なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:利用規約

キロクのロゴ
1.性的同意サービス「キロク」がサービス開始
性的同意サービス「キロク」が本日(12月14日)にサービス開始となったとのことで、Twitter(現X)でもトレンドにあがって話題となっています。ところでこのサービスはいろいろと大丈夫なのでしょうか?利用規約やプライバシーポリシーをざっと読んでみました。

PRTIMESの記事によると、性的同意サービス「キロク」(以下「キロク」)とは次のようなサービスとのことです。
カップルの健全な関係を育むための弁護士監修、性的同意アプリ「キロク」(略)。『不同意性交等罪』で起こりうる「本当は同意していなかった」という相違を防ぎつつ、その場の雰囲気を壊さず性行為の同意をお持ちの端末上で行える〈性的同意アプリ「キロク」〉(略)です。
2.プライバシーポリシーを読んでみた
(1)利用者本人の(性的な)趣味・嗜好をプロファイリング!?
そこで「キロク」のプライバシーポリシーをざっと読んでみました。すると、まず2条「個人情報の利用目的」の部分が気になります。

利用目的

2条「個人情報の利用目的」6号をみると、「利用者の閲覧履歴等の情報を分析して利用者趣味嗜好に応じたマーケティングを実施するため」とあります。これは広告が目的だと思われますが、しかしひょっとしてサイト閲覧履歴や「キロク」の利用履歴、「キロク」による性的同意、相手方利用者の個人情報等などをプロファイリングして、利用者本人の性的なものを含む趣味・嗜好を分析し各種のマーケティングやターゲティング広告などを行うということなのでしょうか?

日本の個人情報保護法では性生活等にかかわる個人情報は要配慮個人情報には該当しませんが、しかし性的な事柄に関する情報は非常にセンシティブな個人情報のはずです(なおEUのGDPR(一般データ保護規則)では「性生活若しくは性的指向に関するデータ」はセンシティブ情報に含まれる)。それを「分析」し、性的な趣味・嗜好をプロファイリングしてしまうとしたら、それは令和2年の個人情報保護法改正で新設された不適正利用の禁止規定(法19条)に抵触してしまうおそれはないのでしょうか?

(2)安全管理措置は大丈夫なのか?
性的同意などの非常にセンシティブな個人情報を取扱うこの「キロク」ですが、これらのデータの安全管理は運営会社(株式会社ねお巳)によって十分になされるのでしょうか(個情法23条~25条)。

この点、本プライバシーポリシーの4条「個人情報の安全管理措置」をみると、「当社は、取り扱う個人情報の漏えい、滅失または毀損の防止その他、個人情報の安全管理のために必要かつ適切な措置を講じます。」としか書かれていません。

安全管理措置
これだけでは組織的・物理的などの面でどのようなレベルでの安全管理が行われるのか、セキュリティ上どのような安全管理が行われるのか、「キロク」のサービスはどこの国のサーバーで運用されるのか等などがまったくわかりません。これでは利用者の人々は安心して「キロク」を利用することができるのでしょうか?

(なお、1条(本サービスが取得する個人情報)についても、例えば第三者が保有するCookie情報や閲覧情報、位置情報、クレジットカード情報等など、非常に広範囲な種類の個人データを「キロク」は収集するとありますが、それが「性的同意」という「キロク」の目的との関係で本当に必要最小限のものなのかも疑問が残ります。場合によっては個情法18条との関係で問題となるのではないでしょうか。)

3.利用規約を読んでみた
(1)「不同意性交等罪等が不成立になるものではありません」?
つぎに、「キロク」の利用規約についても気になる部分がいくつもあります。まず、利用規約6条(本サービスについて)1項は、「本サービスは…あくまでも当事者間の性同意の確認を補助するためのもの(であり、)本サービスの利用のみで完全な性同意があったことが証明され…不同意性交等罪等が不成立になるものでは(ない)」と規定しており、非常に頼もしい内容となっています。

本サービスについて

そもそもこの「キロク」は不同意性交等罪対策なものなのに、「不同意性交等罪等が成立しないものではない」というのはビジネスモデルとして大丈夫なのでしょうか?

