本稿では、プライバシー・個人情報保護法と周辺法領域との関わりについて、主に競争法との関係に着目した考察を行った。プライバシー・個人情報保護法が競争法に影響を与える場面では、①プライバシー・個人情報保護の価値を競争法の中で考慮すべきか否か、②規範的尺度としてプライバシーの価値を競争法に取り込む場合の理論的根拠、③ドイツFacebook競争法違反事件の評価(EU一般データ保護規則(GDPR)違反に基づく競争制限禁止法違反の認定、データ保護法の目的としての情報自己決定)、競争法が個人情報保護法に影響を与える場面では、④データ・ポータビリティ、⑤制裁金(課徴金)導入の是非を論点に掲げた。
競争法の中で考慮すべきプライバシー・個人情報保護の主たる価値は、本人の同意、選択ないしは情報自己決定と見ることができる。他方、GDPRにおける「同意」と日本の個人情報保護法の「同意」は有効性の要件が異なる。また、企業結合事案では、個人情報保護法に基づく個人データの第三者提供は同意がなくとも適法である一方で、GDPRに同旨の規定は存在しない。GDPRは同意の要件が厳格であるため、同意の有効性が問題とされる競争法違反事件では、GDPR違反の認定がなされやすいと考えられる。GDPRと個人情報保護法の法制度及び解釈上の違いに留意すべきである。
企業結合事案及びデータ・ポータビリティ権の文脈では、事業者間でのデータ移転の是非に関して、競争法と個人情報保護法の役割分担が問題となる。EUの議論を概観する限りでは、両法は相互に関連性を有する場合もあるが、原則として独立に評価される。そして、問題となるデータに個人情報が含まれる場合は、個人情報保護に関する適法性を担保した上で、それでもなお競争法上の違法を構成する場合があるか否かを検討すべきといえる。競争法と個人情報保護法は、協調できる場面と対立する場面があり得るため、両者の役割分担には分析的な検討を要する。
日本の個人情報保護法改正論議の1つとして課徴金導入の是非が検討されている。課徴金の制裁的色彩を強調するならば、個人情報保護法に課徴金を導入することも不可能ではなく、その際には先行する国内外の競争法の趣旨及び内容から多くの示唆を受けることが予想される。
競争法及びプライバシー・個人情報保護法の交錯に関する考察を深めるためには、消費者保護法からの検討も必要である。
This paper discusses the legal interplay between the protection of privacy, personal data, and competition. From the perspective of competitive law, this paper addresses the following issues: (1) whether competition law should take into account the value of the protection of privacy or personal data; (2) the theoretical basis for introducing the value of privacy as a normative measure into competition law; and (3) the German Federal Cartel Office decision on Facebook, along with the legal issues presented by it.
Regarding these issues, individual consent, choice, and informational self-determination would be the major values of privacy and personal data protection that need to be considered in competition law. Additionally, we need to consider differences regarding the concept and conditions of valid consent between the General Data Protection Regulation (GDPR) in the European Union and the Act on the Protection of Personal Information (APPI) in Japan. While providing personal data from a business to a third party would qualify as legal when the provision is the result of a merger, according to the exception allowed in the APPI, the practice would not be legitimate based on the GDPR. As the GDPR’s consent requirements are strict, violation of an anti-competition act can be easily found when a case of GDPR violation is disputed.
From the viewpoint of personal data protection law, this paper includes an analysis of (4) the issues on data portability and (5) whether administrative sanctions should be incorporated in the APPI. Concerning data portability, role sharing between anti-competition law and personal data protection law is important. First, each law must be separately analyzed. Second, if personal data are included, compliance with the personal data protection law must be ensured; then, the possibility of violating the anti-competition law should be examined. We must look into cases from more analytical viewpoints, as both cooperation and conflict could occur when anti-competition and personal data protection laws are relevant. Finally, incorporating administrative sanctions into the APPI is possible as long as the purpose for administrative sanctions in competition law aligns with personal data protection laws.
本稿では、プライバシー・個人情報保護法2と周辺法領域との関わりについて、主に競争法3との関係に着目した考察を行う。法領域の交錯を論じる意義は、複数の法領域が重なり合う場合に、それらの法領域に通底する基本原理は存在するのか、立法や法解釈は相互に影響し合うのか、複数の法領域が抵触する場合の適用関係をいかに整理するのか、法の間隙が存在する場合にいかなるアプローチが可能か、といった問いに答えを見いだす点にある。
競争法は裾野の広い分野であり、消費者保護法や知的財産権との交錯は以前から論じられてきた。例えば、欧州連合(European Union, EU)の競争法に基づく支配的地位濫用規制では、支配的事業者の行為が排除型「濫用」に当たるか否かを判断する際の1つの要素として、当該行為が競争を制限して消費者に不利益を及ぼす可能性があるか否かが考慮される4。知的財産権の保持者が、当該権利の経済的価値を高めるために、許諾先の相手方に様々な制限や義務を課す場合に、相手方の事業活動を拘束し、競争を制限することがある5。また、最近では、いわゆる「デジタル・プラットフォーマー」規制との関係で、プライバシー・個人情報保護法と競争法の交錯に注目が集まっている6。
制度面では、特にアメリカにおいて、競争法の1つである連邦取引委員会法(Federal Trade Commission Act)(以下「FTC法」という。)第5条7が、連邦レベルでの消費者プライバシー保護に大きな役割を果たしてきた8。同条は「不公正若しくは欺瞞的な行為又は慣行」(unfair or deceptive acts or practices)を違法と宣言する旨の規定を置き、消費者プライバシー保護違反の実務に法執行をかける根拠に用いられる。実際、Google、Facebook、Appleなどの巨大プラットフォーマーによるプライバシー・ポリシー違反や、EUからの越境データ移転を適法化するための「セーフハーバー原則」(2016年7月12日からは「プライバシー・シールド枠組」)違反に適用されてきた9。事業者がプライバシー・ポリシー等で提示した保護内容を、プライバシーに関する「約束」ないし表示として捉え、実際にはそれが守られていなかった場合に、FTCは、不当表示を「欺瞞的行為」にあたるとして介入する根拠に用いる。このアプローチは、プライバシーに関する「通知及び選択原則」と親和的といわれている10。2019年7月24日には、Facebookが2012年にFTCから下された命令に違反したことを理由に50億ドル(約5,400億円)の制裁金を支払う旨の同意命令が下された11。
FTCは消費者プライバシー保護に関するレポートを複数公表してきたが、なかでも有名なのは、2012年3月26日に公表されたいわゆる「プライバシーレポート」12である。このレポートは、「プライバシー・バイ・デザイン」、「単純化された消費者の選択」、「透明性」という3つの柱を枠組みに据え、消費者選択の1つとして追跡拒否(Do Not Track)の仕組みを提案したこと等において、アメリカの個人情報保護に関する考え方を示した重要な報告書である。本稿との関係では「消費者の選択」が重要である。
