個人情報保護法案、不正アクセス禁止法、著作権法
第三者であるアグリゲーションセンタがエンドユーザの個人情報を預かることに対して
主にアカウントアグリゲーション事業の観点から、個人情報保護法案、不正アクセス禁止法、著作権法にまつわる問題点をまとめた。
個人情報保護法案は個人情報を生存する個人に関する情報で、個人を識別可能な情報と定義する(2条1項)。利用目的による制限(4条)、適正取得(5条)、正確性(6条)、安全性(7条)、透明性(8条)を基本原則とする。
上記基本原則から、個人情報取扱事業者に義務が課せられる。利用目的による制限からは、利用目的をできる限り特定しなければならない(20条)。利用目的の達成に必要な範囲を超えて取り扱ってはならない(21条)。第三者提供の禁止(28条)。
適正取得からは、偽りその他不正な手段により取得してはならない(22条)。正確性からは、正確かつ最新の内容になるよう努めなければならない(24条)。安全性からは、安全管理の為に必要な措置を講じる(25条)、従業者・委託先に対する監督義務(26、27条)。
透明性からは、取得後に利用目的を通知又は公表する(23条)。利用目的を本人の知り得る状態に置く(29条)。本人の求めに応じて保有個人データを開示(30条)、訂正(31条)、利用停止(32条)しなければならない。
法案は未成立だが、OECD8原則(責任、目的明確化、利用制限、収集制限、データ内容、安全保護、公開、個人参加)に対応しており、法案の規制内容は大筋でグローバルスタンダードに合致するものである。
本人の同意を得ない個人データの第三者提供は原則禁止される。しかしオプトアウトの要件を満たす場合は、本人の同意がなくても第三者提供を容認している(28条2項)。その要件とは、以下の4項目を予め通知し、又は本人の知り得る状態に置く場合である。1第三者提供すること、2提供される情報の種類、3提供の手段・方法、4求めに応じて提供停止すること。
委託の場合、合併等の場合、特定の者との共同利用の場合(共同利用する旨その他一定の事項を通知等している場合)は第三者提供とみなさない(28条4項)。委託の場合、個人情報取扱事業者には、委託先に対する監督責任が課せられる。
本人の同意を得て取得することは可能だが、個人情報取扱事業者には義務が課せられる。但しセンシティブ情報については収集禁止を明記すべきとの主張もある。
一方、金融機関との関係でScreen Scrapingが問題になる。「銀行は、顧客との間の取引においておよびこれに関連して知り得た情報を正当な理由なくして他に漏らしてはならないという義務を負います」(川口恭弘・現代の金融法(中央経済社1994)43)。
「銀行にとってみれば自行サイトから口座情報を持っていくのは、依然として口座保有者本人ではない。これが不正な閲覧に当るのではないかというのである」(「インターネット金融の現在と今後」月刊「コンピュートピア」2001年1月号)。法律的には顧客情報は営業秘密(不正競争防止法2条4項)となる。
金融機関はパスワードの不開示を会員に約款で義務付けている。One'sダイレクト利用規定2(3)@は「暗証番号は契約者自身の責任において厳重に管理するものとし、第三者に開示しないものとします。」とする。
安全管理の為に必要な措置を講じることが義務付けられているが、法案は基本法的性格を有するため、具体的な規定はない。主務大臣には報告徴収(37条)、勧告・命令権(39条)がある。
全銀協「インターネット・バンキングについて留保すべき事項について(追補版)」(2002.4.3)13は「口座情報等の被取得提供金融機関等における対応と同レベル以上のセキュリティ対応が必要」「外部の専門機関による定期的なセキュリティ監査の実施と関係金融機関等への監査結果の開示またはこれに準ずるような措置を実施することにより、自己のセキュリティ対応を担保することが望まれる」とする。多くの金融機関のサイト(三井住友銀行One‘sダイレクト、野村ホームトレード)では128bit SSL方式を採用している。
法案は目的外使用を認めていない。個人を特定できない統計的情報ならば、個人情報保護の問題ではなくなる。しかし、統計的情報であっても顧客情報を利用することは、顧客情報を自己の財産と捉える金融機関との関係で問題が生じ得る。
利用目的を明らかにしておく必要がある。三井住友VISAカード&三井住友マスターカード会員規約27条は会員に「当社及び当社と属性情報の提供に関する契約を締結した企業が、その正当な事業活動として行うもののうち当社が適当と認める範囲で、会員に宣伝印刷物の送付等の営業のご案内をすること」を同意させている。ここでも金融機関との関係で問題が生じ得る。
