SaaS・サブスクリプションビジネスの利用規約—ユーザーデータの利用権確保
利用者が入力するデータやアクセス履歴等を利用・公開する権利について、事業者としてどこまでを確保するかは、事業運営スタンスにも関わる問題です。SaaS・サブスク利用規約シリーズの入門編第7回では、日米の業界ひな形に見られる温度差について整理します。
SaaS・サブスク事業者によるユーザーデータ利用の是非
SaaS・サブスクリプションサービスを提供する事業者は、ユーザーにそのアクセスや利用を認めているネットワーク、コンピュータ、ディスク領域で構成されるシステム全体を掌握する、いわば「システム管理者」の役割を担っています。
そのため、ユーザーがサービス上に書き込みアップロードするデータやファイルはもちろんのこと、アクセスしたコンテンツ・コマンドなどの操作履歴、利用頻度や時間帯等のすべてを把握しうる立場 にあります。
一方で、第三者であるSaaS・サブスク事業者からそのサービス上での行動を覗き見られたり分析等に利用されることについて、ユーザーから見れば情報の安全性やデータに関する何らかの権利が脅かされていると感じる 場面もあるでしょう。
(1)サブスク事業者が公開したデータからユーザー個人が特定されたトラブル
実際、サブスクリプションサービスを提供する事業者が、ユーザーによるサービス上での行動履歴データを利用・公開してトラブルとなった事例が存在します。そのリーディングケースとなったのが、Netflix Prize事件 です。
この事件では、同社がユーザの嗜好に合わせて映画をレコメンドするアルゴリズムを強化すべく、コンテストの開催を企画。その分析対象データとして約50万人のユーザの映画視聴履歴と評価を匿名化して参加者に提供したところ、Netflixでの映画レンタル時期と映画レビューサイトIMDbへの書込み時期とが符合し個人が特定できてしまうという、プライバシー上の問題が発生しました。
本件については、訴訟となりかけたところでFTCが介入し、Netflix社が解決金を支払うことで和解しています。
(2)大量に集積したデータの財産的権利が争われたトラブル
また、サブスクリプションサービスでのトラブルではありませんが、事業者が大量に集積したデータを第三者が流用することにつき、その財産的権利の帰趨が争われた事例として、翼システム事件(東京地裁中間判平成13年5月25日判時1774号132頁)があります。
この事件では、原告翼システム社が作成し販売した10万車両を超える実在車両のデータベースについて、その著作物性は否定しながら、被告システムジャパン社が当該データをデッドコピーし販売していた行為を民法709条の不法行為と認定、約5,600万円の損害賠償を認めています。
事業者が利用できるユーザーデータの境界線を定義していない規約は多い
事業者が細心の注意を払い、ユーザーデータを個人情報と切り離し統計的に処理し、または著作物に該当しない個々の入力データを集積して加工するぶんには、法的に問題なく利用・公開することもできます。しかし、上記のような トラブルを防止しデータ利用を明確な権利として確保するためには、利用規約においても明確にユーザーの同意を取り付けておくべき でしょう。
この点、伊藤雅浩ほか『ITビジネスの契約実務』でも、以下のようにその重要性が指摘されています。
ユーザの利用状況に基づいてサービスが向上すれば、ユーザにとってもメリットがある。他方で、クラウドサービスは、サービス提供者に情報が筒抜けとなってしまい、セキュリティに問題があるという指摘もある。(中略)クラウドサービスであればなおさら、ユーザの利用状況は秘匿されるべき情報であることから、トラブルが生じないようにするため、サービス提供者が利用できる情報の範囲について境界線を定めておくことが重要である。
(伊藤雅浩ほか『ITビジネスの契約実務』(商事法務,2017)P155)
ところが、日本のSaaS・サブスクサービスの利用規約においては、こうしたデータの利用権について具体的に記載された例はまだ少ない のが現状です。
たとえば、JISAが公開するASPサービスモデル利用規約においては、事業者のデータの利用権に関する規定例は示されていません。また、経済産業省が公開する「クラウドセキュリティガイドライン活用ガイドブック」では、IaaS・PaaS的なクラウドサービスを前提としていることもあり、利用者データへのアクセスそのものを「やむを得ない理由」等に限定する規定となっています。
サービスの特性に合わせてユーザーデータの利用権を規定する
これに対し、Y Combinatorの「SaaS Sales Template Agreement」では、ユーザーデータの積極的な利用権確保を勧める 内容となっています。
具体的には、まず3.2条で「カスタマーデータの権利はカスタマー自身が有する」を原則と定めつつ、3.3条の[ ]内に示すオプション条項案として
- サービスの改善・向上等にカスタマーデータ関連情報やその派生データを含む情報を利用すること
- 統計情報としてまたは特定個人が識別不可能な状態で当該情報を公開すること
を、事業者の権利として規定し確保する規定が提案されています。
ただし、3.2条/3.3条それぞれの黄色マーカー部でも強調されているとおり、やみくもにデータの利用権を広めに確保すればよいというものではなく、サービスの特性を踏まえて事業者として確保する権利の範囲を慎重に検討し記載 しなければ、利用者に不安を与えるだけの規定となってしまいます。
特に、事業者が当該ユーザーデータを利用しまたは公開する結果がそのサービスの付加価値としてユーザーに還元されるのかという公益性の観点は、適正性の判断基準として重要なポイントとなりそうです。
画像: den-sen / PIXTA(ピクスタ)、chepilev / PIXTA(ピクスタ)
(橋詰)
参考文献
- 経済産業省「クラウドセキュリティガイドライン活用ガイドブック(2013年度版)」
- Y Combinator「Template Sales Agreement」
- 伊藤雅浩ほか『ITビジネスの契約実務』(2017年、商事法務)
