情報通信政策研究
Online ISSN : 2432-9177
Print ISSN : 2433-6254
ISSN-L : 2432-9177
論文(査読付)
デジタルプラットフォーム規制における透明性に関する規定の検討
-EU法と日本法の比較を通じて
鈴木 康平
著者情報
キーワード: デジタルプラットフォーム, 透明性, EU法, 個人情報保護, アルゴリズム
ジャーナル フリー HTML

2021 年 5 巻 1 号 p. 145-166

詳細
PDFをダウンロード (615K)
メタデータをダウンロード RIS形式

(EndNote、Reference Manager、ProCite、RefWorksとの互換性あり)

BIB TEX形式

(BibDesk、LaTeXとの互換性あり)

テキスト
メタデータのダウンロード方法
発行機関連絡先
Abstract

本稿では、EU法(一般データ保護規則(GDPR)、オンライン仲介サービスの公正性・透明性の促進に関する規則、デジタルサービス法案)と日本法(個人情報保護法、デジタルプラットフォーム取引透明化法(透明化法))との比較を通じて、デジタルプラットフォーム(DPF)規制について、透明性という観点から検討を行った。EU法と日本法とを比較し、論点として、①個人情報保護法における透明性に関する基本原則と一般的なルールの不在、②アルゴリズムによる自動処理の透明性、③透明性レポートを挙げた。

第1の論点は、個人情報保護法における透明性に関する基本原則と一般的なルールの不在である。GDPRの透明性に関する一般的なルールにおいて、個人データの利用目的の適法化根拠を明確にすべきとされており、GDPRの適法化根拠の一つに「同意」がある。GDPRにおいて同意は、透明性の原則に則った厳格な要件を満たしたもののみが有効であるとされている。個人情報保護法において適法化根拠の代表として同意が用いられていることからすると、GDPR以上に同意の有効性に関する明確なルールが必要と考える。また、GDPRが透明性の原則から有効な同意の要件を導き出していることからすると、個人情報保護法にも透明性に関する基本原則や一般的なルールを定めることが必要と考える。

第2の論点は、DPFで利用されるアルゴリズムによる自動処理の透明性である。EU法では、アルゴリズムによる自動処理に関して、決定を左右する主なパラメータや相対的に重要である理由の開示が義務づけられている一方、個人情報保護法にはそのような開示義務自体がなく、透明化法には主なパラメータの開示義務はあるものの、その理由の開示義務はみられない。個人情報保護法、透明化法ともに主なパラメータやその理由の開示を強化する必要がある。また、開示されたパラメータが本当に重要なものなのかを判断するために、必要な場合には、個人情報保護委員会や経済産業省に対してアルゴリズムを開示することをDPF提供者に義務づけることを、営業秘密とのバランスも加味して今後検討すべきである。

第3の論点は、透明性レポートである。透明性レポートの提出が義務づけられる対象について、DSAは規模の大小にかかわらずすべてのDPF提供者が対象であるところ、透明化法は対象となるDPFを政令で定めることとしており、透明性の確保と競争促進のバランスを保ちやすいと考えられる。一方、報告事項については、DSAはDPFの規模等に応じて強弱をつけているのに対し、透明化法は一律となっており、透明化法が規制対象を広げる場合には、透明化法に関する指針を用いて報告事項の強弱を設けることが望ましい。

Translated Abstract

This paper examines digital platform (DPF) regulation from the perspective of transparency by comparing EU law (General Data Protection Regulation (GDPR), P2B Regulation, Digital Services Act (DSA)) with Japanese law (Act on the Protection of Personal Information (APPI), Act on Improving Transparency and Fairness of Digital Platforms (TFDPA)) and identifying three issues.

The first issue is the absence of basic principles and general rules on transparency in APPI. GDPR states that consent is only valid if it meets strict requirements by the principle of transparency. Given that consent is used as a representative of the justification in APPI, I believe that there should be clearer rules on the validity of consent than in the GDPR and needs to establish basic principles and general rules regarding transparency.

The second issue is the transparency of the automatic algorithmic processing used in DPF. EU law requires disclosure of the main parameters that influence the decision and the reasons for their relative importance concerning the automatic algorithmic processing, while APPI does not have such a disclosure obligation itself, and TFDPA requires disclosure of the main parameters but does not require disclosure of the reasons. They need to strengthen the disclosure of key parameters and the reasons for them. In addition, to determine whether the disclosed parameters are important, requiring DPF providers to disclose their algorithms to the administrative organ should be considered in the future, considering the balance with trade secrets.

The third issue is the transparency report. While the DSA covers all DPF providers regardless of size, TFDPA stipulates that the DPF is to be covered by the cabinet order, which is expected to help maintain a balance between ensuring transparency and promoting competition. On the other hand, the DSA sets the reporting requirements according to the size of the DPF, while TFDPA sets them uniformly. If TFDPA expands the scope of regulation, it is desirable to set the reporting requirements according to the guidelines on TFDPA.

1.はじめに

本稿は、いわゆるデジタルプラットフォーム(「オンライン・プラットフォーム」、「プラットフォーム」等とも表現される。以下、「DPF」というときは、これらを区別せずに表したものとする)に関する規制を、透明性という観点から考察するものである。

本稿において、DPFとは、いわゆるデジタルプラットフォーム取引透明化法2(以下、「透明化法」という)2条において定義されるものを指す。すなわち、①コンピュータを用いて構築した場であること、②ネットワーク効果が働くものであること、③インターネット等を通じて提供されること、を満たすものをDPFと定義する。

巨大IT企業として世界中の人々に様々なサービスを提供しているGAFA3はいずれもDPFであり、DPFは我々の生活に大きな影響力を持っている。DPFは我々の生活に恩恵を与える一方、DPFを利用する条件として収集された個人情報の取扱いや、DPFと利用者との情報格差や優越的な地位を持つことから問題が生じることがある。加えて、2020年初めから始まったCOVID-19の流行により、日常生活からビジネスシーンまでデジタル化・オンライン化が急速に進んだことを受け、DPFが与える影響はますます大きくなっていると考えられ、このような状況下において、DPF規制を検討することでその内容や課題を明らかにすることには、社会のニーズがあると考えられる。

DPF規制では、透明性とセットで公正性や競争力の確保が目的や原則に挙げられることがあるが、特に透明性の確保という観点から検討する理由は次のとおりである。

第一に、公正性や競争力といった概念は曖昧であり、捉え方次第で様々な解釈が可能である一方、透明性については、それらの概念と比較して、確保されているか否かの判断が容易である点が挙げられる。もちろん、透明性という概念も曖昧ではあるものの、情報を開示することそれ自体は概念的なものではなく、公正性や競争力と比べて検証しやすいと考えられる。透明性が確保されているかということ自体が検証しやすいため、透明性に関するDPF規制自体の効果の検証も行うことができるであろう。

第二に、透明性は、公正性や競争力の判断を行う上で必須のものである点が挙げられる。DPFのサービスについて、公正性・競争力が確保されているように見えたとしても、公表されていない情報を加味した場合に異なる評価となる場合があり得る。もちろん、情報が公表されていない場合であっても公正性・競争力が確保されている場合もあり得ようが、情報が隠された状態では公正性・競争性が確保されているか否かの判断を裏付けることは難しい。透明性が確保されることは、公正性・競争力が確保されていることを判断するうえで、必須の要素であろう。

検討にあたっては、EUのDPF規制と日本のDPF規制とを取り上げ、それらの比較を通じて行う。EU法4を比較対象とする理由は、EUは世界で最もDPF規制に力を入れており、また、EUのDPF規制は、基本的にEU域外を拠点としてグローバルに活動する企業等にも適用される構造となっており、日本の政策にも影響を与えているためである5

DPF規制を検討するにあたっては、マッチング型、非マッチング型といった類型や、提供するサービス類型で区別して論じる場合があり、類型ごとに検討することによって、より具体的な規制の内容を検討することができる6。しかし、本稿のDPFの定義を満たすものであれば、ビジネスユーザか単なるコンシューマかを問わず、DPFの利用者が必ず存在するものであり、それらのユーザに対してDPF提供者自身がどこまで情報を開示するかということが透明性の中心的論点であるため、いずれの類型のDPFであっても当てはまると考えられる。したがって、本稿ではDPFの類型で区別はしない。

また、DPFの透明性に関する規定は、①ビジネスユーザ(データ管理者、取引業者、商品等提供利用者を含む)や一般ユーザ(データ主体、個人情報保護法における「本人」、一般利用者を含む)に対して個別にDPFの持つ情報等を開示する趣旨の規定と、②世間一般に対してDPFの取組状況を開示する趣旨の規定とに大別することができる。しかし、これらの区別は、DPFに課される義務という観点から考えると、相互に排他的なものではなく、重複する場合も多いために、区別して検討する必要性は高くない。例えば、個人情報保護法における利用目的の通知・公表の規定は、後述するように条文上の原則は個別の通知であるが、実務上はガイドラインにおいて事前の公表が推奨されており、①②いずれの区分にも属する。また、DPFに対して透明性を確保するような内容を契約条件等で明示するような義務を課す規制の場合、DPFによる契約は、利用規約等を用いたものが典型であることからすると、②の区分に属する場合が多いと予想されるが、個別契約も必ずしも排除されておらず、個別契約の場合は①の区分に属し得る。このように、適用場面次第で①②のいずれにも該当する場合が多いことから、本稿では特段区別して検討することはしない。