EUは、反競争行為、消費者保護、個人情報保護の各分野で独立した立法を設けているが、デジタル単一市場戦略13のもとで、人、サービス及び資本の自由移動を保障し、個人や事業者がオンライン活動へシームレスにアクセスし、関与できる条件を統一するために、法制度を統一し、協力的に執行しようとする傾向が見られる14。例えば、EU消費者保護指令の改正提案の中では、クラウドストレージ、SNS及びウェブメールなど、金銭は支払わないが個人データを提供するデジタルサービスにも指令2011/83/EUを拡大し、消費者が契約締結前に情報提供を受ける権利や14日間の契約撤回権を有する旨を保障することが提案されている(同指令改正案第2条1項16項、18項)15。
ところで、プライバシー権は外延が曖昧な権利である。この権利は、煽情主義的なジャーナリズムに対抗すべく、サミュエル・D・ウォーレン(Samuel D. Warren)氏とルイス・D・ブランダイス(Louis D. Brandeis)氏が、1890年12月15日にハーバード・ロー・レビューに発表した「プライバシーの権利」(The Right to Privacy)によって論じられたことを契機に発展した16。この論文は、「ひとりにしておかれる権利」(the right to be let alone)(伝統的プライバシー権)を提唱し、論述の過程で、知的財産権や名誉権との比較を行い、それらの既存の法理では保護が及ばない領域を埋めるためにプライバシー権の必要性を主張している。その後、伝統的プライバシー権は、数多くのプライバシー関連訴訟により形成されてきた。
1960年8月、カリフォルニア大学バークレー校で学部長を務めたウィリアム・L・プロッサー(William L. Prosser)教授は、カリフォルニア・ロー・レビューに「プライバシー」と題する論文17を公表し、プライバシー関連訴訟を「不法侵入」(Intrusion)、「私的事実の公開」(Public Disclosure of Private Facts)、「公衆の誤認」(False Light in the Public Eye)、「盗用」(Appropriation)の4類型に分類した。この4類型は、プロッサー教授が委嘱を受けて起草した第2次不法行為リステイトメント18に取り入れられた。これらのうち、「公衆の誤認」は名誉を保護法益とし、「盗用」は経済的利益を保護する側面を持つ。このように、プライバシー権は、他の法的権利ないし利益の保護との境界の曖昧さを抱えつつ発展してきたことが伺える。
アメリカでは、1960年代中葉になると、特にコンピュータ化との関係で、新たなプライバシー問題へと関心が寄せられるようになった。このような事態への対応に大きな影響を与えたのは、現代的プライバシー権(自己情報コントロール権)の提唱である。この権利を論じたことで世界的に有名なのは、コロンビア大学のアラン・F・ウエスティン(Alan F. Westin)名誉教授である。ウエスティン教授は、1967年に、『プライバシーと自由』(Privacy and Freedom)19という著書を発表し、「プライバシーとは、個人、グループ又は組織が、自己に関する情報を、いつ、どのように、また、どの程度他人に伝えるかを自ら決定できる権利である。」と定義付けた。伝統的プライバシー権は消極的、現代的プライバシー権は積極的な性格を持つと説明されてきたが、ウエスティン教授の主張も、基本的には私的な状態を保護するものであり、個人に対し、自律性、自己実現、精神的安定を与えるために、自らに関する情報の提供について、自ら決定できる権利として理解される。
ウォーレンとブランダイスの提唱した「ひとりにしておかれる権利」は、他者からの侵入に抵抗する権利と捉えられがちであり、論文中でも、「秘密を守る権利、孤独を守る権利、思想・信条・感情をあらゆる形式における公開から保護される権利」と論じられているが、他方で、「各個人が通常、自己の思想や心情、感情をどの程度他人に伝えるべきかを決定する権利」又は「公開の行為を完全にコントロールする」権利であるとも説明されている。このことから、伝統的プライバシー権と現代的プライバシー権は区別されるものではなく、両者を統合的に捉える必要がある20。
また、伝統的プライバシー権と現代的プライバシー権は、自らに関する何らかの情報を他人に伝える行為について、自分で決定するという要素において共通する。自己の情報に関する「個人」の「選択」は、消費者保護法にも通底する理念である。
現代的プライバシー権は、アメリカにおいて、1970年以降、個人情報を保護するための諸法律を制定することで発展した。公的部門に関しては、1974年プライバシー法(Privacy Act of 1974)が成立し、民間部門に関しては、自主規制を基本としつつ、医療、通信、金融・信用など、特に機密性が高い情報を扱う分野において、数多くの個別法が成立してきた。この方式は、規制対象を限定して個別領域ごとに立法措置を講じる方式であって、セクトラル方式と呼ばれる。但し、いわゆるデジタル・プラットフォーマーは、セクトラル方式による立法の対象とはならないため、FTC法第5条の役割が重要となる。
現在、世界の個人情報保護法制を牽引するのはEUである。欧州では、プライバシー権の提唱国であるアメリカの影響を受けつつ、1970年代以降、スウェーデンのデータ法をはじめ、フランス、ドイツ、英国などでデータ保護法の立法化が進められてきた21。EUは、1995年にデータ保護指令を採択した後、近時の急速な技術発展及びグローバル化を受け、より一貫した規律を設けるべく「個人データの取扱いに係る自然人の保護と当該データの自由な移動に関する、また、指令95/46/ECを廃止する、2016年4月27日の欧州議会及び理事会の2016/679(EU)規則(一般データ保護規則)」(General Data Protection Regulation, GDPR)22を採択した。GDPRは、突出して詳細かつ網羅的な規定を設けており、データ保護法の世界的な集約版と見ることができる。
競争法の領域では、遅くとも2006年頃より、プライバシーやデータ保護の価値を意識した事例が登場しており、最近では、ドイツ・連邦カルテル庁によるフェイスブック競争法違反事件決定の中で、GDPR違反を評価した上での判断が下された23。この決定は、個人情報を保護する法の規定が競争法の解釈へ影響することを認めたものといえる。この点、プライバシー・個人情報保護法の立場から競争法の議論に貢献するとすれば、競争変数(competition parameter)の中で考慮され得るプライバシーや個人情報保護の価値が何であるのか、という問いに答えることである。
これに対し、プライバシー・個人情報保護法が競争法から影響を受ける場面に着目した先行研究は見られないようである。しかし、近時、個人情報保護の領域では、GDPRのデータ・ポータビリティ権や、日本の個人情報の保護に関する法律改正における課徴金制度の導入是非について、競争法との関わりが生じつつある。
以上の問題意識を踏まえ、本稿は、第2節においてプライバシー・個人情報保護法が競争法へ与える影響、第3節において競争法がプライバシー・個人情報保護法へ与える影響に焦点を当て、それぞれの議論状況を整理する。第4節では、これらの整理を踏まえて論点を抽出し、競争法上考慮される「プライバシー・個人情報保護」の主たる価値とは何か、また、競争法とプライバシー・個人情報保護の役割分担のあり方を論じる。
プライバシー・個人情報保護の価値を競争法の中で考慮すべきか否かについては議論がある。
FTCの前コミッショナーであるモーリーン・K・オールハンセン(Maureen K. Ohlhausen)氏及び弁護士のアレクサンダー・P・オクリア(Alexander P. Okuliar)氏による「競争、消費者保護及びプライバシー権(プライバシーへの正しいアプローチ)」(Competition, Consumer Protection, and the Right [Approach] to Privacy)は、反対する立場である24。同論文は、アメリカにおけるプライバシー保護の歴史的発展や、FTC法第5条の改正過程などに触れつつ、プライバシーという不安定かつ主観的な概念を競争法の考慮事項に含めることで、競争法の理論的基礎を損なうべきではないと論じている。特に、同論文は、侵害の種類、潜在的な侵害範囲、救済策の妥当性を掲げ、次のような点を指摘しつつ、競争法ではなく消費者保護法がプライバシー保護に適している旨を強調している。
プライバシー問題は反競争分析において一定の役割を果たすかもしれないが、その役割は、消費者厚生(consumer welfare)を高める経済効率性の促進という反トラスト(法)の目的に沿わなければならず、他の種類の侵害に対処すべきではない25。反競争法は、主に市場での効率的な価格発見を維持するという、より広範なマクロ経済的損害に焦点を当てる一方で、消費者保護法は各個別の契約取引の整合性を保障することを主眼としている。そして、それらは補完的であるが別個の執行目的を有する26。
賛成意見には、オランダ・ティルブルフ大学助教のフランシスコ・コスタ-カブラル(Francisco Costa-Cabral)氏及びロンドン・スクール・オブ・エコノミクス准教授のオーラ・リンスキー(Orla Lynskey)氏による「家族の絆:EU法におけるデータ保護及び競争の交錯」(Family Ties: The Intersection between Data Protection and Competition in EU Law)27がある。この論文は、競争法とデータ保護法が実体的範囲や規範的目的を異にすることを認めつつも、両者はEU法の枠内にあり、ともに市場統合の達成を目的とし、消費者厚生の問題を共有することから、法的枠組を一体的に捉えることができると論じている。そして、同論文は、競争法とデータ保護法が実体的範囲で重複する場合には、無料の競争変数に最適なデータ保護レベルを規範的尺度として導入できること、それによる効果として、①データ保護法は実質的な競争評価への内部的影響として作用し、競争法に欠けている規範的な指針を提供できる、②データ保護法は、EU機能条約第16条及びEU基本権憲章第8条のデータ保護の権利に基づき、基本的権利の地位を有し、当該権利を侵害するような企業の約束や是正を欧州委員会が受け入れないよう、競争法の執行に外部的制限を及ぼすことができると主張している。この場合、データ保護法は競争法の論理や目的に整合しない。
②の外部的制限について、有名な事案としてGDF Suez社のケースが紹介されている。フランスの競争当局(Autorité de la concurrence)は、2014年9月の予備的決定において、電気・ガス事業者のGDF Suez社に対し、国家独占事業者であった時代に収集した個人データを用いて、ガスと電力のパッケージを非規制の開放市場で宣伝することについて、支配的地位を濫用したと判断した。但し、競争当局は、データ保護当局であるCNIL(Commission Nationale de l'Informatique et des Libertés)と連携し、個人に対しオプトアウトする機会を与えた後に、その顧客データベースの一部を競合他社に開示するようGDF Suez社に命じている28。
