コラム

　今日は、「利用者の保護」について書きます。

 

　第１に、個人情報等のデータ侵害に係る責任の明確化です。

 

　IoT機器は、『製造物責任法』の「製造物」と考えられ、IoT機器のソフトウェアに脆弱性が存在し、その欠陥により「他人の生命、身体又は財産を侵害した場合」は、「損害賠償責任」を負います(『製造物責任法』第3条)。

 

　しかし、「個人情報等のデータが侵害された場合」は、関係法令の適用について不明確ですので、解釈を明確化するべきだと提言しました。

 

　個別事案は司法の判断によるそうですが、「データの侵害」のみが発生する場合は、『製造物責任法』の賠償責任を負いません。

 

　「物理的な侵害(例えば、エアコンをサイバー攻撃し、夏に暖房に切替え、住人を熱中症にした場合：身体の侵害)」や、「データの改竄による財産的損害（例えば、クレジットカード情報流出による財産的損害）」が発生すれば、『製造物責任法』に基づく賠償責任を負うと考えられます。

 

　ケースごとに、企業にも利用者にも分かり易い『ガイドライン』が整備されると助かります。

　

　第２に、金融機関・医療機関等のデータ保護と侵害時のリカバリです。

 

　金融機関の本人確認や取引履歴、医療機関の電子カルテ情報等、特に重要なデータについては、データが改竄されていない真正な状態であるという「データの保護」と、「侵害された場合の迅速なリカバリ」が実現できるように、『バックアップ及びリカバリの安全性基準』を設定するべきだと提言しました。

 

　『NIST SP800-174』が参考になります。

 

　第３に、ポイントを扱う事業者の義務強化です。

 

　ECサイトや家電量販店等が提供しているポイントや航空会社が提供しているマイレージは、「前払式支払手段」に該当する場合は、『資金決済法』の適用により、利用者が保護されます。

 

　該当しない場合は、『民法』上の契約として『利用規約』に規定がなければ、利用者は保護されません。

 

　しかし、近年、マネーロンダリングのように「ポイントロンダリング」が発生しています。

 

　「ポイントを扱う事業者」についても、利用者保護が図られるよう、ポイントの保護の在り方について検討するべきです。

 

　ポイントを不正取引された被害者に対して、オンラインバンキングの不正送金を補填する全国銀行協会の申合せと同様に、ポイントを補填するよう義務付けるべきだと提言しました。

 

　第４に、「インシデント発生時の責任」に係る法的整理です。

 

　自動車、IoT家電、医療機器、ドローンなど、幅広い分野の製品・サービスについて、サイバーインシデントが発生した時に、「既知の脆弱性への対策に関する製造者の責任」「運用者の安全管理義務」など関係主体における責任分界点やリスク共有の在り方を検討し、ICTを活用した製品やサービスを所管する全ての官庁は、法改正やガイドラインの整備を急ぐべきだと提言しました。

 

　自動運転では、単体の自動車の技術だけではなく、周辺のインフラとの連携が必要不可欠になります。

 

　例えば、自動運転車（レベル3以上）と運転支援車（レベル1、レベル2）と旧来型の自動車、歩行者などが混在することになり、事故が発生した場合に自動運転車のセンサーや車載カメラだけでは事故原因が判明しないことも考えられます。

 

　信号機や道路にセンサーやカメラを設置し、そのデータを活用することによって、より高い安全性の確保に繋げるべきだということも提言しました。

 

　第５に、JPRSの制度の活用に関する周知です。

 

　日本のドメイン名を管理しているJPRS（株式会社日本レジストリサービス）では、JPドメイン名の移転を命ずる確定判決、和解調書、調停調書等があれば、ドメイン名移転をすることも可能としています。

 

　善良な利用者の権利を不当に侵害することが無いよう、慎重に検討を行った上で、この制度を適切に活用するべきであることを提言しました。

 

　第６に、偽情報を意図的に流通させる行為に関する対策の検討です。

 

　情報の完全性が悪意をもって操作される（偽情報を意図的に流通させる）行為も、広い意味でのサイバー攻撃と解されます。

 

