第31回 消費者法分野におけるルール形成の在り方等検討ワーキング・グループ 議事録

日時

2021年6月23日（水）14:00～15:09

場所

消費者委員会会議室・テレビ会議

出席者

【委員】

丸山座長、新川座長代理、山本委員長、片山委員長代理

【オブザーバー】

柄澤委員、大石委員、大阪大学大学院法学研究科教授　清水真希子氏、京都大学法学系（大学院法学研究科）教授　原田大樹氏

【説明者】

ヤフー株式会社 小柳　輝 Data Protection Officer（デ－タ保護責任者）

ヤフー株式会社 海賀裕史 Vice Data Protection Officer（副デ－タ保護責任者）

ヤフー株式会社 中村　茜 COOメディア統括本部トラスト&セーフティ本部ポリシー室 室長（部長）

【事務局】

加納事務局長、渡部審議官、太田参事官、大岡企画官

議事次第

1. 開会
2. ターゲティング広告に関するヒアリング
3. 閉会

配布資料 （資料は全てPDF形式となります。）

• 議事次第（PDF形式：167KB）
• 【資料１】　ご説明資料（ヤフー株式会社提出資料）【印刷用】全体版（PDF形式：2331KB）

  表紙から13ページ（PDF形式：1152KB）

  14から31ページ（PDF形式：1497KB）

  32から37ページ（PDF形式：749KB）

≪１．開会≫

○太田参事官　本日は、皆様、お忙しい中をお集まりいただき、ありがとうございます。

ただいまから、消費者委員会第31回「消費者法分野におけるルール形成の在り方等検討ワーキング・グループ」を開催いたします。

議事に入ります前に、配付資料の確認をさせていただきます。お手元の議事次第に配付資料を記載してございます。不足等がございましたら、事務局までお知らせください。

なお、本日の会議はウェブ会議による開催となります。公開で行いますが、感染拡大防止の観点から、一般傍聴者は入れず、報道関係者のみに傍聴していただいての開催となります。

議事録につきましては、後日、公開することといたします。

次に、ウェブ会議による開催に当たりまして、お願い申し上げます。

１つ目に、ハウリング防止のため、御発言いただく際以外はマイクをミュートの状態にしていただきますようお願いいたします。

２つ目に、御発言の際は、あらかじめチャットでお知らせください。座長に御確認いただき、発言者を指名していただきます。指名された方は、マイクのミュートを解除して、冒頭でお名前をおっしゃっていただき、御発言をお願いいたします。御発言の際、配付資料を参照する場合は、該当のページ番号も併せてお知らせください。

なお、御発言の際は、可能であれば、映像のミュートを解除にしていただきましたら、どなたがお話しになっているかが分かりやすくなりますので、御協力をお願いいたします。

３つ目に、音声が聞き取りづらい場合には、チャットで「聞こえない」「聞こえにくい」などを記入していただきまして、お知らせいただきますようお願いいたします。

それでは、丸山座長、以後の議事進行をよろしくお願いいたします。

○丸山座長　座長の丸山です。どうぞよろしくお願いいたします。

本日の進行についてですが、途中で私の回線が切れた場合は、復旧するまでの間、新川座長代理に、新川座長代理の回線も併せて切れた場合は、事務局に進行をお願いします。

---

≪２．ターゲティング広告に関する事業者ヒアリング≫

○丸山座長　それでは、本日の議題に入らせていただきます。

本日は、ターゲティング広告の状況についてヒアリングを行いたいと思います。

本日は、ヤフー株式会社Data Protection Officerの小柳輝様とCOOメディア統括本部トラスト&セーフティ本部ポリシー室室長の中村茜様にヒアリングを行わせていただきます。

御入室いただきますので、委員、オブザーバーの皆様は、準備が整うまで少しお待ちください。

（ヤフー株式会社入室）

○丸山座長　本日は、参考人としまして、ヤフー株式会社のData Protection Officerの小柳輝様とCOOメディア統括本部トラスト&セーフティ本部ポリシー室室長の中村茜様にお越しいただいておりますが、小柳様が遅れて御参加されるようですので、中村様からまずは御説明をお願いしたいと思います。

配付の資料が前後しますので、皆様、留意していただければと思います。

それでは、中村様、よろしくお願いいたします。

○ヤフー株式会社中村COOメディア統括本部トラスト&セーフティ本部ポリシー室室長　承知いたしました。

ただいま御紹介にあずかりました、ヤフーの中村と申します。

私は、広告に関連するビジネスのほうの広告掲載基準や規定を制定している部門におります。

本日、私から説明させていただく予定となっておりました資料ですが、お手元の後半、最後の６ページになるのですが、ページ番号で言いますと33ページ目の広告審査のところから御説明を始めさせていただきたいと思います。お手元の資料、よろしいでしょうか。「広告審査・不適切な広告排除の取組み」というところのパートでございます。

