案件名:「モバイル・エコシステムに関する競争評価 中間報告」に対する意見公募
所管省庁・部局名等:内閣官房デジタル市場競争本部事務局
提出日:2022年6月9日
一般社団法人MyDataJapan 公共政策委員会
東京都港区赤坂8−4−14青山タワープレイス8F
1.本中間報告全体の評価
本中間報告 は、 モバイルエコシステム の主要なレイヤー が 少数のプラットフォーム事業者による寡占 状態になっていると指摘し、 それらの事業者が ① 強みを持つレイヤーでの力を 生かして、② 他のレイヤー における 「 ルール設定 」 等を通じてそのレイヤーにおける自身の力を強化し、③ そのことにより、さらに 元々強 み を持つレイヤーでの競争力も強化されるという循環を生 じている 、と分析している 。 さらに その結果として、エコシステム全体におけるプラットフォーム事業者の優位が固定化する状況になっている ことを問題視している 。 本中間報告が指摘する、このようなプラットフォーム事業者による寡占の弊害は、 我が国の経済における最大の課題の一つであ り、問題に 目をそらすことなく、正面から取り組もうとする本 中間 報告の姿勢を高く評価 したい。
また、本中間報告が対応策として 、競争に悪影響を及ぼす可能性が高い行為を事前に禁止するなどの手法で 新たな法規制を提案する点も合理的である。 このような問題に対しては、法規制以外には適切な処方箋は存在しない。むしろ、新たな法規制について、 より具体的に、 その法執行の主体、違反等の場合の制裁措置、プラットフォーム事業者における法遵守のための体制確保なども併せて議論されるべきである。
このように多くの面で評価できる本中間報告ではあるが、プラットフォーム事業者の実施する「ルール設定」に対する懸念や懸念解消のための提案に、一部、消費者保護の観点が欠け ている点については、 問題がある 。 プラットフォーム事業者による 「ルール設定」 の結果として、消費者保護が図れている面もあるのは事実であり、この「ルール設定」に政府が介入することにより、消費者保護レベルが低下する恐れがある点にも留意が必要である。 MDJ としては、特に消費者の
プライバシー保護の観点から、本中間報告に対する意見を述べる。 対象となる箇所 は、Ⅱ.各論 、4、5および第 1 2 【 アプリストア 】 7、8 である 。
2.OS におけるトラッキングのルール変更( Apple )(第1-1【 OS ・一部ブラウザ】の3)
ATTは 、 本中間報告が 指摘 する とおり、 Apple が OS レイヤーにおけるルール設定者としての立場でトラッキングのルール変更を行い、他社の広告ビジネスに制約を 加える ものである。また、ユーザーへの表示については、自社 と 他社の広告 ビジネス において差異 のある表示 が見られる。
しかしながら、そもそ も ファーストパーティ・ データを 利用 する Apple の広告モデルと、 サードパーティ・ データを利用する他社の広告モデル との間に は、プライバシーの 観点から は、 明確に一定の差異 が 認められる 。
多くのユーザーは、 自分が 意識的に利用するサービスについては、 その サービス 提供者にサービス利用 に関する データを収集され利用されることを通常認識しているが、 他方で、 自ら アクセスした つもりのない サードパーティ が 様々なデータ を収集し利用することは想定していない と思われる。これは、 野村総合研究所が 20 代以上の男女2000人に実施した調査(注 1)で、 外部送信の事実や、外部送信の結果、情報が取得されていることを知っていると回答したのは、「なんとなく知っている」を含めても、わずか3割にとどま っていることからも推測される 。 また、 ファーストパーティはユーザーが選択してそのサービスを利用する 相手方 であるため 、 自身のデータを取得され、利用されることがあるかもしれないという一定 限度 の 認容・ 信頼があるのに対して、 サードパーティに ついては、 ユーザーとしては その存在を認識しておらず、 そもそも自身のデータを預けるこ とについての認容も信頼も存在しない 。
したがって、サードパーティ・ データの取得と利用が Apple の「ルール設定」によって制限されることは、ユーザーのプライバシーに関する期待にかなうものである。
