• もっと見る

<< 2020年09月 >>
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30      
最新記事
カテゴリアーカイブ
月別アーカイブ
最新コメント
沢田登志子
ネット初心者 (11/09) 久米 信行
ネット初心者 (11/07) ななな
広告メール規制省令案パブコメ開始 (09/06) kanata
久しぶりのオークション (07/27) 事務局G
確定申告はお早めに (03/12) しゅう
確定申告はお早めに (03/11) 国際担当T
鬼のパンツ・・・?! (01/30) Sora
鬼のパンツ・・・?! (01/26) 沢田登志子
EC業界2008年年頭所感 (01/25) 国際担当T
アックゼロヨンアワード (01/09)
最新トラックバック
シロウトは売ってはいけない [2017年11月30日(Thu)]
農林水産省消費・安全局農産安全管理課農薬対策室さんからご依頼をいただき、この記事を書いています。

農薬取締法」という法律をご存知でしょうか?農業関係の方には馴染みがあるかと思いますが、恥ずかしながら、私は全く知りませんでした。

農水省の解説ページがこちらにあります。「農薬コーナー」という名称がちょっと素敵です。関連条文もこちらで参照できます。私が理解した主な内容は、こんな感じです。

・「農薬」には、殺虫剤や殺菌剤、成長促進剤や発芽抑制剤、天敵(例:寄生バチ)などが含まれる(1条の2)
農薬を製造・加工・輸入する場合は登録が必要された農薬以外は、製造・輸入・加工・販売は禁止(害がないことがわかっている「特定農薬」を除く)(2条)
 (注)「加工」には「小分け」も含まれる。

・農薬を販売するには、都道府県知事への届出が必要(8条)
・販売に際しては容器(または包装)に表示義務・・・登録番号、農薬の種類・名称、有効成分・含有量、内容量、使用方法、注意事項、製造地、最終有効年月など(7条)
・販売を禁止する農薬を省令で指定(9条2項)・・・人畜への被害、環境汚染の恐れがある場合等

この法律は、農薬販売を「業として営む者」に限らず、個人にも適用されます。

例えば家庭菜園で使うために個人で購入した農薬が余ったといった場合でも、それをインターネットオークションやフリマアプリで販売するには届出が必要ということです。届出せずに販売した場合は、罰則(6ヶ月以下の懲役若しくは30万円以下の罰金)がかかります。手持ちの容器に移し替えることは「加工」に当たるので、届出をした販売者でも、ラベルを貼るかどうかに関わらず、やったら違法てラベルを貼らずに販売すると、表示義務にも違反することになります。

「法律を知らずに、ついうっかり売ってしまった」というケースであれば事件化される可能性は低いのかも知れませんが、130件も販売したりすると、次の記事のように検挙されます。

ネットで農薬販売 無届け容疑の男書類送検 「生活費稼ぐため」(産経ニュース2016.11.28)

「無農薬」「無添加」が価値が高いとされる昨今、農薬がそんなに売れるとは知りませんでした。

毒性の低い少ないスタンダードなものに限れば、届出なしで個人が売買できるよう規制緩和しても良いのではないかと思うところもある(そういうものは他にもありそうです)一方で、安全性が確認されていない未登録の農薬や、登録が失効したもの、有効期限切れの農薬などが出回るのは、消費者としては安全性をどう判断して良いかわからないので、ちょっとコワイですね。

ヤフーオークションでは、農薬についても注意喚起を出しています。ただ、削除となると、出品画面を見ただけで違法か適法かを判断するのは難しい場合もありそうで、プラットフォーム運営側としては、厳密な違法ラインよりも少し広めに規約で禁止範囲を定めておかない限り、対応はしにくいかも知れません。むしろユーザーの意識向上が不可欠と思います。

ちなみに農薬取締法11条では、購入側に対しても規制がかかっています。
・容器(または包装)に決められた表示がない農薬や特定農薬以外の農薬は使用禁止
・省令で販売禁止された農薬は使用禁止

購入禁止ではなく使用禁止なので、買ったからすぐに罰金、ということにはならないかと思いますが、販売するのも使うのもダメなものを買っても仕方ないので、まあ、買わないでくださいということですね。農水省から購入側への注意喚起はこちらです。

ヤフオクの注意喚起にもありますが、農薬もさることながら、毒物や劇物については、安易に流通しないよう、更に監視を強める必要があるかと思います。こちらは厚生労働省所管の「毒物及び劇物取締法」という法律で、より厳しく規制されています。

今回、農水省では、農薬取締法の規制内容について、できるだけ多くのECプラットフォームに説明をし、協力を求めたいとのことでした。直接ご説明を受けたい事業者さんがいらっしゃいましたら、沢田あてにメッセージをいただければお繋ぎいたします。

【12/4追記】
私の理解が不十分だった点につき、農水省さんからコメントをいただいたので、上記の通り訂正しました(青字部分)。後日、別記事でもう少し詳しく書いてみたいと思います。

Posted by 沢田 登志子 at 09:57 | 沢田登志子 | この記事のURL | トラックバック(0)
ECサイトのセキュリティ対策とショッピングカート [2017年10月16日(Mon)]
割賦販売法改正の件、続きです。9月に政省令案のパブコメが行われました。最終版は、追ってこちらで公表されると思います。

EC加盟店の義務となったクレジットカード情報の漏洩対策は、何度もお伝えしている通り、「非保持」が基本です。カード番号を保有したり自社サーバを通過させたりする場合には、PCI-DSSなどのセキュリティ対策が必須となります。

そうは言っても、EC加盟店が、一から十まで自分でシステムを構築し、管理しているケースはあまりないと思われます。独自ドメインの店舗では、ASPでショッピングカートを利用していることが多いのではないでしょうか。

EC加盟店としてはカード情報を「持っていない」と思っていても、これまで、PSP(決済代行会社)に決済情報が流れる過程で、カート事業者のサーバにクレジットカード情報が残ってしまう場合があったようです。そこへの不正アクセス等で顧客のカード情報が漏洩する、という事態が最近も話題になりました。

今般の改正法では、このように、カート事業者のセキュリティが不十分なことによる漏洩も、EC加盟店の責任となります。法律をきっちり守るためには、外注先をきちんと選んでくださいね、ということです。

オープンソースのECパッケージソフトや開発会社が作ったシステムを自社サーバにインストールしてECを運用する場合も、それらのシステムの脆弱性等に起因する漏洩については、一義的にはEC加盟店が責任を負います。「責任」というのは、割賦販売法における義務履行の責任と、顧客に対する民事上の責任の両方の意味と思ってください。

システム自体に問題があった場合は、開発元に対する損害賠償の問題となり得ますが、開発元からアップデート情報が提供されていたのにEC加盟店がスルーしていたりすると、損害賠償は難しくなってしまいます。

大手のPSPは、自らはPCI-DSSに準拠した上で、EC加盟店が「非保持」を実現するための仕組み=「リンク型決済」あるいは「JavaScriptによるトークン決済」をメニューとして用意しているはずです。カートのシステムがこれらに対応していない場合は、そのカートを利用しているEC加盟店は「法律を守れない」状態となってしまいます。(ECサイト自身がPCI-DSSに準拠していれば別ですが。)

