(2025.04追記) 情報流通プラットフォーム対処法(旧プロバイダ責任制限法)が2025.04.01から施行され、一定規模以上(月間の利用者が平均1000万程度)の利用者がいる場合は窓口の整備、削除依頼に対して7日以内に回答(要約)など、対応すべき要素がまた増えました。
SNSを作りたい
Twitter...いや、X(旧Twitter)の様なSNSを作りたいと数年前からずっと考えています。ですが、SNSの運営となると法的な面で厄介な事が多く、やる気を失います。
ざっくりとまとめたものなので、漏れはあるかと思いますが、SNSを運営しようとすると以下のような障害やリスクを背負う必要が出てきます。なお、私は法律の専門家ではないため誤りがある可能性が十分あります。
届出電気通信事業者
ダイレクトメール(他人の通信を仲介する行為)機能を持ち、広告などで収益を上げようとしているSNSはこの届出をする必要があります。これは、ユーザー全員のやり取りを誰もが閲覧可能であれば適応されないため、回避することは可能です。
いつの間にか、「検索情報電気通信役務」と「媒介相当電気通信役務」が増えている気がします。どうやら、これらに該当するサービスは、前年度の月間アクティブ利用者数の平均が1,000万以上の場合は届出等が必要なようです。
個人的には上記に当てはまらない場合でも、規模の大きなコミュニティサイトを運営しているのであれば、届出をしておいたほうが捜査機関への説明に役立つ気がするので出しておいたほうがいいと思っています。
*この解釈は電気通信事業参入マニュアル[追補版]ガイドブックを元にしたものです。
『電気通信事業を営む者』とは
総務省報告(障害発生時)
電気通信役務の提供を行っている場合、事故の重大度に応じて重大な事故の報告や四半期報告を行う義務があります。
ただ、報告条件に電気通信役務の提供とありますから、これは電気通信事業者の登録または届出を行った者に発生する義務だと思います。よってこれも一応回避可能です。
電気通信役務とは
電気通信役務は電気通信事業法で「電気通信設備を用いて他人の通信を媒介し、その他電気通信設備を他人の通信の用に供することをいう。」と定義されています。
個人情報漏洩時の報告
個人情報の漏洩(以下、漏えい)なんてことは、考えたくもありませんが、どんなに気をつけていても「漏えいしない」とは断言できないのでこの点も考慮する必要があります。
これはSNSだけではなく、利用者の情報を保持する、つまりログイン機能を持つサービス全般に当てはまります。
見出しには漏えいと書きましたが、厳密には「漏えい、滅失、毀損」のいずれかが発生した場合に報告が必要です。
それぞれの定義は以下のように考えられているようです。
「個人データ」の「漏えい」とは「個人データが外部に流出すること」、「滅失」とは「個人データの内容が失われること」、「毀損」とは「個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となること」をいいます。(後略)
引用: ppc.go.jp / 閲覧日: 2023-11-13
暗号化した情報が流出した場合
「個人情報の保護に関する法律施行規則(平成二十八年個人情報保護委員会規則第三号)第四十三条の一」で以下のように書かれていることから、高度な暗号化をされた情報が流出した場合は、報告の義務は無いと考えられます。
漏えいではあるものの、前項の理由から報告は要しない物と考えられます。
これを調べた時に気力が全て奪われました。
要配慮個人情報が含まれる保有個人情報(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
引用: elaws.e-gov.go.jp / 閲覧日: 2023-11-13
また、「個人情報の保護に関する法律についてのガイドライン(通則編)」の「3-5-3-1 報告対象となる事態」にも、以下のように書かれています。
なお、漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合等、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告を要しない。
引用: ppc.go.jp / 閲覧日: 2023-11-13
高度な暗号化とは
高度な暗号化について、個人情報の保護に関する法律施行規則では定義されていませんが、個人情報保護委員会のFAQで以下のような回答がありました。
なお、このFAQでは「特定個人情報」となっていて、「個人データ」とは書かれていないため別件に対する回答とみられます。
(前略)第三者が見読可能な状態にすることが困難となるような暗号化等の技術的措置としては、適切な評価機関等により安全性が確認されている電子政府推奨暗号リストや ISO/IEC 18033 等に掲載されている暗号技術が用いられ、それが適切に実装されていることが考えられます。(後略)
引用: ppc.go.jp / 閲覧日: 2023-11-13
個人情報の管理を目的としない物で、個人情報が含まれているデータベースが流出した場合、それは個人情報の漏えいとなるのか
SNSを運営する以上、利用者によって顔写真等の個人情報が投稿される可能性が考えられます。