欧州の個人情報保護法は、一般に「データ保護法」と呼ばれており、EUレベルではGDPRがこれに当たる。コスタ-カブラル氏らの論文は、欧州の視点で論じられており、プライバシーとデータ保護は大幅に重複するものの両者を区別すべきことを前提に、競争法との交錯対象はあくまでもデータ保護法であることを注記している。また、同論文は、競争法とデータ保護法の規範的関連性(適用対象、被害の性質、制度趣旨)を論じる中で、消費者保護法にも言及している。そこでは、各分野で採用される手法の違いも重要であり、その点においてデータ保護法が消費者保護法により近いと位置づけている。
また、EUでは、欧州データ保護監察官(European Data Protection Supervisor, EDPS)29によって、2016年9月23日、「ビッグデータ時代における基本的権利の一貫した執行に関するEDPSの意見」(EDPS Opinion on Coherent Enforcement of Fundamental Rights in the Age of Big Data)が発表されている30。
この意見書は、2014年3月に公表されていた予備的意見31を更新するものである。EDPSは、①データ保護、消費者保護並びに競争法の全てが福祉を保護・促進し、単一の欧州市場を創出することを目指しており、執行及び企業結合規制を包括的に行うべきこと、②透明性、説明責任、消費者の選択及び公共の福祉(general welfare)の場面で、上記3つの法分野が相乗効果を持つこと、③これらの分野での執行当局間の協力は限定されているため、デジタルクリアリングハウス(国内及びEUレベルの規制当局における自主的な連絡ネットワーク)を設置すべきことなどを主張している。この意見書は、個人情報を単なる経済的資産とみなすことはできないと述べ、EU基本権憲章第8条及びEU機能条約第16条に基づく基本権としての個人データ保護権を重視している。
2. 2. EU競争法と企業結合規制32 2. 2. 1.EU競争法EUの競争法に関する主な規定は、EU機能条約33並びに企業結合規制に関する理事会規則34及び関連告示ないしはガイドライン35に定められている。
EU機能条約第101条は、販売価格その他の取引条件を決定する場合を含め、事業者間のあらゆる協定、事業者団体による決定及び協調行為であって、加盟国間の通商に影響を及ぼすとともに、その目的又は効果が域内市場における競争を阻害、制限又は歪曲するおそれのあるものを禁止している(同条1項)。いわゆる共同行為を規制する規定である。
EU機能条約第102条は、市場支配的地位を有する一又は二以上の事業者が、域内市場又はその相当部分を占める一部において、その地位を濫用することは、当該行為が加盟国間の通商に影響を及ぼすおそれがある場合には、域内市場に適合しないものとして禁止される旨を定めている36。いわゆる支配的地位濫用規制であり、排除型濫用(exclusionary abuse)と搾取型濫用(exploitative abuse)に分けられる。日本の独占禁止法との関係では、排除型濫用は排除型私的独占に相当し、搾取型濫用は日本の不公正な取引方法における優越的地位濫用に通底するものがあると説明されている37。
企業結合規制は、企業結合を「事業者に対する支配の持続的な変化であって、独立の関係にある二以上の事業者間の合併又は事業者(事業者に対する支配力を有する個人又は一若しくは二以上の事業者)による、株式若しくは資産の取得その他契約に基づく、他の一又は一以上の事業者の全部又は一部に対する支配の取得」と定義している(企業結合規制に関する理事会規則第3条1項)38。共同体規模の企業結合は、その原因となる行為後、結合の実施前に欧州委員会への届出を要する(同規則第4条1項)。
2. 2. 2. データ集中と競争法データ集中と競争法の問題は、いわゆるGAFAに代表される巨大プラットフォーム事業者への規制を巡って議論されている。その背景として、競争法の専門家からは、次のよう認識が示されている。
二面市場の片方の面において無料によるやり取りがなされ、無料市場では価格以外の競争変数が重要性を増しており、例えば、無料ウェブサービスの利用規約が個人情報への侵害をもたらし、需用者に害をなす場合に、品質の低下をもたらし得ることがある39。プラットフォーム産業では、「ユーザーデータは概念的には貨幣同様に扱われ、ユーザーに対しては「無料」でサービスを提供する一方、データを利用した取引あるいは広告料等を通じてデータを金銭化している。」40という現状がある。しかし、オンライン・プラットフォームを利用する限り、ユーザーの認識以上にプライバシーは侵害されており、「「無料市場」に特徴付けられるオンライン・プラットフォーム事業によって、本来は取引に付随する「個人情報保護に対する価値」と「サービスに対する支払意思額」とのバランスが不透明な形で不均衡化している。」41と指摘されている。
公正取引委員会は、2017年6月6日付「データと競争政策に関する検討会報告書」の中で、「SNSなど「無料」サービスを提供するデジタル・プラットフォームにおいて、プライバシーの保護水準が重要な競争手段となっている場合には、当該保護水準を商品の品質の一要素と捉え、制限行為による当該保護水準の低下に基づいて競争減殺効果を評価することもあり得るものと考えられる。」と述べ42、プライバシー保護を品質の一要素として競争変数に取り込むことを示唆している。
2. 2. 3. 競争法事件とプライバシー・個人情報保護43プライバシー・個人情報保護の価値を競争変数の中でいかに評価するかについては、主に、EUにおける競争法事件で議論されてきた。
(1) Ansef-Equifax v. Ausbanc事件判決(2006年)44本件は、金融機関相互で顧客の支払能力情報を交換する行為について、欧州共同体設立条約(EC設立条約)第81条(リスボン条約発効後はEU機能条約第101条)の競争制限効果をもたらすか否かが問題となった。欧州司法裁判所は、「個人データの機微性に関して生じ得るあらゆる論点は、それ自体、競争法の問題ではなく、データ保護を規律する関連規定に基づき解決することができる。」45と判示した。
(2) Google/DoubleClick企業結合審査(2008年)46欧州委員会は、GoogleによるDoubleClickの買収を承認した決定の中で、「本決定は、競争に関する共同体規則、すなわち、企業結合が共通市場での効果的な競争を妨げないという点で、企業結合規制の目的と両立するか否かに関する、本実務の評価のみに言及する。企業結合規則の前文第36項で謳われるように、共同体は、基本的権利を尊重し、特にEU基本権憲章によって認められている諸原則を遵守している。いずれにせよ、本決定は、個人データの取扱いに関する個人の保護及びプライバシー保護に関連する共同体法によって当事者に課せられる義務、特に、1995年データ保護指令及び2002年電子通信プライバシー指令47並びに加盟国の実施法であって、合併当事者及び合併業務から生じる事業者により実施される個人データの取扱行為に適用されるものを侵害しない。合併の承認に関わらず、新事業体は、日々の業務において、関連するすべての手段によってユーザーに認められる基本的権利、すなわちプライバシーとデータ保護に限定されないものを尊重する義務を負う。」48旨を述べ、データ結合によるプライバシーへの悪影響は企業結合審査とは無関係であるとの立場を明らかにした。
この事件はFTCでも審査され、同様に買収は承認されたものの、2名の委員が、合併によって極めて洗練されたターゲティグデータを収集分析されることに対するプライバシー上の懸念を表明している49。
(3) Facebook/WhatsApp企業結合審査(2014年~2017年)50欧州委員会は、FacebookによるWhatsAppの買収を承認した決定の中で、「本決定の目的上、オンライン広告市場又はそのサブセグメントにおけるFacebookの地位を強化する蓋然性がある範囲でのみ、潜在的なデータ集中を分析した。取引の結果としてFacebookの管理下に置かれるデータ集中の増大から生じる、あらゆるプライバシー関連の懸念は、EU競争法の範囲に含まれず、EUデータ保護規則の範囲内にある。」51と判断した。
Facebookは、2014年8月の合併届出及び照会への回答の中で、欧州委員会に対し、両当時会社のユーザーアカウント間で信頼に足る自動照合を設けることはできないと説明していた。しかし、2016年8月、WhatsAppは、利用条件及びプライバシー・ポリシーを更新し、WhatsAppユーザーの電話番号とFacebookユーザーの識別子を連結させる可能性を公表した。この点について、WhatsAppは、Facebook上の友達候補の提案や、WhatsAppユーザーのFacebookアカウント上に表示する広告の精度を高めることなどによるサービス向上を意図している説明した。しかし、欧州委員会は、2016年12月20日、Facebookに異議告知書を送付し52、2017年5月18日、1億1,000万ユーロ(約136億円)の制裁金の支払いを命じた53。同委員会は、2014年段階で、Facebookの従業員はユーザーIDとWhatsAppのユーザーIDを自動照合させることは技術的に可能であることに気付いており、Facebookは、ユーザー照合に対する同委員会の評価と合併規則に基づく自社の義務の関連性を認識していたため、少なくとも過失があると判断している。但し、2014年の決定は諸事情を考慮して下されたため、決定に影響は与えないこと、また、本件は、2016年8月のプライバシー・ポリシー更新後に生じ得るプライバシー、データ保護又は消費者保護問題とは無関係であることが付言された。
なお、WhatsApp'sの買収が公表された後、プライバシーへの懸念から、数千人のユーザーが、手厚いプライバシーを提供するTelegramなどの別のメッセージプラットフォームをダウンロードしている54。
(4) Microsoft/LinkedIn企業結合審査(2016年)55本件は、MicrosoftによるLinkedInの買収事案である。欧州委員会は、2016年12月6日、条件付きで買収を許可した。その判断において、GDPRへの言及がある。同委員会は、前提として、「係るデータ結合は、適用されるデータ保護規則によって認められる範囲でのみ、被買収企業によって実施できることを注意すべきである。」56と述べた上で、2018年5月25日からGDPRが適用開始されること、GDPRがEUにおける個人データの調和的かつ高いレベルの保護を定め、個人データの取扱いを包括的に規制すること、新規則は現行の権利を強化し、個人による自己の個人データへのコントロール(すなわち、個人データへの容易なアクセス、データ・ポータビリティ権)を一層高めるため、今後、Microsoftはユーザーの個人データへアクセスし、取り扱う能力をさらに制限される可能性があること57を述べている。