(2)非保証規定・免責規定
また、このようなサービス・アプリのよくあるパターンではありますが、利用規約の非保証規定や免責規定もほぼ「ゼロ回答」なものとなっています。

非保証規定の9条1項はつぎのようになっています。
第9条(本サービスの非保証)
 1.当社は、本サービスが利用者の特定の利用目的に合致することや特定の結果の実現を保証しません。
本サービスの非保証

免責規定の12条もつぎのように、おおむね「利用者に損害が発生しても当社に故意・重過失がない限り責任を負いません」という趣旨の内容となっています。

免責

(ところで故意・過失と故意・重過失のあたりが文言がそろっていないのは、本利用規約は本当に弁護士に監修していただいたのでしょうか…?本利用規約はインデントもそろっていない部分が所々ありますが。)

4.その他・雑感
その他、プライバシーポリシーに「クレカ情報、銀行口座情報等」を取得とありますが、サービス利用料等が明示されていないのは不親切と感じました。無料サービスなのか、有料サービスなのかよくわかりません。

また、性的同意という非常にセンシティブな事柄を取扱うのに、運転免許証などの本人確認書類を利用した本人確認などの手続きがないようです。これでは「なりすまし」の問題や、性的同意をめぐって後日トラブルとなった際の証拠として、この「キロク」が役に立つのか(刑事・民事の訴訟などの場面で十分な証拠効力を持ちうるのか)は大いに疑問であるように思われます。(もちろん、性的同意が48時間以内であれば撤回可能であることもトラブル発生のリスクがあると思われます。)

さらに、「キロク」の運営会社「株式会社ねお巳」はGoogleなどで検索しても自社のウェブサイトすらないようです。プライバシーポリシーの部分などにある問い合わせフォームもGoogleフォームを利用しており、「キロク」の保有する個人情報がGoogleにも利用されてしまう可能性がないのか気になります。

加えて、この「キロク」は「弁護士監修」が売りのはずですが、監修した弁護士名や所属事務所なども非公開のままでは、この「キロク」の信頼性には疑問が残ります。

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

マイナンバーカード
1.はじめに
マイナンバーカードに保険証を一体化すると政府が方針を打ち出すなど、最近、マイナンバー制度が話題ですが、今度はマイナポータルの利用規約の免責条項の部分がひどいとネット上で炎上ぎみとなっています。つまり、マイナポータル利用規約の免責条項が、何かあっても「国は一切の責任を負わない」と規定していることがひどいと話題になっているところ、本日(2022年10月29日)のネット記事(「情報流出しても責任負わず? マイナポータル「免責事項」に疑義続出 河野デジタル相の回答は?」ITmediaニュース)によると、河野太郎・デジタル庁大臣は「一般的な(IT企業のサービスの)利用規約と変わらない」と反論しているとのことです。そこで私もマイナポータルの利用規約を読んでみました。

2.マイナポータル利用規約3条と23条1項
すると、マイナポータル利用規約3条と23条1項はたしかに「国は一切の責任を負わない」との趣旨の規定していますが、これはいくらなんでも無理筋と思われます。

マイナ1
(マイナポータル利用規約3条)

マイナ2
(マイナポータル利用規約23条1項)

・マイナポータル利用規約|デジタル庁

3.定型約款
たしかに民間企業などの契約書や約款などの作成の実務においては、民法の一般原則として、「契約自由の原則」があるために、労働基準法などの強行法規に抵触しない限り、約款や契約書などは当事者が原則自由に作成し、それに基づいて契約などを締結することができます。このマイナポータル利用規約も約款の一つといえます。

しかし、近年改正された民法は定型約款の規定を新設して約款の取扱いを明確化しています(民法548条の2以下)。そして同548条の2第2項は消費者契約法10条に似た条文ですが、「相手方の権利を制限し、又は相手方の義務を加重する条項であって、その定型取引の態様及びその実情並びに取引上の社会通念に照らして第一条第二項(=信義則)に規定する基本原則に反して相手方の利益を一方的に害すると認められるものについては無効」と規定しています。

つまり、約款が有効であっても、その個別の約款条項が相手方の権利を制限し、又は相手方の義務を加重する条項であり、取引上の社会通念に照らして信義則に反して相手方の利益を一方的に害するような約款条項は無効なのです。そのため「何があっても一切の責任は負わない」という趣旨のこのマイナポータル利用規約3条、23条1項は法的に無効と評価される可能性が高く、無理筋といえます。