以上を踏まえて、本稿では、第2章においてEUの、第3章において日本のDPF規制における透明性に関する規定の概要をまとめる。第4章においては、第2章および第3章で取り上げた規定から導かれる論点として、①個人情報保護法における透明性に関する基本原則と一般的なルールの不在、②アルゴリズムによる自動処理の透明性、③透明性レポートを挙げ、検討を行う。

2.EUのDPF規制における透明性の確保

EU法において、透明性は確立した伝統であるといわれており7、2009年12月に発効した欧州連合条約8の1条には、「決定は、可能な限り公開され、かつ、可能な限り市民に近い形式で行われる」と定められ、11条2項においても、「機関は、代表団体や市民社会と公開された、透明性のある、定期的な対話を維持しなければならない」と定められている。また、EU機能条約915条にも、市民社会の参加を確保するために、EU機関、団体、事務所及び行政機関は、その業務を可能な限り公開して行わなければならないこと(15条1項)、EU市民はEU機関等の文書にアクセスする権利を有すること及びEU機関等はその手続の透明性を確保すること(同3項)が定められている10。EUの条約におけるこれらの規定は、EUの機関等がEU市民等に対して透明性を確保することを義務づけるものであり、一般的なDPFに直接適用されるものではないが、EUにおいて透明性という考え方が重視されていることを示すものと言えるだろう。

DPFの透明性に関する規定を持つEU法は、電子商取引指令(Directive 2000/31/EC)11や消費者権利指令(Directive 2011/83/EU)12、デジタル単一市場著作権指令(Directive (EU) 2019/790)13、テロコンテンツ拡散対策規則(Regulation (EU) 2021/784)14などがある。本稿では、近年成立し、日本の政策にも特に大きな影響を及ぼしている一般データ保護規則(GDPR)(Regulation (EU) 2016/679)とオンライン仲介サービスの公正性・透明性の促進に関する規則(Regulation (EU) 2019/1150)(以下、「P2B規則」という)、そして、EUのDPF規制を補完するものとして現在検討が進められているデジタルサービス法案(Digital Services Act: DSA)における透明性に関する規定を取り上げる。

2.1.GDPRにおける透明性の確保

GDPRとは、2016年4月に制定され、2018年5月から施行されている、EU域内の個人データ15保護を定めたルールである16。GDPRは、1995年に採択されたデータ保護指令(Directive 95/46/EC)を改正するものであり、欧州委員会は、制定のポイントとして、個人の権利の強化、EU域内市場の強化、ルールのより強力な執行の確保、個人データの国際移転の合理化、グローバルなデータの保護水準の設定を挙げている17

GDPRにおいて、透明性は基本原則の一つであり、GDPRは透明性の確保を目指すものと言ってもよいとさえ評されており18、GDPRの基本原則を定める第2章の冒頭である5条1項(a)には、個人データはデータ主体との関係において、適法性、公正性及び透明性の確保が必要である旨定められている。GDPRにおける透明性に関する規定の解釈は、第29条作業部会19が「透明性に関するガイドライン」(以下、「透明性ガイドライン」という)を策定している。透明性ガイドラインにおいて、透明性は、「(1)データ主体への公正な取り扱いに関連する情報の提供、(2)データ管理者が、GDPRに基づくデータ主体の権利についてデータ主体に伝える方法、(3)データ管理者がデータ主体の権利行使をどのように支援するのか」という3つの中心的な分野に適用されるとされている20

本稿では、透明性に関する特に重要な規定として12条の一般的なルールを取り上げるほか、DPFによるデータの利用態様として日本でも近時対応が議論されている、プロファイリングを含む自動的な決定に関する情報提供について定めた規定を取り上げる。

2.1.1.透明性に関する一般的なルール

12条は、透明性に関する一般的なルールとして、データ管理者がデータ主体に情報を提供する際には、簡潔で、透明性があり、理解しやすく、容易にアクセスできる形式で、明瞭かつ平易な文言により、原則として書面により、無償で提供されることを定めている。透明性の一般的なルールにおける中心的な検討要素は、データ主体が自身の個人データの取扱いの範囲と結果を事前に決定することができるべきであり、個人データが使用された方法について、後で不意を突かれるようなことがあってはならないということである21

透明性ガイドラインでは、12条の各要件について詳細な解説がなされている。「簡潔で、透明性があり」の要件については、データ主体が情報疲労を起こすことを回避するために、契約条項や一般的な利用規約など、他の非個人データ関連情報とは明確に区別できるものとすべきであり、階層的なプライバシー通知を用いることで、データ主体がアクセスしたい箇所を表示できるようになるとする。また、「理解しやすく」の要件については、「明瞭かつ平易な文言」と密接に関連しており、情報の受け手のうち平均的な人々に理解されるものであることを意味するとされる。「容易にアクセスできる形式」の要件については、情報をデータ主体に直接提示するなど、その情報にどうやってアクセスできるか一目瞭然であるようにすることを意味するとされる22

また、「明瞭かつ平易な文言」の要件は、異なる解釈の余地を残すものであってはならず、特に、個人データを取扱う目的と法的根拠を明確にすべきであるとする。その際、曖昧な表現は避けるべきであり、曖昧な表現を利用する場合には、そうせざるを得ない理由と、それによって公正性が失われない理由を証明できる必要があるとされる23

さらに、「無償で」の要件について、透明性の要請に基づき提供される情報が、金銭取引を提供のための条件とできないことも意味するとして、例えば、購入に関連して個人データを収集する場合、データ主体への情報提供について定める13条に基づき提供される情報は、取引後ではなく、支払い前及び個人データの収集時に提供されるべきであり、無償サービスを提供する場合も、サービス登録前に情報を提供しなければならないとされる24

2.1.2.自動的な決定に関する情報提供

プロファイリング25を含む自動的な決定に関して、13条2項(f)及び14条2項(g)は、特に提供すべき情報を定めている。自動的な決定が存在する場合、データ管理者は、自動的な決定が存在すること、その決定に関係する論理に関する意味ある情報、データ主体にとっての重要性、データ主体に生じると想定される結果の情報を提供することが求められる。

「関係する論理に関する意味ある情報」として、アルゴリズムの複雑な説明やアルゴリズム全ての開示が求められているものではなく、決定の背景にある論拠や、決定に際して依拠する基準をシンプルに説明する方法が求められている。例えば、データ管理者が信用評価を利用して個人ローンの申請を評価して却下する場合、データ管理者は決定に際して考慮した主な特徴や、当該情報の情報源及び関連情報の詳細を提供することが求められ、提供する情報には、申請フォームを通じてデータ主体から提供された情報、延滞を含む過去の口座情報、不正記録や破産記録などの公式の公表情報が含まれる26, 27

2.2.P2B規則における透明性の確保

P2B規則28は、2019年6月に制定され、2020年7月から適用されている、DPFを介して商品等を提供するビジネスユーザのために、公正で透明性のある予測可能なビジネス環境を確保することを目的としたEUレベルの初の立法である29

P2B規則は、ビジネスユーザに対して自己の役務を提供するオンライン仲介サービス及びオンライン検索エンジンを適用対象としており、取引の透明性・公正性を確保するために、契約条件の明示、サービスの制限・停止・解消に関する理由の明示、ランキングに関する情報開示、異なる取扱いの理由の明示、データへのアクセスに関する規定の明示、いわゆる最恵国待遇条項の根拠の明示が義務づけられている。本稿では、DPFに特有のものと考えられる、ランキングに関する情報開示について取り上げる。P2B規則のランキングに関する情報開示は、GDPRがP2Cの関係での透明性を規定しているのに対して、それをP2Bの関係へと拡張するルールの一種であると評価されている30

オンライン仲介サービスや検索エンジンの提供者によるランキングは、消費者の選択に重要な影響を与え、その結果、ビジネスユーザの商業的成功にも重要な影響を与える。P2B規則は、5条に基づいてサービス提供者が情報を開示することにより、ランキングの予測可能性を向上させ、ビジネスユーザの商品等のプレゼンテーションを改善する手助けをすることを目的としている(前文24段、26段)。

具体的には、オンライン仲介サービス提供者は、ランキングを決定する主なパラメータ及び当該パラメータが他のパラメータに対して相対的に重要である理由を契約条件に示さなければならない(5条1項)。また、検索エンジン提供者も、同じ情報を平易かつ分かりやすい言葉で、容易かつ一般に入手可能な記述で提供し、その記述を最新の状態に保たなければならない(同2項)。さらに、ランキングを決定する主なパラメータが、ビジネスユーザからの報酬の有無により影響を与える可能性がある場合は、その可能性があること及び報酬が与える効果を契約条件に記述しなければならない(同3項)。