他方、同委員会は、市場調査の結果、PSN(professional social network)サービス市場において、プライバシーが重要な競争変数であり、顧客の選択の推進力であることが明らかとなった旨を取り上げ58、プライバシーが合併によって消極的な影響を受けた可能性があることを指摘している59。具体的に、ドイツやオーストリアで展開されるXINGというPSNは、利用者に対し、プライバシー・ポリシーや利用条件、さらには新サービス導入時における個人データの取扱方法への明示的な同意を求め、かつ、利用者の同意がなくとも機能を下げずにその利用を認める一方で、LinkedInは、利用者が利用を継続することで同意があったものとみなす実務を採用している点への言及がなされている60。XINGの運用はGDPRの同意要件を満たすものといえる。
2. 2. 4. Facebook競争法違反事件(ドイツ・連邦カルテル庁)612019年2月6日、ドイツ・連邦カルテル庁は、Facebook及びドイツの子会社に対し、GDPR違反を競争制限禁止法第19条違反(EU機能条約第102条に相当)の搾取的濫用と評価し、違反行為の停止等を命じる決定を下した62。
本件で違反とされたのは、Facebookにおいて、①Instagram、WhatsApp等のグループ企業が提供するサービス、及び、②第三者のウェブサイトから収集したユーザーデータ及びデバイスデータについて、ユーザーの同意なく、Facebookのユーザーアカウントに結びつけて利用できるようにした行為である。
具体的には、「FBのデータ・クッキーポリシー又は対応する契約文書を通して具体化される利用条件の使用とその実施は、市場力の表出(Ausfluss von Marktmacht)としてGDPRの原則に反するものであり、GWB19条1項の一般条項に基づく条件濫用の形態における市場支配的地位の濫用行為に当たる。」63と判断されている。違反と認定されたGDPRの規定は、第6条1項及び第9条2項違反であった64。第6条1項は、個人データの取扱いを適法化するための根拠、第9条2項は、機微データの取扱いを認めるための例外的根拠を定めている。本件では、ユーザーにおいて、包括的なデータ収集と利用に承諾しなければサービスを利用できなかったことから、同意の任意性を欠くという点が問題とされた。
決定の要旨によると、データ保護との関係では、概ね次のような認識が示されている65。
データ保護法の目的は、組織と個人間の力が非対称であることに対処し、管理者(個人データの取扱いの目的及び手段を決定できる者)とデータ主体(本人)の間の利益の適切なバランスを確保することを目的としている。情報の自己決定への基本的権利を保護するために、データ保護法は、個人に対し、自由に、自己の個人データの取扱いを強制されることなく決定する権利を与えている。
とりわけ、プロファイリングや「デバイスフィンガープリンティング」などを可能にする、他の事業者のサービス及びFacebook Business Toolsから、Facebookが包括的に個人データを取り扱うことは、GDPRに基づく欧州のデータ保護義務に違反し、また、データ保護義務に即して、影響を受けるユーザーの同意の対象となる。
本件では、GDPR第6条1項(a)号に基づく有効な同意はない。なぜなら、Facebookの市場における優越的地位を考慮し、ユーザーが契約締結のためだけにFacebookの利用条件に同意することは、GDPRの意味するところの自由な同意と評価できないからである。
第6条1項(b)号に基づく「契約履行の必要性」も認められない。この適法化理由は厳密に解釈する必要があり、特に、個々人向けサービスの効率性及び利便性を理由として、サービスによる個人データの取扱いの必要性を実証することはできない。全てのデータは個々のユーザー情報を伴うため、あらゆる種類のデータの取扱いは契約履行に必要とみなされなければならない。第三者のソースからのデータをFacebookの契約条件で決められた範囲で処理することは、ソーシャルネットワーク自体の提供や、個別化広告を通じたネットワークの収益化にとって必要とされない。
GDPR第6条1項(c)号から(e)号は、特別な目的によるデータの取扱いを正当化するために適用される。Facebookが設定した契約条件に従ってデータを処理するという利益は、データの種類とその処理方法、ユーザーの合理的な期待、及び、Facebookとそのユーザーの各立場を考慮に入れ、影響を受けるユーザーへもたらす結果に照らして、他の利益に上回るという結論には至らない((f)号)。支配的企業としてのFacebookはユーザーに対して交渉力を持ち、広範囲に及ぶデータ処理条件を課す立場にあり、ユーザーはコントロールの手段を付加できないため、係る処理条件を回避することはできなかった。ユーザーが自発的に同意しない限り、目下のデータ処理を正当化することはできないが、Facebook.comサービスを初めて利用する際の前提条件が同意である場合、処理中の情報に対する自発的な同意を想定することはできない。
また、本決定では、データ保護法の目的は、組織と個人の間における力関係に対抗し、相当な利益調整を行うこと、個人に対し、情報上の自己決定(Informationelle Selbstbestimmung)という基本権を保護するために、自らの人格に関係するデータの取扱いについて自由に決定する権利を割り当てることである等と判断している66。
プライバシー・個人情報保護の価値を競争法の中で考慮することには賛否があるものの、上記の通り、EUの企業結合事案や競争法違反事件の中では、係る価値が考慮されるようになっている。
これに対し、プライバシーについては、主に私的な領域や情報を保護するという性質上、損害賠償や差止請求の判断過程で競争法の価値を考慮する余地は生じにくい。しかし、個人情報保護法の制度面に着目すれば、競争法と関わりのある規定が設けられ、検討されようとしている。
3. 1. データ・ポータビリティ 3. 1. 1.GDPRGDPR第20条「データ・ポータビリティの権利」は、事業者間のデータ移転を促す効果を持つ可能性がある。この権利は、データ主体67において、管理者68に提供した自己に関する個人データについて、構造化され、共通に利用され機械で判読可能な形式により受け取る権利、及び、当該データを、個人データの提供を受けた管理者に妨害されることなく、他の管理者に移す権利である。この権利を行使できる場面は、(a)取扱いが第6条1項(a)号若しくは第9条2項(a)号による同意に基づく場合、又は、第6条1項(b)号による契約に基づいており、かつ、(b)取扱いが自動的手段により行われている場合である(1項)69。
GDPRは、適法な根拠がなければ個人データを取り扱ってはならないことを定め(第5条1項(a)号)、その要件として、データ主体の同意がある場合(第6条1項(a)号)、データ主体が当事者である契約を履行するため、又は、契約締結前にデータ主体の要請に基づく措置を講じるために、取扱いが必要である場合(同項(b)号)等を列挙している。第9条は、特別な種類の個人データ(いわゆる機微データ)の取扱いを原則として禁止し、それが許される場合の1つに、データ主体の明示的同意を定めている(同条2項(a)号)。
GDPR第20条1項の権利を行使する際に、データ主体は、技術的に実行可能であれば、個人データをある管理者から他の管理者に直接に移行させる権利を有する(同条2項)。但し、1項の権利は、他者の権利及び自由に悪影響を与えてはならない(同条4項)。
この権利はGDPRによって初めて導入されたが、それを踏襲する動きがある。2018年6月28日に成立したカリフォルニア州プライバシー保護法70は、消費者による個人情報開示請求権の中で、「消費者から個人情報へのアクセスを求める旨の確認可能な請求を受けた事業者は、本条に基づき要求される個人情報を、消費者に無料で開示し提供するための措置を直ちにとらなければならない。当該情報は郵便又は電子的手段により提供することができ、電子的手段により提供する場合、消費者が支障なく他者に当該情報を送信できるよう携帯可能な形で、かつ、技術的に可能な範囲で容易に使用可能なフォーマットを用いなければならない。事業者はいつでも消費者に個人情報を提供することができるが、12ヶ月間で2回以上消費者に個人情報を提供することは義務付けられない。」という定めを置いており(カリフォルニア州民事法典第1798.100条(d)項)、データ・ポータビリティ権を意図したものと解される。
また、1995年データ保護指令に基づき設置された第29条作業部会71は「データ・ポータビリティ権に関する指針」72を公表し、競争法との関係について、次のような考え方を示している73。
個人データのポータビリティ権は、サービス間の競争を(サービス変更を促進することによって)高め得るが、GDPRは個人データを規制しており、競争法を規制するものではない。特に、第20条は、サービス変更にとって必要又は有用なものに移転可能なデータを限定しない。
第1に、データ・ポータビリティは、データ主体が、管理者において取り扱う自己に関する個人データのサブセットを受領する権利であり、そして、追加的な個人的用途のためにこれらのデータを保管する権利である。この点において、データ・ポータビリティはアクセス権を補完する。例えば、データ主体が音楽ストリーミングサービスから現在のプレイリスト(又は聴いた楽曲の履歴)を受け取り、特定の楽曲を聴いた回数や、他のプラットフォームで購入又は聴きたい楽曲を確認する場合がある。同様に、ウェブメールアプリから連絡先を受け取り、結婚式の招待客リストを作成したり、異なるロイヤルティカードを用いた購入履歴を取得したり、又は、自己の二酸化炭素排出量を算定する場合がある。
第2に、あるデータ管理者から他のデータ管理者へと個人データを移行する権利は、「囲い込み」防止による消費者への権利付与に加え、イノベーション創出の機会、及び、データ主体のコントロール下での、データ管理者間での安心かつ安全な個人データ共有の機会を促進させることが期待される74。
なお、日本では、2019年4月25日、個人情報保護委員会が「個人情報保護法 いわゆる3年ごと見直しに係る 検討の中間整理」75を公表し、法改正に係る諸論点の中でデータ・ポータビリティに触れているが、立法化に関しては「議論の推移を見守る必要がある。」と述べるに留まっている。
