連載「放送と配信が区別できない世界でー個人情報保護の観点からー」
【放送と配信の垣根はいまや無いに等しい。この状況下で、個人情報の保護はいかになされるべきか。専門家による連載の第2回】
大平 修司(弁護士)
矢内 一正(TBSテレビビジネス法務部)
第2回「SARC指針とプラクティスの世界」
第1 共同規制
1 認定団体と指針
(1)制度の概要
(2)SARC(一般財団法人放送セキュリティセンター)
2 SARC指針の特色
(1)世帯内プライバシー
(2)視聴者非特定視聴履歴
(3)同意なく取得した視聴者非特定視聴履歴の個人情報化
(4)電気通信事業に係る規律
3 残された検討課題
第2 自主規制
1 オプトアウト方式で取得する非特定視聴履歴の取扱いに関するプラクティス
(1)プラクティスとは
(2)プラクティス2.1の概要
① ユースケースと利用上の留意点の整理
② 視聴者に対する告知等の在り方
③ 識別子の運用に関する事項
2 プラクティスの見直し等
(1)継続検討課題
(2)在京5社実証実験の反映
第2回 「SARC指針とプラクティスの世界」
第1 共同規制
1 認定団体と指針
(1)制度の概要
民間では、2003年の個情法制定前から、各事業者団体が各業界・分野の特性等に応じてガイドライン等を策定し、それを傘下の各事業者が自主的に尊重するかたちで個人情報の保護が図られてきた。いわば当時の状況を追認する格好で個情法の中に取り込まれたのが、認定個人情報保護団体(以下「認定団体」という。)の制度である。
2015年の個情法改正により、認定団体を公に認定する機関が各分野の主務大臣から個人情報保護委員会(以下「個情委」という。)に変更されたほか、認定団体による個人情報保護指針¹(以下単に「指針」という。)を作成する場合に消費者団体の代表者等の意見を聴取すべき努力義務や、個情委への届出義務が新設された。そして、直近の令和2年改正では、事業者による自主的な取組みを更に促すことを目的として、企業の特定部門を分野横断的に対象とする団体を認定できる仕組みが導入された。
認定団体が指針を作成することは努力義務とされるが、これが個情委に届出され公表された場合には、認定団体は、傘下の各事業者(以下「対象事業者」という。)に対して、当該指針を遵守させるために必要な指導、勧告その他の措置を講じることができるようになる²。すなわち、認定団体の指針は官民による「共同規制」³の役割を果たしているのである。
(2)SARC(一般財団法人放送セキュリティセンター)
放送分野における認定団体は、本連載第1回で言及したSARC(一般財団法人放送セキュリティセンター)である。SARCには、2022年4月14日現在、NHKやラジオ局を含む我が国の主な放送局284社が対象事業者としてその傘下に入っている⁴。SARCは「放送分野の個人情報保護に関する認定団体指針」と題する指針を制定し公表しているが、対象事業者は、SARCの認定個人情報保護団体業務実施規程第7条により、これを遵守する義務を負うほか、SARCの指導、勧告等に従うべき義務を負う⁵。そして、対象事業者がこれらの義務を遵守しないと認められる場合には、SARCは、対象事業者としての登録を取り消すことができる⁶。
2 SARC指針の特色
SARCの指針は、以下のような特色を有している。
(1)世帯内プライバシー
ある世帯のテレビ受信機⁷から放送局が視聴データを取得する場合、1台のテレビ受信機であったとしても、その世帯の複数の構成員の視聴データが混在してしまうことが想定される。すなわち、テレビ受信機のオーナーだけでなく、その家族や同居人等の視聴データを取得してしまうという問題が構造的に内在するのである。そうすると、例えば、放送局が放送ガイドライン第42条第2項に基づき、その視聴者特定視聴履歴の取得につきオーナーの同意を得た場合でも、その家族や同居人等の同意を得たことにはならない。あるいは、そのオーナーの同意を家族や同居人等が撤回し得るのかという法律的なアポリアが潜んでいるのである。