まず、33ページ目の広告の審査から御説明をさせていただきます。弊社では、広告の審査について左側の図上にございます「Yahoo！JAPAN広告掲載基準」を定めておりまして、こちらの掲載基準に基づいてシステムと人による広告審査を実施しております。右側の図表になりますが、審査のタイミングとしましては、広告が入稿される前から広告の掲載終了までの間、事前の審査、入稿前の審査だけではなく、広告が入稿された後もシステムと人の目の審査で常時確認をしております。

インターネット広告では、リンク先のサイトにつきましては広告を御入稿いただいた後も変更することが可能な仕組みとなっておりますので、一度審査したものにつきましても改めて確認をするといった審査手法を取らせていただいております。

続きまして、34ページ目のガイドライン違反申告フォームについて御説明をさせていただきます。こちらですが、右側の図表にございます「掲載ガイドライン違反に関するご申告」というものを設けております。掲載中の広告に対しまして、ユーザーの皆様からこういったフォームを経由しまして御意見をいただけるような窓口を設置しておりまして、こちらに御意見が入った広告に関しましては、例えば権利侵害など何らか私どものほうで対応すべきものについては、いただいた申告内容を基に広告主様への御確認をさせていただいたり、また、不適切な広告につきましては、その時点で広告の掲載を停止させていただくという対応も取っております。

続きまして、35ページ目になります。こちらにつきましては、我々が広告のサービスの品質向上のための情報開示ということで、様々な場所で取組について発信をしておりまして、その一例の御紹介となりますが、左側の図のような形で弊社のオウンドメディア、公式サイトのところで「広告サービス品質向上のための取り組み」というものを開示しております。この中には、この後御説明をさせていただくのですが、広告サービス品質に関する透明性レポートを公開していたりですとか、先ほどお伝えしましたような広告掲載基準を御紹介したりですとか、審査体制というものを皆様に見ていただけるように情報を開示しております。

右側にございます、ダイヤモンドのような形の図表になりますが、私どもが数年前に発表しております取組の体系図となっております。適正な広告、健全な広告のために、ユーザーの皆様にストレスのない広告体験であったり、もちろん広告主様にとっても有益であってブランド価値を損ねないような広告掲載をするというポリシーの下、こういった体系図の中でいろいろな課題に対しての取組、ここを大切にしていますというような取組概要をまとめて公開しております。

続きまして、36ページ、不適切な広告の排除への取組状況になります。先ほども御説明させていただきましたが、透明性レポートというものを半年に一度、私どもから公開をしております。その中で挙げさせていただきますと、広告審査での非承認数というものをこのような図表を使いまして公表させていただきました。近日ですと、つい６月の上旬にこのような形で最新のレポートを出しているのですが、2019年度と2020年度で今回は比較したような形で、実際に広告の審査でどれだけの広告の非承認をしたかといったデータですとか、また、その右側には非承認理由の内訳を表示させていただいていますが、こちらの非承認理由につきましては、どういった理由で広告の掲載を停止したり、あるいは事前で広告の掲載をお断りしたりですとか、そういった理由もこのような形で内訳として出させていただいております。

１点だけ補足いたしますと、この非承認数につきましては、広告の画像であるとか、リンク先であるとか、そういったパーツごとに違反がありました場合、１つずつカウントしておりますので、皆様に見ていただいている広告１件に対して１とカウントしているものではございませんので、その注釈を下につけさせていただいております。

簡単ではございますが、広告審査の私からの説明は以上となります。よろしくお願いいたします。

○太田参事官　代理で簡単で結構なのですが、小柳様の代わりに御説明できる方はいらっしゃいますでしょうか。

○ヤフー株式会社海賀Vice Data Protection Officer　そうしましたら、資料の２ページから説明させていただきます。

本日の御説明内容ということで１つ目、２つ目、３つ目と書いていますが、３つ目は先ほど中村から説明させていただいたところなので、１つ目、２つ目をこれから説明させていただきます。

３ページ目をおめくりいただきまして、順序としてはこちらのとおり１、２、３と分かれております。まず簡単に弊社の紹介をさせていただきまして、その後、弊社でどういった前提があって体制を整えているか、その後に利用者情報の取扱いについてという順番で御説明をさせていただきたいと思っております。