3. 1. 2. 非個人データのデータ・ポータビリティ非個人データについて、EUは、「EU内の非個人データの自由な流通のための枠組に関する2018年11月14日の欧州議会及び理事会の規則(EU)2018/1807」を採択している76。
規則は「データ・ポーティング」の規定を定め、プロバイダの変更を促進する最良実務に関する指針を定めるための、EUレベルでの自主規制行動原則の策定奨励を謳っている(第6条)。また、この規則はデータ・ローカライゼーション77を禁止していることからも注目を集めている(第4条)。
上記の枠組は、個人データ以外の電子データに関係するものであり、GDPRをはじめとする個人データ保護関係の規律には影響しないことを明記しており、立場を明確に分けている(前文(8)項)。但し、これらを総合した包括的かつ一貫した枠組は、デジタル単一市場におけるデータの自由な移動を可能にすることを目指している。
3. 1. 3. 競争法とデータ・ポータビリティデータ・ポータビリティは、競争法上、ある事業者の有するデータへのアクセスを拒絶することは違法か否か、という文脈で議論されるが、これについては容易には認められないようである。
アメリカでは、1890年のシャーマン法制定以前に、鉄道又は運輸等の公共事業において、取引義務を課した判決が登場していた78。しかし、シャーマン法制定後、連邦最高裁判所は、独占を形成し又は維持する意図がない場合には、私企業には取引相手を自由に選ぶ裁量があると解釈しており79、特に、Verison v. Trinko事件判決は、取引相手の選択について下記のような立場を明らかにしている。
「我々は、係る例外を承認することに極めて慎重であった。なぜなら、共有を強制することの効果が不確かであり、単一事業者による反競争行為を特定し、是正することは困難だからである。」80
EU機能条約の解釈では、「他の事業者が新しい市場に参入するために不可欠なデータを市場支配力のある企業が有しており、当該支配力のある企業によるデータ提供の拒絶がすべての競争の可能性を排除する場合、このような行為はTFEU第102条により禁止される。」との意見もある81。但し、この解釈によっても市場支配的地位の濫用が成立するのは限定的と解される。反対に、データ・ポータビリティ権は、特に中小企業にとって対応能力やコスト負担の面で課題となりかねないため、競争への悪影響が懸念されるという批判がある82。
データ独占による支配は、支配的事業者が自己の保有する施設・資源へのアクセスを拒否することを違法とする「不可欠設備の理論」(Essential Facilities Doctrine)と関係づけられることがある83。しかし、国内外の学説及び判例の中には、取引拒絶の違法性根拠に同理論を用いることに慎重な姿勢を見せるものも多いようである84。
3. 2. 制裁金(課徴金)の導入是非EUは、競争法及びGDPRの双方において、違反行為に対する制裁金規定を設けている。
欧州委員会は、EU機能条約第101条又は第102条に、故意又は過失により違反した事業者・事業者団体に対して、その前年度売上高の10%を上限とする制裁金を課すことができる(2003年審査手続規則第23条2項)85。制裁金制度の趣旨について、欧州委員会は、個別の事案における制裁のみならず、制度の存在自体により違反行為の抑止を図る一般予防の観点も含まれるとしている86。
GDPR違反に基づき制裁金を科す権限を有するのは各監督機関である。各監督機関は、違反行為の種類に応じて、①最大 2,000万ユーロ、若しくは企業の場合は前会計年度の全世界の年間総売上の4%までのいずれか高い方、又は、②最大 1,000万ユーロ、若しくは企業の場合は前会計年度の全世界の年間総売上の2%までのいずれか高い方の制裁金を科す権限を有する。制裁金は、「効果的、均衡的、かつ抑止的」であることを要する(GDPR第83条)。
日本では、2019年4月25日、個人情報保護委員会が「個人情報保護法 いわゆる3年ごと見直しに係る 検討の中間整理」87を公表し、「ペナルティの在り方」の中で、GDPRなどに触れつつ課徴金の導入可能性を検討している。中間整理自体は慎重な書きぶりとなっており、「課徴金制度について導入を求める意見もあるが、我が国他法令における立法事例の分析も併せて行う必要がある。また、目的達成のための手段として、罰則の強化や、勧告措置や外国当局との執行協力で担保されている現行の域外適用の仕組みでは果たして不十分なのか、罰則とは別に課徴金を導入する必要があるのかについても、様々な観点から検討する必要がある。」と整理されている。しかし、個人情報保護法の領域はGDPRの影響を強く受けざるを得ない状況にあり、今後、課徴金の導入可能性も皆無ではない88。
第2節の整理から見いだすことのできる論点は次の通りである。
第1は、プライバシー・個人情報保護の価値を競争法の中で考慮すべきか否かである。この点に関しては、プライバシーのような抽象的概念を競争法に取り込むことに反対する立場、デジタル単一市場の達成を目的に、競争法、データ保護、消費者保護を一体的に捉え、法執行も協力的に行うべきとする立場に分かれる。前者はアメリカ、後者は欧州の論者による主張である。企業結合審査又は競争法違反事件の中では、プライバシー・個人データ保護への懸念を競争法の尺度で裁くことの是非が問題とされる。企業結合審査に係る欧州委員会決定は、原則として、EU競争法の範囲にプライバシー・データ保護の懸念を含めないという立場に立脚しつつも、データ集中によるプライバシー問題は認識しているように思われる。
データ集中に伴うプライバシーへのリスクには様々なものを想定し得るが、その1つに、データが集中・分析されれば本人の予想を超える形で人物像を浮き彫りにすることができるという点がある。プライバシー・ポリシーが無断で変更されたFacebook/WhatsAppの企業結合は、本人の予想外でデータ結合が行われた事案であったといえる。データ結合に伴う人物像形成は、いわゆる「プロファイリング」へいかなる法的対応を行うべきか、という問題を生ぜしめる89。GDPRは、プロファイリングを「自然人に関するある一定の個人的な側面を評価するために、特に、当該自然人の業績、経済状況、健康、個人的嗜好、興味、信頼性、行動、位置又は移動に関連する側面を分析し又は予測するために、個人データの利用から構成されるあらゆる形態による個人データの自動的な取扱いをいう」(GDPR第4条(4)項)と定義し、プロファイリングを含む個人データの取扱いに対する異議申立権(同第21条)、自動処理決定のみによる判断に服さない権利(同第22条)を定め、データ主体の保護を図っている。特に、第21条は個人データの取扱いに対するオプトアウト権を付与するものであり、それを保障しない場合にはGDPR違反が生じ得る。プロファイリングの問題と、データを掌握して個々人のデータベースを構築・分析する行為が市場支配力を表出させるのかという問題の関連性については、さらに考察する必要がある。
第2の論点は、規範的尺度としてプライバシーの価値を競争法に取り込む場合の理論的根拠である。これは競争法特有の論点であるが、特に無料市場においてプライバシーの保護水準を品質の一要素と評価できるのであれば、競争制限行為による保護水準の低下は反競争的的となり得る。但し、利用者がオンラインサービスを利用する際にプライバシーを考慮する程度に相違があるため、この点はなお議論を要する90。
第3は、ドイツのFacebook競争法違反事件の評価である。この決定の特徴としては、①GDPR違反がGWB(競争制限禁止法)上の濫用を導いた点、②データ保護法の目的を「情報上の自己決定」を意味すると述べている点である91。
①について、適切な同意は欧州委員会の企業結合審査事件の中でも論点とされており、競争法の中で考慮すべきプライバシー・個人情報保護の主たる価値は、本人の同意と見ることができる。
他方、GDPR上の有効な同意を得ることは容易ではない。データ主体の「同意」は、「自由になされた、特定の、情報を提供された、かつ、不明瞭でないデータ主体の意思表示であって、本人が、言明又は明らかに積極的な行動のいずれかによって、自己に関する個人データが取り扱われることへの同意を表明するものをいう」と定められている(GDPR第4条(11)項)。有効な同意を保障するためには、GDPR第7条「同意の条件」を満たさなければならず、管理者の証明責任(1項)、文書上の同意付与の際に他の事項と区別し、データ主体が理解しやすい態様で同意を要請すること(2項)、データ主体の将来に向けた同意撤回権(3項)、同意の任意性を判断する際に、契約履行に同意を条件づけているか否かを確認すること(4項)が求められる。日本の同意概念とは異なり、要件は厳格に定められており、同意に依拠することは必ずしも適法な取扱いを担保する根拠とはなり得ない。同意と契約が明確に区別されている点も特徴的である。
GDPRの同意要件を満たさない実務の全てが競争法違反を構成するとは限らない。しかし、GDPRの同意要件の厳格さに鑑みると、データ主体の適法な同意が問題とされる競争法関連事件では、GDPR違反が認定されやすくなると考えられる。
なお、Microsoft/LinkedInの企業結合事案でも、プライバシーは競争の重要な変数であり、顧客の選択の推進力となる点が競争評価に影響を与えるとの認識が示されている。
②については、国政調査に関するドイツ連邦憲法裁判所の1983年12月15日決定が、「情報自己決定権」に言及したことに由来する92。この決定では、情報自己決定は基本権に裏付けられている。権利の性質を深く考察することも重要であるが、本稿の射程に限るならば、情報自己決定は本人の「同意」や「選択」と共通する性質を持つ。すなわち、プライバシー権の発展過程を紐解くと、現代的プライバシー権は自己の情報の取扱いを自分で決定する権利であると位置づけることができ、その萌芽は既に伝統的プライバシー権提唱期にも見いだすことができる。本人による同意は、裏を返せば情報自己決定を担保するための制度でもある。FTCレポートでも若干触れたように、アメリカのプライバシー保護の考え方も、消費者の「選択」を前提としている。競争法における基本権の位置づけは別途検討すべきであるが、ここでは、情報の取扱いに対する本人の自己決定を個人の「同意」や「選択」と共通的に捉えることとする。①と同様、本人の自己決定が及ばないデータ処理実務がなされる事案では、GDPR違反のリスクが高まり、さらには競争法違反を構成し得る場合があると考えられる。
以上の議論を日本の法制度にそのまま引き直してみると、個人情報保護法の同意取得義務違反は独占禁止法違反を導き得るのか、という問題設定となるが、その分析は容易ではない。