オンライン仲介サービス提供及び検索エンジン提供者は、アルゴリズム自体を開示すること及び検索結果の操作を通じて消費者に不利益を与える可能性がある情報を開示することは要求されない(同6項)。これは、アルゴリズム自体を開示することにより、ランキングが不正に操作され、消費者利益が損なわれる可能性があるためであり、したがって、オンライン仲介サービス提供者及び検索エンジン提供者の商業的利益が考慮された結果として主要なパラメータの開示を拒否することに繋がるべきではない(前文27)。

ランキングの透明性については、欧州委員会が策定したガイドラインが公開されている31。ガイドラインには、主なパラメータの種類の例の一覧表や、主なパラメータを特定する際に考慮する一般原則や具体的な考慮事項(パーソナライゼーション、過去の履歴、フィルタリングメカニズムなど)が示されているほか、主要なパラメータの開示と営業秘密との関係、主要なパラメータに関する説明の具体的な粒度(例えば、主要なパラメータを決定するにあたっての社内の思考プロセスなど、「第二層」の情報を提供する必要がある)、説明の表示場所など、5条の義務を果たすための指針が示されている。

2.3.DSAにおける透明性の確保

DSAは、2020年12月15日に欧州委員会が欧州議会とEU理事会に提出した、DPFに対して違法コンテンツへの対策を求める規則案である32。DSAは、プロバイダの免責要件と、透明かつ安全なオンライン環境の実現のためにプロバイダに課される義務を主に規定している。DSAは提案段階であり、成立したものではないが、EU法におけるDPF規制を補完するものとして提案された重要なDPF規制であること33、また、DPFの透明性の確保に重点を置いた規制内容であること、さらに、既に加盟国からDSAの必要性について強い支持が得られており34、提案当初の内容から修正があるとしても、いずれ成立することが見込まれることから、本稿の検討対象とした。なお、本稿におけるDSAの検討は、提案当初(2020年12月15日)の内容に基づいて行った。

DSAは、規制対象となるプロバイダを、仲介サービス、ホスティングサービス、オンライン・プラットフォーム、超巨大プラットフォーム35の4つに分類しており、段階的に様々な義務を課している。DSAで定義される4つのサービスのうち、オンライン・プラットフォームと超巨大プラットフォームはいずれも本稿でいうDPFに該当するものであるが、サービスの分類に応じて課される義務が異なるため、以下のDSAの説明では、区別しない場合には「DPF」を用い、区別する場合にはそれぞれの分類で表記する。

DSAが定める全ての義務は、DSA第III章のタイトル「透明かつ安全なオンライン環境のためのデューデリジェンス義務」が示す通り、透明性の確保を直接的あるいは間接的に目的とした内容であると言っても過言ではないが、本稿では、DPFの透明性の確保をより直接的に規定している、透明性レポートの提出(13条ほか)と、オンライン広告及びレコメンドシステムの透明性の確保(24条、29条)に関する規定を特に取り上げる。

2.3.1.透明性レポート

すべてのプロバイダは、少なくとも年1回、関連する期間に行ったコンテンツモデレーション36について、明確で理解しやすい詳細な報告書(透明性レポート)を公表することが義務づけられている。透明性レポートは、13条においてDPFを含むすべてのプロバイダに課される基本的な報告事項が規定されているほか、23条でDPFに課される追加的な内容が、33条で超巨大プラットフォームに対して更に追加的に課される義務が規定されている。

13条は、DPFを含む、すべてのプロバイダに対して提出が求められる基本的な報告事項を定めており、①違法コンテンツに関する加盟国当局からの命令に関する事項、②個人または事業体から寄せられた違法コンテンツに関する通知に関する事項、③DPF提供者が自発的に行ったコンテンツの適正化に関する事項、④内部苦情処理システムに寄せられた苦情に関する事項が挙げられている。

23条は、DPFに対して13条で挙げられている報告事項に追加して、①裁判外紛争解決機関に提出された紛争に関する事項、②明らかに違法なコンテンツを頻繁に提供する等の不正利用に対するサービス提供の停止措置に関する事項、③コンテンツモデレーションを目的とした自動化された手段の使用に関する事項の報告を求めている。さらに、DPFは、各加盟国におけるサービスの月間アクティブ利用者数の過去6ヶ月間の平均を少なくとも半年に1回公表しなければならない。

33条は、透明性レポートの公表について、通常は年1回であるところ、超巨大プラットフォームに対しては半年に1回公表する義務を課している。さらに、超巨大プラットフォームに対して、透明性レポートに加えて、①自身のサービスに関するリスク評価の結果を記載した報告書、②リスク軽減策、③超巨大プラットフォームが自費で行う第三者の独立監査機関による監査報告書、④肯定的でない監査報告書を受領した場合の必要な措置を記載した監査実施報告書を、少なくとも年1回、一般に公開し、デジタルサービス調整官37及び欧州委員会に送付する義務を課している。

2.3.2.オンライン広告及びレコメンドシステムに関する透明性の確保

24条は、オンラインインタフェースにオンライン広告を表示するDPFに対して、サービス利用者が、個々の利用者に表示された特定の広告ごとに、明確かつ曖昧さのない方法で、①表示された情報が広告であること、②広告が表示されている自然人又は法人、③広告が表示される利用者を決定するために使用される主なパラメータに関する意味のある情報をリアルタイムに識別できるようにしなければならないとする。

また、超巨大プラットフォームは、広告がオンラインインタフェース上に最後に表示されてから1年以内に、広告の内容や広告が表示された自然人又は法人、広告が表示された期間、広告が特定のグループに特別に表示されることを意図していたか、意図していた場合はその目的のために使用される主なパラメータ、到達したサービス利用者の総数等の情報を含むリポジトリを編集し、APIを通じて一般に利用可能にしなければならない。また、当該リポジトリは、当該広告が表示された、あるいはその可能性があるサービス利用者のいかなる個人データを含まないことを保証しなければならない(30条)。

さらに、レコメンドシステムを利用する超巨大プラットフォームは、利用規約において、レコメンドシステムに使用される主なパラメータ、サービス利用者が利用可能にしたそれらの主なパラメータを修正又は影響を与えるためのオプション(GDPRにおける「プロファイリング」に基づかないオプションを1つ以上含む)を、明確かつアクセス可能で、容易に理解できる方法で記載しなければならない。また、複数のオプションが利用可能な場合は、サービスの受領者が、レコメンドシステムのそれぞれについて、好みのオプションをいつでも選択・変更できるような機能を提供しなければならない(29条)38

3.日本のDPF規制における透明性の確保

日本におけるDPF規制の議論は、2018年6月に閣議決定された「未来投資戦略2018」において、「プラットフォーマー型ビジネスの台頭に対応したルール整備」39として、2018年中に基本原則を策定するとの方針が出されたことをきっかけに急速に高まっていった。経済産業省、公正取引委員会、総務省は、2018年7月に「デジタル・プラットフォーマーを巡る取引環境整備に関する検討会」を共同で設置し、同年12月にDPFに関するルール整備のための基本原則を策定した。そこでは、DPFに関する公正性確保を目的とした透明性の実現が基本原則の一つとして挙げられており、その原則の下、①大規模かつ包括的な徹底した調査による取引実態の把握、②デジタル技術やビジネスを含む多様かつ高度な知見を有する専門組織等の創設に向けた検討、③透明性及び公正性確保の観点からの規律の導入に向けた検討の実施が求められた40

前記①に関して、公正取引委員会がDPFの取引慣行等に関する調査が2019年から継続的に実施されている41。また、前記②に関しては、2019年9月に内閣にデジタル市場競争本部が設置され、その下で調査審議等を実施する、内閣官房長官を議長とするデジタル市場競争会議が設置された。

前記③に関しては、基本原則が公表された後の2019年2月に開催された第23回未来投資会議において、議長である内閣総理大臣から、「取引慣行の透明性や公正性確保に向けた、法制またはガイドラインの整備を図る必要がある」との発言がなされた42。未来投資会議での議論を踏まえ、経済産業省、公正取引委員会、総務省は、「デジタル・プラットフォーマーを巡る取引環境整備に関する検討会」の下に「透明性・公正性確保等に向けたワーキング・グループ」を設け、DPFと利用者との間の取引の透明性や公正性の確保等に向けたルールの在り方について議論を行った。当該ワーキング・グループでの議論を経て、2019年5月に「取引環境の透明性・公正性確保に向けたルール整備の在り方に関するオプション」が取りまとめられた。当該オプションでは、ルール整備の方向性として、独占的な事業者に対する伝統的な「不可欠施設」の運営者に対する規制のような厳しい規制は、DPF間の競争によるイノベーションを促す上では適切ではなく、一般的な「業」規制についても、DPFは業際的・横断的・複合的にビジネスを行う存在であることから一定の限界があり、今後の十分な議論を待つべきとされた43。そして、DPFのルール整備にあたっては、競争制限のおそれがある行為だけを対象にする事後規制の独占禁止法の積極運用を中心に据えることが望ましいとしつつ、DPFを巡る取引環境の特徴を踏まえると独占禁止法には一定の限界や課題があることから、独占禁止法を補完してデジタル市場の透明化・公正化を促進する規律の必要性が述べられている44。補完する規律の導入にあたっては、包括的で介入的な類の事前規制は適切ではなく、開示・明示義務あるいは行為義務・禁止行為等を設けるか、自主規制・法規制・共同規制のいずれのオプションをとるべきか、ルールの実効性の確保や内外のイコール・フッティング実現のためのエンフォースメント、規律対象とすべきDPFは何か、について検討が必要とされた45