実は、クレジット取引セキュリティ対策協議会が策定した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017」では、プレイヤーとしてEC加盟店とPSPは出てきますが、カート事業者が全く登場せず、位置付けがよくわからないのです。現在、「実行計画2018」に向けて改訂作業が進められているとのこと、その中で、カート事業者の役割や位置付けが明確になることを期待しています。

また、法律上、カート事業者が「クレジットカード番号等取扱受託業者」(改正法第35条の16第3項)に当たるのか、という点も明確にしていただきたいと思っています。何故なら、カート事業者がこれに該当する場合、EC加盟店は、「経済産業省令に定める基準に従い」、カート事業者に対し「必要な指導その他の措置を講じなければならない」とされ、委託先の管理という、結構重たい義務がかかることになるからです。

(追記)
この点、経産省では、カートと加盟店との契約内容などを踏まえて判断する必要があるので、現時点では、カート事業者が「クレジットカード番号等取扱受託業者」に該当するかどうかは保留、とのことでした。

実務がどうなっているか、契約関係を含めて経産省に詳しくご説明いただける事業者さんがいらっしゃいましたら、沢田あてにメッセージをいただければ幸いです。
Posted by 沢田 登志子 at 12:58 | 沢田登志子 | この記事のURL | トラックバック(0)
フツーの消費者がヘンだと思う消費者契約法 [2017年09月13日(Wed)]
2016年改正の第二弾として、昨年11月から消費者委員会消費者契約法専門調査会において消費者契約法の見直しが検討され、8月に報告書が公表されました。

今回規定しようとする内容に関しパブリック・コメントが募集されています。沢田は見直しに反対する立場から、個人として以下の意見を提出しました。

消費者問題は、もっと多面的に、俯瞰的に、データに基づいて検討すべきなのに、大事な視点がごっそり抜け落ちて「消費者契約法改正ありき」の議論になっていた、というのが私の反対理由です。

意見の理由(詳細)

消費者契約の望ましいあり方を検討するにあたり必要と思われる視点は次の通り。

1) 「情報通信技術の発達」により消費者取引に生じた変化
 消費者契約法専門調査会(以下「専門調査会」)報告書「はじめに」では、法見直しの趣旨(専門調査会設置の背景)として、「情報通信技術の発達や高齢化の進展を始めとした社会経済状況の変化への対応等の観点」が挙げられている。しかし、社会経済状況にどのような変化が見られ、それが消費者取引にどのような影響を与えているかの分析は全くされていない。
 「高齢者の増加」「成年年齢引き下げ」=「高齢者や若年層をターゲットとする悪質事業者の横行」とのみ捉えるのは、あまりにも表層的・一面的であると考える。

 私見では、ここ十数年の社会経済状況の変化として最も大きいのは、情報通信技術の発達を背景とする「国際化の進展」であると考える。消費者取引にも確実に国際化の波が押し寄せている中で、国内法である消費者契約法上の消費者の権利を拡大したとしても、海外事業者が相手方の取引において、当該消費者の権利を実現させる現実的な紛争解決手段が存在しなければ意味がない。
 法の適用に関する通則法により、消費者は、海外事業者との取引においても自国の消費者保護法の強行規定の適用を主張できることとなったが、現実には、訴訟を起こさない限り、相対交渉の過程でこの主張が通ることはほとんどない。

2) グローバル・スタンダードへの目配り
 また、日本は情報化先進国の一つとして、消費者関連法のハーモナイゼーションを目指し、国際的に議論をリードしていくべき立場である。国内だけで通用する独自の価値観に基づく法制ではなく、法律以外の施策を含め、海外事業者にも容易に理解できる普遍的・合理的な制度を提案していく必要がある。
 この点、専門調査会では、ごく限られた国の契約条項規制の紹介にとどまり、国際的な視点、日本の消費者契約法の規律がグローバル・スタンダードとなり得るか、という観点での議論が全くされていなかったのは残念である。

3) 「普通の消費者」のあるべき姿
  消費者被害を起こさないために最も重要なのは、相手が海外事業者であれ国内事業者であれ、勧誘を受けても「意に沿わない契約はしない」という決断と明確な意思表示ができる消費者、また、契約内容を事前にちゃんと読んで理解し、違約金が高過ぎるなど納得できない条項があれば契約しないという判断ができる消費者を、一人でも多く育てることである。

 この点、今回提案されている第4条第3項への規定の追加は、「事業者の言葉を鵜呑みにする騙されやすい消費者」「契約する気はないとはっきり言えない気の弱い消費者」を救済するものとなっている。
 平均的・一般的な消費者、すなわち「普通の」消費者は、このような勧誘を受けても契約はしない(それでも契約する場合は自己責任)と思われるところ、あらゆる消費者取引に適用される一般法である消費者契約法に救済規定を設けることは、普通の消費者の自己責任の意識を著しく阻害する。自分の判断や行動に責任を持つことのできる普通の消費者に対して、消費者はその程度の意識・存在で良いのだという「誤ったメッセージ」を与えてしまうことを強く懸念する。

 また、不当条項規制の無制限な拡大は、自らに不利な点も含めて契約条項を理解し、価格その他の兼ね合いも考慮した上で、提示された条件に同意して契約している普通の消費者の意向を無視するものである。
 納得して契約したのであれば「消費者といえども一方的な取消しはできない」という原則を明確に打ち出すべきである。次代を担う消費者が自らを守るために最も重要なメッセージは、「安易な契約をしない」ということである。事業者から提供される情報を活用し、自らも情報を収集した上で、契約内容について十分に理解して意思表示することのできる消費者の育成にこそ力を入れるべきと考える。

4) 取消権以外の被害救済策
 平均的・一般的な消費者には自己責任を問うべき事案であっても、現実には、様々な事情で合理的な判断をできない消費者が一定程度存在し、被害に遭いやすい状況にあることは否定できない。しかしこれは消費者側の特別な事情であるから、そのような特性を持つ消費者が一部に存在することを理由として一般的な権利を設けるという方向は適切ではない。消費者側の事情に着目した、特例的な救済措置を検討すべきである。

 例えば、消費生活センターの手に余るケースであっても、弁護士が介入することにより、民法の公序良俗や暴利行為などを主張して法的に争うことが可能な場合があると思われる。しかし消費者にとって弁護士費用の負担は重い。そこで、「当該消費者は契約時に判断能力が不足していた」ことを何らかの形で認定した上で自治体が弁護士費用を補助するなど、民事法律扶助のような制度を創設することが考えられる。事業者の悪質な行為については、現行法を最大限に活用して「消費者がきちんと戦える」環境を整備することが重要である。

 また、国際取引の紛争に関しては、どちらの当事者にとっても訴訟という解決策は現実的ではない。このため海外では、消費者救済策の一環として、低コストで迅速に紛争解決に導くオンラインADRの仕組みを政府主導で導入するケースが増えている。日本においても、このような手続き面での環境整備を検討すべきである。

5) 事業者への行為規制
 他方、専門調査会においては、前回改正及び今回提案の内容にとどまらず、「消費者が合理的判断をできない事情を利用して契約を締結させる」類型について手当が必要という意見が繰り返し述べられてきた。
 消費者の特殊事情に「つけ込んで」契約させる行為は確かに許されるべきではない。しかし事業者にそのような行為を「やめさせる」ためには、何をしてはいけないか(どんな行為が「つけ込む」に当たるか)を具体的に定義し、まず(条例ではなく)法で明確に禁止し、違反に対しては厳正に法執行を行うべきである。
 事業者が「つけ込んだ」ことを消費者がどのように証明するかの見通しもなく取消権のみを付与することは「消費者契約法改正ありき」の議論に他ならず、判断力の不足した消費者を悪質事業者から保護するにあたり、真に有効な施策を検討する姿勢とは言えない。