独占禁止法には以前から議論のねじれがあると指摘されている。やや古いものになるが、例えば、公正競争阻害性のある「抱き合わせ」については、①相手方にとって不要なものを問題視するのか、②特定のものを「抱き合わせ」て競争者を害することを問題視するのかを明確に区別しないままに議論したことによる混乱を批判する論稿などが発表されている93。この論稿では、法的観点(競争者被害型と不要商品型)、違法性判断基準(自由競争説、能率競争説、優越的地位の濫用)を整理の軸に据えた分析的議論が展開されている94。個人情報保護法に抵触する行為が生じたとしても、それが独占禁止法上のいかなる違法類型に該当し得るかについては、分析的かつ慎重な検討を要する。
本稿の論点に戻ると、前提として、ドイツのFacebook競争法違反事件は、搾取型濫用という日本には存在しない違法類型が争われた事案であり、日本の独占禁止法では、対消費者への搾取型濫用(優越的地位濫用)の成否が論点となる。この点について、独占禁止法では、搾取型濫用と優越的地位濫用を巡る議論にねじれが生じているものの、優越的地位濫用を規制する同法第2条9項5号の「相手方」が消費者であってはならないという条文上の根拠は見当たらず、また、競争状態の対極にある究極状態が、相手方にとって選択肢のない状態なのであるとすれば、そのような相手方に対して過度の不利益を与える行為は競争の理念に反するものであるとする考えも成立し得る旨の主張が展開されている95。
日本の個人情報保護法は、GDPRのように、個人データの取扱い自体に適法な根拠を求めているわけではない。「同意」が登場するのは、主に、利用目的による制限(同法第16条1項)、要配慮個人情報の適正な取得(同法第17条2項)、第三者提供の制限(同法第23条1項)である。同法は「同意」自体の定義は設けておらず、法文上・解釈上、包括的同意や黙示的同意も排除していないのに対し96、GDPRは、法文中で「同意」を定義付け、その適法化条件を明文化している。EUの議論と比較する際には、こうした違いへの配慮も必要である。
さらに、個人情報保護法は企業結合事案では働かない場面がある。同法第23条5項2号は、「合併その他の事由による事業の承継に伴って個人データが提供される場合」には、当該個人データの提供を受ける者は「第三者」に該当せず、本人の事前同意なくして個人データを提供できる。そこで、競争阻害性のある企業結合に伴う個人データの取得は「偽りその他不正の手段」による取得と解する余地はないか(同法第17条1項)という問題提起がなされている97。
公正取引委員会は、2019年8月29日、「デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方(案)」を公表した。同案は、濫用行為となる違法類型について、「利用目的を消費者に知らせずに個人情報を取得すること」、「利用目的の達成に必要な範囲を超えて、消費者の意に反して個人情報を取得・利用すること」、「個人情報の安全管理のために必要かつ適切な措置を講じずに、個人情報を取得・利用すること」、「自己の提供するサービスを継続して利用する消費者に対し、消費者がサービスを利用するための対価として提供している個人情報等とは別に、個人情報等の経済上の利益を提供させること」を掲げている。この案は、消費者は独占禁止法第2条9項5 号の「相手方」に該当するとの認識に立っている98。最後の類型以外は個人情報保護法違反を問い得る事例と考えられるため、優越的地位の濫用が働き得る場面は限定されるように読める。
個人情報保護委員会は、「個人情報保護法に違反するとはいえない場合であっても、消費者に対して、正常な商慣習に照らして不当に不利益を与えることとなる場合がありうる。」等の認識を示し、公正取引委員会との必要な連携を図る旨の姿勢を示している99。個人情報保護法と独占禁止法は協調できる場面と対立する場面があり得る。データ移転に関する両者の役割分担については後述する通りであるが、問題となる場面に応じた分析的な考察を要する。
4. 2. 第3節に関する論点個人情報保護法制の中で競争法と関わりのある制度は、データ・ポータビリティ権と制裁金制度である。
データ・ポータビリティ権は、GDPRで登場した新たな権利であり、カリフォルニア州消費者プライバシー保護法がそれに倣った規定を置いている。この権利は、事業者間のデータ移転を促すことで「囲い込み」を防止し、競争促進効果をもたらす可能性がある。第29条作業部会の上記指針は、「囲い込み」防止による消費者への権利付与に言及しており、欧州委員会の説明の中にも、デジタルジャイアントに支配されたデータの市場にスタートアップ事業者や小規模事業者がアクセスできるようにし、プライバシーフレンドリーな解決で消費者を引きつける等の説明がなされている100。
しかし、GDPRの法文上、データ・ポータビリティ権は、データ主体が移転可能な電子的個人データの一群を受領し、それを他の管理者に移せるようにすることを主眼とする権利である。管理者間の直接移転は「技術的に実行可能な場合」に限られる。解釈上も、個人データのポータビリティ権は競争法を規制するものではないとされており、囲い込みを防止する効果が有るとしても、副次的なものに過ぎない。「個人情報保護制度上のデータ・ポータビリティは、個人の自由なサービス選択や、自分の個人データの自由な活用を実現するために、個人データに対する情報主体のコントロールを強化することが本来の目的であり、その結果として、競争環境にも良い結果が期待されていると位置づけるべきであろう。」との指摘も見られる101。競争促進効果を発揮できるのは、非個人データのポータビリティを促進する場面であるように思われる102。
競争法上、データ・ポータビリティは、データへのアクセス拒絶を違法と評価できるか否か、という文脈で問題となるが、前記の通り、解釈上違法と評価され得るのは限定的な場合のようである。
また、データの移転強制は、競争法と個人情報保護法の役割分担という問題を提起する。公正取引委員会「データと競争政策に関する検討会報告書」(2017年6月6日)は、「データが個人情報保護法上の個人情報に該当する場合に、同法に規定される個人情報取扱事業者の義務を履行するため第三者に対して当該個人情報へのアクセスを拒絶することについては、通常、独占禁止法の観点での不当性は認められないと考えられる。但し、個人情報保護法上の第三者提供に係る有効な同意を取得している場合に、個人情報保護法上は何ら問題がないにもかかわらず、競争を不当に制限するためにその後のアクセスを拒絶しようとする場合には、不当性が認められる場合があり得ると考えられる。」と整理しており、その点は賛同できる103。前記のGDF Suez社事件も、競争法の執行がデータ保護の権利を侵害し得る場合に、データ保護の権利を尊重させるべきことを示唆している。
次に、個人情報保護法への課徴金導入の是非を検討する際には、既に実績を持つ独占禁止法に基づく課徴金制度の趣旨に遡って検討する必要がある。EUでは、EU機能条約にもGDPRにも制裁金の規定が設けられている。EU機能条約の課徴金の趣旨には、制度の存在自体により違反行為の抑止を図る一般予防の観点が含まれると解されている。
日本の課徴金制度は、1977(昭和52)年の独占禁止法改正により、不当な取引制限を対象に初めて導入された後、2005年改正では支配型私的独占、2009年改正では排除型私的独占及び優越的地位濫用へと拡大されてきた。課徴金制度の趣旨について、基本的には不当な利得の剥奪をベースとするものであるが、2005年改正後は、違法行為の抑止という趣旨が強調されるようになっている104。最高裁判所は、2005(平成17)年9月13日判決の中で、「独禁法の定める課徴金の制度は、昭和52年法律第63号による独禁法改正において、カルテルの摘発に伴う不利益を増大させてその経済的誘因を小さくし、カルテルの予防効果を強化することを目的として、既存の刑事罰の定め(独禁法89条)やカルテルによる損害を回復するための損害賠償制度(独禁法25条)に加えて設けられたものであり、カルテル禁止の実効性確保のための行政上の措置として機動的に発動できるようにしたものである。また、課徴金の額の算定方式は、実行期間のカルテル対象商品又は役務の売上額に一定率を乗ずる方式を採っているが、これは、課徴金制度が行政上の措置であるため、算定基準も明確なものであることが望ましく、また、制度の積極的かつ効率的な運営により抑止効果を確保するためには算定が容易であることが必要であるからであって、個々の事案ごとに経済的利益を算定することは適切ではないとして、そのような算定方式が採用され、維持されているものと解される。そうすると、課徴金の額はカルテルによって実際に得られた不当な利得の額と一致しなければならないものではないというべきである。」と述べている。但し、この判決は、課徴金制度の趣旨が不当利得の剥奪をベースとするものであることを否定するわけではない105。
課徴金の制裁的色彩を強調するならば、日本の個人情報保護法に課徴金を導入することも不可能ではないと思われる。その場合には、先行する国内外の競争法の趣旨及び内容から多くの示唆を受けることになると予想される。
本稿では、プライバシー・個人情報保護法と競争法の交錯を巡る議論状況を筆者の把握し得る範囲で整理し、論点を検討した。競争法及びプライバシー・個人情報保護法は、いずれも消費者保護と関係を有するため、本稿の検討を深めるためには、消費者保護法からの多面的分析も求められる。
1 中央大学国際情報学部教授
2 「プライバシー・個人情報保護法」は、プライバシーの権利ないしは法的利益の保護、個人情報保護に関する各法律を総称する意味で用いる。個人情報保護は、アメリカでは「プライバシー保護」、欧州では「データ保護」と表現されることが多い。
3 「競争法」は、各国の独占禁止法を指すのではなく、外国法を含む一般的な議論を行うときに用いられる通称として用いられている。
4 笠原宏『EU競争法』(信山社、2016年)142頁。
5 笠原・前掲『EU競争法』174頁。
6 公正取引委員会「「デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方(案)」に対する意見募集について」(2019年8月29日)(https://www.jftc.go.jp/houdou/pressrelease/2019/aug/190829_dpfpc.html)。「プラットフォーマー」に公式な定義は存在しないが、同文書は、情報通信技術やデータを活用して第三者にサービスの「場」を提供するものを「デジタル・プラットフォーム」と位置づけている。プラットフォーム概念については、曽我部真裕、林秀弥、栗田昌裕『情報法概説』(弘文堂、第2版、2019年)77頁以下。法と経済学的アプローチについては、田中悟、林秀弥「ビッグデータの利用とプライバシーに関する法と経済学:展望と課題」Kobe city university of foreign studies working paper series第57号(2018年11月)1~25頁。
7 15 U.S.C. § 45(a) (2019).