このような議論を経て、独占禁止法を補完する規律として、デジタル市場競争会議とデジタル市場競争会議ワーキンググループにおいて、2019年10月から2020年1月にかけて透明化法の具体的内容が議論され、2020年5月に成立した。また、DPFをターゲットとした新規立法として、2021年4月には取引デジタルプラットフォームを利用する消費者の利益の保護に関する法律46が成立しており、そこでは必要に応じて販売業者の身元確認を行うといったDSA上の義務と比較できる規定がみられる。

もちろん、DPFを直接のターゲットとして立法されていない従来の法令にもDPFの透明性の確保に資する規定を含むものはある。例えば、不透明な取引慣行などの競争制限の恐れがある行為に対しては、透明化法制定までの過程で言及されていた独占禁止法の適用が考えられる。また、特定商取引法は、通信販売業者が行う通信販売の広告をするときは、価格や支払方法、販売業者の氏名等を表示することを義務づけているほか、電気通信事業法は、電気通信事業者に対して、契約前に消費者に提供条件の説明をすることを義務づけている。さらに、EUのGDPRに対応する個人情報保護法は、GDPRと同様に、個人情報を取得する際に利用目的を通知・公表する義務や個人情報の主体に対して開示しなければならない事項を定めており、個人情報の取得や利用にあたっての透明性を確保することに重点が置かれている。

本稿では、DPFの透明性の確保にあたって特に重要な法律と考えられ、先に取り上げたEUのGDPRとP2B規則に対応する、個人情報保護法と透明化法を取り上げる。

3.1.個人情報保護法における透明性の確保

日本の個人情報保護に関する法律は、2003年に成立した個人情報保護法47を中心に、行政機関個人情報保護法、独立行政法人等個人情報保護法のほか、地方公共団体の個人情報保護に関する条例で構成されてきた。個人情報保護法は制定されて以降、度々改正されてきたが、2021年5月に、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法を一つに統合するとともに、地方公共団体の条例についての共通ルールを規定し、個人情報保護委員会に所管を一元化する改正法が成立した48

本稿では、個人情報保護法において透明性の確保を担う規定として、利用目的等の通知・公表に関する規定と、保有個人データに関する事項の公表に関する規定を取り上げる49

3.1.1.利用目的等の通知・公表

個人情報取扱事業者50は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに利用目的を本人に通知又は公表する義務が課されている(21条1項、旧18条1項)。条文上は、あらかじめ利用目的を公表していることは例外的な場合という書きぶりであるが、個人情報保護委員会が策定するガイドラインでは、あらかじめ利用目的を公表していることが望ましいとされている51。ガイドラインには、「公表」に該当する事例として、「自社のホームページのトップページから1回程度の操作で到達できる場所への掲載」が挙げられていることから52、複数のクリックを要するようなウェブサイトの深い階層に利用目的を掲載することは「公表」の要件を満たさないと考えられる。

また、本人と契約を締結することを通じて契約書等の書面に記載された個人情報を取得する場合は、あらかじめ利用目的を本人に明示しなければならない(21条2項、旧18条2項)。ガイドラインは、利用目的の明示方法について、ネットワーク上において個人情報を取得する場合は、本人が送信ボタン等をクリックする前等に利用目的が本人の目に留まるよう留意することが望ましいとする53

個人情報取扱事業者は、利用目的を変更した場合54、本人に通知又は公表しなければならない(21条3項、旧18条3項)。変更通知は、変更後の利用目的のみを通知すれば足りるものの、分かりやすさの観点からは、変更前の利用目的のどの点がどのように変わったかを示すことが望ましいとされている55

利用目的の通知義務の例外として、利用目的を通知することにより、本人や第三者、個人情報取扱事業者の権利利益を害するおそれがある場合、国の機関等が法令に基づく事務を実施する上で支障を及ぼすおそれがある場合、取得の状況からみて利用目的が明らかであると認められる場合が挙げられている(21条4項、旧18条4項)。

3.1.2.保有個人データに関する事項の公表

個人情報取扱事業者は、保有個人データ56に関して、①事業者の氏名又は名称、②利用目的、③開示請求等を受け付ける方法、④政令で定めるもの(安全管理措置のために講じた措置、保有個人データに関する苦情の申出先、個人情報取扱事業者が認定個人情報保護団体57である場合はその名称と苦情の解決の申出先)を、本人が知り得る状態に置かなければならない(32条1項、旧27条1項)。

個人情報取扱事業者は、本人から利用目的の開示請求があったときは遅滞なく通知しなければならないが、保有個人データの利用目的が明らかである場合や、利用目的を通知することにより、本人や第三者、個人情報取扱事業者の権利利益を害するおそれがある場合は、通知義務が免除される(32条2項、旧27条2項)。ただし、利用目的を通知しない場合は、本人にその旨を通知しなければならず(32条3項、旧27条3項)、その理由も説明する努力義務が課されている(36条、旧31条)。

3.2.透明化法における透明性の確保

DPFの透明性を確保するための法律として、透明化法が2020年5月に成立し、2021年2月1日から施行されている。透明化法は、DPFの自主性及び自律性に配慮しつつ、透明化法に定められる措置を講ずることにより、規制対象となるDPFの透明性及び公正性の向上を図り、もって公正かつ自由な競争の促進を通じて、国民生活の向上及び国民経済の健全な発展に寄与することを目的とするものである(1条)。透明化法は、EUのP2B規則に明らかに影響を受けたものであり58、似た内容の規定が多く見られる。

透明化法は、DPFのうち、取引の透明性・公平性の自主的な向上に努めることが特に必要なものを提供する事業者を「特定デジタルプラットフォーム提供者」(以下、「特定DPF提供者」という)と定義し(2条6項、4条1項)59、当該事業者に対する規制を定めている。特定DPF提供者に該当するかどうかの具体的な基準は政令で定められており、規制の対象になる事業者は経済産業大臣により指名される。政令60では、前年度国内流通総額3千億円以上のB2C総合オンラインモールと前年度国内流通総額2千億円以上のB2Cアプリストアが特定DPF提供者として定められており、2021年4月1日に規制対象となる事業者が指定されている。

透明化法は、特定DPF提供者に対する規制として、利用者の理解の増進を図るための提供条件の開示や、商品等提供利用者との間の取引関係における相互理解の促進を図るために必要な措置を求めているほか、モニタリング・レビューに関する規定や、利用者からの経済産業大臣への情報提供、公正取引委員会との連携、国外の事業者に適用するための公示送達手続などが定められている。また、施行後3年を目途に施行状況や経済社会情勢の変化を勘案して見直しの検討を行い、必要な措置を講ずるとこととなっており、既にデジタル市場競争会議の報告書において、デジタル広告市場についても透明化法の対象とする方針が示されている61

以上の通り、透明化法は、DPFの透明性・公正性の向上を目的として設計されたものであり、多くの規定が透明性に関するものであるが、特に透明性に関係する規定として、本稿では、特定DPFにおけるサービスの提供条件の開示について定めた5条の規定と、モニタリング・レビューに関する9条の規定を取り上げる。

3.2.1.提供条件の開示

5条は、特定DPF提供者によるサービスの提供条件の開示について定めており、「商品等提供利用者」(商品等を提供する目的でDPFを利用する者)と、「一般利用者」(商品等提供利用者以外のDPFの利用者)とに分けて、それぞれに対して特定DPF提供者が開示しなければならない情報を規定しており、開示にあたっては、利用者の理解の増進が図られるよう、省令62で定める方法により行われることとなっている。省令では、①利用者にとって明確かつ平易な表現を用いること、②利用者が特定DPFの利用開始前・利用中にいつでも容易に参照可能であることが求められているほか、提供条件が日本語で作成されていない場合は日本語の翻訳文を付すことが特定DPF提供者に義務づけられている。