6) 「消費者・事業者間の情報の質及び量並びに交渉力の格差」などデータによる検証
 「情報通信技術の発達」は、従来の「消費者」概念にも大きな変化をもたらしている。インターネット・オークションやフリマ・アプリ、シェアリング・ビジネスなどを通じて、消費者が財・サービスの供給者側に立つことが容易になった現在、「事業者」「消費者」という二元的な捉え方、及び「事業者と消費者の構造的な格差」という消費者契約法の大前提がそのまま当てはまる場面は、限定されてきている。

 PIO-NET等に集約される相談事例は、日々締結され問題なく履行される膨大な量の消費者取引のうち、ほんの一部に過ぎない。消費者取引がどのように変化し、現在どのような状況にあるのか、全体を俯瞰できるデータをもとに、真の課題はどこにあるのかを議論すべきである。
Posted by 沢田 登志子 at 14:59 | 沢田登志子 | この記事のURL | トラックバック(0)
不正購入対策はいろいろ合わせ技で [2017年06月14日(Wed)]
割賦販売法改正でEC事業者に課されたもう一つの義務、「クレジットカード番号等の不正な利用を防止するために必要な措置」についてです。以前ぐちゃぐちゃした記事を書きましたが、今回は条文ベースではなく、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」の内容をご紹介します。

カード会社(アクワイアラー)及びPSPは、不正使用被害が顕在化している加盟店のうち、「カード番号+有効期限」のみで決済を行い、何らの不正使用対策も講じていない加盟店に対して、本実行計画で整理した具体的な方策を中心とした不正使用対策の導入を促進することとする。
また、すでに何らかの不正使用対策を講じているが、不正使用被害が顕在化しており、不正使用に対する十分な抑止効果が見られない加盟店に対しては、従来の対策を見直し、必要な追加策を講じる等の対応を求めていくこととする。


カード不正使用(ショップにとっては不正購入)については、カード会社は原則リスクを負ってくれないので、ショップ側で既にいろいろ自衛手段を講じていることと思います。それでもまだ不十分ということで割賦販売法に規定され、「不正使用被害が顕在化している加盟店」は、漏えい対策と同様に、アクワイアラーから対策を求められることとなりました。まずは、ご自身のショップが「不正使用被害が顕在化しており、不正使用に対する十分な抑止効果が見られない加盟店」に当たってしまうかどうか、ご契約のPSP(決済代行会社)やカートさんに確認していただくのが先決かも知れません。不正使用被害が多い「特定5業種」として、「実行計画」では、デジタルコンテンツ(オンラインゲーム含む)、家電、ECモール、電子マネー、チケットが指定されています。(ECモールって「業種」なんですかね??)

さて、その上で、必要に応じ「対策を講じる」訳ですが、

それぞれの方策に課題等があるため、加盟店の業種及び商材等に応じた有効な方策を講じることが重要であり、それぞれのリスクの状況に応じて、以下の方策を基本としつつ、追加的な対策をとることを含め、多面的・重層的な対策を講じていくことで不正使用防止効果を高めていくことが求められる。

のだそうです。具体策がいくつか並べられているものの、どれも万能ではなく、何をやるべきかについては一律に決められない。それぞれ自社の状況に合った方策を組み合わせて実施してね、という、なんとも歯切れが悪いというか曖昧なルールになっています。以下、「実行計画」に挙げられた各方策に関する記述(メリットや課題)を要約してお伝えします。勝手な要約なので、正確なところは原文を見てください(p.39-43あたり)。

□本人認証(3Dセキュアや認証アシスト)
・課題は「カゴ落ち」(販売機会の逸失)
・パスワード未登録のカードは通ってしまう
・パスワード使い回しや漏えいで効果なし
→「動的(ワンタイム)パスワード」
 「指紋等の生体認証」に期待
*認証アシスト
・カード会員の属性情報を照合する方法
・パスワード失念の懸念はないが、漏洩リスクは同じ

□券面認証(セキュリティコード)
・注文者がカード会員本人かまでは確認できない
・番号とともに「セキュリティコード」が窃取されたら終わり

□属性・行動分析
・デバイス情報、過去の取引情報等に基づくリスク評価(スコアリング)
・小規模加盟店が独自でモデル構築は困難
 →サードパーティのサービス利用に期待

□配送先情報
・取引成立後でも配送を止めて被害防止
・大手加盟店は独自のデータベースを運用
・カード会社複数社での共同運用サービスあり
・過去のブラック情報を提供するサービスも存在
・しかし配送を伴わない取引には利用できない
・ブラック判定されていない住所への配送は止められない

□その他
・カード利用時にイシュアーから利用確認メール
・メール等受信に関するカード会員の同意が必要
・メールアドレス管理等、イシュアーの負担

以上、不正購入対策には(これ一つでOK!というものはないですが)いろいろな方法があるようです。外部サービスを使うにしても、結局は、ショップ側での不正判断ノウハウの蓄積や体制構築がキーになる感じですね。ご自身のサイトに課題が残っているか、更にできることがあるかについて、「非通過」の件と併せ、ご契約のPSP、カートさんにご相談いただくと良いのではないかと思います。
Posted by 沢田 登志子 at 15:54 | 沢田登志子 | この記事のURL | トラックバック(0)
来年3月までにカード番号「非通過」に! [2017年05月16日(Tue)]
昨年から何回か続けて(と言っても数ヶ月おきですが)割賦販売法改正について書いてきました。5月10日、経済産業省から、省令改正の方向性に関する報告書が公表されましたので、EC事業者に関わる部分(セキュリティ対策義務)について改めてご紹介します。

改正法でEC加盟店に新たに課せられた義務は、

1)クレジットカード番号等の適切な管理(改正法第35条の16)
2)クレジットカード番号等の不正な利用を防止するために必要な措置(改正法第35条の17の15)

の2点です。

今回の報告書では省令の文言までは提案されませんでしたが、これらの義務を履行するにあたっての実務上の指針として、クレジット取引セキュリティ協議会による「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」が指定されています。加盟店は、この「実行計画」に沿った措置(or同等以上の措置)を講ずることを求められます。それをチェックするのはカード会社(アクワイアラー)の役割です。

「実行計画」では、1)クレジットカード番号等の適切な管理について次のように定めています(EC加盟店に関する部分のみ抜粋)。

2018年3月末までに、特にカード情報の漏えいの頻度が高い非対面(EC)加盟店については原則として非保持化(保持する場合はPCI DSS 準拠)を推進するとともに、カード会社(イシュアー・アクワイアラー)及び PSP については PCI DSS準拠を求めることとする。(略)

実行計画で示す加盟店における「非保持化」とは、カード情報を保存する場合、それらの情報は紙のレポートやクレジット取引にかかる紙伝票のみであり、電磁的に送受信しないこと、すなわち「自社で保有する機器・ネットワークにおいて「カード情報」を『保存』、『処理』、『通過』しないこと」をいう。(略)