この見出しは、不特定多数の利用者の投稿が含まれた投稿情報を格納するデータベースを想定しています。
「漏えい」は、「個人情報の保護に関する法律についてのガイドライン(通則編)」の「3-5-1-1 「漏えい」の考え方」で以下のように考えられています。
「個人データの「漏えい」とは、個人データが外部に流出することをいう。」
(中略)
なお、個人データを第三者に閲覧されないうちに全てを回収した場合は、漏えいに該当しない。また、個人情報取扱事業者が自らの意図に基づき個人データを第三者に提供する場合(※)は、漏えいに該当しない。
*太字筆者
引用: ppc.go.jp / 閲覧日: 2023-11-13
また、「個人データ」は、同ガイドラインの「2-6 個人データ(法第16条第3項関係)」内で以下のように定義されています。
「個人情報データベース等」ではなく、それを構成する**「個人情報」が個人データとされている**点に注意が必要です。私は読み間違えました。
「個人データ」とは、個人情報取扱事業者が管理する「個人情報データベース等」を構成する個人情報をいう。
*太字筆者
引用: ppc.go.jp / 閲覧日: 2023-11-13
では、「個人情報」はどのような定義かというと同ガイドラインの「2-1 個人情報(法第2条第1項関係)」内で以下のように定義されています。
「個人情報」(※1)とは、生存する「個人に関する情報」(※2)(※3)であって、「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ(※4)、それにより特定の個人を識別することができるものを含む。)」(法第2条第1項第1号)、又は「個人識別符号(※5)が含まれるもの」(同項第2号)をいう。
「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。
*太字筆者
引用: ppc.go.jp / 閲覧日: 2023-11-13
このことから「個人情報の管理を目的としない物であっても、公開環境で利用者が自由に検索可能な状態を意図して提供している分には漏えいに該当しないが、意図しない形で流出した場合は、個人情報が含まれているのであれば、いかなる場合でも漏えいと判断される」と考えられます。
なお、高度な暗号化が施されている場合は、漏えいではあるものの報告は要しない物と考えられます。
メールアドレスやニックネームは個人情報なのか
まずメールアドレスに関しては、[email protected]のように個人が特定可能な情報を含んでいる場合は、個人情報と考えられます。
では、[email protected]のようなメールアドレスや、薩摩ホグワーツのようなニックネームはどうでしょうか。これらは、個人情報保護委員会のFAQに考えが示されていました。
オンラインゲームにおける「ニックネーム」及び「ID」が公開されていても、通常は特定の個人を識別することはできないため、個人情報には該当しません。ただし、「ニックネーム」又は「ID」を自ら保有する他の情報と容易に照合することにより特定の個人を識別できる可能性があり、そのような場合には個人情報に該当し得ます。また、例外的にニックネームや ID から特定の個人が識別できる場合(有名なニックネーム等)には、個人情報に該当します。
引用: ppc.go.jp / 閲覧日: 2023-11-13
つまり、「基本的には該当しないが、そのニックネームと生存する個人が結び付けられる場合は個人情報に該当する」と考えられます。
例えば、ixyさんの様に顔を出している活動者のニックネームは個人情報に該当するということでしょう。
この制限を回避するためにメールアドレスなどの情報を扱わないという手もありますが、利用者が問題を起こしたときに、捜査機関に提供できる情報がなくなってしまったり、利用者がパスワードを忘れてしまった場合の救済措置などを作れなくなってしまうため、あまり好ましくありません。
もしかすると例外規定が存在する可能性はありますが、そこまでは調べきれませんでした。気力のすべてが失われました。
ところで、個人情報の入力や投稿を規約で禁止しているWebサービスに、利用者が規約を無視して個人情報を入力した場合、事業者側に何らかの責任が生じることはあるのでしょうか。
違法な投稿の対応
利用者が法的に違法な投稿を行った場合、度合いに応じて捜査機関へ通報するなどの対応が必要です。
開示請求等への対応
利用者が特定人物への誹謗中傷等を行った場合、捜査機関からの開示請求に対応する必要があります。
特定商取引法に基づく表示
課金機能を有する場合は、特定商取引法に基づく表示が必要です。ただ、名前以外はバーチャルオフィスを利用すれば、ある程度の個人情報を保護することが可能です。
税金周りの処理
もはやSNS固有の物ではないのですが、確定申告などの面倒なことを負う必要があります。大変ですね。
政府機関のサイト、どこに何があるのかわからない&言葉が難しすぎて何言ってるか一般人には理解しにくいのでどうにかして欲しいですね。
今日のお供BGM 【作業用BGM】hololive music studio - bossa nova & jazz mix Link⇗