商品等提供利用者に対しては、取引拒絶の判断基準、自己の指定する商品等の購入等を要請する場合の内容及び利用、ランキング決定に用いられる主要な事項、商品等に係るデータの取得等の条件、商品等提供者による商品等に係るデータの取得等の条件、苦情の申出等の方法、その他省令で定める事項の開示が義務づけられている(5条2項1号)。省令で定める事項としては、最恵国待遇を求める場合はその内容及び理由、特定DPF提供者自身や関連会社と商品等提供利用者とで異なる提供条件とする場合はその内容及び理由、返品等の補償を負担させる場合はその内容及び条件、商品等の対価の支払いを留保する場合はその内容及び条件が挙げられている。

一般利用者に対しては、ランキング決定に用いられる主要な事項、商品等の検索・閲覧・購入に関するデータの内容や取得・使用の要件、その他省令で定める事項(現在は特に定められていない)の開示が義務づけられている(同2号)。ランキング決定に用いられる主要な事項の開示については、当該決定を行うアルゴリズムやプログラム自体の開示を求めるものではないとされている63

その他、特定の行為に応じた行為時又は事前の情報開示として、提供条件によらない取引、提供の一部の拒絶等を行った場合は、その内容と理由等の開示が義務づけられている(同3項・4項)。

3.2.2.モニタリング・レビュー(透明性レポート)

特定DPF提供者は、毎年度、自主的な取り組みの状況についての報告書を経済産業大臣に提出しなければならない(9条1項)。報告書の記載事項として、①事業の概要に関する事項、②苦情の処理及び紛争の解決に関する事項、③5条(提供条件の開示)に基づく開示の状況に関する事項、④7条(特定DPF提供者と商品等提供利用者との間の取引関係における相互理解促進のために必要な措置)に基づき講じた措置に関する事項、⑤前記②~④号の事項について自ら行った評価に関する事項、が挙げられている。

経済産業大臣は、報告書の提出を受けたときは、あらかじめ総務大臣と協議しなければならず(あらかじめ利用者や利用者団体、学識経験者等から意見を聴くことも可能)、報告書に基づいて特定DPFの透明性及び公正性の評価を行い、評価結果を報告書の概要とともに公表しなければならない(9条2項~5項)。また、特定DPF提供者は、その評価結果を踏まえて、透明性及び公平性の自主的な向上に努めなければならない(9条6項)。

特定DPF提供者が講ずべき措置の適切かつ有効な実施に資するために必要な指針を経済産業大臣が定めることとなっており(7条2項)64、報告書の評価は指針を勘案して行われる(9条2項)。指針は、主に7条の「相互理解促進のために必要な措置」に関する指針を定めるものであり、公正性を確保するための基本的な考え方や具体的な取組例が示されたものではあるが、報告書の評価が指針を勘案して行われることから、特定DPF提供者は、指針に記載された考え方に沿った措置を講じると予想され、結果として特定DPFがどのような措置を講じるのかという透明性が確保されることに繋がると考えられる。

透明化法がP2B規則に影響を受けていることは前述したが、モニタリング・レビューはP2B規則にはない規定であり、むしろDSAの透明性レポートの規定に近いものといえる。

4.検討

以上、EUと日本のDPF規制における透明性に関する規定の概要をまとめた。個人情報保護法はGDPRに対応するものであり、日本は2019年1月にEUと同等の水準にあると認められる十分性認定を受けている65ことからも、両者の内容は類似している。ただし、本稿で挙げた規定から見出すことができる相違点として、①「個人情報保護法における透明性に関する基本原則と一般的なルールの不在」が挙げられる。また、EUと日本のDPF規制では、②「アルゴリズムによる自動処理の透明性」に関する規定にも差異が見られるほか、DSAと透明化法は、ともにDPFに対して、③「透明性レポート」の作成等を要請しているが、その対象や報告事項に差異が見られる。

本章では、これらの差異から生じる論点について検討する。

4.1.個人情報保護法における透明性に関する基本原則と一般的なルールの不在

第1の論点は、GDPRと比較して、個人情報保護法が透明性に関する基本原則と一般的なルールを有していないという点である。GDPRは、透明性を掲げる基本原則の規定を有しており、さらに、データ主体による情報提供の規定等の具体的な要件等を定めた規定とは別に、透明性に関する一般的なルールを定めた規定を有している。一方、個人情報保護法は、基本原則を定めた規定自体が存在せず、様々な場合に応じた利用目的等の通知・公表や本人関与に伴う個人情報取扱事業者に課される情報開示義務に関する規定はあるものの、GDPRのような透明性に関する一般的なルールを定めた規定も見られない。個人情報保護法にもGDPRのような基本原則を入れるべきであり、透明性の確保をその根本として据えるべきであるとの指摘が既になされている66。しかし、そこでは透明性に関する基本原則や一般的なルールを個人情報保護法に定めることにより生じる効果は詳細には論じられていない。そこで、本稿では、透明性に関する基本原則や一般的なルールを定めることにより、個人情報保護法の適法化根拠として日常的に用いられている「同意」が有効なものであるかを判断する基準として機能し得ることを以下で検討する。

GDPRの透明性に関する一般的なルールについて、透明性ガイドラインは、一般的なルールにある「明瞭かつ平易な文言」の要求を満たすには、個人データの利用目的だけでなく、その法的根拠を明確にすべきであると述べている。一方、個人情報保護法は、データの取得・利用時に利用目的を通知又は公表することが求められているものの、利用目的が適正であることの法的根拠を明示することは求められていない。個人情報保護法では、どのような利用が適正なのかの判断は専ら解釈に委ねられており、GDPR 6条のような適法性の要件は定められていない67。2020年改正において、違法又は不当な行為を助長・誘発するような不適正な利用の禁止規定が設けられたものの(19条、旧16条の2)、どのような利用が不適正な利用であるのかは明らかではなく、依然として適法化根拠は不明確である。

個人情報保護法の適法化根拠が条文上規定されず、不明確である状況下において、「同意」が適法化根拠として日常的に用いられている。個人情報保護委員会によるガイドラインは、「本人の同意」を「本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう」と定義し、本人の同意を得るにあたっては、「事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない」とされているものの68、一般にどのような同意が有効なのかについては明らかではなく、同意の有効性については様々な課題が生じていることが指摘されている69。例えば、同意は事前に通知・公表された情報に基づき行われるが、その情報提供が見えにくい、あるいは分かりにくいといった場合にした同意が有効なのかという課題が指摘されている70

さらに、個人情報保護法と関連する分野、主にプライバシーの問題として、クッキーによる端末識別情報の取得に関する同意の在り方が近年議論されている。EUのePrivacy指令(Directive 2002/58/EC)では、2009年の改正(Directive 2009/136/EC)により、利用者の端末機器に情報を保存すること又は既に保存されている情報にアクセスする場合(クッキーが典型例)には、利用者に対して明確かつ包括的な情報を提供し、同意を得ていることを保証しなければならないとする規定が新設された(5条3項)。GDPRの特別法として現在検討が進められているePrivacy規則案でもクッキー等に関する同様の規制が検討されている71。一方、日本では、クッキーにより取得された情報は必ずしも個人情報や個人関連情報には該当せず、事前同意を必要とせずに取得や提供が可能であり、通信の秘密やプライバシー保護の関係でクッキー等の端末識別情報等の適正な取扱いのための規律が検討されており、ここでも同意の在り方やどのような同意が有効であるのか議論されている72

同意は、GDPRでも適法化根拠の一つとして挙げられており(6条)、有効な同意と認められるためには様々な要件が定められている(前文32段、42段、43段、同意に関するガイドライン73)。具体的には、①本人が自由に選択したものであって、②利用目的は特定されており、特定された利用目的ごとに同意を得なければならず、③本人がデータ管理者から事前に説明を受けたものであって、④理解しやすく、容易にアクセスできる方式により、明確かつ平易な不明瞭ではない表示により示されたものであって、⑤本人による明らかに積極的な行動等による同意でなければ、GDPR上の有効な同意とは認められない74。有効な同意と認められるための②の要件は、透明性の確保を目的とすることをガイドラインは明言しているほか、その他の要件についても、有効な同意を得るためには透明性の原則の観点からの対応が必要になることがガイドラインで示されており、透明性の原則や一般的なルールが適法化根拠である同意の有効性を判断するにあたっても重要な役割を果たしていることが読み取れる。

GDPRにおける有効な同意を得るための前提条件として、透明性の原則や一般ルールに則り、利用目的や利用目的の適正性が本人に対して明確かつ分かりやすく示されることは極めて重要であると考えられ、これは日本の個人情報保護法における同意でも同様と考えられる。個人情報保護法の適法化根拠の代表となるものが同意であることからすると、GDPR以上に有効な同意とはどのような要件を満たすべきかが明確となっていることが必要であろう。そして、有効な同意の要件として、GDPRの要件が透明性の観点から説明されていることからすると、個人情報保護法にも透明性に関する基本原則や一般的なルールを定めることが必要である。