4.マイナンバー法・個人情報保護法
また、マイナンバー(個人番号)は行政が保有する国民個人の個人データを名寄せ・突合できる”究極のマスター・キー”ですので、マイナンバー法は国の責務として「国は…個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講」じなければならないと法的義務を規定しています(マイナンバー法4条1項)。

マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)
(国の責務)
第4条 国は、前条に定める基本理念(以下「基本理念」という。)にのっとり、個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講ずるとともに、個人番号及び法人番号の利用を促進するための施策を実施するものとする。
(略)

5.ベネッセ個人情報漏洩事件
この点、マイナンバー法の一般法にあたる個人情報保護法は民間企業や行政機関等に個人データの滅失、棄損や漏洩などを防止するための安全管理措置を講じなければならないと法的義務を課しています(法23条)。

そして、2014年に発覚したベネッセ個人情報漏洩事件において被害者がベネッセに損害賠償請求を行った民事裁判では、最高裁はベネッセ側の安全管理措置が不十分であったことを認定し、審理を高裁に差戻し、大阪高裁はベネッセ側の損害賠償責任を認めています(最高裁平成29年10月23日判決)。

つまり、企業や行政機関等が安全管理措置などを怠った場合、損害賠償責任が発生することがあると最高裁は認めています。したがって、この判例からも、「何があっても一切の責任をデジタル庁は負わない」というこのマイナポータル利用規約3条、23条1項の免責条項はちょっと無理筋すぎます。

6.国家賠償法
なお、万が一マイナンバー制度で個人情報漏洩事故などが発生した場合には、被害者の国民はデジタル庁や国を相手取って国家賠償法に基づく損害賠償請求の訴訟を提起することになると思われます。

国家賠償法1条1項は「国又は公共団体の公権力の行使に当る公務員が、その職務を行うについて、故意又は過失によつて違法に他人に損害を加えたときは、国又は公共団体が、これを賠償する責に任ずる。」と規定しています。そのため万一国賠訴訟になった場合には、「一切の責任を負わない」というマイナポータル利用規約3条、23条はあまり意味がないように思われます。行政と民間企業の違いを河野大臣やデジタル庁の官僚たちが理解できているのか疑問です。

国家賠償法
第1条 国又は公共団体の公権力の行使に当る公務員が、その職務を行うについて、故意又は過失によつて違法に他人に損害を加えたときは、国又は公共団体が、これを賠償する責に任ずる。
(略)

7.まとめ
このブログではこれまで何回かデジタル庁に関して取り上げてきていますが、河野太郎大臣やデジタル庁の官僚の方々は、法律面があまり強くない方々ばかりなのでしょうか。国民の一人としては大いに心配になります。

個人情報保護法制の趣旨・目的は「個人情報の利活用」の面だけでなく「個人の権利利益の保護」と「個人の人格尊重」(個人情報保護法1条、3条)の面があるわけですので、デジタル庁の役職員の方々は、デジタル行政の企画立案や運営にあたっては、個人の個人情報やプライバシー権(憲法13条)の保護への十分な配慮もお願いしたいものです。

■追記(2022年11月24日)
本日の朝日新聞が本件を取り上げていますが、マイナンバー法の立案担当者の弁護士の水町雅子先生の「一般的に利用規約は、免責の範囲を広くとる記述に偏りやすい。規約への同意の有効性にも問題が残る。ただ、マイナポータルは、嫌なら使わなければいいという民間のサービスとは違う。よりわかりやすい説明が求められる。」とのコメントが掲載されています。

・マイナポータル、国は免責 「一切負わない」規約に批判も|朝日新聞

■追記(2022年11月30日)
神奈川新聞によると、河野太郎大臣はマイナポータル利用規約の免責規定の改定を行う方針を記者会見で公表したとのことです。

・マイナポータル規約 河野デジタル相が「修正指示」|神奈川新聞

■追記(2022年12月29日)
朝日新聞などによると、批判を受けて、デジタル庁はマイナポータルの利用規約を見直すことを表明したとのことです。

・マイナポータル「一切免責」改定 デジタル庁、規約へ「無責任」批判受け|朝日新聞

このブログ記事が面白かったらブックマークやシェアをお願いします!

■関連する記事
・保険証の廃止によるマイナンバーカードの事実上の強制を考えたーマイナンバー法16条の2(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)



[広告]










このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