続きまして、４ページ目をおめくりいただきまして、５ページ目「Yahoo！JAPANの紹介」なのですけれども、弊社はインターネット企業としてかなり大きな規模を持っておりまして、いろいろなデータも蓄積させていただいております。

そういったデータを利用しまして、６ページになりますけれども、2018年1月24日、これは川邊が社長に就任したタイミングですけれども「データの会社を目指す」ということを宣言しました。

データの会社を目指す上での大前提ということで、７ページ「お客様のデータに関する大前提と体制」でございますが、８ページをおめくりいただきまして、お客様のデータを預かる上での大前提として、お客様のプライバシー保護が第一と我々は考えております。お客様に弊社のサービスを御利用いただきまして、その中で生まれたデータはお客様のものであると考えております。我々はそのプライバシーを守る、その前提としてセキュリティも守るというところを取り組んでおります。詳細な情報につきましては、プライバシーセンターというページを用意しておりまして、そこで詳細を公開させていただいております。

９ページ、その具体的な体制なのですけれども、CDO・DD体制、これはChief Data Officerの略なのですが、Chief Data Officerをトップとしまして、その下に各サービスなどの単位でDDというものがあり、これはData Directorで、この者がデータ保護などにつきましても担当しております。それに加えて、こちらは主にビジネス面での担当者なのですけれども、さらにDPO、こちらは小柳なのですが、Data Protection Officerということで、データ保護の責任者がおります。更に外部からの意見も我々は重視しておりまして、プライバシーに関する重要な施策を行う前にプライバシーに関するアドバイザリーボード、こちらに付議をいたしまして、御意見などを伺うという体制を持っております。

（ヤフー株式会社小柳Data Protection Officer入室）

○太田参事官　それでは、説明者は小柳様に替わるということでよろしいでしょうか。

11ページ目からよろしくお願いいたします。

○ヤフー株式会社小柳Data Protection Officer　承知いたしました。

２点目についてでございます。Data Protection Officer、DPOの設置についてでございます。DPOの役割でございますけれども、社内のデータの取扱いに関する状況を把握している者が第三者的な立場、中立的な立場からビジネス部門によるデータの活用の在り方、それから、法務部門など守りの部門の判断の結果であったりその過程を監視して、必要な助言や勧告みたいなものを行うことで、より適切なデータの活用を実現させる、その役割があります。

また、CDOや社長に対して、さらに弊社の業務執行に関わる最高意思決定機関として最高経営会議というものがあるのですが、その会議においても、その意思決定に当たって意見を述べる等の役割を負っております。

弊社においては、DPOは消費者の側、つまり、データを預けて活用される側の立場として存在しております。DPOである私はビジネスとは一切の利害関係を持たないようにしており、独立性と客観性を担保した上で、消費者の側の立場から社内の意思決定に当たって意見をしております。

おめくりいただいて、12ページになります。３点目、アドバイザリーボードでございますけれども、データの利活用に当たって留意すべき点は様々こちらに掲げてあると考えておりますが、その一つに、守るべきものや価値がしっかりと守られているのかをチェックする仕組みが重要であると考えております。プライバシーに関わる問題は様々な視点からその適切性を検証する必要があると思っておりまして、プライバシーに関するアドバイザリーボードは、正に第三者的な立場からのそのチェックをしていただくということを目的に設置したものでございます。

13ページ、構成員を書かせていただいております。

次に「利用者情報の取扱いについて」の御説明でございます。

15ページ目になります。利用者情報の取扱いについて、まずお客様に分かりやすく御説明することが何よりも大切であると考えております。データの活用が高度化、また複雑化していることを背景に、従来のようにプライバシーポリシーにおいてこれを説明し切ることは相当困難になってきていると考えております。また、事業者がお客様ないし社会から配慮を求められているというのは、個人の権利利益の侵害およびこのおそれであることは当然のこと、それを超えたお客様の不安感みたいなものであろうと考えております。

したがいまして、弊社では、プライバシーポリシーを単なるお客様に対する宣言みたいなものとしての位置付けではなく、契約の内容としてお客様とのお約束という位置付けにした上で、プライバシーポリシーにおいては基本的なことのみを記載し、その範囲で具体的に弊社がどのようにお客様のデータを扱うのかという点については、プライバシーセンターと呼んでいるものがあるのですけれども、図などを用いてできるだけ分かりやすい形で説明するというページを用意させていただいているところでございます。

また、プライバシーポリシーの適用範囲についてですけれども、個人情報だけでなくパーソナルデータ、これは個人としてのお客様を直接又は間接的に識別できる全ての情報と定義させていただいておりますが、パーソナルデータを対象とさせていただいているところでございます。