4.2.アルゴリズムによる自動処理の透明性

第2の論点は、DPFで利用されるアルゴリズムによる自動処理の透明性である。GDPRやP2B規則、DSAでは、プロファイリングやランキング、オンライン広告といったアルゴリズムによる自動処理について、影響を及ぼす主なパラメータ等の開示が求められている。ただし、いずれもアルゴリズム自体の開示は求めておらず、アルゴリズムの開示による不正な操作への懸念や営業秘密の保護とのバランスを図っているものと考えられる75。また、DSAに関する議論では、DPFで扱われるコンテンツをフィルタリングや監視するために不適切なアルゴリズムが用いられた場合、表現の自由やプライバシーなどの基本的権利が制限されるおそれがあることから、アルゴリズムの透明性を確保する必要性が指摘されている76。アルゴリズム自体の開示については営業秘密との関係で議論があるものの、アルゴリズムの透明性を確保することに異議はなく、少なくとも主なパラメータの開示は、透明性を確保するうえで必要なものとEU法では考えられているといえるだろう。

日本においても、2019年3月に内閣府が決定した「人間中心のAI社会原則」では、AI社会原則の一つとして、「公平性、説明責任及び透明性の原則」が掲げられており、「公平性及び透明性のある意思決定とその結果に対する説明責任(アカウンタビリティ)が適切に確保される」ことが必要であるとされている77。しかし、個人情報保護法にはそもそもアルゴリズムの透明性については規定がなく、透明化法には規定があるものの、以下で検討する通りEU法と比べて十分とは言い難い。管見の限りでは、日本のDPF規制におけるアルゴリズムの透明性確保について詳細に検討するものは見られず、議論の積み重ねが必要であると考えるため、以下で検討する。

個人情報保護法には、アルゴリズムの透明性についての明文規定は存在しない。2021年7月現在、個人情報保護法のガイドラインの一部改正作業が進められており、ガイドライン案では、利用目的の特定にあたって、「本人から得た情報から、本人に関する行動・関心等の情報を分析する場合、個人情報取扱事業者は、どのような取扱いが行われているかを本人が予測・想定できる程度に利用目的を特定しなければならない」といった記述を新設することが提案されているものの78、アルゴリズムの主なパラメータの提示までは提案されていない。このガイドライン改正案に先立ち、第155回個人情報保護委員会において行われた議論では、プロファイリングなどは本人が当初想定していないような形で本人に影響を与え得るために、利用目的のみの公表等では本人が自身の個人情報がどのように取り扱われているか合理的に想定できなくなってしまう場合が考えられるという問題意識が示されていた。一方、個人データの処理方法を公表することについては、営業秘密の流出等の懸念や、アルゴリズムなどの処理方法を公表しても必ずしも個人データの取扱いに対する理解の促進や不安軽減に資するとは限らないといった懸念が示されていた79。ガイドライン改正案に主なパラメータの提示が含まれていないのは、このような懸念を受けたためと考えられる。

しかし、どのような情報が自動処理に影響を及ぼしているのか分からないのでは、本人が自身の個人情報をどこまで提供するか判断するにあたっての判断材料がなく、透明性が確保されているとは言い難い。アルゴリズム自体の開示まで求める必要はないと考えられるが、主なパラメータの開示は最低限求めるべきである。また、アルゴリズムによる自動決定が本人に与える影響が大きい場合もあることからすれば、ガイドラインではなく、法令上に書き込むべき開示事項として検討していくべきであろう。

透明化法では、商品等提供利用者、一般利用者の双方に対して、ランキング決定に用いられる主要な事項の開示が義務づけられている。しかし、P2B規則とは異なり、なぜ開示したパラメータが他のパラメータに対して相対的に重要なのかという理由の開示は求められていない。主なパラメータの開示に対しては、最新のレコメンドシステムでは何が主なパラメータであるか明らかでないことがあり、偽の透明性を生み出すおそれがあるとも指摘されており80、アルゴリズム自体の開示が要求されない以上、理由の開示が無い状態では、特定DPF提供者が開示したパラメータが本当にランキング決定に重要なものであるかを判断することはできない。したがって、P2B規則同様、主なパラメータと考える理由についても開示する情報の対象とするように今後ガイドライン等で要求していく必要がある。

また、P2B規則では、ランキングの透明性に関するガイドラインが策定されており、その中で主なパラメータを特定する原則や考慮要素、例示がなされている。一方、透明化法では、2021年6月現在でそのようなガイドライン等は策定されておらず、特定DPF提供者の判断に委ねられている。透明化法における主なパラメータの判断基準をガイドラインで公表することで、特定DPF提供者の判断の指針になることに加え、情報を提供される利用者側としてもガイドラインに則った情報提供がされているか判断することができ、DPFの透明性の確保に繋がると考えられることから、ガイドラインの整備を行うことが望ましい。

最後に、アルゴリズムによる自動決定の透明性には更なる検討が必要であると考えられるため、その理由を述べておきたい。これまで取り上げてきた通り、アルゴリズム自体をDPFの利用者に開示することはEU法においても基本的に求められていないが、そうすると、主なパラメータが開示されても、主なパラメータが本当に自動処理に影響を及ぼすものであるのか検証することができない場合が出てくることが予想される。したがって、DPFの透明性を管轄する機関(個人情報保護法であれば個人情報保護委員会、透明化法であれば経済産業省が考えられる)に対しては、必要な場合にはアルゴリズム自体を開示することもDPF提供者の義務として課すことが、アルゴリズムによる自動決定の透明性を確保する上では必要であろう。この点、DSAでは、超巨大プラットフォームがDSAの義務を遵守しているかどうかを監視等するために、超巨大プラットフォームに対して、データベースとアルゴリズムへのアクセスと説明を命じる権限を欧州委員会に与えることが提案されている(DSA 前文99段、57条)。透明化法にも、アルゴリズムの開示まで求められるかは明言されていないが、特定DPF提供者が開示義務を遵守していないと認められるときは、特定DPF提供者の事務所への立ち入り検査の権限が経済産業大臣に与えられている(透明化法12条2項)。ただし、アルゴリズムは営業秘密として保護される場合もあることから、どこまで開示を求めることができるか、営業秘密と透明性とのバランスの観点から今後更なる検討が必要である81

4.3.透明性レポート

第3の論点は、透明性レポートである。透明性レポートは、DPFによる取組を利用者以外にも明らかにし、規制当局によるチェックがなされるものであり、客観的に透明性の確保が適切になされているかを確認する手段として重要なものである。仮に、利用者にのみ各種の情報の開示が義務づけられるのであれば、利用者がDPFから提供された情報を自ら開示しない限り、自身に開示された情報の内容や粒度などが他の利用者と異なるものでないかを確認することができず、透明性が確保されているかを確認することができなくなってしまう。以下では、DSAと透明化法とを比較して、透明性レポート(モニタリング・レビュー)に関する規定の検討を行う82

まず、透明性レポートの作成が義務づけられる対象について、DSAは、DPFを含むすべてのプロバイダを対象とする一方、透明化法では、透明性レポートを提出する必要があるモニタリング・レビューの対象となるのは、DSAにおける超巨大プラットフォームにあたるような特定DPF提供者に限られている。規模の小さなDPFであっても透明性レポートの作成・公表を求められる点で、DSAはより透明性の確保を重視したものといえるが、透明性レポートの作成が新規参入するDPF提供者の負担となり、参入障壁となって新規参入が鈍化すると、既存のDPF提供者による独占・寡占が進み、競争を阻害するおそれもある。透明性レポートの作成義務の対象をどこまでとすべきかのバランスをあらかじめ見出すことは難しいが、透明化法では、透明性レポートの作成を含む規制の対象となる特定DPF提供者を政令で定めることとなっており、規制対象を状況に応じて比較的柔軟に変更できる点において、透明性の確保と競争促進のバランスを保ちやすい制度であると言えよう。

次に、報告事項について、DSAは、DPFの規模に応じて透明性レポートの報告事項に強弱をつけており、超巨大プラットフォーム提供者には第三者の独立監査機関による監査報告書の提出が求めるなど、通常のDPF提供者よりも厳しい報告事項を課している。一方、透明化法で定められる報告事項は、特定DPF提供者であれば等しく適用されるものであり、DPFの規模等にかかわらず、同じ報告事項が課されることになっている。現在、透明化法の対象となる特定DPF提供者は、DSAの超巨大プラットフォームにあたるような影響力が大きい者のみであるため、特定DPF提供者に一律に同じ報告事項を課すことに問題は生じないと考えられる。しかし、今後、透明化法の対象が広がり、指定されるDPFの規模等の違いが大きくなる場合には、DSAと同様にDPFの規模や影響力に応じて報告事項に強弱をつけることを検討する必要があるだろう。規模が小さなDPF提供者も指定されることになった場合、大規模なDPF提供者と同じ報告事項が課されるとすれば、規模等に応じて報告事項に強弱をつけるDSAよりも透明化法が厳しいものとなってしまい、参入障壁となるおそれが生じるためである。報告事項に強弱を設けるにあたっては、特定DPF提供者が講ずべき措置について定められた指針の活用が考えられる。指針には、モニタリング・レビューの関係として、講ずべき措置について指針で示された基本的な考え方の方向性を実現するための取組を自主的かつ積極的に実施することが重要な評価要素となるとあり83、経済産業大臣による報告書の評価は指針を勘案して行われることから、指針が具体的な報告内容の判断基準として用いられると考えられる。また、指針は告示として出されていることから、法律や政令よりも柔軟に迅速な見直しが可能であり、報告事項が過大あるいは過小な負担となる場合の見直しも比較的容易であろう。したがって、今後、透明化法の対象を広げる場合には、指針においてDPFの規模等に応じて報告すべき内容について強弱を設けることを検討することが望ましい。

