プライバシーに関する契約についての考察（問答編）

要旨

令和元（2019）年9月2日の総務省情報通信法学研究会データ法分科会（令和元年度第1回会合）において、『情報法制研究』誌の連載である「プライバシーに関する契約についての考察」についての発表がなされたところ、同分科会で、構成員らから様々な指摘を頂いた。ここでは、分科会における応答を更に深化させ、連載の「問答編」として再編集した。

Abstract

A presentation on "A Study of a Contract about Privacy" was made at the Data Law Subcommittee of the Information and Communication Law Study Group of the Ministry of Internal Affairs and Communications on September 2, 2019 (Reiwa 1). This research presentation is based on a series of "Journal of Law and Information System". At the meeting, various comments were received from members. Here, the response in the subcommittee was further deepened and re-edited as a “question and answer session”.

1．本稿の位置づけ

筆者は、情報法制学会の学会誌である『情報法制研究』（有斐閣）に、2017年5月の創刊以降「プライバシーに関する契約についての考察」を連載しているところ²、その内容について、令和元（2019）年9月2日の総務省情報通信法学研究会データ法分科会（令和元年度第1回会合）において発表する機会を得た³。この発表は、同連載についての初の口頭発表であったが、データ法分科会の構成員から多くの示唆を頂いたところ、分科会における応答を補完する形で、同連載の番外編として問答を収録することとしたい。なお、構成員からのご指摘は、情報通信法学研究会の議事録は公表しないことを前提としているところ、問題提起の形で筆者が抽象化しているが、内容に誤謬があるとすれば筆者のみの責任によるものである。

2．「プライバシーに関する契約についての考察」の基本的な枠組み

連載「プライバシーに関する契約についての考察」の基本的な枠組みは以下の通りである。インターネット上に数多ある、プライバシーポリシーや利用規約に着目すると、①プライバシーポリシーにおいて個人情報の保護に関する法律（平成15年法律第57号、以下、「個人情報保護法」という。）における法定公表事項等が記載され、②更にこれが発展してプライバシーポリシーに第三者提供等に関する同意が記載され、③同意を円滑に取得するために、利用規約によりプライバシーポリシーにおける同意を取得しようとする、という流れが確認できる。そして、利用規約による第三者提供等に関する同意の取得は公法上の契約である（個人情報保護委員会がいうところの「承諾」に限らない）といえる。一方、公法上の契約を発生させようとした条項について私法上の解釈が問題となるところ、（個人データの）第三者提供等に関する同意は、私法的には、当該個人情報の取扱いの範囲においてはプライバシーに関する請求権（人格権に基づく差止請求権及び不法行為に基づく損害賠償請求権）を行使しないという意思表示を含むと考えられ、これを、連載では「プライバシーに関する契約」と称している⁴。そして、公法上の契約及び個人情報保護法上は有効であることを前提とし、それでもプライバシーに関する契約について何らかの問題が生じるか、というのが基本的な問題設定である⁵。そして、プライバシーに関する契約について第一類型（個人情報保護法上の同意に関する契約）、第二類型（個人情報保護法上の法定公表事項に関する契約）、第三類型（個人情報保護法上の請求権の制限に関する契約）に分類した上で、契約締結の場面における限界（有効な被害者の同意がない、人格権の放棄、消費者契約法10条違反）、利用規約変更の場面における限界（定型約款条項違反）を論じ、その効果を分析した⁶。さらに、訴訟法上の問題について、民事訴訟、行政訴訟の場面をそれぞれ考察してきた⁷。