個人情報保護の認証制度にはプライバシーマーク(http://privacymark.jp/)、TRUSTe(http://www.truste-jp.org/)がある。もともと日本では個人情報保護は業者の自主性を重視する観点から、法規制よりもプライバシーマークやガイドラインによる方向であった。
「安心してアクセスできるサイトか否かの判断の基準としては、「TRUSTe」(トラストイー)や「プライバシーマーク」などの第三者認証機関による認証を目安にするとよい」(「ネット社会の個人情報自衛策あなたは大丈夫?ウェブサイト 安易なアクセスは危険 “素性”確かめ情報の提示を」産経新聞2002.7.29)。
TRUSTeは、特定非営利活動法人の日本技術者連盟が運営し、現在34社が参加。「プライバシーマーク」は日本情報処理開発協会が運営して、349社が認定を受けている。TRUSTeマークや「プライバシーマーク」を表示しているサイトは、通常、最初のページにプライバシー方針につながるリンクを設けている。
JISQ15001は平成11年3月20日に制定された「個人情報保護に関するコンプライアンス・プログラムの要求事項」JIS規格である。個人情報保護の最小限の要求事項を規程し、事業者の適切な、個人情報保護の目的の範囲内で適用することができる、としている。規格は、またマネージメントシステムの原則を採用し、事業者自らの管理能力を高めていくことを期待している。
ISO/IEC15408は「情報セキュリティ評価基準」と呼ばれる、ITセキュリティに関する国際標準がある。
現行法上は、個人情報保護はプライバシー権や名誉権、特定職業の守秘義務(ex.電気通信事業法4条、弁護士法23条、弁理士法30条)という形で保護されている。
契約により個人情報を利用する権利を得、守秘する義務を負う。従って、当初の登録時に契約上に情報取得の目的や内容を明記して、エンドユーザからの合意を得られれば問題は回避できる。一方、個人情報流出に対して損賠請求をされうる。
電気通信事業法4条
1 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
2 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。
必要な範囲に限り収集可能→センシティブ情報の収集禁止(3条)。同意があれば収集目的外利用・提供が可能(4条)。開示・訂正(6条)。責任者設置(7条)。
業界のガイドラインに基づき、自社の会員規約を作成し、入会時に会員を特定できない統計情報として開示の了承を得ている。更に「当社及び当社と属性情報の提供に関する契約を締結した企業が、その正当な事業活動として行うもののうち当社が適当と認める範囲で、会員に宣伝印刷物の送付等の営業のご案内をすること」(三井住友VISAカード&三井住友マスターカード会員規約27条)という規定を設ける例もある。
金融機関の利用規定には、IDやパスワードを第三者へ譲渡・貸与を禁じている場合があるが、本サービスはID・パスワードの登録は利用者(ユーザー)本人の意志決定に基づきシステムにより自動でおこなわれ、第三者が人的に介在することはない。また、アウトソーサはシステムを提供しているにすぎず、本サービスは利用者による「本人行為」であり、不正アクセス禁止法による不法行為は成立しない。
リンクそのものは著作権法上問題とされていない。「リンクを張る行為自体は、複製や公衆送信を伴っていませんので、著作権法上の問題は生じません」(文化庁・著作権法入門H13年度版(著作権情報センター)31)。「リンクが著作権侵害ということは考え難い」(久保利英明=内田晴康・著作権ビジネス最前線7訂版(中央経済社1999)217)。
「ホームページに情報を載せるということは、その情報がネットワークによって世界中に伝達されることを意味しており、そのことはホームページの作成者自身覚悟しているとみるべき」(半田正夫・インターネット時代の著作権(丸善2001)137)。
しかし「リンク先のイメージを害するようなホームページからのリンクや、他社の商標を利用する場合、画像への直接リンクやフレーム使用の場合には、注意が必要」(黒田法律事務所=黒田特許事務所編著・デジタルコンテンツと知的財産権(日本能率協会マネジメントセンター2001)50)。「他人のコンテンツにフリーライドして、意図しない、特に広告と結びついた形で他人のコンテンツを利用されるというのは、やはり許容するのは適当ではないだろう」(宮下佳之「新たなコンテンツ流通形態と著作権法」コピライト468(2000)11)。