この点、SARCの指針は、「世帯の構成員全ての視聴者特定視聴履歴が取得されることを周知し、了解を得た上で同意するよう注意喚起する」「視聴者特定視聴履歴に係る同意の撤回を、本人以外の世帯構成員から受け付ける場合は、本人の同意が必要であることを注意喚起すること」というように、注意喚起することを求めるに留めているが⁸、多くの放送局は、指針レベルでこのような付加的な義務を負っているのである。
(2)視聴者非特定視聴履歴
本連載第1回で述べたとおり、放送ガイドラインは「視聴者特定視聴履歴」という個情法にない独自の概念を措定したうえで、プロファイリングや同意のない取扱いを禁止するといった上乗せ規制を設けているが、その規制の対象は、あくまでも「個人情報に該当する視聴履歴」である。「個人情報に該当しない視聴履歴」については、放送ガイドラインの解説においてわずかに「本規定の適用対象とならない視聴者非特定視聴履歴についても、その取得を停止できることが望ましく、個人情報保護指針等の業界団体等の自主ルールによる取組が期待される」と言及する程度である⁹。
この点、SARCの指針は、これを受けるかたちで、以下の図1のとおり、「視聴者パーソナルデータ」という独自の概念を措定したうえで、「個人情報に該当しない視聴者パーソナルデータ」として「視聴者非特定視聴履歴」を定義している。
このように「視聴者個人関連情報であって、特定の日時において視聴する放送番組を特定できる情報」であるものとして「視聴者非特定視聴履歴」を定義し、その取扱いを定めている点が、SARCの指針の大きな特色である。
(3)同意なく取得した視聴者非特定視聴履歴の個人情報化
視聴者特定視聴履歴は原則として本人の同意なく取り扱うことができないため¹¹、視聴者非特定視聴履歴を本人の同意なく取得した後に個人情報化させることは、不適正取得(個情法第20条第1項違反)となる。この点に直接的に言及したのが、SARCの指針の以下の記述である。
SARC指針17頁
視聴者特定視聴履歴を有する事業者等において、あらかじめ視聴者非特定視聴履歴の取得を通じた個人情報の取得に同意を得ていない限り、視聴者非特定視聴履歴を取得し、特定の個人を識別、又は、容易に照合できる状態にすることは、個人情報の不適正な取得となり、削除が必要となるので留意すること。
(4)電気通信事業に係る規律
SARCの指針は、このように、視聴者特定視聴履歴と視聴者非特定視聴履歴の取扱いを中心として、放送ガイドラインを補足する規範を定めるものだが、対象事業者の中には、放送に付随して動画配信サービスを提供する者がいることも考慮して、電気通信事業に係る規律についても、放送分野を飛び出すかたちでその触手を伸ばしている¹²。指針レベルではあるが、ようやくここで「放送と通信が区別できない現実」に法令が追いつくのである。
とはいえ、その触手が捉えるのは、「電気通信役務に該当する動画配信サービスに係る個人情報の漏えい等」¹³についてSARCへの報告を求めることぐらいであり、それ以外は「対象事業者は、個人情報を、電気通信役務に該当する動画配信サービスに用いる際は、電気通信ガイドライン本文及びその解説で示された規定を遵守すること」と述べるに留まる¹⁴。
3 残された検討課題
放送局には、後述する放送事業者等による自主規制である「プラクティス」の世界からも窺い知れるとおり、個人情報と視聴者非特定視聴履歴の両方を取り扱いたいとのニーズが存在するが、両者の間に容易照合性¹⁵が生じる場合には、後者は前者として取り扱われることになるため、法令レベル(個情法や放送ガイドライン等)の規制の対象となってしまう。プラクティスは、そこで、両者の間に容易照合性が生じない事例を示しているが¹⁶、SARCの指針は、「プラクティスでは視聴者非特定視聴履歴の取扱い全般に関する事例が紹介されている」というように述べ¹⁷、共同規制の世界から民間による自主規制¹⁸の世界に架橋している。