3．データ法分科会（令和元年度第1回会合）における構成員との問答

3．1．一切の安全管理措置を講じないことを内容とする人格権の不行使特約の有効性

3．1．1．問題提起

個人情報保護法の2020年改正では漏えい事案についての（法的）報告義務を課す予定があり、本人が漏洩について知り得る機会が増加する⁸。現行の努力義務のもとで漏えいの事実を通知・公表していない事業者は少なからず存在するが、法的義務の下では許されない。これに対応するための、一切の安全管理措置を講じないことを内容とする人格権の不行使特約の有効性をどう考えるか。すなわち、不正アクセスについて一切措置を講じていない結果、情報は不正アクセスなどによって漏えいする可能性があることをあらかじめ伝え、重過失を認めた上で契約を結ぶ点（いわゆるノーガード戦法）をどう考えるか。

3．1．2．応答

個人情報保護法上、個人データを公表するという同意自体は取得可能である。例えば、SNS（ソーシャル・ネットワーキング・サービス）では、本人の個人データを公表する同意を取得して不特定の第三者に提供していると考えることができる。したがって、意図的に公表するという同意が無効というわけではない。ここでは、意図的に公表するわけではなく、攻撃された場合、不特定の第三者に公表される可能性があるが許容するか、という同意の問題となる。

このようなノーガード戦法の有効性は、必ずしも「プライバシーに関する契約」についての問題そのものではないのではないかと考える。ノーガード戦法を加味したレベルの安全管理措置というのは、そもそも個人情報保護法上違法であるということで、公法で制御することになるのではないか。他方で、私法的には、消費者契約法8条が、重過失を認めた上での全部免責条項は許していない。結果的に、ノーガード戦法への対応は個人情報保護委員会の仕事ということになるのではないか。

3．2．プライバシーポリシー等の設定についての対応モデルについて

3．2．1．問題提起

報告者の問題意識との関係で、OECDでは、一般の人にも理解できるようなシンプルにしていこうという議論があり、2006年に、”Making Privacy Notices Simple”という報告書が出ている⁹。比較法的にも議論があるところだ。他方、実務家として、依頼者から（プライバシーポリシー等に関する）相談があった場合、対応するときのモデルは存在するか。

3．2．2．応答

実務家であるので規約やプライバシーポリシー自体の起案を依頼されれば当然行うが、それ自体はお経のようなもので、じっくり読んでもらえるわけではない¹⁰。

結局、サービスとの関係で、本人がびっくりするようなものは別途きちんと示して同意を取ることが重要になる。ご相談に対しては、しばしば、絵を描いてくださいとか、図を書いてくださいとか、そのようなアドバイスを行っている。UI・UXが重要だということになる。

例えば、新保史生分科会長が慶應義塾大学SFC研究所のリーガル・デザインラボで進められていたプロジェクトや¹¹、欧州一般データ保護規則（GDPR）が一時、アイコンを取り入れようとしたという動きも同趣旨ということになろう¹²。もっとも、アイコンそれ自体が目的というわけではなく、個人情報・個人データがどのように取り扱われるのか、特に、サービスとの関係で本当は必要ないが使う、という内容が存在する場合は丁寧に同意を得る必要がある。また、本人にきちんと説明しても同意が取れないような場合には、同意が必要なスキームで組むのは無理だというアドバイスになる。同意が取れないのであれば、同意が不要なスキームを構築する必要があるが、いわゆるリクナビ事件で、「新しい商品等を検討する際に、法に則り適正に個人情報を取り扱うよう検討、設計する体制を整備すること」が勧告事項にあるように¹³、適切なスキームを選択することは必ずしも容易ではない。

まず法的関係を整理し、スキームを組む。同意を必要とするスキームであれば、サービスと関係があるところは比較的容易に同意を取得できる（①）。主たるサービスと関係ないが、個人情報や個人データを利活用したいという部分があるのであれば、丁寧に説明して同意を取得する必要がある（②）。そもそも同意が取れないのであれば、同意不要のスキームを考えなければならない（③）。対応するときのモデルというほどでもないが、思考の順序はこのようになる。