「クリックをすることにより、他人のホームページ上の情報が自分のホームページのフレームの中に取り込まれるという形式のものであれば」「自分のホームページの中に他人の情報を複製することになるので、複製権の処理が必要になってくるように思われますし、また取り込む情報が一部分であるならば不要な部分をカットしたということで同一性保持権もまた働く可能性がある」(半田正夫・インターネット時代の著作権(丸善2001)137)。
何れにせよ実務上は相手先サイトの承諾を得て行うものとされる。サイトを公開すればインターネットに接続された世界中のコンピュータからアクセスすることは可能になるが、それは単なる可能性にとどまり、現実に世界中のコンピュータからアクセスされるわけではない。リンクされることで不特定多数からサイトへのアクセスが著しく容易になされてしまうが、それを好まないサイト管理者の自己決定権は尊重されるべきである。
Yahoo! Japan利用規約「9.サービスの転売、転用はお断りいたします」でも「ユーザーが、Yahoo! JAPANの提供するサービス、サービスの利用(使用)、サービスへのアクセスについて、その全部あるいは一部を問わず、商業目的で利用(使用、再生、複製、複写、販売、再販売など形態のいかんを問いません)することを禁止いたします」としている。ユーザーはアクセスしただけでサイトと契約関係になるわけではなく、上のような一方的に定めた利用規約が法的拘束力を持つわけではないが、相手サイトのコンテンツを利用してビジネスを行おうとする以上は承諾を得るべきであろう。
逆にコンテンツ提供サイトの側から他のサイトにコンテンツ利用を推奨する例もある。検索エンジンの多くは、検索窓をサイトに設置することを推奨し、そのためのソースの公開までしている。またGameBox社はValueCommerce社と提携し、Valuecommerce社のパートナーサイトがそのフレーム内に自社のオンラインゲームを組み込むことを認めた。
サイト上での商標の使用は商標権侵害に該当しうることは当然だが、メタタグでの使用も問題になる。青江秀史=茶園茂樹「インターネットと特許法・商標法」高橋和之=松井茂記編・インターネットと法2版(2001)271は、メタタグはユーザーから視認できず、その使用は商標的使用ではないとする。
一方、土肥一史「ネットワーク社会と商標」ジュリスト1227(2002)30は「メタタグは、目的のウェブサイトにおいて、『表示』、『ソース』の順にクリックすると視認できる」「商標の視認性を欠くことを理由に商標権の侵害を否定できないように思われる」とする。米国ではメタタグ使用の商標権侵害を肯定した例がある(Brookfield Communications, Inc. v. West Coast Entertainment Corp., 174 F.3d 1036 (9th Cir. 1999).)。
著作物は創作的な表現である。著作物は「思想又は感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に属するものをいう」(2条1項1号)。顧客情報のような事実の羅列そのものは著作物にならないが、その創作の選択、配列に創作性が認められれば、編集著作物やデータベース著作物になりうる。
「編集物(データベースに該当するものを除く。以下同じ。)でその素材の選択又は配列によつて創作性を有するものは、著作物として保護する」(12条1項)。「データベースでその情報の選択又は体系的な構成によつて創作性を有するものは、著作物として保護する」(12条の2第1号)。
但しその場合でもデータベースから抽出した個別データ自体が著作物になるわけではない。著作権侵害となるためには著作物の創作性のある部分を利用(ex.複製)することが必要。
「全体ではデータベースの著作物になるが、データの一件一件は著作物とはみなされないという場合も多い(文献題名リストや職業別電話帳が典型的な例)」(中野潔・知的財産権ビジネス戦略改訂2版(オーム社2001)119)。
「一個の著作物の一部分についても、複製権侵害が成立することについても異論はないところであるが、その場合には、当該部分だけでも、思想又は感情を創作的に表現したものであり、著作物性が認められることが必要である」(設楽隆一「歴史的事実と創作性」著作権法判例百選3版(2001)13)。