また、SARCの指針は、上記2(4)で述べたとおり、放送ガイドラインの世界と電気通信ガイドラインの世界を架橋する役割も果たしているが、例えば、両ガイドラインのレベルで放送と通信の境界線が動いた場合には、SARCの指針も当然に変容を迫られることになる。仮に近い将来Cookie等が個人情報として取り扱われることとなり、視聴者非特定視聴履歴の範囲が変化した場合も、同様である。
このように、SARCの指針は、法令と自主規制との狭間で絶えず可塑性を担保しなければならないという十字架を背負っているのである。
第2 自主規制
1 オプトアウト方式で取得する非特定視聴履歴の取扱いに関するプラクティス
(1)プラクティスとは
視聴者非特定視聴履歴等の取扱いについては、SARCの主催する「視聴関連情報の取扱いに関する協議会」(SARCのほか、有識者、放送事業者、放送関連団体、TVメーカーで構成される。以下「協議会」という。)が取りまとめた「オプトアウト方式で取得する非特定視聴履歴の取扱いに関するプラクティス(ver.2.1)」¹⁹(以下「プラクティス2.1」という。)が公表されている。
これは、いわゆる「オプトアウト方式」(あらかじめ視聴者の同意を取得するのではなく、取得等を拒絶するための事後的な手段を視聴者に提供することにより実施されるもの。)により取得される視聴者非特定視聴履歴等の取扱いについて、協議会の関係者間でコンセンサスが得られた内容を整理したものである。オプトアウト方式で取得する場合は事前の本人同意が存在しないため、データの取扱いにおいてはより一層視聴者のプライバシー等への配慮が求められる。そのため、安心・安全なデータ利用のためのプラクティスが放送事業者その他の関係者により、自主的な取組みとして取りまとめられたのである。
すなわち、プラクティスは放送分野における視聴者パーソナルデータの取扱いに係る「自主規制」の役割を果たすものである。
(2)プラクティス2.1の概要
プラクティス2.1は、「ver.2.1」の名称が示すように、これまで幾度かの改定を経て成立したものである。今後も改定が継続されるものと思われるが、現時点の主な内容は以下のとおりである。
① ユースケースと利用上の留意点の整理
プラクティス2.1は、オプトアウトにより取得する視聴者非特定視聴履歴のユースケースと、ユースケースごとにデータの取扱い上の留意点を整理している。
ユースケースとして挙げられているのは、(i)分析・レポーティング、(ii)リコメンド(番組等)及び(iii)リマーケティング(広告等)の3つである。各ユースケースの概要と、留意点として指摘されている主な事項は、以下のとおりである。
(i) 分析・レポーティング
プラクティス2.1にいう「分析・レポーティング」とは、視聴者の特性を把握した上での番組の制作・編成、マーケティングデータとして提示した上での営業活動、CM出稿の効果検証を目的として、視聴者非特定視聴履歴を、IPアドレス等をもとに他のパネルデータやWeb閲覧履歴と紐付けて分析等を行うことをいう²⁰。
かかるユースケースに関する留意点としては、放送局内で外部データとのマッチングを実施する際に視聴者非特定視聴履歴が個人情報化しないよう、外部事業者から受領するパネルデータは個人情報でないものに限ることや、放送局内で容易照合性を生じさせないための「容易照合性クリアランス基準」²¹を遵守すべきこと等が挙げられている。
(ii) リコメンド(番組等)
プラクティス2.1にいう「リコメンド(番組等)」とは、視聴者非特定視聴履歴を利用して一定の番組を見たユーザーや一定の属性等を有するユーザーの広告用IDを抽出し、その広告用IDと紐付いたWeb端末(スマートフォン、PC等)に対して番組宣伝の広告を配信することをいう。かかるユースケースにおける留意点として、例えば、以下のようなものが挙げられている。