3．3．立法上の議論の具体的内容

3．3．1．問題提起

個人情報保護法上、顕在化している問題については、事前の包括同意の限界や、同意内容の変更が包括的に許されるのかという点が規定されていないという設計上の甘さにも求められると思われるが、筆者が立法上の議論といった場合に、同意の可否を想定しているのか、それとも別の議論を想定しているのか。

3．3．2．応答

まず、個人情報保護法上の同意に意思表示がどう適用されるかについては、民法上の意思表示に関する規定が一部修正して適用されるということになろう¹⁴。「考察」においても、具体例を挙げて論じている。もっとも、単に「一部修正して」というだけでは具体的な問題の解決には足りず、意思表示の諸規定、代理等、詳細に検討した上で、民法どおりの適用では不都合があるということであれば、修正する規定を個人情報保護法に設けるべきである。

例えば、個人情報保護委員会は同意の到達を要求しないので、法的性質として、民法上の承諾だとするのは適切ではない¹⁵。代理については、民法上の代理規定は基本的に財産権のそれであって、個人情報の取扱いについてそのまま適用されるというのは理論上も適切ではない。開示等の請求等の代理は個人情報保護法上に特別規定が存在するが¹⁶、同意等に関する他の場面では規定がないまま、代理人による第三者提供の同意等が行われている。認知症が社会問題化する中、民法上の代理規定がどのように適用されるかは、立法によって明らかにすることが必要になろう¹⁷。このように、他の規定についても、個別の検討を経る必要がある。

3．4．開示等の請求等は私法上の請求権に純化したといって良いか

3．4．1．問題提起

筆者は個人情報保護法の開示等の請求等について、私法上の請求権であり、私法上の規律が及ぶ、と説明するが、2015年改正以前は文言上、まさに公法上の規律のような書きぶりであり、そもそも個人の側が個人情報取扱事業者における個人情報の取り扱いをチェックできる唯一の手段であるということからすると、2015年改正以降は私法上の請求権に順化したという理解で本当に良いのか。開示等の請求について、契約で、不行使特約というかはさておき、制限ができるという取り扱いで良いのかは疑問であったが、不行使特約という枠組みで、少なくとも放棄はできないという規律になるのか。（公法上の規律としての性質を加味して）強行法規に近く放棄できないという扱いも考えられるのではないか。

3．4．2．応答

開示等の請求等について、公法上の規律でなくなる、また、公法上の効果がなくなるわけではないというのは、ご指摘の通り。開示等の請求等については（一部）私法上の請求権になったものの、個人情報保護委員会の権限行使は前提になっている¹⁸。開示等の請求等について、不適切な制限をしている場合に、個人情報取扱事業者が義務違反を行っているとして個人情報保護委員会が公法的に制御する場合に、公法上の請求権という性質を有していると言わなければならないということもないのではないか。私法上の請求権だけで是正していくということになったわけではないが、個人情報保護委員会による統制の対象となるからといって公法上の請求ということをいう必要はないのではないかという整理である。

3．5．定型約款との関係、公法私法の分類の建前

3．5．1．問題提起

1点目だが、利用規約やプライバシーポリシーは、定型約款に含めることができるのか。特に組み入れ要件の充足性について。プライバシーポリシーのようなものも定型約款に含めて考えるケースが多いが、その場合、定型約款にプライバシーポリシーのようなものを含めるための組み入れ要件というのは、実務的に特別な取り扱いというか、配慮した事項があるのか。

もう1点、公法・私法という観点につき、開示請求権が個人情報保護法に入っているように、個人情報ないしはプライバシーに係る契約について、公法と私法に分けるという議論、建前を今後も貫けるのか、貫く必要があるのか。