8 個人情報保護の「個人」と消費者保護の「消費者」概念は、本来は区別すべきである。しかし、アメリカでは、FTCがプライバシー保護関係法の監督機関の役割を担っていることから、「消費者」の文脈でプライバシー保護が図られている。
9 小向太郎「米国FTCにおける消費者プライバシー政策の動向」情報通信政策レビュー第8号(2014年)(http://www.soumu.go.jp/iicp/chousakenkyu/data/research/icp_review/08/08-6komukai2014.pdf)ほか。
10 早川雄一郎「インターネット時代の消費者保護規制の一断面-FTCによる「消費者プライバシー」の規制からの示唆-」Nextcom第33号(2018年)22頁以下、23~24頁。
11 Federal Trade Commission, Facebook, Inc., In the Matter of (Jul. 24, 2019), https://www.ftc.gov/enforcement/cases-proceedings/092-3184/facebook-inc.
12 Federal Trade Commission, Protecting Consumer Privacy in an Era of Rapid Change, Recommendations for Business and Policymakers (Mar. 26, 2012), https://www.ftc.gov/sites/default/files/documents/reports/federal-trade-commission-report-protecting-consumer-privacy-era-rapid-change-recommendations/120326privacyreport.pdf.
13 デジタル単一市場については、上原伸元「欧州連合(EU)のデジタル単一市場(DSM)戦略とメディア関連分野における課題―域内越境サービスの活性化を巡る施策の検討―」慶應義塾大学メディア・コミュニケーション研究所紀要No.66(2016年)40頁以下(http://www.mediacom.keio.ac.jp/wp/wp-content/uploads/2016/03/5847003fae5ba1717849f525a5c10847.pdf)。
14 E.g., European Data Protection Board, EDPS Opinion on Coherent Enforcement of Fundamental Rights in the Age of Big Data (Sep. 23, 2016), https://edps.europa.eu/sites/edp/files/publication/16-09-23_bigdata_opinion_en.pdf.
15 European Commission, Proposal for a Directive of the European Parliament and of the Council amending Council Directive 93/13/EEC of 5 April 1993, Directive 98/6/EC of the European Parliament and of the Council, Directive 2005/29/EC of the European Parliament and of the Council and Directive 2011/83/EU of the European Parliament and of the Council as regards better enforcement and modernisation of EU consumer protection rules, COM (2018) 185 final (Apr. 11, 2018).
16 Samuel D. Warren & Louis D. Brandeis, The Right to Privacy, 4 Harv.L.Rev.193 (1890). ウォーレン&ブランダイス論文全体の翻訳は、外間寛「プライヴァシーの権利」戒能通孝・伊藤正己編著『プライヴァシー研究』(日本評論新社、1962年)1頁以下。
17 William L. Prosser, Privacy, 48 Cal. L. Rev. 383 (1960). 伊藤正己『プライバシーの権利』(岩波書店、1963年)、堀部政男『現代のプライバシー』(岩波書店、1980年)31~38頁ほか。
18 Restatement (Second) of Torts §§ 652A-652I (1977).
19 Alan F.Westin, Privacy and Freedom (1967).
20 拙著『個人情報保護法の理念と現代的課題-プライバシー権の歴史と国際的視点-』(勁草書房、2008年)559頁。
21 拙稿「プライバシー権」論究ジュリスト第18号(2016年8月)8頁以下。
22 Parliament and Council Regulation 2016/679, 2016 O.J. (L 119) 1-88 (EU). GDPRに関する直近の論稿として、藤原靜雄「GDPRをめぐる法的課題―特色と留意点」ジュリスト第1534号(2019年7月)14頁以下。
23 舟田正之「ドイツ・フェイスブック競争法違反事件——濫用規制と憲法・民法」法律時報第91巻9号(2019年7月)156頁以下が詳しい。
24 Maureen K. Ohlhausen & Alexander P. Okuliar, Competition, Consumer Protection, and the Right [Approach] to Privacy, 80(1) Antitrust Law Journal 121 (2015) [hereinafter Ohlhausen & Okuliar]. See also, Robert H. Lande & Neil W. Averitt, Using the ‘Consumer Choice’ Approach to Antitrust Law, 74 Antitrust Law Journal 175 (2007).
25 Ohlhausen & Okuliar at 151.
26 Ohlhausen & Okuliar at 152-153.
27 Francisco Costa-Cabral & Orla Lynskey, Family Ties: The Intersection between Data Protection and Competition Law in EU Law, 54(1) Common Market Law Review 11 (2017). See also, Orla Lynskey, The Foundation of EU Data Protection Law (2015), at 229-253.
28 14-MC-02 Mesure conservatoire du 9 septembre 2014 relative à une demande de mesures conservatoires présentée par la société Direct Energie dans les secteurs du gaz et de l’électricité.
29 EDPSは、EUの諸機関によるデータ保護法遵守を監督する機関である。Parliament and Council Regulation 2018/1725, 2018 O.J. (L 295) 39-98 (EU).
30 Supra note 14. この報告書では、前記のGDF Suez社事件が紹介されている。
31 EDPS, Privacy and Competitiveness in the Age of Big Data: The Interplay between Data Protection, Competition Law and Consumer Protection in the Digital Economy (Mar. 2014), https://edps.europa.eu/sites/edp/files/publication/14-03-26_competitition_law_big_data_en.pdf. 予備的意見については、市川芳治「第4次産業革命がもたらす変革と競争政策(上)-経済産業省報告書を読み解く:ビッグデータ時代に対するEU・欧州各国の競争政策の視点から」NBL第1088号(2016年)13頁以下。
32 笠原・前掲『EU競争法』31頁以下、公正取引委員会「世界の競争法 EU(European Union)」(https://www.jftc.go.jp/kokusai/worldcom/kakkoku/abc/allabc/e/eu.html)。
33 Consolidated Version of the Treaty on the Functioning of the European Union, Oct. 26, 2012, 2012 O.J. (C 326) 1-390.
34 Council Regulation 139/2004, 2004 O.J. (L 24) 1-22 (EC).
35 Commission Consolidated Jurisdictional Notice under Council Regulation (EC) No 139/2004 on the control of concentrations between undertakings, 2008 O.J. (C 95) 1-136 (EC), Guidelines on the assessment of horizontal mergers under the Council Regulation on the control of concentrations between undertakings, 2004 O.J. (C31) 5-18 (EC), Guidelines on the assessment of non-horizontal mergers under the Council Regulation on the control of concentrations between undertakings, 2008 O.J. (C 265) 6-25 (EC),Commission notice on remedies acceptable under Council Regulation (EC) No 139/2004 and under Commission Regulation (EC) No 802/2004, 2008 O.J. (C 267) 1-27 (EC).
36 笠原・前掲『EU競争法』133頁以下。
37 白石忠志、中野雄介編『判例 米国・EU競争法』(商事法務、2011年)9頁。
38 笠原・前掲『EU競争法』259頁以下、261頁。
39 白石忠志「「プラットフォームと競争法」の諸論点をめぐる既存の議論」ソフトロー研究第28号(2018年)37頁以下、42頁以下。EDPSの前記2016年意見書も参照(13頁)。
40 伊永大輔「プライバシー侵害は競争法違反となるか-EUにおけるデータ保護法制(GDPR)と競争法の交錯」法律時報第91巻5号(2019年4月)106頁。
41 伊永・前掲「プライバシー侵害は競争法違反となるか」107頁。
42 公正取引委員会競争政策研究センター「データと競争政策に関する検討会 報告書」(2019年6月6日)(https://www.jftc.go.jp/cprc/conference/index_files/170606data01.pdf)52頁。
43 伊永・前掲「プライバシー侵害は競争法違反となるか」107~108頁。
44 Case C 238-05, Ansef-Equifax v. Ausbanc, [2006] ECRⅠ-11125.
45 Id. para 63.
46 Case COMP/M.4731, Commission Decision on Google/DoubleClick, https://ec.europa.eu/competition/mergers/cases/decisions/m4731_20080311_20682_en.pdf.
47 1995年データ保護指令は、2016年4月にGDPRへと改正され、2002年電子通信プライバシー指令は、2019年10月現在、改正作業が進められている。決定本文では各指令の正式名称が示されている。
48 Supra note 46, para 368.
49 In the matter of Google/DoubleClick Dissenting Statement of Commissioner Pamela Jones Harbour (2007), https://www.ftc.gov/sites/default/files/documents/public_statements/statement-matter-google/doubleclick/071220harbour_0.pdf; Concurring Statement of Commissioner Jon Leibowitz Google/DoubleClick (2007), https://www.ftc.gov/sites/default/files/documents/public_statements/concurring-statement-commissioner-jon-leibowitz-google/doubleclick-matter/071220leib_0.pdf.
50 Case COMP/M.7217, Commission Decision on Facebook/WhatsApp, https://ec.europa.eu/competition/mergers/cases/decisions/m7217_20141003_20310_3962132_EN.pdf.
51 Id. para 164.
52 Press Release, Mergers: Commission alleges Facebook provided misleading information about WhatsApp takeover (Dec. 20, 2016), http://europa.eu/rapid/press-release_IP-16-4473_en.htm.
53 Press Release, Mergers: Commission fines Facebook €110 million for providing misleading information about WhatsApp takeover (May 18, 2017), http://europa.eu/rapid/press-release_IP-17-1369_en.htm.