「実行計画」は法令ではなく、あくまで民間事業者による「計画」という位置付けです。しかし割賦販売法で直接規制を受けるアクワイアラーは、加盟店への指導をきっちりやらないと加盟店調査義務違反を問われます。なのでEC加盟店は「非保持もしくはPCI DSS準拠」を実現しないとアクワイアラーから指導を受け、最終的には加盟店契約を切られる可能性があるのです。

2017版では、「非保持」の定義も明確になりました。「通過型」は非保持とは認められず、ログが残っていれば消去も求められます。期限は来年3月に迫っているので、是非早めに、ご契約のカートさんやPSP(決済代行会社)さん等にご相談いただくことをお薦めします。

EC加盟店におけるカード情報の非保持化を推進するため、PCIDSS準拠済みのPSPが提供するカード情報の非通過型(「リダイレクト(リンク)型」又は「Java Script を使用した非通過型」)の決済システムの導入を促進することとする。なお、非通過型を導入した EC加盟店において、業務の都合上、PSPより還元されたカード情報を保持する場合にはPCI DSS準拠が必要である。(略)

すでに通過型を導入しているEC加盟店は、自社サイトにカード情報を含む決済情報等のログが蓄積される等のシステム的課題を認知できていないケースもあることから、カード会社(アクワイアラー)及びPSPは、これら加盟店に対する注意喚起を行い、早急にシステムログ等の消去を求める。さらに、カード情報を保持しない非通過型システムへの移行を強く推奨する。なお、EC加盟店において、通過型か非通過型の認識がなく、カード情報の漏えい事故が発覚してから、通過型を採用していたことを認識したとする事例もあり、注意が必要である。
その上で、カード情報を保持する場合はPCI DSS準拠を求める。


2)クレジットカード番号等の不正な利用を防止するために必要な措置 については次回書きます。
Posted by 沢田 登志子 at 14:50 | 沢田登志子 | この記事のURL | トラックバック(0)
カード加盟店の不正利用防止義務 [2017年01月12日(Thu)]
2017年になりました。今年もよろしくお願いいたします。早速ですが、改正割賦販売法の続きです。前回は「クレジットカード番号等の「適切な管理」義務のことを書きました。今回は、「不正な利用の防止」義務についてです。偽造カードや不正に入手したカード番号などが通ってしまわないように、加盟店の側でちゃんと確認してね、という話ですね。

第35条の17の15(クレジットカード番号等の不正な利用の防止)
クレジットカード等購入あっせん関係販売業者又はクレジットカード等購入あっせん関係役務提供事業者は、経済産業省令で定める基準に従い、利用者によるクレジットカード番号等の不正な利用を防止するために必要な措置を講じなければならない。


珍しくシンプルな条文です。「クレジットカード等購入あっせん関係販売業者」「クレジットカード等購入あっせん関係役務提供事業者」は加盟店のことです。「必要な措置」は省令に委ねられているので、これだけでは、何をしなくてはいけないのかはわかりません。

と言っても対面決済の場合は、偽造カードを通さない最も有効な手段は「IC化対応」という共通認識ができているので、リアル加盟店に対しては、「決済端末のIC対応」がガンガン(今まで以上に)求められるのだと思います。暗証番号を入れる専用端末や最近のスマホ(タブレット)決済は既にIC化されているので、中小加盟店は対応が進んでいると言えそうです。

一方で、独自のPOS端末を使っている流通大手などにとっては、端末置き換えのコストが大変という話を聞きます。しかしIC化は消費者にとっても重要なので、頑張って進めていただきたいです。店員さんがカードを持って奥に引っ込んでしまうという対応は、信頼に足る日本の店舗だからこそ成り立っていましたが、スキミングを恐れる外国人観光客は許してくれないでしょう。そうでなくても、今どき暗証番号でもタブレットでもなく「紙にサイン」を求められるとガックリします。

難しいのはオンライン決済の場合です。代表的な不正利用対策は「3Dセキュア」ですが、カゴ落ちを懸念するEC加盟店の抵抗は強いですね。何が何でも3Dセキュアを入れなきゃだめ、という規定の仕方は省令でもされない見込みと聞いていますが、さすがに「カード番号と有効期限だけ」で決済できるECサイトは、アクワイヤラーの加盟店審査に引っかかってしまうかも知れません。

EC加盟店の側には、注文に使われたカードが不正かどうかは(カード番号を見ない)自分たちにはわかりようがない、それを見分けるのはカード会社の仕事だ、という感覚がなんとなくあります。しかしカード会社がオーソリゼーションで確認するのは、「そのカードが有効かどうか」と「当該取引が利用限度額内か」だけであって、「カードやカード番号を提示した人が正しい持ち主かどうか」を確認するのは加盟店の役割である、とカード会社は考えています。それは加盟店契約にもしっかり記載されているのですが、契約時に加盟店がそのような説明を受けることはあまりないらしく、誤解しているEC加盟店は未だに多いように思います。

加盟店が、「カード(番号)を提示した人がそのカードの正しい持ち主かどうか」の確認を怠った結果どうなるかというと、カード会員(本当の持ち主)が「不正利用だ!」とイシュアに申し立てた場合は会員への請求は止まり、加盟店にアクワイヤラーから支払われた立替分の代金は取り上げられてしまいます。消費者相談業界で「チャージバック」と言えば、消費者の意に沿わない支払いに対してイシュアが相手方に返金要請してくれるありがたい仕組みですが、真面目なEC加盟店にとっては「チャージバック」はリスクそのものということですね。

今回の法改正で期待されている3Dセキュア等の不正利用防止措置は、加盟店にとってのリスク軽減策と考えられます。何故なら、加盟店が十分な本人確認をしている場合には、それでも起こってしまった不正利用のリスクは、カード会社側が負ってくれるからです(全てのケースに当てはまるかどうかはわかりません)。その一方で、EC加盟店は、しつこくパスワードなどを聞くことによって、せっかく買い物カゴに商品を入れてくれたお客様が最終決済まで行かずにサイトを離れてしまう(=カゴ落ち)という別のリスクを抱えます。

この2つのリスクのどちらを重視すべきかという議論が、私がお付き合いさせていただいているEC加盟店の間でもしばしば交わされています。議論の大勢は、「高額で換金性が高いなど不正利用者に狙われやすい商材(家電製品や宝飾品、デジタルコンテンツなど)を扱っている店舗は不正利用対策を優先した方が良いけれども、それ以外ではカゴ落ちリスクの方がずっと深刻。3Dセキュアはやめた方が良い。」という感じです。

カゴ落ちリスクという視点のほかにも、EC加盟店には、「できるだけストレスなく決済できるのがお客様にとってベスト」という考え方も強くあります。安全を保ちながら、消費者に負担をかけない(かつ消費者のプライバシーを侵害することもない)本人確認方法が開発されるまでは、アナログなものを含め、多様な対策の組み合わせで解決するしかないのかも知れません。

やるべきこと(対策の方向性)がある程度明確な漏えい防止措置に対し、不正利用対策は、これまでそれぞれの店舗のリスク判断に委ねられていました。これが今回の法改正でやや一方向に傾き、アクワイヤラーの加盟店管理に反映されることになると、実務にどのような影響があるのか、注意して見て行きたいと思います。
Posted by 沢田 登志子 at 15:24 | 沢田登志子 | この記事のURL | トラックバック(0)
カード加盟店のセキュリティ対策義務 [2016年12月28日(Wed)]
割賦販売法改正内容の続きです。今回は、これまで割販法の直接の規制対象ではなかったカード加盟店に対し、セキュリティ対策の義務が課されたことについて書きます。

