転の規制

 また、国外適用についても、GDPRと同様の規定があります。すなわち、タイ国外に所在する管理者・処理者(たとえば日本法人)による個人データの収集・利用・開示であっても、①タイ国内のデータ主体に対して商品またはサービスの提供(offering)をしている場合、または②タイ国内のデータ主体の行動の監視をしている場合には、PDPAの適用があります。この場合には、タイ国内に代理人を置かなければなりませんので、注意が必要です。

PDPAの適用についてのルール(PDPA5条)

 タイに進出していたり、タイと取引がある日本企業は多いと思われますので、2020年5月27日までに対応すべく、以下の実施を早急に行っていく必要があります

  1. タイPDPAの適用のある個人データを取り扱っているか否かについての社内・グループ企業の調査
  2. タイPDPAの適用がある場合に、同意を取得するか例外に該当する処理をするように整理
  3. 現地法人の情報管理体制等の整備
  4. 日本への国外移転への対処

カリフォルニア州消費者プライバシー法(CCPA)

 カリフォルニア州消費者プライバシー法(CCPA)が、2020年1月1日に施行されました。もっとも、規則(Regulation)にもとづくenforcementは2020年7月1日から行われることになりますので、遅くとも6月末までに対応を行うべく作業を進める必要があります(なお、消費者による集団訴訟は既に提起され始めていますので、留意が必要です15

 CCPAの概要については、「2018年6月成立、米国カリフォルニア州消費者プライバシー法の概要と日本企業に求められる対応」に記載したとおりです。
 「カリフォルニア州の居住者(resident)である自然人」の個人情報を取り扱う場合に、カリフォルニア州で事業を行っている者(do business in the State of California)であり以下のいずれかを満たす企業等に対してCCPAの適用があります。

(1)年間売上高(annual gross revenue)が2,500万ドルを超えている
(2)年間合計50,000件以上の消費者、世帯、またはデバイスの個人情報を、購入し、事業者の商業目的で受領し、販売し、または商業目的で共有している
(3)年間売上高の50%以上を消費者の個人情報の販売から得ている

 CCPAに関しては、2019年9月に、概ね以下のとおりの修正案が可決成立しています。

  • AB-25
    雇用関係の情報および企業代表者の人事データの適用除外
    ・2021年1月1日までの1年間は適用対象外(1798.145(g))
     但し、通知(1798.100(b))と個人の権利行使(1798.150)は適用
  • AB-874
    個人情報の定義の修正
  • AB-1146
    製品の保証またはリコールの場合には適用なし
    新車ディーラー間での車両情報には第三者提供のオプトアウト適用なし
  • AB-1355
    2021年1月1日までの1年間は、B to Bの文脈でのコミュニケーションや取引について、一定の条項について適用除外(消費者が企業の従業員であり、企業間の取引の文脈でやりとりするケース等)。個人情報の売買についてのオプトアウトの権利(1798.120)等は適用あり。
    プライバシーポリシーの文言の微修正(1798.110(c)(1)、(5)) 他
  • AB-1564
    消費者からの請求について、 無料通話(toll-free)電話を含む「2つ以上の方法」を用意しなければならないが、オンラインのみで運営する事業者または本人と直接関係がある事業者は、E-mailのみでよい。

 これらの修正案から逆に明確になったのは、雇用関係の情報やB to Bの取引の文脈でもCCPAの適用があるということです
 カリフォルニア州の居住者の個人データを取り扱っている企業は、CCPAの適用があるかどうかを早めに見極め、適用がある場合には2020年6月末までに対応を進める必要があります

 なお、カリフォルニア州での情報セキュリティは、カリフォルニア州司法長官が 2016年2月に公表した「California Data Breach Report」に記載されている20個のCritical Security Control(NIST 800-53及びISO/IEC 27002:2013ベース)を実装するのが実務的であると思われます。

EUのeプライバシー規則案

 EUでは、2019年11月22日に、EU理事会の常任委員会(Permanent Representatives Committee of the Council of the European Union)がeプライバシー規則案を否決しました。eプライバシー規則は、EU一般データ保護規則(General Data Protection Regulation、GDPR)の特別法として、電子通信サービスの通信データの秘密や、クッキー(Cookie)の保存や読み出しを規制する規則です(「eプライバシー規則案が与える日本企業の実務への影響」参照)。当初は、2018年5月25日のGDPRの施行に合わせて施行されるといわれていましたが、いまだに案の修正作業が続いています。
報道によれば、ウェブサイトが定めるクッキーの取扱いに同意することを当該ウェブサイトを閲覧することの条件とすること(クッキー・ウォール(Cookie Walls)と呼ばれます)の扱いなどについて議論が行われており、今回の規則案は否決されたと伝えられています 16。2020年には、引き続きEU理事会での決議を目指した作業が行われる見込みです。

 クッキー等による情報の第三者への提供については、上述のとおり日本でも改正法案により提供先における同意の取得が必要とされることになりますが、さすがのEUでも議論が紛糾していることが伺われ、今後の動向に注目です。