このことは、我が国においては特に顕著である。なぜなら、モバイルエコシステムにおいて、ユーザーの ID となる cookie や広告 ID といった 情報が個人情報として規制の対象になっておらず、その取得・利用については、法制度上、 ほとんど 制限がないからである(注 2)。 この点において、わが国は、 cookie や広告 ID を個人情報として法規制の対象とする欧米とは異なる特質があるというべきである。
以上の観点から、「主に御意見をいただきたい事項」について述べる。
まず、1の「 事実関係 、 懸念事項 」 については、 この問題を、競争上の懸念として取り上げること自体 に若干の疑問がある。 前記のとおり、 ここには、 プライバシーの観点から見た場合には異なる ビジネスである ファーストパーティ・ データ利用 広告 と サードパーティ・ データ利用 広告 を同じレベルで競争させることが果たして適当かという問題が 存在する 。 プライバシーの観点から異なる評価を受けるこの 2 つの広告は異なる ビジネス と考えることもできるのである。中間報告は、「 他の多くの広告事業者については、広告ビジネスの中長期的な衰退によるユーザー獲得とマネタイズの悪化が懸念されており 」( 83 頁)とするが、そのような懸念は、ユーザーのプライバシーに配慮すること なく 野放図な サードパーティ・ データの取得・利用を続けてきた広告事業者の責任による面も 否定しがたい というべきである。
次に、2の 「 新たな規制等の有効性 」 について は、 一般論として、一方的なルール変更が 公正争に悪影響を及ぼす場合の対応として、 オプション A や オプション B は適当なものといえるだろうが、本件のように、消費者のプライバシー保護のために 合理性のある 措置に対して 、何ら限定なく適用され ることに は問題がある。
オプションA の対応パッケージ e は、「 ルール設定・変更により影響を受ける事業者に、深刻かつ差し迫った損害を与えるおそれがある場合 」に は 規制当局の 介入 が正当化されるとの考えに基づくもののようであるが、介入が正当化されるためには、 事業者の損害の重大性に加えて、 「そのような損害が ユーザー 保護 の観点から正当化されないものであること」 が要件として必要となると考えるべき である。この うな要件の必要性 は、たとえば多くのダウンロード実績のあるアプリにセキュリティ上の問題が存在し、多数のユーザーに被害が出ていることが判明し、被害拡大防止のために、アプリストアが ル ールの変更を行ってこのアプリの販売を禁止するような場合を想定すれば明らかである。 たとえデベロッパ側に 重大な損害が生じたとしても 、 ユーザー保護の観点からルールの設定・変更が正当化される事態はしばしば生じるはずである。 これを ATT との関係で見れば、広告 ID によるトラッキングをオプトインの場合にのみ可能とする「ルール設定」は、ユーザーのプライバシー保護の観点からは、合理的なものである。前述のように日本では外部送信の事実やその際の情報収集の事実 が広く認識されているとはおよそいいがたく、オプトインにしなければ、ユーザーの多くは、自分がトラッキングされていることすら 気づかないまま、サードパーティによるデータ収集を放置することになるからである。従って、 そのような事態を防ごうとする「ルール設定」に伴って サードパーティ・ データ利用広告事業者に生じる損害は、「正当化されないもの」とは いえないと考えられる。
オプションB についても、「 自社における通知の表示を誘導的なものとすることにより、他の事業者のビジネスと競合する自社のビジネスを有利にすることを制限する 」こ とに合理的があるのは、「他の事業者のビジネス」と「自社ビジネス」が同 一の ものである場合に限られる。なぜなら、 仮に自社ビジネスの表示が「誘導的」なものであったとしても、実際に自社ビジネス がユーザーにとって有利 な もので ある場合には、そのような表示は不当とは い えないからである。したがって、ここには、「ユーザー 保護 の観点から合理的な理由なく」自社における通知の表示を誘導的なものとすること、 という要件を付加すべきである 。 これを ATT との関係で見れば、 Apple の行う表示は「誘導的」なものではあるものの、 Apple の広 告は実際にトラッキングを行わ ずに ファーストパーティ・データを利用するものであって、 その限りで ユーザーにとって有利なものであるから、 誘導的な表示は 「ユーザー 保護 の観点から合理的な理由なく」とは い えないと考えられる。