まずは条文から。前回の記事にも同じ条文を貼り付けましたが、省略した部分もあるので再掲します。下線は私です(以下同じ)。余談ですが「第35条のナントカのカントカ」という条番号がたくさんあり過ぎて、探すのが大変です。かっこの中にかっこがあるのも辛いです。こういう文章と日常的に向き合っている法律家や役人を尊敬します。

第35条の16(クレジットカード番号等の適切な管理)
クレジットカード番号等取扱業者(次の各号のいずれかに該当する者をいう。以下同じ。)は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等(包括信用購入あつせん業者又は二月払購入あつせんを業とする者(以下「クレジットカード等購入あつせん業者」という。)が、その業務上利用者に付与する第2条第3項第1号の番号、記号その他の符号をいう。以下同じ。)の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない


ややこしいところを除いて主語と述語だけにしてみると、「次の一から三のどれかに当たる人は、クレジットカード番号を適切に管理するために必要な措置を講じなければいけない」ということですね。現行法では、「クレジットカード等購入あつせん業者」(イシュア)だけがその義務を負っていましたが、範囲が広がり、一号から三号のどれかに当たる場合は「クレジットカード番号等取扱業者」という名前がつけられて、新たに義務が課された訳です。

「クレジットカード番号等」の定義も(今回の改正部分ではないですが)一応見ておきます。「イシュアが利用者に付与する番号、記号その他の符号」とありますが、「第2条第3項第1号の」とは何でしょうか。第2条第3項は「包括信用購入あつせん」の定義です。その中で、「カード等」の定義として、「それを提示し若しくは通知して、又はそれと引換えに、特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から有償で役務の提供を受けることができるカードその他の物又は番号、記号その他の符号」と書かれています。(余談ですが、対面でカード本体を見せる場合とオンラインで番号を入力する場合をいっぺんに定義するのは大変ですね。)

「クレジットカード番号等」は、「イシュアが利用者に付与する、そういう役割の(それを示せば買い物ができる)番号など」と読めば良いのかなと思います。「カード等」には自社割賦用のカードも含まれますが、セキュリティ対策が要求されるのは「クレジットカード等」だけなのですね。「クレジットカード等」の「等」には有効期限や暗証番号が含まれるようです。

「適切な管理」とは「漏えいや滅失や毀損を防ぐ」ことと書かれています。そのために何が「必要な措置」かについては、省令で基準が決められます。

では、義務を課される「クレジットカード番号等取扱業者」とは誰でしょうか。第35条の16第1項は、このように続いています。

一 クレジットカード等購入あつせん業者

二 特定のクレジットカード等購入あつせん業者のために、利用者がカード等を提示し若しくは通知して、又はそれと引換えに特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から役務の提供を受けるときは、自己の名をもって当該販売業者又は当該役務提供事業者に包括信用購入あつせん又は二月払購入あつせん(略)に係る購入の方法により購入された商品若しくは権利の代金又は受領される役務の対価に相当する額の交付(当該販売業者又は当該役務提供事業者以外の者を通じた当該販売業者又は当該役務提供事業者への交付を含む。)をすることを業とする者(次条及び第35条の18第1項において「立替払取次業者」という。)

三 クレジットカード等購入あつせんに係る販売の方法により商品若しくは権利を販売する販売業者(以下「クレジットカード等購入あつせん関係販売業者」という。)又はクレジットカード等購入あつせんに係る提供の方法により役務を提供する役務提供事業者(以下「クレジットカード等購入あつせん関係役務提供事業者」という。)

一号は、イシュアのことです。前回も書きましたが、マンスリークリアも割賦販売も含めてクレジットカードを発行する事業者(イシュア)を総称して「クレジットカード等購入あつせん業者」と言っています。オンアス取引の場合は、アクワイヤラーも兼ねています。

二号は、オフアス取引の場合のアクワイヤラーのことです。

三号がいわゆる加盟店です。「クレジット決済で商品やサービスを提供する事業者」が、新たに「クレジットカード等購入あつせん関係販売業者」「クレジットカード等購入あつせん関係役務提供事業者」と名付けられました。現行法では、「クレジットカード番号等保有業者」の一つとしてカード会社の「指導を受ける」立場でしたが、今回の改正で、直接の規制対象となったのです。

この3種類の事業者(クレジットカード番号等取扱業者)には、もう一つ、「委託先に対する指導義務」が課されました。加盟店の委託先として真っ先に思い浮かぶのはPSP(決済代行会社)ですが、これに限らず、顧客のクレジットカード番号を取り扱う全ての事業者(例えば不正検知サービスを提供する事業者なども含まれる?)と考えて良いように思います。

第35条の16(クレジットカード番号等の適切な管理)
3 クレジットカード番号等取扱業者は、クレジットカード番号等取扱受託業者(当該クレジットカード番号等取扱業者からクレジットカード番号等の取扱いの全部若しくは一部の委託を受けた第三者又は当該第三者から委託(二以上の段階にわたる委託を含む。)を受けた者をいう。以下同じ。)の取り扱うクレジットカード番号等の適切な管理が図られるよう、経済産業省令で定める基準に従い、クレジットカード番号等取扱受託業者に対する必要な指導その他の措置を講じなければならない。


これら加盟店に新たに課された義務がきちんと果たされているかどうかについては、基本的には、アクワイヤラー/登録PSPが、加盟店調査の一環としてチェックすることになります。

第35条の17の8(クレジットカード番号等取扱契約締結事業者の調査等)
クレジットカード番号等取扱契約締結事業者は、クレジットカード番号等取扱契約を締結しようとする場合には、その契約の締結に先立つて、経済産業省令で定めるところにより、販売業者又は役務提供事業者によるクレジットカード等の適切な管理及び利用者によるクレジットカード番号等の不正な利用の防止を図るため、クレジットカード番号等取扱契約を締結しようとする販売業者又は役務提供事業者に関し、クレジットカード等の適切な管理又は利用者によるクレジットカード番号等の不正な利用の防止(以下「クレジットカード等の適切な管理」等という。)に支障を及ぼすおそれの有無に関する事項であって経済産業省令で定める事項を調査しなければならない。

2 クレジットカード番号等取扱契約締結事業者は、前項の規定による調査その他の方法により知つた事項からみて、販売業者又は役務提供事業者が講じようとする第35条の16第1項若しくは第3項又は第35条の17の15に規定する措置がそれぞれ第35条の16第1項若しくは第3項又は第35条の17の15に規定する基準に適合せず、又は適合しないおそれがあると認めるときは、クレジットカード番号等取扱契約を締結してはならない

3 クレジットカード番号等取扱契約締結事業者は、そのクレジットカード番号等取扱契約を締結したクレジットカード等購入あつせん関係販売業者又はクレジットカード等購入あつせん関係役務提供事業者について、定期的に、又は必要に応じて、経済産業省令で定めるところにより、第1項に規定する事項を調査しなければならない。

4 クレジットカード番号等取扱契約締結事業者は、前項の規定による調査その他の方法により知つた事項からみて、クレジットカード等購入あつせん関係販売業者又はクレジットカード等購入あつせん関係役務提供事業者が講ずる第35条の16第1項若しくは第3項又は第35条の17の15に規定する措置がそれぞれ第35条の16第1項若しくは第3項又は第35条の17の15に規定する基準に適合せず、又は適合しないおそれがあると認めるときは、クレジットカード番号等取扱契約の解除その他の経済産業省令で定める措置を講じなければならない。