5.おわりに

本稿では、主にDPFをターゲットに立法されたものを中心に検討対象とした。本稿で取り上げなかった独占禁止法や特定商取引法や電気通信事業法、消費者法84など、対象がDPFに限られない法令による透明性の確保に関する検討も重要であり、今後の課題としたい。

Footnotes

1 株式会社情報通信総合研究所主任研究員

筑波大学大学院図書館情報メディア研究科博士後期課程

2 令和2年法律第38号。正式な法律名は、「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律」。

3 Google、Amazon、Facebook、Appleを指す。Microsoftを加えてGAFAMということもある。中国のBATX(Baidu、Alibaba、Tencent​、Xiaomi)も近時注目されている。

4 EU法は、一次法(EUの基本条約)、二次法(規則、指令等)、判例法に分けることができ(国立国会図書館「EU法について」国立国会図書館リサーチ・ナビ(2019年1月22日更新)(https://rnavi.ndl.go.jp/politics/entry/eu-law.php))、本稿では二次法を扱う。なお、本稿で挙げるウェブサイトは全て2021年9月17日に最終アクセスした。

5 EU法による規制が世界中に影響を与えている状況は、「ブリュッセル・エフェクト」とも呼ばれている。See Anu Bradford, ‘The Brussels Effect’ (2012) 107(1) Northwestern University Law Review 1.

6 DPFの類型ごとに詳細に分析するものとして、岡田淳ほか編著『プラットフォームビジネスの法務』(商事法務、2020)。

7 Article 29 Working Party, ‘Guidelines on transparency under Regulation 2016/679’ (Adopted on 29 November 2017. As last Revised and Adopted on 11 April 2018) 4. 個人情報保護委員会訳「仮日本語訳 透明性に関するガイドライン」も参考にした。

8 Consolidated version of the Treaty on European Union (2008) OJ C 115/13.

9 Consolidated version of the Treaty on the Functioning of the European Union (2012) OJ C 326/47.

10 Article 29 Working Party (n 7) 4, footnote 5、個人情報保護委員会・前掲注7)6頁。

11 電子商取引指令5条及び6条は、消費者や管轄機関に対して、プロバイダが自身の情報を提供することを義務付けている。

12 消費者権利指令は、全体として、事業者に対して契約締結前の消費者への情報提供を義務付けている。本指令は、現代化指令(Directive (EU) 2019/2161)によりDPFの情報提供義務として6a条が追加され、さらなる透明性の確保の強化が図られている。

13 デジタル単一市場著作権指令19条は、「透明性義務」という見出しの下、著作者等が権利をライセンス等した者から、ライセンス料等についての情報を年1回以上取得することを保証する義務を加盟国に課している。

14 テロコンテンツ拡散対策規則7条は、プロバイダに対して、テロコンテンツの拡散に対する対策のポリシーを定めること、年1回の透明性レポート(テロコンテンツの削除等のプロバイダの措置に関する情報)提出の義務を課している。

15 GDPRにおける ‘personal data’ の訳語として「個人データ」を用いており、日本の個人情報保護法における「個人データ」とは異なる。日本の制度について言及する際は、個人情報保護法に定義されている「個人情報」「個人データ」等の用語を用いる。

16 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (2016) OJ L 119/1. GDPRの前文や条文、GDPRに関する各種ガイドラインの仮訳が、個人情報保護委員会ウェブサイト(https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/)に掲載されている。

17 European Commission, ‘Questions and Answers – General Data Protection Regulation’ (MEMO/18/387, 24 January 2018) (https://ec.europa.eu/commission/presscorner/detail/en/MEMO_18_387).

18 小向太郎=石井夏生利『概説GDPR:世界を揺るがす個人情報保護制度』(NTT出版、2019)50-51頁、164頁〔石井発言〕。

19 データ保護指令29条に規定されている、各国のデータ保護監督機関の代表者及び欧州データ保護監察官から構成される合議体。GDPR発効に伴い、権限が強化された欧州データ保護会議(European Data Protection Board: EDPB)に改組された。EDPBは、第29条作業部会が作成したGDPR関連のガイドラインを2018年5月に承認している。

20 Article 29 Working Party (n 7) 4、個人情報保護委員会・前掲注7)5-6頁。

21 Article 29 Working Party (n 7) 7、個人情報保護委員会・前掲注7)12-13頁。

22 Article 29 Working Party (n 7) 7-8、個人情報保護委員会・前掲注7)11-14頁。

23 Article 29 Working Party (n 7) 8-10、個人情報保護委員会・前掲注7)15-18頁。透明性ガイドラインは、「明瞭かつ平易な文言」の推奨されない例として、「新しいサービスで個人データを使用する場合があります」(「サービス」とは何か、あるいは個人データがサービス開発にどのように役立つか不明)等を挙げている。

24 Article 29 Working Party (n 7) 13、個人情報保護委員会・前掲注7)25-26頁。

25 「プロファイリング」とは、「自然人に関する特定の個人的側面を評価するために個人データを使用することで構成される、あらゆる形態の個人データの自動処理を意味し、特に、自然人の業績、経済状況、健康、個人的嗜好、興味、信頼性、行動、位置、移動に関する側面を分析又は予測するために使用される」と定義されている(4条4項)。

26 Article 29 Working Party, ‘Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679’ (Adopted on 3 October 2017. As last Revised and Adopted on 6 February 2018) 25-26. 個人情報保護委員会「仮日本語訳 自動化された個人に対する意思決定とプロファイリングに関するガイドライン」48-49頁。

27 GDPRには、データ主体が「説明を受ける権利(right to explanation)」を明確に定める規定はないが、「関係する論理に関する意味ある情報」の提供を受けることは、「説明を受ける権利」と言えるのか、という議論がなされている。See Andrew D Selbst and Julia Powles ‘Meaningful information and the right to explanation’ (2017) 7 (4) International Data Privacy Law 233-242.

28 Regulation (EU) 2019/1150 of the European Parliament and of the Council of 20 June 2019 on promoting fairness and transparency for business users of online intermediation services (2019) OJ L 186/57. P2B規則の日本語訳として、カライスコス アントニオスほか「ビジネス・ユーザーのためのオンライン仲介サービスの公正性及び透明性の促進に関する欧州議会及び理事会規則(Regulation (EU) 2019/1150) : 概説および条文訳」NBL1163号34頁以下(2020)。P2B規則を概観し、透明化法との比較を行うものとして、多田英明「ビジネス・ユーザーを対象とする公平性・透明性の促進:EUプラットフォーム規制を手がかりとして」ジュリスト1545号21頁以下(2020)。

29 European Commission, ‘Platform-to-business trading practices’ (9 June 2021) (https://digital-strategy.ec.europa.eu/en/policies/platform-business-trading-practices).

30 See Fabiana Di Porto and Marialuisa Zuppetta ‘Co-regulating algorithmic disclosure for digital platforms’ (2021) 40 (2) Policy and Society, 282.

31 Commission Notice Guidelines on ranking transparency pursuant to Regulation (EU) 2019/1150 of the European Parliament and of the Council 2020/C 424/01 (2020) OJ C 424/1.

32 European Commission, ‘Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC’ COM (2020) 825 final.

DSAの内容を紹介するものとして、Andrej Savin, ‘The EU Digital Services Act: Towards a More Responsible Internet’ (2021) Copenhagen Business School LAW Research Paper No. 21-04, Journal of Internet Law があるほか、日本語文献として、株式会社三菱総合研究所デジタル・イノベーション本部「インターネット上の違法・有害情報を巡るEUの動向:Digital Services Act について」総務省プラットフォームサービスに関する研究会 第24回 資料1(2021年3月17日)があり、参考にした。

33 Savin (n 32) 14 もDSAはデジタル規制において最も重要なものの一つと指摘する。

34 Council of the European Union, ‘Progress report’ (12 May 2021) 3 (https://data.consilium.europa.eu/doc/document/ST-8570-2021-INIT/en/pdf).