さらに、3の「 新たな規制の実施に伴うコスト、リスク 」 については、仮に上記のような要件の付加をすることなく、 ATT のような 「 ルール設定 」 を制限する場合には、ユーザーのプライバシー に関する 問題が生じると考えられる。 前記のとおり、わ が国においては、モバイルエコシステムにおけるユーザーの ID である cookie や広告 ID は、それ自体個人情報として法規制の下になく、 これに紐づくユーザーのデータは、 何ら制限なく蓄積され利用されることになるからである。
このようなリスクを低減させる方法としては、まずは、 オプション A とオプション B に上記のような適切な要件の付加を行うことが必要である。また、 規制 の強度が低く、自主ルールに依存するわが国のデータ保護法制を見直して、早々に cookie や広告 ID を個人情報として法規制の下に置くほか、外部送信の規制を強化し て サードパーティ ・ データの取得過程に対するユーザー本人の関与を強化すべきである。
3.ブラウザにおけるトラッキングのルール変更(Apple )(第1-1【 OS ・一部ブラウザ】の4)
2.のATT で述べたことは、ほぼ同様にここでも妥当する。 ファーストパーティ・ データを 利用する Apple の広告モデルと、 サードパーティ・ データを利用する他社の広告モデルは、プライバシーの観点から は、 明確な 差異がある からである 。 本中間報告は、 「 ITP は、プライバシーに配慮する観点から、特定のサードパーティによる トラッキング行為を Safari 等からブロックできる機能である。しかしなが ら、他の広告事業者には ITP が適用される一方、 Apple 自身はトラッキン グ・クッキーの使用を求めていないため、 ITP は適用されない。すなわ ち、サードパーティが広告をパーソナライズする能力を制限される一方、 Apple 自身には ITP は適用されないことから、そうしたルール変更の影響 を受けることなく、引き続き、ファーストパーティとしてユーザーに関するデータを取得する ことができる状況となっており、総合的にみれば、 Apple が有利になっているといえる 」(86 頁) とするが、ユーザーのプライバシーの観点からは 、サードパーティ ・ データを利用する広告のみが制限されることには 、一定の合理性が認められる。
「 主に御意見をいただきたい事項 」 について は、以下のとおりである 。
まず、1の「 事実関係、 懸念事項 」 について、本中間報告は、「 ブラウザ事業者により一方的なルール変更がなされ、対応を行う十分な時間が確保されず 」( 86 頁)とするが、 2017 年に ITP が実装されてから 今日に至るまで 、サードパーティ側 から、 ユーザーに分かりにくい形でのデータ取得・利用の方式に 関する積極的な改善提案は 見 られなかったように思われる 。果たして Apple が「十分な時間を確保」していれば、サードパーティ側 からデータの 取得・ 利用 の 形態を改善する提案が なされ たのか疑わしいところであ り、「ルール変更」がなされるまでの「対応を行う十分な時間の確保」を問題視することには、躊躇を覚える 。また 、本中間報告は「 ITP の導入は、ユーザー追跡を活用したディスプレイ広告のターゲティ ング精度を著しく弱め、広告ビジネスモデルを困難にするおそれがある 」( 86 頁)とするが、これは前記のとおり、ユーザーのプライバシーの観点からはやむを得ない面がある。