5 クレジットカード番号等取扱契約締結事業者は、経済産業省令で定めるところにより、第1項及び第3項の規定による調査に関する記録を作成し、これを保存しなければならない。


第1項は、いわゆる「初期(契約時)審査」です。アクワイヤラー/登録PSPは、加盟店契約を締結する前に、その加盟店がやろうとしているセキュリティ対策(漏えい防止措置や不正使用防止措置)が基準に合っているかどうか調査しなければならないのです。そして第2項で、「調査の結果がダメだったら加盟店契約を締結してはならない」とされています。

店舗としては、新たにカード決済を導入したくても、セキュリティ対応が不十分とみなされたら、加盟店契約ができないことになります。

のみならず、第3項では、既に加盟店契約をしている店舗についても、アクワイヤラー/登録PSPが「定期的に、又は必要に応じて」調査をすること=いわゆる「途上審査」も義務とされ、セキュリティ対応が不十分とみなされた加盟店は、最悪の場合、加盟店契約を解除されてしまう(それまでできていたカード決済ができなくなる)ことになりました。

さらに今回の改正では、加盟店(及びその委託先)に対しても、経済産業省が立入検査できると規定されました。

第41条(立入検査)
3 経済産業大臣は、この法律の施行に必要な限度において、その職員に、クレジットカード番号等取扱業者又はクレジットカード番号等取扱受託業者の営業所又は事務所に立ち入り、帳簿、書類その他の物件の検査(クレジットカード番号等の適切な管理等の状況に係る者に限る。)をさせることができる。


これはよっぽどの事態ですね。通常は、アクワイヤラー/登録PSPの加盟店管理に委ねるのだと思いますが、加盟店にとっては、いよいよ、セキュリティ対策を整えないとまずい状況になってきたと言えそうです。
Posted by 沢田 登志子 at 09:49 | 沢田登志子 | この記事のURL | トラックバック(0)
割賦販売法改正案が成立しました [2016年12月16日(Fri)]
今年5月にご紹介したクレジットカード加盟店へのセキュリティ対策義務付け(他)について、12月2日、改正割賦販売法が成立しました。新旧対照表などはこちらに。

基本的には経産省産業構造審議会割賦販売小委員会の報告書(2015年7月版2016年6月追補版)に沿ったものですが、出来上がった条文にはかなりの「工夫」が凝らされているので、正直言って、解読がとても難しいです(逐条解説に期待したいと思います)。先日、関係事業者有志で勉強会を開催し、経産省の担当課長においでいただいて丁寧に解説していただきましたので、私の理解できた範囲にとどまってしまいますが、主な内容をご報告いたします。(網羅的ではありません。)

今回の改正で新たに導入されたのは、ざっくりいうと次の3点です。
(1) アクワイヤラーの登録制+加盟店調査義務
(2) 決済代行会社への任意登録制+加盟店調査義務
(3) 加盟店のセキュリティ対策・不正使用対策義務

(1)は、イシュア(カード発行会社)とアクワイヤラー(加盟店契約会社)の機能が分化してきた実態に合わせ、これまでイシュアのみであった登録義務をアクワイヤラーにも課して、加盟店調査を強化してもらおうという趣旨です。

国内のカード会社の多くはカード発行業務と加盟店契約業務を両方やっているので、これまではイシュアのみを対象とした規制でも(理屈はともかく)実質的にはあまり問題がなかったのですが、アクワイヤリング専業の会社や、海外のアクワイヤラーが国内の加盟店と契約するケースが出てきて、やや実態に合わなくなってきたということだと思います。

更に、アクワイヤラーと加盟店の間に入り、加盟店契約の取りまとめをしたり、決済情報の仲介をしたりする決済代行会社(PSP;Payment Service Provider)の存在感が高まっていることに着目し、ここに任意の登録制を導入して、加盟店調査の役割を一部担ってもらおうというのが(2)です。

この(1)と(2)は、新設された次の条項に規定されています。(下線は筆者。以下同じ。)

第35条の17の2(クレジットカード番号等取扱契約締結事業者の登録)
次の各号のいずれかに該当する者は、経済産業省に備えるクレジットカード番号等取扱契約締結事業者登録簿に登録を受けなければならない。

一 クレジットカード等購入あつせんに係る販売又は提供の方法により商品若しくは権利を販売し、又は役務を提供しようとする販売業者又は役務提供事業者に対して、自ら利用者に付与するクレジットカード番号等を取り扱うことを認める契約を当該販売業者又は当該役務提供事業者との間で締結することを業とするクレジットカード等購入あっせん業者

二 特定のクレジットカード等購入あつせん業者のために、クレジットカード等購入あっせんに係る販売又は提供の方法により商品若しくは権利を販売し、又は役務を提供しようとする販売業者又は役務提供事業者に対して、当該クレジットカード等購入あっせん業者が利用者に付与するクレジットカード番号等を取り扱うことを認める契約を当該販売業者又は当該役務提供事業者との間で締結することを業とする者


一号は、オンアス取引の場合のイシュア兼アクワイヤラーのことです。「加盟店に対して、自分が発行するクレジットカード番号を取り扱ってもいいよと言える(それを仕事にしている)イシュア」ということですね。「クレジットカード等購入あつせん業者」は、第35条の16第1項で「包括信用購入あつせん業者又は二月払購入あつせんを業とする者」と定義されています。マンスリークリアも割賦販売も含めたイシュアの総称です。

二号は、オフアスの場合のアクワイヤラーをまずは念頭に置いています。「特定のクレジットカード等購入あつせん業者のために」つまり誰か自分とは別のイシュアのために、「加盟店に対して、そのイシュアが発行するクレジットカード番号を取り扱ってもいいよと言える(それを仕事にしている)者」ということで、「加盟店契約をする会社」のことなのですが、よく読むと、以下の「立替払取次業者」とは定義が異なっています。


第35条の16(クレジットカード番号等の適切な管理)
クレジットカード番号等取扱業者(略)は、経済産業省令で定める基準に従い、その取り扱うクレジットカード番号等(略)の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じなければならない。

一 クレジットカード等購入あつせん業者
二 特定のクレジットカード等購入あつせん業者のために、利用者がカード等を提示し若しくは通知して、又はそれと引換えに特定の販売業者から商品若しくは権利を購入し、又は特定の役務提供事業者から役務の提供を受けるときは、自己の名をもって当該販売業者又は当該役務提供事業者に包括信用購入あつせん又は二月払購入あつせん(次号及び第35条の17の2において「クレジットカード等購入あつせん」という。)に係る購入の方法により購入された商品若しくは権利の代金又は受領される役務の対価に相当する額の交付(当該販売業者又は当該役務提供事業者以外の者を通じた当該販売業者又は当該役務提供事業者への交付を含む。)をすることを業とする者(次条及び第35条の18第1項において「立替払取次業者」という。)
(三 省略)