54 Supra note 50, footnote 79 and para 174.
55 Case COMP/M.8124, Commission Decision on Microsoft/LinkedIn, http://ec.europa.eu/competition/mergers/cases/decisions/m8124_1349_5.pdf.
56 Id. para 177.
57 Id. para 178.
58 Id. footnote 330.
59 See Press release, Mergers: Commission approves acquisition of LinkedIn by Microsoft, subject to conditions (Dec. 6, 2016), http://europa.eu/rapid/press-release_IP-16-4284_en.htm.
60 Supra note 55, para 350.
61 Case B6-22/16, Decision under Section 32(1) German Competition Act (GWB) (Feb. 6, 2019). 英語版の決定文は以下のウェブサイトで公表されている(https://www.bundeskartellamt.de/SharedDocs/Entscheidung/EN/Entscheidungen/Missbrauchsaufsicht/2019/B6-22-16.pdf?__blob=publicationFile&v=5&fbclid=IwAR0aLnllect0UqySkBQ66rHg-nSROmawSE8f8r1gW1axJbYvm0ndXjELYQg).
62 舟田・前掲「ドイツ・フェイスブック競争法違反事件」、伊永・前掲「プライバシー侵害は競争法違反となるか」109頁以下参照。なお、Facebookは同決定の取り消しを求めて提訴中である。
63 Supra note 61, para 523. 舟田・前掲「ドイツ・フェイスブック競争法違反事件」156頁。
64 Id. para 573-733. 本段落以降でGDPR違反が詳細に検討されている。
65 Case Summary, Facebook, Exploitative business terms pursuant to Section 19(1) GWB for inadequate data processing (Feb. 6, 2019). 英語のケースサマリーは次のウェブサイト上で公表されている(https://www.bundeskartellamt.de/SharedDocs/Entscheidung/EN/Fallberichte/Missbrauchsaufsicht/2019/B6-22-16.pdf;jsessionid=864FDDEA5B576E2CF493A59C7F40A0E0.1_cid371?__blob=publicationFile&v=4)。
66 Supra note 61, para. 530. 舟田・前掲「ドイツ・フェイスブック競争法違反事件」159-160頁。
67 「個人データ」は、「識別され又は識別され得る自然人(「データ主体」)に関連するあらゆる情報をいう。識別され得る自然人とは、とりわけ、氏名、識別番号、位置データ、オンライン識別子などの識別子、又は、当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的、若しくは社会的アイデンティティに特有な1つ以上の要素を参照することによって、直接又は間接に識別され得る者をいう。」と定義されている(GDPR第4条(1)項)。
68「管理者」は、「単独で又は他者と共同して、個人データの取扱いの目的及び手段を決定する自然人、法人、公的機関、当局又は他の団体」をいう(GDPR第4条(7)項)。
69 1項の権利は、第17条の消去権(「忘れられる権利」)を侵害するものではない。この権利は、公益又は管理者に委ねられた公的権限行使に必要な取扱いには適用されない(3項)。
70 Cal. Civ. Code §§ 1798.100-1798.198.
71 第29条作業部会は、監督機関又は各加盟国が指名した代表者、EUの機構等の代表者、欧州委員会の代表者で構成される助言機関である。同作業部会は、GDPRの適用開始と同時に欧州データ保護会議(European Data Protection Board)へと改組され、この指針は同会議から承認されている。
72 Article 29 Data Protection Working Party, Guidelines on the right to data portability, WP242 rev.1 (Adopted on Dec. 13, 2016, as last revised and adopted on Apr. 5, 2017).
73 Id. at 4-5.
74 指針の中では、英国のMiData、フランスのMesInfos/SelfDataなどの試験的適用への言及がある。
75 個人情報保護委員会「個人情報保護法 いわゆる3年ごと見直しに係る 検討の中間整理」(2019年4月25日)(https://www.ppc.go.jp/files/pdf/press_betten1.pdf)。
76 Parliament and Council Regulation 2018/1807, 2018 O.J. (L 303) 59-68 (EU).
77 「データ・ローカライゼーション義務」とは、加盟国の法、規則又は行政規定に定められた、あらゆる義務、禁止、条件、制限又は他の要件であって、特定の加盟国の領域内におけるデータの取扱いを義務付け、又は、他のあらゆる加盟国におけるデータの取扱いを妨げるものをいう(第3条5項)。
78 State v. Hartford & New Haven R.R. Co., 29 Conn. 538 (1861); Texas Express Co. v. Texas & Pacific Ry. Co., 6 F. 426 (C.C.N.D. Tex. 1881); Southern Express Co. v. Memphis, etc. R. Co., 8 F. 799 (C.C.E.D. Ark. 1881).
79 United States v. Colgate & Co., 250 U.S. 300, 307 (1919).
80 Verizon Communications, Inc. v. Law Office of Curtis v. Trinko, LLP, 540 U.S. 398, 408 (2004).
81 杉本武重「欧州における個人情報保護の競争政策上の扱い」公正取引第822号(2019年4月)33頁。
82 杉本・前掲「欧州における個人情報保護の競争政策上の扱い」34頁、小向太郎「データポータビリティ」ジュリスト第1521号(2018年6月)26頁。Aysem Diker Vanberg & Mehmet Bilal Ünver, The Right to Data Portability in the GDPR and EU Competition Law: Odd Couple or Dynamic Duo?, 8(1) European Journal of Law and Technology (2017), http://ejlt.org/rt/printerFriendly/546/726.
83 French Autorité de la concurrence and the German Bundeskartellamt, Competition Law and Data (May 10, 2016), http://www.autoritedelaconcurrence.fr/doc/reportcompetitionlawanddatafinal.pdf, at 17-18.
84 不可欠設備の理論に基づき契約義務を負わせることができるのは例外的な状況に限られると述べたものに、Inge Graef, S.Y. Wahyuningtyas SY & Peggy Valcke, Assessing Data Access Issues in Online Platforms, 39 Telecommunications Policy 375, 382 (2015). 国内でも多数の先行研究が公表されているが、例えば、白石忠志「Essential Facility 理論-インターネットと競争政策」ジュリスト第1172号(2000年2月)70頁、多田英明「EU競争法におけるライセンス拒否-マイクロソフト事件判決を手掛かりとして」東洋法学第53巻3号(2010年3月)135頁ほか。
85 Council Regulation 1/2003, 2003 O.J. (L 1) 1-25 (EC).
86 笠原・前掲『EU競争法』241頁。
87 https://www.ppc.go.jp/files/pdf/press_betten1.pdf
88 宍戸常寿「憲法学から見た裁量型課徴金制度」宇賀克也・交告尚史『現代行政法の構造と展開』(有斐閣、2016年)775頁以下、792頁は、個人情報保護委員会に裁量型課徴金の手段を与えることは十分検討に値すると述べている。課徴金制度に反対する意見には、加藤隆之「個人情報保護制度に対する関心事項」(2019年5月17日)(https://www.ppc.go.jp/files/pdf/0517_shiryou2.pdf)がある。
89 山本龍彦「ビッグデータ社会とプロファイリング」論究ジュリスト第18号(2016年夏号)34頁以下等。
90 伊永・前掲「プライバシー侵害は競争法違反となるか」108~109頁。
91 舟田・前掲「ドイツ・フェイスブック競争法違反事件」158~159頁。
92 藤原靜雄「西ドイツ国勢調査判決における「情報の自己決定権」」一橋論叢第94巻5号(1985年11月)728頁参照。
93 白石忠志「独禁法における「抱き合わせ」の規制(上)」ジュリスト第1009号(1992年10月)50頁、同「下」ジュリスト第1010号(1992年10月)78頁。
94 同上。
95 白石・前掲「「プラットフォームと競争法」の諸論点をめぐる既存の議論」45頁。
96 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月、平成31年1月一部改正)(https://www.ppc.go.jp/files/pdf/guidelines01.pdf)24頁。
97 板倉陽一郎「個人情報保護と競争政策-日本における状況」競争政策研究センター第2回大阪国際シンポジウム「デジタル社会における新たな競争政策~プラットフォーム&個人情報保護~」(2018年12月7日)(https://www.jftc.go.jp/cprc/koukai/sympo/181207sympo12.pdf)。
98 https://www.jftc.go.jp/houdou/pressrelease/2019/aug/190829_dpfpc2.pdf.
99 個人情報保護委員会「「デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方(案)」に関する当委員会の考え方について」(2019年8月29日)(https://www.ppc.go.jp/files/pdf/190829_houdou.pdf)。
100 Press Release, European Commission, Questions and Answers-General Data Protection Regulation (Jan. 24, 2018), https://europa.eu/rapid/press-release_MEMO-18-387_en.htm.
101 小向・前掲「データポータビリティ」31頁。
102 但し、個人データ概念は極めて広いため、非個人データの範囲は相当程度限定されると考えられる。
103 公正取引委員会・前掲「データと競争政策に関する検討会 報告書」45頁。伊永・前掲「プライバシー侵害は競争法違反となるか」110頁も、「仮に、データ保護法制を運用することで十分なプライバシー保護が可能であれば、これを直接の法目的とする以上、データ保護法制を優先的に適用し、競争法はこれを阻害しないように差し控えるというのも一つの考え方であろう。」と指摘する。
104 白石忠志『独占禁止法』(有斐閣、第3版、2016年)650頁以下、根岸哲・舟田正之『独占禁止法概説』(有斐閣、第5版、2015年)318頁以下。
105 根岸・舟田・前掲『独占禁止法概説』321頁。