プラクティス2.1では、視聴者非特定視聴履歴の取扱主体は放送局(放送局の委託先を含む。)でなければならないため²²、広告の配信先となる広告用IDの抽出(セグメントの作成・付与)は、放送局又は放送局が委託する第三者(ただし、プラクティス2.1が定める「委託管理基準」²³を満たす者に限る。)が行わなければならないとされている。また、広告配信において介在するDSP、SSP、アドサーバーは、放送局又は放送局の管理下にある事業者(放送局が資金面、人事面で強い影響を持つ等して、データの取扱い状況を適切に監督できる事業者をいう。)が運営するサービスに限定するという厳格な内容となっている²⁴。
(iii) リマーケティング(広告等)
プラクティス2.1にいう「リマーケティング(広告等)」とは、上記(ii)に類似するが、配信される広告が放送局以外の者の広告であるものをいう。広告配信先のデバイスとしては、「テレビのデータ放送画面」と「Web端末」の2つが想定されている。
留意点についても、上記(ii)と同様のものが挙げられている。
なお、先に述べたとおりプラクティス2.1においては視聴者非特定視聴履歴の取扱い主体は放送局でなければならないとされているが、広告主が DSP 事業者に広告配信を発注すると、DSP 事業者が非特定視聴履歴を取り扱うように解釈されるおそれがあるため、広告主が広告配信を発注する先は放送局である必要があるとされている²⁵。
② 視聴者に対する告知等の在り方
上述のとおり、オプトアウト方式による視聴者非特定視聴履歴の取得は、その取得について事前の本人同意を得ず、事後的に本人が拒絶する手段を設けるものである。このようなオプトアウト方式を実質的にワークさせつつ視聴者の権利利益を保護するためには、取得している事実を視聴者に対して告知することが極めて重要である。
そのため、プラクティス2.1では、非特定視聴履歴の取扱いに係る通知について、テレビ画面のみならず、ウェブサイトやアプリにおいても行うべきことや、テレビのデータ放送画面のメニューから(対象番組放映時のみではなく)いつでもオプトアウトできるようにすべきこと等を定めている。さらに、この通知において用いる用語についても、各放送局でできるだけ共通化すべきとし、通知において含めるべき項目も詳細に指定している²⁶。
なお、放送局が共同で非特定視聴履歴を利用する際には、視聴者が一括でオプトアウト(共同で利用する事業者間での集約の停止)できるように対応することなどを求めている点も、特徴的である²⁷。
③ 識別子の運用に関する事項
テレビのデータ保存領域に格納する識別子(ID)について、テレビの製造番号やB-CASカード番号など、汎用性のある識別子は用いないことや、民放がデータ連携するために共通的に用いるIDは必要に応じて削除又はリセットできるようにすべきこと等が定められている²⁸。
2 プラクティスの見直し等
(1)継続検討課題
プラクティス2.1 は、制度改正や技術の発展を踏まえ定期的に見直しすることとされている。継続検討課題として挙げられているのは、例えば、クロスデバイスで非特定視聴履歴を利用するプラクティス、非特定視聴履歴を第三者提供に用いる場合のプラクティス、視聴者理解促進のための普及啓発等である²⁹。
(2)在京5社実証実験の反映
日本テレビ放送網株式会社、株式会社テレビ朝日、株式会社 TBS テレビ、株式会社テレビ東京及び株式会社フジテレビジョンの在京5社は、総務省の実証事業の一環として、これまで数回にわたって視聴者特定視聴履歴及び視聴者非特定視聴履歴の利活用に関する実証実験を行っており、その成果は、プラクティスにも反映されている。詳細は、以下の図2のとおりである。
かかる実証実験は今後も実施されるものと思われ、それに合わせてプラクティスもアップデートされていくものと思われる。
(次回に続く)
¹ 個情法第54条第1項参照。
² 個情法第54条参照。
³ 生貝直人『情報社会と共同規制』23頁(勁草書房、2011年)参照。
⁴ SARC「対象事業者一覧」(SARCウェブサイト内、2022年)(2022年7月15日最終閲覧)参照。
⁵ SARC「認定個人情報保護団体業務実施規程」(SARCウェブサイト内、2022年)(2022年7月15日最終閲覧)参照。
⁶ SARC「放送分野の個人情報保護に関する認定団体指針」26頁(SARCウェブサイト内、2022年4月)(2022年7月15日最終閲覧)参照。