2020年の企業法務

 情報の取扱いに関して、2020年の企業法務は、個人情報保護法の改正を中心に、データの取扱い(とりわけ閲覧履歴や位置情報によるプロファイリング)に対する規制が重要になってくるでしょう。法務が、社内でどのようなデータが収集・蓄積されているかを把握できていないケースが多いと思いますので、その棚卸しをする必要が出てくると思われます

 また、地方公共団体がそれぞれ個人情報保護条例を制定していることから、各自治体で個人情報に関する規律が異なっている状態にあります(いわゆる「2000個問題」)。これは、企業との関係でいえば、たとえば、公立病院や健康保険等の医療データの利活用などのネックになってしまっています。これを解消するため、個人情報保護委員会が2019年12月2日から「地方公共団体の個人情報保護制度に関する懇談会」を開始しました。2000個問題を2020年中に解決することは難しいと思われますが、解消に向けた動きにも注目したいと思います。

 セキュリティ関連分野では、ますます大規模かつ巧妙になるサイバー攻撃への対処をどの程度まで行うべきか、法的な側面からのアセスメントが重要になってくると考えられます。
 たとえば、ダークウェブと呼ばれるネットワーク上では、メールとパスワードの組み合わせが約27億件流通しており、「.jp」ドメインのメールアドレスとパスワードの組み合わせも2,000万件が流通していると報道されています 17

 こうした状況下、メールアドレスとパスワードのみを認証に使うサービスを立ち上げれば、悪意のあるハッカーがその組み合わせを入手してログインできてしまう可能性があります。そのようなサービスの仕様が、「当時の技術水準」を満たすものとして債務不履行にあたらないといえるのかは、法務とセキュリティ担当者が協同して判断する事項になります(「会社・取締役が法的義務を負っている情報セキュリティのレベルとは」参照)。

 2019年にQRコード決済のサービスがローンチ直後に中止に追い込まれた事件に象徴されるように、セキュリティはビジネスにとって死活問題になり始めています。サービスをローンチする際に、法務・総務としては、利用規約やプライバシーポリシーのレビューのみならず、それが重要な情報・財産を取り扱うサービスである場合にはセキュリティについての検討が適切に行われて実装されているかを確認することが求められるようになっていくでしょう


  1. 「『間接ネットワーク効果』とは、多面市場において、一方の市場におけるサービスにおいて利用者が増えれば増えるほど、他方の市場におけるサービスの効用が高まる効果をいう」とされています。 ↩︎

  2. サービスを利用する消費者に対して優越した地位にあるデジタル・プラットフォーム事業者を対象とした規制です。 ↩︎

  3. 「その事業の規模が当該デジタルプラットフォームにおける商品等の売上額の総額、利用者の数その他の当該事業の規模を示す指標により政令で定める規模以上であるものを提供するデジタルプラットフォーム提供者」です。 ↩︎

  4. 消費者の属性,行動等,当該消費者個人と関係するすべての情報を含むとされています。 ↩︎

  5. デジタル・プラットフォーム事業者であるため、公正取引委員会の「考え方」の適用もあることになります。 ↩︎

  6. 特定PF法案5条2項、3項、4項 ↩︎

  7. 脚注8において問題視されているような態様で利用目的を通知等している場合には、個人情報保護法上も通知等しているとは評価できない可能性がありますので、情報提供の透明性については「考え方」と同様の規制であるともいえるように思われます。 ↩︎

  8. 本文にも記載したとおり、「利用目的の説明が曖昧である、難解な専門用語によるものである,利用目的の説明文の掲載場所が容易に認識できない、分散している、他のサービスの利用に関する説明と明確に区別されていないこと等により、一般的な消費者が利用目的を理解することが困難な状況において、消費者の個人情報を取得する場合には、利用目的を消費者に知らせずに個人情報を取得したと判断される場合がある」とされています。 ↩︎

  9. 要配慮個人情報は、原則として取得に際して本人の同意が必要です。 ↩︎

  10. 自己の提供するサービスを継続して利用する消費者に対して、消費者がサービスを利用するための対価として提供している個人情報等とは別に、個人情報等その他の経済上の利益を提供させることは、別途優越的地位の濫用となりうるとされています。 ↩︎

  11. たとえば、利用目的を「商品の販売」と特定し、当該利用目的を消費者に示して取得した個人情報を、消費者の同意を得ることなく「ターゲティング広告」に利用することがこれにあたるとされています。 ↩︎

  12. 情報処理推進機構(IPA)「プレス発表 ロンドン五輪の事例から「2020年」を見据えたサイバーセキュリティシンポジウムを開催」(2014年1月17日) ↩︎

  13. 総務省「サイバーセキュリティ等に係る現状と課題について」(2017年10月) ↩︎

  14. タスクフォースからの情報を受領し、自組織の対策に活用することを想定している場合には、「一般の構成員」となります。 ↩︎

  15. Bloomberg Law「Salesforce Data Breach Suit Cites California Privacy Law」(2020年2月5日、2020年4月1日最終閲覧) ↩︎

  16. Wilson Sonsini Goodrich & Rosati「European Privacy Landscape: What to Expect in 2020」(2020年2月5日、2020年3月24日最終閲覧) ↩︎

  17. 日本経済新聞「個人情報27億件、闇サイトに流出 日本関連2000万件」(2019年2月21日、2020年3月24日最終閲覧) ↩︎

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する