　欧州（EU）では、偽情報への対策が議論されており、今後、「報道の自由」「表現の自由」に留意しながら、国際的な議論を進めるとともに、欧州の動向も参考にしつつ、「ファクトチェックの仕組み」や「プラットフォーム事業者との連携」などの自浄メカニズムについても、検討を深めることが適当だと提言しました。

 

　2018年4月に、欧州委員会が、次のような『報告書』を公表しました。

 

　「多元的アプローチ（オンラインニュースの透明性を高める、利用者の情報リテラシーを高める、急速に進化する情報テクノロジーを使いこなす為のツールを開発する、欧州における報道メディアの多様性と持続可能性を確保する、偽情報の影響に関する継続的な調査を行う）を採用の上、7月までに、プラットフォーム事業者、広告事業者、広告主等を含むステークホルダーが集まり、偽情報への対応のための『行動規範』を策定することを求める」

 

　「『行動規範』は、スポンサードコンテンツ（特に政治広告）の透明性を確保すること、アルゴリズムについて第三者による検証を可能とすること、異なるニュースソースに利用者がアクセスし易いようにすること、偽アカウントを特定し閉鎖すること、ファクトチェッカー等が継続的に偽情報を監視できるようにすること等を目的とする」

 

　そして、2018年9月には、Google、Facebook、Twitter、Mozillaの4社と8事業者団体による『行動規範』の合意を公表し、2019年1月からは、『行動規範』に関して、事業者が提出した取組状況をまとめたレポートの公表が始まりました。

 

　2019年末には『行動規範』の包括的な評価を行い、仮に取組が不十分と認める場合には、法律による規制も含めた追加措置を行うことを示唆しています。

　　　　　

　ドイツでは、『ネットワーク執行法』が2017年10月1日に施行されました。概要は、次の通りです。

 

• 年間100以上の苦情を受ける対象事業者は、違法コンテンツに係る苦情の処理について、半年ごとに報告書を作成し、連邦官報及び自身のウェブサイト上で公表しなければならない。

 

• 対象事業者は、違法コンテンツ申告のための手続き窓口を設けた上、申告があった場合には、直ちに違法性を審査し、「明らかに違法なコンテンツについては、申告を受けてから24時間以内」「それ以外の違法コンテンツについては、申告を受けてから7日以内」に、削除又はアクセスブロックをする義務を負う。

 

• 対象コンテンツは、19の犯罪に該当するものだが、この中に「侮辱」「悪評の流布」「中傷」「犯罪組織・テロ組織の形成」等が含まれる。

 

• 法人・団体には、最大5000万ユーロ（約65億円）の過料。

 

• 対象事業者はソーシャルネットワークを営利目的で運営する事業者だが、ドイツ国内の登録利用者数が200万人未満の事業者は報告義務・対応義務を負わない。

　　　　

　私は、この第６の提言（偽情報対策）についての対応が、政府にとって最も困難な検討課題なのだろうと思います。

 

　総務省では、偽情報等に関する検討を行う為、2018年10月より、「プラットフォームサービスに関する研究会」を開催しています。

 

　同研究会の『中間報告書』（2019年4月5日公表）においては、次のような提言がなされました。

 

「フェイクニュースや偽情報への対応については、民間部門における自主的な取組を基本として、正しい情報が伝えられ、適切かつ信頼し得るインターネット利用環境となるよう、ユーザリテラシー向上及びその支援方策、また、ファクトチェックの仕組みやプラットフォーム事業者とファクトチェック機関との連携などの自浄メカニズム等について検討をすることが適当」

 

「その際、憲法における表現の自由に配慮し、EUにおけるデジタルジャーナリズムの強化を含む様々な対策を始めとする諸外国の動きを念頭に置くとともに、今後とも通信と放送の融合・連携の更なる進展が予想されるところ、上記の放送分野における取組も参考にしつつ、プラットフォームサービスを通じて流布されるフェイクニュース等に対して求められるプラットフォーム事業者の役割の在り方にも留意して、本研究会において更に検討を深めることが適当」