どちらもアクワイヤラーのこと、と言っても間違いではなさそうですが、「立替払取次業者」は、消費者がカードで買い物をした時に、その代金を加盟店に立替払いする」という機能に着目した定義ですね。これができるのは、いわゆるカード会社です。オフアス取引では、アクワイヤラーの立場のカード会社は、VISAやMastercardなど国際ブランドとの契約に基づき、加盟店に立替払いした金額をイシュアに請求し、イシュアがカード会員(消費者)に請求します。第35条の16は「カード番号の適切な管理義務」を定めたものなので、カード番号の情報が通過する「立替払取次業者」を規制対象としている訳です。

これに対し第35条の17の2の二号は、「立替払先となる加盟店を選んで契約する」という機能を表現しています。「加盟店を選んで契約する」という業務がすなわちアクワイヤリングですが、これを行うのは、自己名義で立替払いをするいわゆるカード会社に限らず、PSPが、カード会社から「加盟店を選んで契約する」業務を委任されていることもあるでしょう。そういうPSPであれば、アクワイヤラーと同じく、登録を受ける義務がありますよ、というのが第35条の17の2の二号の規定です。

では、「加盟店を選んで契約する」業務を行ってはいるが、最終判断権限がアクワイヤラーにある場合は?この場合のPSPには、登録を受ける義務はありません。しかし(条文には明記されていませんが)任意で登録を受けることはできるそうです。経産省としては、Fintech企業を含め、できるだけ多くのPSPに登録を受けていただき、ガイドラインに従った加盟店調査を行なって欲しいとのことでした。

(追記)上記記載がやや不正確だったので、訂正します。
PSPが最終判断権限を持たない場合も、将来、権限を持つ場合に備えて任意で登録を受けることは可能ですが、法律で要求される加盟店調査義務は、最終判断権限を持っていないと完全には履行できないので、任意で登録を受けるPSPには義務はかからないとのことです。この場合は、アクワイヤラーに義務が残る、つまり任意に登録を受けたPSPと契約していたとしても、登録義務と加盟店調査義務はアクワイヤラーが負うことになるそうです。
(経産省からご指摘をいただきました。ありがとうございました!)


今回改正で注目すべき点がもう一つあります。第35条の17の2の登録を受ける義務は、海外アクワイヤラーにも適用されるという点です。

第35条の17の3(登録の申請)
前条の登録を受けようとする者は、次の事項を記載した申請書を経済産業大臣に提出しなければならない。
一 名称
二 本店その他の営業所(外国法人にあっては、本店及び国内における主たる営業所その他の営業所)の名称及び所在地
三 役員の氏名
(第2項、第3項省略)


とは言っても、日本国内に拠点がない場合は登録を受けられません。

第35条の17の5(登録の拒否)
経済産業大臣は、第35条の17の3第1項の申請書を提出した者が次の各号のいずれかに該当するとき、又は当該申請書若しくはその付属書類のうちに重要な事項について虚偽の記載があり、若しくは重要な事実の記載が欠けているときは、その登録を拒否しなければならない。
一 法人でない者
二 外国法人である場合には、国内に営業所を有しない者
(以下省略)


つまり、海外アクワイヤラーが日本の加盟店と契約する場合、一義的には日本国内に営業所を設けて自身で登録を受ける必要がありますが、それを行わない場合は、日本に拠点を持つPSPに加盟店調査業務を全面的に委任した上で、そのPSPに登録を受けさせないと適法にならない、ということになります。

これはあくまでアクワイヤラー/PSPが「日本の加盟店と契約する場合」であって、「日本の消費者と契約する加盟店と契約する場合」ではないので、海外所在の加盟店が(例えばインターネット経由で)日本人相手によろしくない商売をしていたとしても、アクワイヤラー、PSP共に海外であった場合には、割賦販売法では規制対象外です。

以上、まずはアクワイヤラー(&PSP)の登録義務についてご紹介しました。長くなってしまったので、(3)のセキュリティ対策については次回書きます。
Posted by 沢田 登志子 at 10:26 | 沢田登志子 | この記事のURL | トラックバック(0)
どうしたら匿名加工情報でなくなるのか [2016年08月30日(Tue)]
個人情報保護法施行令改正案と施行規則案のパブコメが行われています。本件、私自身は、専門家の方々が熱く議論しているのを横目で見ているだけで、ぼやっとしか追いつけていなかったのですが、改めて条文を見たところ、相談事例をリストの形で紹介することが匿名加工情報の第三者提供に当たってしまうのは困るなー。と思い至り、今更ですが、相談機関であるECネットワークの立場で、以下の意見を提出してみました。

「どこまで丸めれば匿名加工情報ですらなくなるのか?」という問題意識です。定義に関わる話なので、本当は、施行規則ではなく、法案の段階でもっと言っておくべきだったのかも知れません。(国会審議その他で同様の内容が話題になったこともあると後で伺いました。)

下記意見では、現行法上何ら問題ない(キリッ)と言い切ってますが、書いているうちに、本当にその理解で正しかったのか不安になってきました。我々の相談データでは、元データと照合するキーは「案件番号」ですが、個別の事例の内容をもっと詳しく知りたい等の要望があった場合にすぐに元データに当たれるように、業界団体との閉じた情報交換などでは案件番号を消さないことがあります。公開資料の場合は仮番号に置き換えますが、その場合でも、対応表は大事に持っています。(もちろん元データに当たれるのは我々だけですが。)これは提供元にとっての容易照合性との関係で、ほんとは(個別同意を取らないと)イケなかったんでしたっけ・・・?ここにも書いたように、我々としては統計データと同じくらい罪のない情報という認識だったのですが。。

上記を含め、なんかまだいろいろ勘違いをしていそうな気がするので、遠慮なくご指摘をいただければ幸いです。>専門家のみなさま

ところで我々は民間なので個人情報保護法が適用されますが、相談データ共有の件は、実は各自治体消費生活センターが持っているデータ及びそれを集約したPIO-NETが本丸ではないかと思っています。苦情実績が消費者関連法規制強化の根拠(立法事実)とされる以上、肝心のデータをオープンにして精査する必要があると思うのです。そうなると行政機関等個人情報保護法の問題になってくる訳で・・・そちらも勉強しないと。

プライバシーへの影響は各人が常に気にしつつ、きちんとルールを守って安心して有効な利活用ができるように、プロでなければ解釈できないマニアックな法文や曖昧な規定ではなく、明確で誰でもわかりやすいルールにしてもらいたいものです。


「個人情報の保護に関する法律施行規則(案)」に対する意見(2016.8.30提出)

第19条(匿名加工情報の作成の方法に関する基準)について

施行規則においては、「どのように加工すれば匿名加工情報となるか」の基準に加え、その究極の形として、「どこまで加工すれば匿名加工情報ですらなくなるか」について基準が示されるのではないかと期待していた。しかし今回提示された案では、加工元のデータベースが個人情報データベースである限り、どれだけ丸めても匿名加工情報として法36条から39条の義務がかかることとなり、制度の趣旨に照らして過剰な規制であると考える。

具体的な懸念事項は以下のとおり。

私どもECネットワークでは、インターネット取引に関連するトラブルについてオンラインで相談を受けている。相談事例のデータベースは、要保護性が非常に高い個人情報データベースであると認識している。たとえ相談者の氏名やメールアドレスをデータベースから削除したとしても、相談者自身がフォームに入力する相談内容は、当然ながら相談者のプライバシーに深く関わるものである。施行規則案第19条第3項にいう「特異な記述」が含まれる場合には、相談内容のみで特定の個人を識別できる可能性もある。したがって組織内部においては、統計データ等を作成するために氏名やメールアドレスを削除したデータベースも、匿名加工情報データベースではなく、あくまでも個人情報データベースとして管理する予定である。