3．5．2．応答

1点目につき、定型約款に関する解説では、利用規約の類は定型約款の代表例とされている¹⁹。利用規約とプライバシーポリシーが漫然と並んでいるような場合には、プライバシーポリシーも恐らく定型約款への組み入れ要件も満たすのではないか²⁰。もっとも、ごく一部の事業者では、個人情報保護法上の法定公表事項を、法的性質まで分かった上で切り分けている²¹。ここまで徹底されると、定型約款へ組み入れができない場合もあるのではないか（一種の打消し表示）。もっとも、ほとんどの事業者は組み入れない、という打消し表示のようなものは表示しておらず、原則として利用規約とセットで組み入れられると考えて良いのではないか。

2点目、公法・私法という議論は、立法するのであれば、極端にいえば、考えなくて良いのではないか。個人情報保護法上の同意について、民法上の意思表示規定との関係等も含め、どのような場合に有効か、無効とかいう規範が法律で規律されるのであれば、法的性質はともかく、法的効果が導き出せる。このように、立法されれば、私法上なのか公法上なのかということをあまり考えなくて良くなるのであろう。

3．6．公法上の規律と私法上の契約の役割分担

3．6．1．問題提起

公法上の規律と私法上の契約の関係について、個人情報保護法に関して、公法上の規律の役割と、私法上の契約の役割分担をどう考えるか。

3．6．2．応答

公法上の規律を行うということは、個人情報保護委員会が積極的に執行したり、指針を示したりするという形でルールを守らせるということになる。他方、私法上の規律で正されていくということであれば、裁判例が積み重なることが重要である。現時点では、いずれも積み重ねがなかなか出てこないため、役割分担の前に絶対量が足りないのではないか。

もっとも、個人情報保護委員会は、発足以来、指導の件数を積み重ねており²²、いわゆるリクナビ事件では個人情報保護法に基づく初の勧告を行っている²³。これらは評価できる点である。他方、行政指導の内容を公表していない。2015年改正前、主務大臣制下では、報告徴収も指導も件数は少なかったが、主たる主務大臣であった経済産業省（経済産業大臣）は全件、事案の概要を公表していた。個人情報保護委員会は、政策的であるのか、事案を公表しないので、少なくとも公正取引委員会が行っているように事例集みたいなものが公表されないと、積み重ねが事業者にフィードバックしていかない。この点は検討を望むところである。

他方、私法上の請求が裁判例等になって規律ができるというフィードバックについては、結局、裁判にまでなるのは、弁護団が組まれる漏えい事案の損害賠償請求程度である。団体の能力上の問題もあり、ごく一部の適格消費者団体からしか、差止請求を前提とした質問書等は出せておらず²⁴、直接的に集団的利益を回復するための消費者裁判手続特例法は慰謝料請求を対象事案から除いているため、裁判例としての規範も構造的に積み重ねられない状況になっている。

消費者裁判手続特例法は、東京医大事件で考察したように、不適切な個人情報の取り扱い、意図的な取り扱いについては、慰謝料でないという形でも利用され得ると考えられるが、故意によるプライバシーの侵害についてまで、慰謝料を対象から外すというのは適切ではなかったのではないかと考えている。もっとも、共通義務確認訴訟は2件しか起きておらず ²⁵、結局は、消費者団体のマンパワーや金銭的な面に補助が与えられる必要があろう。

このように、役割分担を考えるとすれば、公法上の規律も、私法上の規律も、規範が積み重ねられるための仕組みが強化されることが前提になると思われる。積み重ねを拒否するがゆえにルールが積み重ならず、一方的なガイドラインを作ることになり、形式主義に走ってしまう、というのは悪循環のようなところがある。意識的な制度設計が必要であろう。

3．7．不行使特約と被害者の承諾の法理の区分の必然性

3．7．1．問題提起

不行使特約の点、損害賠償請求権については被害者の承諾の法理を適用して処理するという説明だが、特許法上の通常実施権のように差止請求権と損害賠償請求権、どちらも不行使特約の効力の範囲の問題として取り扱う場合もある。また、被害者の承諾の場合で問題となってきたのは、基本的に身体傷害の事例であって、プライバシー侵害とは想定されている事例が異なるとも考えられる。それでも損害賠償請求権に関しては、不行使特約があったと言える場合であっても、被害者承諾の法理の枠組みの中で考慮しなければならないという考えか。