次に、2の「新たな規制等の有効性について」 は、 オプション A について、 前記のとおり、 対応パッケージ e に 「そのような損害が ユーザー保護の観点から 正当化されないものであること」を要件として加えるべきである。 これを ITP との関係で見れば、 サードパーティが広告 をパーソナライズする能力を制限されることは、ユーザーのプライバシー 保護の目的で行われる「ルール設定」である 。ただ、 ATT とは異なり、 ITP においては、ユーザーがトラッキングされても構わないと考える場合であって も、トラッキングは自動的に制限されるため、このような 「 ルール設定 」 はユーザー保護との関係で、過大なものであると見る余地もある。もっとも、トラッキングを進んで受け入れるユーザーは少数であると推測されるうえ(注3)、サードパーティ ・ データの蓄積がケンブリッジアナリティカ事件のような大きな問題の原因となったことを考えれば、トラッキングを ユーザーの意向に関わらず 一律に制限する「ルール設定」は、 ユーザー保護の観点から正当化されない とは言い切れないというべきである。
さらに、3の「新たな規制の実施に伴うコスト、リスク」については、こちらに存在しないオプションB に関するものを除き、 前記 ATT と 同じである。
4.ブラウザにおけるトラッキングのルール変更(Google )(第1-1【 OS ・一部ブラウザ】の5)
2.のATT および3.のITP で述べたことは、ほぼ同様にここでも妥当する。 GoogleによるPrivacy Sandbox の 提案は 、 Chromeブラウザのサードパーティ・クッキーのサ ポートを停止し、サードパーティ・クッキーと他の形態のクロス・サイト・トラッキングの機能を 他の手段 で置き換えるものであり、基本的にはユーザーのプライバシー保護を目的とした 一定の 合理性のある 提案 だからである。
「主に御意見をいただきたい事項」については、以下のとおりである。
まず、1の「事実関係、懸念事項」について、本中間報告は、「 Google は、ブラウザ におけるルール設定を行いつつも、自らは 他の事業者に比してデータを取得・利用することが可能な立場にあり、また、引き続き、ファーストパーティとしてユーザーに関するデータを取得できることになる可能性がある。これにより、 Google の広告サービスの分 野における有利な立場をさらに強化することが懸念される 」( 91 頁) としている。 しかしながら、これまでに述べたとおり、 ファーストパーティ・ データを 利用 する Google の広告モデルと、 サードパーティ・ データを利用する他社の広告モデルは、プライバシーの観点から明確な差異が 認め られるのであり、このような Google の優位性についてはやむを得ない面がある。
また、「Privacy Sandbox は、未だその内容が明らかになっていない 」 との記載があるが、Privacy Sandbox で実装される API 等の機能 やその詳細 については、進捗状況を含めて公開されており、すでに、 ブラウザ FingerPrinting を抑制するための U ser Agent Client Hints API やCookie の不正利用を抑制する S ameSite Cookies 等は実装されている。
次に、 2の「新たな規制等の有効性について」は、オプション A について、 前記のとおり、 対応パッケージ e に「そのような損害がユーザー保護の観点から正当化されないものであること」を要件として加えるべきである。これを Privacy Sandbox との関係で見れば、サードパーティが広告をパーソナライズする能力を制限されることは、ユーザーのプライバシー保護の目的で行われる「ルール設定」であ り、 サードパーティ・クッキー が サポートされなくなること等による 広告事業者の 損害が 「 ユーザー保護の観点から正当化されないものである 」とはいえないと考えられる。なお、P rivacy Sandbox においては、 サードパーティが行動ターゲティング広告を行う余地は、一定限度残されており、対応パッケージ e の「深刻かつ差し迫った損害」がサードパーティに認められるかについても検討 の余地があるもの と思われる。
さらに、3の「新たな規制の実施に伴うコスト、リスク」については、前記 ITP と同じである。
5.アプリストアの拘束(Apple )(第1-2【アプリストア】7)