35 オンライン・プラットフォームのうち、EU域内の平均月間アクティブサービス受信者数が欧州人口の10%以上(4500万人以上)に相当するサービス(25条)。

36 コンテンツモデレーションとは、DPF利用者から提供された違法なコンテンツ等を検出、特定、対処することを目的として行われる行動を指す。コンテンツモデレーションには、違法なコンテンツ等の利用に影響を与える措置(アクセス制限や削除など)や利用者のアカウント停止措置などが含まれる(2条(p))。

37 DSAは、加盟国に対してDSAの適用及び執行に責任を負う管轄当局を1つ以上指定し、管轄当局のうち1つを「デジタルサービス調整官」として指定することを要求している(38条)。デジタルサービス調整官は、原則としてDSAの適用及び執行に関する全ての事項について責任を負うものであり、DSA違反に対する強力な執行権限を有している。

38 29条に対しては、主なパラメータやオプションとは何かが曖昧であることや、プロファイリングは時にはユーザに有益であるにもかかわらず完全に排除を要請していること、DPFに対するインセンティブが何もないこと等の批判がなされている。See Natali Helberger, Max van Drunen, Sanne Vrijenhoek, and Judith Möller ‘Regulation of news recommenders in the Digital Services Act: empowering David against the Very Large Online Goliath’ (2021) Internet Policy Review (https://policyreview.info/articles/news/regulation-news-recommenders-digital-services-act-empowering-david-against-very-large).

39 「未来投資戦略 2018:『Society 5.0』『データ駆動型社会』への変革」16頁、129頁(2018年6月15日閣議決定)。

40 経済産業省=公正取引委員会=総務省「プラットフォーマー型ビジネスの台頭に対応したルール整備の基本原則」2頁(2018)。

41 2019年には、オンラインモール・アプリストアにおける事業者間取引の実態調査が行われ、同年10月に最終報告が報告されている。また、2020年には、デジタル広告分野の実態調査が行われ、2021年2月に最終報告が公表されている(公正取引委員会ウェブサイト「デジタル・プラットフォーマーの取引慣行等に関する実態調査」(https://www.jftc.go.jp/houdou/pressrelease/cyosa/cyosa-platformer/index.html))。

42 「2/13 第23回未来投資会議 議事要旨」13頁(2019年2月13日)(http://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/dai23/gijiyousi.pdf)。

43 デジタル・プラットフォーマーを巡る取引環境整備に関する検討会 透明性・公正性確保等に向けたワーキング・グループ「取引環境の透明性・公正性確保に向けたルール整備の在り方に関するオプション」6-8頁(2019 年5月21日)。

44 透明性・公正性確保等に向けたワーキング・グループ・前掲注43)8-9頁、15-16頁。

45 透明性・公正性確保等に向けたワーキング・グループ・前掲注43)16-23頁。

46 令和3年法律第32号。3条は、DPF提供者の努力義務として、DPFを利用する事業者等に対して、身元の特定に資する情報の提供を求めることを挙げている。また、5条は、消費者が自己の債権を行使するために必要な場合に、DPFが保有する事業者の情報を請求できる権利を規定している。

47 平成15年法律第57号。正式な法律名は「個人情報の保護に関する法律」。

48 令和3年法律第37号。正式な法律名は「デジタル社会の形成を図るための関係法律の整備に関する法律」。以下、本稿では、2021年改正前の個人情報保護法(令和2年法律第44号までの改正が反映されたもの)を「旧法」と呼び、旧法の条文を「旧〇条」とする。

49 個人情報保護法の解説書は多数あるが、本稿では、石井夏生利=曽我部真裕=森亮二編著『個人情報保護法コンメンタール』(勁草書房、2021)を参考にした(2020年改正法までの対応であるため、2021年改正法に相当する部分の記述を参考にした)。

50 個人情報データベース等を事業の用に供している者をいう(16条2項、旧2条5項)。

51 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」36頁(2016年11月、2021年1月一部改正)。

52 個人情報保護委員会・前掲注51)23頁。

53 個人情報保護委員会・前掲注51)38頁。

54 利用目的の変更は、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない(17条2項、旧15条2項)。

55 個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」18頁(2017年2月、2020年9月更新)。

56 「個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの以外のもの」(16条4項、旧2条7項)。

57 個人情報等の適正な取扱いの確保を目的として法に定められた業務を行おうとする法人であって、個人情報保護委員会の認定を受けた者。(47条・51条、旧47条・50条)

58 経済産業省「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律の施⾏に向けた論点」デジタル市場競争会議ワーキンググループ第14回 資料1(2020)では、透明化法とP2B規則が比較されており、透明化法がP2B規則に影響を受けていることを示す一例と言える。多田・前掲注28)25頁も、透明化法とP2B規則とは、透明性・公平性確保に向けてDPF提供者に課される義務は概ね類似していると指摘する。

59 特定DPF提供者が提供するDPFは、「特定デジタルプラットフォーム」(以下、「特定DPF」という)と定義されている(2条6項)。

60 令和3年政令第17号。

61 デジタル市場競争会議「デジタル広告市場の競争評価 最終報告」36-39頁ほか(2021年4月27日)。

62 令和3年経済産業省令第1号。

63 北島洋平ほか「デジタルプラットフォームの透明性及び公正性の向上に向けた共同規制の創設」時の法令2113号39-52頁(2021)。

64 指針として、「特定デジタルプラットフォーム提供者が商品等提供利用者との間の取引関係における相互理解の促進を図るために講ずべき措置についての指針」(令和3年経済産業省令告示第16号)が定められた。

65 個人情報保護委員会「日EU間・日英間のデータ越境移転について」(https://www.ppc.go.jp/enforcement/cooperation/cooperation/sougoninshou/)。

66 小向ほか・前掲注18)164頁〔石井発言〕。

67 小向ほか・前掲注18)165頁〔小向発言〕は、GDPRで最も重要な条文は、適法化根拠を定めるGDPR 6条であるとする。

68 個人情報保護委員会・前掲注51)24頁。

69 松前恵環「個人情報保護法制における「同意」の意義と課題」NBL1167号20頁以下(2020)、石井夏生利「「同意」の横断的考察」NBL1167号27頁以下(2020)。

70 松前・前掲注69)23-24頁。

71 鎌田博貴「ePrivacy規則 閣僚理事会案について」総務省プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ第2回 資料2(2021年4月6日)。

72 総務省「プラットフォームサービスに関する研究会」や、その下で開催されている「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ」(https://www.soumu.go.jp/main_sosiki/kenkyu/platform_service/02kiban18_02000136.html)においてクッキー等の端末識別情報に関する議論がなされている。

73 Article 29 Working Party, ‘Guidelines on consent under Regulation 2016/679’ (Adopted on 28 November 2017. As last Revised and Adopted on 10 April 2018). 個人情報保護委員会訳「仮日本語訳 同意に関するガイドライン」も参考にした。

74 欧州司法裁判所は、クッキーの取得に際し、同意のチェックボックスにあらかじめチェックが入っていた事例について、GDPRにおける有効な同意ではないとの裁定を下している(Case C-673/17 Planet49 (2019) ECLI:EU:C:2019:801)。

75 F. Di Porto and M. Zuppetta (n 30) 282は、P2B規則の主なパラメータ開示義務について、DPFはアルゴリズムの「論理」を透明化するために説明責任を果たすべきとするが、アルゴリズム自体は、営業秘密として通常は構成されるものであり、開示する義務を負うものではないとする。

76 Giancarlo Frosio and Christophe Geiger ‘Taking Fundamental Rights Seriously in the Digital Services Act’s Platform Liability Regime’ (2020) 26-30, 41-42 European Law Journal (October 2021, Forthcoming) (https://ssrn.com/abstract=3747756).

77 「人間中心のAI社会原則」(2019年3月29日統合イノベーション戦略推進会議決定)11頁。

78 個人情報保護委員会事務局「個人情報保護法ガイドライン(通則編)の一部を改正する告示(案)」(2021年5月19日告示)27頁。

79 個人情報保護委員会事務局「改正法に関連する政令・規則等の整備に向けた論点について(公表事項の充実)」第155回 個人情報保護委員会 資料1(2020)。

80 See Helberger et al. (n 38).

81 アルゴリズムのEU営業秘密指令(Directive (EU) 2016/943)による保護の可能性と、それがアルゴリズムの透明性に及ぼす影響を検討するものとして、Mariateresa Maggiolino ‘EU Trade Secrets Law and Algorithmic Transparency’ (2019) Bocconi Legal Studies Research Paper No. 3363178 (https://ssrn.com/abstract=3363178).

82 DSAと透明化法を簡単に比較検討するものとしては、鈴木康平「EUのデジタルサービス法案の概要・検討状況と日本のデジタルプラットフォーム規制との関係」InfoCom T&S world trend report 387号10-21頁(2021)があるが、DSAの概要紹介が主であり、透明性レポートに関する規定の比較は行われていない。

83 指針・前掲注64)5頁。

84 EUの消費者法における透明性の要請については、カライスコス アントニオス「消費者取引における透明性の要請について:EU消費者法における展開を中心として」中田邦博ほか編『ヨーロッパ私法・消費者法の現代化と日本私法の展開』142-158頁(日本評論社、2020)が詳しい。

 
© 2021 総務省情報通信政策研究所
feedback
 Top