3．7．2．応答

議論の類似性から援用しているが、特に刑法上の被害者の承諾の議論は同意傷害に集中しており、住居侵入などは古典的なプライバシー侵害であるが、刑法上の議論として、承諾があるとそもそも構成要件に該当しないと整理されてしまっている。ここで、身体傷害に集中している被害者の承諾を援用することが適切か、更に考察を重ねることとしたい。

不行使特約については、放棄ができないという性質を加味した上で、不行使特約の方で整理した部分を含め、不法行為と人格権にそれぞれ対応して考察してみたというところであり、ご指摘を踏まえた議論の詰めが必要である。

3．8．いわゆるリクナビ事件の位置付け

3．8．1．問題提起

いわゆるリクナビ事件は、個人情報保護法上の問題が指摘されて勧告・指導に至っているが、公法上の同意としては問題があるという整理でよいか。

3．8．2．応答

個人情報保護委員会は、個人情報の保護に関する法律についてのガイドライン（通則編）においては、「本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければならない」とされている。しかしながら、リクルートキャリアのプライバシーポリシーの記載内容は、現DMPフォローにおける個人データの第三者提供に係る説明が明確であるとは認め難い。」と認定しており²⁶、公法上の同意の有効性について問題があると指摘したものであると理解できる。プライバシーに関する契約の議論に至る前に、個人情報保護法上の同意が不存在又は無効ということになろう。

4．結語

構成員らから頂いた議論はいずれも有益なものであり、連載及びそこでの議論に資する。2020年3月現在、連載終結に向けて執筆を進めているが、これらの議論を踏まえた上で更に研究を重ねていくこととしたい。貴重な機会を与えて頂いた情報通信法学研究会、有益な御示唆を頂いた構成員諸氏に心より感謝する。

脚注

1 弁護士（ひかり総合法律事務所パートナー）、理化学研究所革新知能統合研究センター客員主管研究員、国立情報学研究所客員教授

2 板倉陽一郎「プライバシーに関する契約についての考察(1)」情報法制研究1号28頁（2017年）(https://doi.org/10.32235/alis.1.0_28)（「考察(1)」という。）、「同・(2)」情報法制研究2号67頁（2017年）(https://doi.org/10.32235/alis.2.0_67)（「考察(2)」という。）、「同・(3)」情報法制研究3号73頁（2018年）(https://doi.org/10.32235/alis.3.0_73)（「考察(3)」という。）、「同・(4)」情報法制研究4号69頁（2018年）(https://doi.org/10.32235/alis.4.0_69)（「考察(4)」という。）、「同・(5)」情報法制研究5号39頁（2019年）(https://doi.org/10.32235/alis.5.0_39)（「考察(5)」という。）及び「同・(6)」情報法制研究6号69頁（2019年）(https://doi.org/10.32235/alis.6.0_69)（「考察(6)」という。）。

3 情報通信法学研究会データ法分科会（令和元年度第1回会合）（令和元年9月2日）【資料1】板倉陽一郎「プライバシーに関する契約についての考察」。(https://www.soumu.go.jp/main_sosiki/kenkyu/hougakuken/02iicp01_04000213.html)

4 考察(1)35頁。

5 考察(2)67頁。

6 考察(2)。

7 考察(3)ないし考察(6)。

8 個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し制度改正大綱」（令和元年12月13日）14頁。

9 OECD(2006),"Making Privacy Notices Simple: An OECD Report and Recommendations", OECD Digital Economy Papers, No. 120, OECD Publishing, Paris, https://doi.org/10.1787/231428216052.