Appleは iPhone 向けのアプリ のサイドローディングの禁止について、セキュリティとプライバシーの観点によるものであると説明しており、これには合理性が認められる。サイドローディングを許容すれば、セキュリティやプライバシーのレベルが低いアプリがユーザーの端末にインストールされる可能性が高まることは事実であろう。他方で、アプリ審査の公正性・透明性に疑問があることや、高額な手数料がデベロッパの過大な負担になっていることも、デベロッパ側から主張されており、こちらも納得できる内容である( 108 頁、 109 頁)。
「主に御意見をいただきたい事項」につい ては、以下のとおりである。
まず、1の「事実関係や懸念事項」については、 Apple とデベロッパのそれぞれの主張は網羅されているようであり、事実関係の把握は十分であるように思われるが、手数料に関連して、「 手数料を取ること自体の理由として、ユーザー・エクスペリエンスの向上等については理解できるが 」101 頁)とすることには若干の違和感がある。高額な手数料のため、プラットフォームを回避するデベロッパも出てくることが予想されることから(注 4)、手数料が必ずしもユーザー・エクスペリエンスの向上につながるとはいえないと思わ れる。 ここはユーザー・エクスペリエンスの問題ではなく 、もっぱらセキュリティやプライバシーといったユーザー利益の保護の 問題ではなかろうか 。
また、事実関係や懸念事項について補足するとすれば、iOS アプリケーションの開発において、Apple 社製のコンピュータ( M acBook など) の 利用 が強制されており 、ディベロッパ は、 i OS アプリケーション開発において、アプリストアのみならず、開発環境も拘束されている状況であることは、懸念事項として考えられる。
次に2の「アプリストアが拘束されていること による弊害」については、拘束(サイドローディングの禁止)それ自体の弊害と 、 アプリ審査の問題 や 高額な手数料の問題は、必ずしも一体的に検討すべきものではなく、 後述のとおり、それぞれ別個に 問題解決の途を探ることができるのではないかと思われる。
3の「サイドローディングの弊害」については、制約のないサイドローディングが行われることとなれば、ユーザーのプライバシー保護レベル やセキュリティ が低下するおそれがあることは否定しがたいであろう。 前記のとおり、 わが国においては、 欧米に比べて データ保護法制の保護レベルが低く、広告 ID それ自体 が 個人情報として法規制の下にな いため、 これに紐づくユーザーのデータは、何ら制限なく取得・ 利用されることとなる 。法制度の違いにより、わが国においては、サイドローディングの リスク は、欧米よりも 大きいことに注意を要する 。
4の「新たな規制等の有効性」および5の「新たな規制等の実施に伴うコスト、リスク」については、一定の条件の下にサイドローディングを許容する義務をプラットフォーム事業者に課す規制は、環境によっては、 有効かつ合理的なものと なりうる規制提案である 。しかしながら、前記のとおり、サイドローディングを許容した場合の弊害が欧米に比べて大きいわが国においては、この規制の導入は時期尚早というべきである。本中間報告は、「 上記義務を課すとともに、 (中略 プライバシーやセキュリティを担保するための何らかの手段を検討することも考えられるのではないか 」( 111頁)としたうえで、「 例えば、他のアプリストアの選択肢を排除するのではなく、当該他のアプリストアについても、自社のアプリストアにおけるアプリ審査と同水準の審査を実施することを担保する何らかの仕組み(例えば、関係事業者等による認証制度、ガイドライン等)を設けた上で、当該他のアプリストアのサービス提供を許容することも考えられるのではないか 」( 112 頁)とする。これは、第三者認証やガイドラインによって、許容されるサ イドローディングにおけるプライバシー侵害のおそれ や利用環境のセキュリティのリスク を低減させる意図によるものと思われるが、法的強制力や制裁を伴わない第三者認証やガイドラインによって十分な保護を図ることは困難であり、これらを前提としてサイドローディングを許容することは適当ではない。