一方、相談事例の内容や傾向を関係者と共有することは、消費者啓発や事業者への注意喚起に役立つ。トラブルの発生を防いだり救済を容易にしたりするための制度的対応の要否や方向性を検討するにあたり、有益な材料の一つともなり得る。これまで、講演や研修、研究会等で当方に寄せられた相談事例の紹介を求められた時は、積極的に情報を提供するよう心がけてきた。

このような場面では、トラブルのパターンから一般化できる論点を探ることが目的なので、特定の個人を識別できる情報はもちろん、事例ごとの特殊な事情は不要である。相談内容は、趣旨を損なわない範囲で相当程度要約して「相談概要」とする。これ以外に項目として残すのは、「発生年月」程度である。

このように加工して第三者に提供するデータは、特定個人の識別性は限りなく低く、個々の相談者にとってのプライバシーリスクはほとんどないと考えている。統計データではないが、もはや個人データでもないので、現行法の下では、第三者提供にあたり特段の制約はないと理解していた。しかし念のため、相談機関としては、利用目的の1つとして、「提供いただいた情報は、特定の個人を識別できる情報を除いて、相談事例として利用し、消費者が同様のトラブルにあうことを防ぐための情報提供等に活用させていただきます。」といった規定を置いている。

この運用に特段の問題があるとは思えないが、このようなデータについても、改正法第36条第4項の「加工後の情報に含まれる個人に関する情報の項目及びその提供の方法についてあらかじめ公表する義務」が等しくかかってくるとすれば、相談機関にとっては大きな負担増となる。相談者に無用の不安を与えることを危惧し、個別事例ではなく、統計データのみの提供に止める方向に動くのではないかと懸念される。

現在問題なく行われている利活用が後退することなく、示唆に富む相談事例を安心して社会の共通財産とできるよう、施行規則において、「特定個人の識別性が十分に低減されて匿名加工情報ではなくなる」基準が示されることを強く希望する。
Posted by 沢田 登志子 at 12:43 | 沢田登志子 | この記事のURL | トラックバック(0)
オンラインで紛争解決(Online Dispute Resolution) [2016年08月03日(Wed)]
先月(2016年7月)開催された国連国際商取引法委員会(UNCITRAL)総会で、「国境を超えたEコマースのためのオンライン紛争解決」に関する文書が採択されました。テクニカル・ノートという位置付けで、少額の越境紛争に対応するODRが満たすべき諸原則等について述べられています。

2010年に設置されたWorking Group III(ODR作業部会)で検討されていたものです。諸原則の主な内容は早い段階で合意されていたようですが、最終化までに足掛け6年もかかった背景には、例によって米国と欧州の法制度の違い=消費者との取引において仲裁の事前合意を認めるか否か=がありました。事前の仲裁合意が有効であれば、紛争が起きても裁判に訴えることはできないので、米国事業者は、クラス・アクションを避けるためにもできるだけ仲裁に持っていきたい。米国には、それを妨げる法律はありません。一方、欧州は、消費者の裁判を受ける権利を奪う仲裁合意は認めない、という法制です。(日本の仲裁法も同様で、附則第3条に消費者は仲裁合意を解除できると規定されています。消費者契約法見直しの議論でも、不当条項リストに仲裁条項を挙げる提案がしばしば出されています。)

ODR作業部会では、双方の法制と矛盾しない統一ルールとすべく、あれこれ模索を重ねてきましたがいずれも実らず、最終的には、EUが、ADR指令とODR規則を採択して域内の権限を集約したことを背景に強硬姿勢を強め、消費者仲裁を含むグローバルな統一ルールをUNCITRALで合意することは断念されました。・・・と、自分で見てきたように書いていますが、この間の事情は全て、本作業部会に日本代表として参加し、両陣営の調整役としても活躍された立教大学の早川教授からお聞きしたものです。今年1月にも、NPO法人消費者ネットジャパン(じゃこネット)のセミナーで講演していただきましたので、こちらも是非ご参照ください。

仲裁のようなカッチリした手続きは(時には裁判以上に)コストもかかり、Eコマースの紛争には馴染まないと個人的には思っています。なので上記のような米欧の対立は、理念としてはわかりますが、なんだか不毛だなーと感じていました。それよりも、実質的に役に立つ&外国語の不得意な日本人でも使いやすいODRを日本でも実現させる契機として、国際ルール化を待っていたところがあります。拘束力があろうとなかろうと、諸原則が明確になったのは良かったです。

かれこれ15年ほどEコマースのトラブルに関わってきましたが、主張が真っ向から対立しているとか、感情的にこじれきっているなど、当事者間の交渉ではどうしても解決できず、ここから先は利害関係のない第三者の関与が必要・・・と思う場面がたびたびありました。「中立」や「公正」という言葉は定義が難しいので使いたくないのですが、最低限、「どっちの味方でもない」という第三者の判断が欲しい場合があります。相談を受ける立場は、相談者の味方になって助言をする(時には相談者の代理として交渉する)役割なので、もちろんその有効性は十分に認識するところですが、ADR/ODRでいう「第三者」とは異なるものと考えています。

しかし、「利害関係のない第三者」がボランティアで他人の紛争に関わってくれるとは考えにくく、そこには報酬が発生します。必要が生じた時に第三者にすぐに依頼できる体制の整備や、記録保存などの事務費用も必要です。つまりADR/ODRにもコストはかかる訳ですが、消費者の関わる少額紛争では、紛争当事者から高額の手数料を取ることはできず、「運営費用を誰が負担するか」が永遠の課題です。

国際消費者連盟(Consumers International)等の提言では、消費者救済に役立つADRは、消費者には負担を負わせず、かつ中立で、専門的で・・・といろいろ注文がついています。しかし、これを実現するには、公的資金をどーんとつぎ込むか、紛争解決の仕組みを持つことにメリットを感じる事業者が費用負担するしかありません。費用をできるだけ節減するためにも、オンラインでの手続きが必須です。将来的には、企業のカスタマーサポートで既に活用されているように、定型的な紛争には、第三者の役割の一部をAIで代替できる可能性も高まるでしょう。

そんなことを検討したく、昨年から今年にかけ、前述のNPO(じゃこネット)でODRをテーマにした研究会を実施し、主査を務めました。と言っても初年度は、これまでどのような議論や取り組みがされてきたかを整理するにとどまっています。主に相談を受けてきた立場から、越境Eコマースだけでなく、シェアリングサービスなどC2C取引、オンラインゲーム、インバウンド等々、ここにODRがあったら良いのになー、という場面をあれこれ夢想していますが、それらはごく入り口の検討に過ぎず、これから本格的にみんなで考える場を設けませんか?という提案をするところで終わっています。(報告書は近々公開します。)

提案をしただけではなかなか動かないので、今年度も研究会は継続します。関係する少しでも多くの方に興味を持っていただけるよう、また続報を書こうと思います。
Posted by 沢田 登志子 at 12:45 | 沢田登志子 | この記事のURL | トラックバック(0)
プロフィール

ECネットワークさんの画像
リンク集
https://blog.canpan.info/ecnetwork/index1_0.rdf
https://blog.canpan.info/ecnetwork/index2_0.xml