10 このような、利用規約やプライバシーポリシーの在り方については、マニ教において用いられる、経典が納められた筒状の仏具、「マニ車」に例える向きもある。これは、お経を読み上げなくとも、一回転させるとお経を一回読んだことになるという、大変有難い道具である。情報ネットワーク法学会第19回研究大会第11分科会「利用規約とプライバシーポリシー～企業の立場から関連施策を考える～」登壇者発言より。

11 SFC Open Research Forum (ORF)2017で行われた発表の書き起こしとして、リ・デザイン「慶應義塾大学SFCリーガルデザイン・ラボ　ORF2017セッションレポート」（2017年11月30日），https://www.cloudsign.jp/media/20171130-legaldesignlab/（2020年2月12日最終閲覧、以下同じ）、リ・デザイン「リーガルデザイナー須佐和希さん発表「パーソナルデータ利活用に向けた法のインタフェースデザイン」書き起こし」（2017年11月30日），https://www.cloudsign.jp/media/20171130-legaldesigner/。

12 欧州議会市民的自由・司法・内務委員会採択版（2013年10月22日）では、別添1に表示すべきアイコンが存在していた。和訳については、消費者庁「個人情報保護における国際的枠組みの改正動向調査報告書」（平成26年3月28日）281頁以下。

13 個人情報保護委員会「個人情報の保護に関する法律に基づく行政上の対応について」（令和元年12月4日）1(2)。

14 考察(1)32-34頁。

15 考察(1)33頁。

16 個人情報保護法32条3項。もっとも、開示等の請求等のうち、平成27年改正で請求権性が認められたものについては、私法上の請求権であって、特別規定が存在するのは、公法上の意思表示と関連するからというよりは、財産権に関する規定ではないからであると考えるべきであろう。考察(2)70頁参照。

17 藤田卓仙・小賀野晶一・成本迅『公私で支える高齢者の地域生活第3巻　認知症と情報』（勁草書房，2019年）22頁[藤田卓仙]も、成年後見との関係について、「個人情報の扱いとの関係では開示請求権以外どのような場合に本人に代わって同意が可能なのかは明らかではない。」とする。

18 考察(2)70頁、考察(5)39-40頁。

19 「インターネットサイトの利用取引における利用規約」を挙げるものとして、筒井康夫・村松秀樹編著『一問一答　民法（債権関係）改正』（商事法務，2018年）246頁（Q133）。

20 さらに徹底してプライバシーポリシーの契約的な効力を認める見解として、大澤彩「プライバシーポリシーの法的性質に関する一考察―民法・消費者法の観点から―」消費者庁消費者制度課個人情報保護推進室「個人情報の保護に関する事業者の取組実態調査（平成23年度）報告書」（平成24年3月）150頁。ただし、定型約款に関する債権法改正以前の論稿である。

21 ニフティ株式会社はかつて、「『個人情報の保護に関する法律』に基づく公表等事項」というコーナーを別建てしていた。2008年1月20日付のウェブアーカイブとして，https://web.archive.org/web/20080120183229/http://www.nifty.co.jp/privacy/pli_1.htm。

22 個人情報保護委員会平成30年度年次報告によれば、「平成30年度において、委員会は、個人データの漏えい等、通報及び苦情事案の対応に際し、報告徴収を391件、指導・助言を238件行った」（14頁）。

23 個人情報保護委員会「個人情報の保護に関する法律第42条第1項の規定に基づく勧告等について」（令和元年8月26日）。

24 稀有な例として、特定非営利活動法人消費者支援ネット北海道（ホクネット）とカルチュア・コンビニエンスクラブ株式会社への質問書等のやり取りがある。詳細については、大島義則他編著『消費者行政法　安全・取引・表示・個人情報保護分野における執行の実務』（勁草書房，2016年）298頁以下[板倉陽一郎]。

25 特定非営利活動法人消費者機構日本第15回通常総会・記念企画開催報告，http://www.coj.gr.jp/seminar/topic_190716_01.html。

26 前掲注22．