⁷ ラジオ受信機については、インターネットに結線しておらず、聴取データを取得することが一般的に行われていないため、SARC指針における視聴者パーソナルデータに関する規律は、通常適用されない。なお、radiko(ラジコ)については、インターネット上のサービスであるため、放送ガイドラインではなく、電気通信ガイドラインの適用対象である。
⁸ 前掲注6)14頁参照。
⁹ 個人情報保護委員会=総務省「放送ガイドライン・解説」213頁(総務省ウェブサイト内、2022年4月)(2022年7月15日最終閲覧)参照。
¹⁰ 前掲注6)5頁の図1を一部改変のうえ転載。
¹¹ 放送ガイドライン第42条第2項参照。
¹² 前掲注6)2頁参照。
¹³ 令和2年個情法改正により、個情法施行規則第7条各号に定められる事態(報告対象事態)が生じたときは、個情委事務局への直接報告義務が規定された(個情法第26条参照)。そのため、ここで報告の対象とされているのは、報告対象事態に該当しない程度の漏えい等である。
¹⁴ 前掲注6)24頁参照。
¹⁵ 西村あさひ法律事務所編・太田洋ほか編著『個人情報保護法制大全』44頁(商事法務、2020年)参照。
¹⁶ 視聴関連情報の取扱いに関する協議会「オプトアウト方式で取得する非特定視聴履歴の取扱いに関するプラクティス(ver.2.1)」39-54頁(SARCウェブサイト内、2021年3月)(2022年7月24日最終閲覧)参照。
¹⁷ 前掲注6)17頁参照。
¹⁸ 生貝・前掲注3)11頁参照。
¹⁹ 前掲注16)参照。
²⁰ IPアドレスを利用するマッチングは、Cookieや広告識別子を利用するマッチングに比べて精度は低くなるが、視聴者非特定視聴履歴は放送受信機から取得するものであるとの特性上Cookieや広告識別子を含まないため、外部データと紐付けは、主としてIPアドレスを利用せざるを得ない。
²¹ 前掲注16)11頁参照。
²² プラクティス2.1の中でその旨は直接的に示されていないが、視聴者非特定視聴履歴の第三者提供は「実施方式を含め検討中(当面、未実施の段階にある。)」とされており(同上5頁参照)、個情法でいうところのデータの取扱いの委託や共同利用以外の態様でデータを提供することは事実上できない状態にあるから、このような帰結になると考えられる。なお、(ⅲ)リマーケティング(広告等)においては、データの取扱主体が放送局でなければならない旨が明記されている(同上29頁参照)。
²³ 同上19頁参照。
²⁴ 同上17頁、32頁参照。さらに、DSP事業者はプラクティス2.1が定める「委託管理基準」(同上参照)を満たす事業者でなければならないとされている。
²⁵ 同上29頁参照。
²⁶ 同上35-36頁参照。
²⁷ 同上38頁参照。
²⁸ 同上37頁参照。
²⁹ 同上55頁参照。
³⁰ 総務省「放送分野の視聴データの活用とプライバシー保護の在り方に関する検討会(第1回)」資料1-2 6頁(2021年4月27日)から抜粋。
<執筆者略歴>
大平 修司(おおひら・しゅうじ)
1983年生。2010年弁護士登録、弁護士法人中央総合法律事務所入所。2016年TBS入社。
2021年に日本初の表明保証保険を専門とする株式会社タイムマシーンアンダーライターズに参画。主要著書に、森本茂編『募集株式発行の法と実務』(商事法務、2016年)(共著)、弁護士法人中央総合法律事務所編『金融商品取引法の法律相談』(青林書院、2013年)(共著)など。
矢内 一正(やない・かずまさ)
1982年生。2006年東宝入社。2020年TBS入社。
東宝にて映画・ドラマの制作管理、二次利用、会計、契約法務、知財管理、与信管理、個人情報関連の仕事に幅広く従事。その経験を活かし、現在はTBSビジネス法務部とTBSHDビジネス戦略部に在籍。近著に「地殻変動に揺れるエンタメ業界」(IPジャーナル21号より連載)(共著)など。
この記事に関するご意見等は下記にお寄せ下さい。
chousa@tbs-mri.co.jp