現在のわが国の 法制度の下では むしろ、 サイドローディングを許容することなく、アプリ審査の問題や高額な手数料の弊害を改善することによって、デベロッパの不利益を解消することが 合理的な解決手段である 。すなわち、アプリ審査の公正性・透明性につ いては、一定の規模のアプリストアがサイドローディングを許容しない場合には、 これに対して 審査の公正性・透明性に関する義務を課すことも考えられる(注 5)。手数料の問題は、プラットフォーム事業者とデベロッパの 力関係を考慮すれば、両者の 交渉に委ねて解決する問題ではなく、法制度による政府の介入が期待される。具体的な介入の方法については、電気通信事業法に基づく指定電気通信設備の接続条件への政府の介入 手法 は参考になるものと思われる。
6.サイドローディングの制限( Google )(第1-2【アプリストア】8)
Googleは 、 Google Play 以外のサイドローディングを禁止しているわけではないが、一定の制限を課しており、かつサイドローディングの際にはユーザーに対して警告的な表示を行っている。
「主に御意見をいただきたい事項」については、以下のとおりである。
1の「事実関係や懸念事項」については、サイドローディング自体が可能である状況で、かつサイドローディングの割合についても、「サイドローディングが低調であるという疑念が払しょくされていない」( 124 頁)ということに留まるため、競争上の問題が生じていると評価できるかどうか 、現時点では 不明であるように感じられる。
2の「サイドローディングを抑制させる行為の有無」については、サイドローディングについて、合理的な警告表示を行うことはユーザー保護の観点からは当然であり、表示に大きな問題があるとは思われない。
3の「新たな規制等の有効性」については、オプションA の規制は 、一定の条件の下では 有効かつ合理的な ものとなり得 るが、サイドローディングの制限の禁止と過剰な警告表示の禁止のいずれについても、「ユーザー保護の観点から合理的な理由なく」行われるものに限る、という要件を付加すべきである。ユー ザー保護の観点からプラットフォーム事業者が実施するサイドローディングの制限や警告表示を禁止することには合理性が 認められない 。
4の「新たな規制等の実施に伴うコスト、リスク」についても上記と同じであり、プラットフォーム事業者がユーザー保護の観点から実施するサイドローディングの制限や警告表示を禁止することは、ユーザーのプライバシーや利用環境のセキュリティを低下させることにつながる。むしろ、プラットフォーム事業者は、ユーザーとの利用契約上の不随義務等として、適切なサイドローディングの制限や警告表示を行う義務を負っ ていると解されるところ、それを禁止するような規制には合理性がない と思われる 。
注1:野村総合研究所「プライバシーポリシー等のベストプラクティス及び通知同意取得方法に関するユーザー調査結果」 https://www.soumu.go.jp/main_content/000811620.pdf
Web サイトを閲覧する際、閲覧サイト以外にもアクセスを行っていることを知っているか」の質問では 「よく知っている」「なんとなく知っている」の回答が 31.1 %、「閲覧先以外へのアクセスによって、情報が取得されていることを知っているか」の質問 で 29.1 %。
注2:個人情報保護法の 個人関連情報の規制 および 電気通信事業法の外部送信の規制 は 関連する法規制ではあるが、後者は法施行前であり、前者は第三者の下で氏名到達性を獲得する段階でのみ規制対象となるものであり、十分な規制とはいえない 。
注3:本中間報告も ATT との関係であるが、「全世界でオプトインが 12 %、アメリカでは4%ということで日本ではもっと少なくなると見込まれ」るとしている( 79 頁)
注4:iPhone 用の K indle アプリ では、高額な手数料を回避するために 、アプリからでは電子書籍が購入できない(アプリストアの規約により購入への導線も設けてはいけない)仕様になっており、これは高額な手数料がユーザー・エクスペリエンスの向上にはつながっていない一例と言える。
注5:アプリストア運営事業者は、すでにデジタルプラットフォーム取引透明化法によって、透明性に関する義務を負 っているが これを強化することが 一案である 。
以上