近年、注目度がますます高まるメタバース。ビジネスに利活用する企業の数も飛躍的に増加しています。いざメタバース空間を使ってビジネスを始める場合、企業がやるべきは空間設計だけではありません。利用規約の整備、決済システムの確立、ユーザーのプライバシー保護など、快適な空間を提供するための下準備が必要です。本連載では、メタバースビジネスを行う企業が留意すべきルール、すなわち法務関連のトピックを取り上げます。企業から実際に寄せられる質問をもとに、私たちがビジネスを進めていく上でとるべきアクションを、ともに考えていきましょう。今回のテーマは「個人情報の取り扱い」をテーマに解説します。
ユーザーはメタバース空間内で、イベント、会議、ゲーム、各種商取引など、他のアバターと多種多様な活動を行うことが想定されています。メタバース空間では現実世界とは異なり、ユーザーの言動は、その運営事業者が管理・提供する仮想空間内で行われるため、運営事業者は仮想空間上でのユーザーの言動に関する全てのデータを取得することが可能です。つまり、通常のオンラインサービスやSNSと比較しても、詳細かつ膨大な情報を取得することができ、ユーザーの個人情報やプライバシーの保護の重要性は一層増しているといえます。
また、メタバースの大きな特徴の1つとして、メタバース空間には広く世界全体から消費者や事業者が参画することが期待されていることが挙げられます。そのため、メタバースの運営者である日本企業としては、世界各国に居住する個人に関する情報を収集する場合には、日本法のみならず海外の法令も遵守しなければなりません。
そこで、本稿では、メタバース空間におけるユーザー(アバター)に関する個人情報の取り扱いについて検討します。
メタバース空間では、ユーザー個人がアバターを操作することが通常ですので、アバターの行動や言動に関する情報は、基本的には全てユーザー個人に関する情報といえます。もっとも、ユーザーはメタバース空間において、実名とは異なる名称・人格・外見を有したアバターを介して行動や発言をするため、その行動や発言に関するデジタルデータは、それ単体では特定の個人を識別できるものではない場合が多いと考えられます。また、専用のVRゴーグルを装着してサービスを提供するメタバースの場合には、ユーザーの視線に関する情報(アイトラッキングデータ)や表情などの情報を収集することも想定されますが、このような情報もまた、それ単体では特定の個人を識別できない場合が多いと考えられます。では、このような情報も個人情報保護法における「個人情報」に該当し、その取り扱いに関して法律の規制を遵守しなければならないのでしょうか。
個人情報保護法上、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などにより、それ単体で特定の個人を識別することができる情報のほか、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる情報も「個人情報」に該当します1。そのため、メタバース空間におけるユーザー(アバター)の個人情報に該当するかどうかを検討するにあたっては、メタバースのサービス上、ユーザー登録をする際に、氏名や住所などの個人情報を登録し、利用者IDやパスワードの付与を受けることとされている場合には、当該利用者IDその他の登録情報と、メタバース空間上でのアバターやその行動などに関する記録との紐づけの可否が大きなポイントになります。
仮にこのようなデータの紐づけが容易に可能であれば、アバターやその行動などに関する情報は、利用者IDなどそれ単体で特定の個人を識別できる情報と紐づけられた情報として「個人情報」に該当し、個人情報保護法の適用を受けることになると考えます。
他方、このようなデータの紐づけが容易に可能でない場合には、個人情報保護法上の「個人情報」には該当しないものの、「個人関連情報」2に該当し、一定の場合にはその取り扱いに関する規律3が及ぶ可能性がある点には留意が必要です。また、仮に個人情報には該当しない場合でも、上記1で述べたメタバースの運営事業者による情報収集の在り方やそれに伴うユーザー本人のプライバシーへの配慮の観点からは、実務上は、個人情報を取り扱う場合と同程度の保護措置を講ずることが望ましいでしょう。
メタバースでは、ユーザーが国や地域を問わず世界中からアクセスし、相互に交流することが期待されています。そのため、日本のみならず世界各国のユーザーの個人情報を保護するという観点から、どの国・地域のデータ保護法が適用されるかを検討する必要があります。この点については、世界各国のデータ保護法を個別に検討する必要がありますが、例えばEUにおけるデータ保護法であるGDPR(General Data Protection Regulation)では、①EUにおけるデータ主体に商品・サービスを提供しているか、②EUのデータ主体の行動をモニタリングしている場合には、EU域外に拠点を置く事業者であってもGDPRが域外適用されます4。
そのため、メタバースの運営事業者においては、プライバシーポリシーなどを作成する際、適用される可能性のある各国のデータ保護法を網羅的に検証し、それらの規制に対応したプライバシーポリシーを作成したり、EU代理人を設置したりするなどの対応が必要となります。
上述のとおり、メタバースの運営事業者においては、その運営にあたって、ユーザー(アバター)の多様かつ膨大な個人情報を取得することもできますが、これらの情報が不正アクセスにより漏えいした場合などには、ユーザーのプライバシーその他の権利・利益に重大な影響を及ぼすことが想定されます。
そのため、メタバースの運営事業者においては、個人情報等の収集を伴う事業を開始したり、事業内容およびこれに伴う取得情報や利用目的などを変更したりする際には、事前にプライバシーなどの個人の権利利益の侵害リスクやその影響を評価する「PIA」(Privacy Impact Assessment)と呼ばれるリスク管理手法を実施したり5、不正アクセスによる個人情報の漏えいなどを未然に防ぐ情報セキュリティ体制を確立したりすることが重要といえます。
※本シリーズはTMI総合法律事務所との共同執筆です。今回は下記のメンバーにご協力いただきました。
柴野 相雄
TMI総合法律事務所, 弁護士
川口 大喜
TMI総合法律事務所, 弁護士
1 個人情報保護法2条1項
2 生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいいます(個人情報保護法2条7項)。
3 ある事業者が個人関連情報を第三者に提供しようとする場合に、当該第三者が個人関連情報を個人データとして取得することが想定されるときに、当該第三者がその旨の同意を得ていること等を確認しなければならないという規律です(個人情報保護法31条)。
4 GDPR3条2項
5 なお、PIAの実施手法については、個人情報保護委員会が公表している「PIAの取組の促進について-PIAの意義と実施手順に沿った留意点-」(https://www.ppc.go.jp/files/pdf/pia_promotion.pdf)が参考となります。