16ページになります。ポリシーへの同意はユーザー登録時に取得しておりますけれども、その際の画面がこちらになります。

17ページでございます。プライバシーポリシーの改定時の対応についてですけれども、広くお客様に確実に認知していただくことが必要だと思っておりますので、全てのお客様にメールを通知するとか、サービス画面で告知を十分にする、100億PVというものを目指して、お一人様あたり200回ぐらい見るという形で十分告知するようにしております。また、大きな変更が生じる場合については、個々のお客様に御同意いただけるかをお聞きするようにしておりまして、例えば2019年にグループ会社間でデータ連携を開始した場合について、その可否についてお客様の意思確認をさせていただいたところでございます。

18ページはその具体的な同意取得画面、左側になりますけれども、こちらでございまして、右側にあるのは一度同意した場合でも同意を撤回する設定を変更するための画面でございます。

19ページになります。データ活用に当たってお客様とのコミュニケーションで気をつけている点としては、第一にコンテキストに合ったデータの取得と利用が重要であるということで、お客様の予期であったり、期待に反するようなことはしないということが第一だと思っております。お客様の予期しにくいような利用をするような場合については、丁寧に事前に説明をするということで対応させていただいているところでございます。

このような考え方から、昨年７月からプライバシーの設定に関する確認ですね。お客様が今設定しているプライバシー設定を確認してくださいというようなメールを送信する取組を開始しているところでございます。

20ページ目になります。次に、パーソナルデータの利用に関する具体的な御説明でございますけれども、利用目的については、プライバシーポリシー及びプライバシーセンターに記載して御説明をさせていただいております。先ほど申し上げたとおり、より詳しくはプライバシーセンターに記載をしておりまして、この後、こちらについて御説明させていただきます。

21ページになります。プライバシーセンターでどのような御説明をさせていただいているかという点でございますけれども、まず、どのようなデータをどのような場合に取得しているのかということについて御説明させていただいているのが21ページでございます。

22ページになります。次に、どのようなデータをどのように使うのかということについて御説明をさせていただいているのがパーソナルデータの活用という部分で、この中に広告の表示も含まれているところでございます。

23ページ、詳しく広告の表示についてどのように記載しているのかを説明しているところでございますけれども、お客様の居住地であったりとか、性別などの属性情報、検索を含むサービスの利用履歴、それから、購入・購買履歴、位置情報みたいなものを分析させていただいて、お客様の興味関心を推測して広告を出しているという旨を御説明しております。

併せて、クロスデバイスでのデータの利用についても御説明させていただいておりまして、このほか、いわゆる行動ターゲティング広告についてさらに詳しく説明するページであったりとか、リンクがその下に設置してあって、広告のオプトアウトのページへのリンクも設定させていただいているところでございます。

その広告のオプトアウトのページについては24ページで御説明させていただいておりまして、プライバシーセンターの広告におけるデータの活用の御説明をさせていただいている部分のほか、Yahoo！JAPANのトップページからリンクしている登録情報の設定ページからも遷移できるようになっておりまして、この赤く囲んであるトグルボタンと呼ばれるものですけれども、こちらで設定をオン・オフできるようになっております。

25ページがオプトアウトページの具体的な記載を御説明させていただいているもの、これは左側でございまして、また、いわゆる行動ターゲティング広告についてさらに御説明するものが右側になります。この中でより詳細にどのようなデータをどのように使っているかを御説明するとともに、それぞれのデータの保存期間であったりとか、また、差別につながり得るような慎重に扱うべきデータについては利用しない旨を御説明させていただいております。

26ページ、差別につながり得るような慎重に取り扱うべきデータについては、社内においてもそのようなルールを当然持っておるのですけれども、広告利用の約款ですね。広告を出す側の方々にも守っていただきたいということで、契約の内容としてその利用を禁止しているということでございます。

27ページ、最後、第三者提供についてでございますけれども、グループ企業やその他パートナー企業とのデータ連携についても、プライバシーセンターというところで御説明をさせていただいております。このスライドでは、プライバシーポリシーに基づいてデータを連携する場合において、具体的にどの範囲でデータを連携するのかということを御説明している部分でございまして、氏名などの直接特定の個人を識別できる情報であったり、連絡先情報、位置情報、金融関連情報についてはデータを連携しないという御説明をさせていただいているところでございます。

このほか、お客様から個別に同意を得た場合については氏名等について第三者提供する場合がございまして、その例として「Yahoo！ID連携」と呼んでおりますけれども、こちらがその例になっています。

29ページでございますけれども、ID連携をした後であってもプライバシー設定のページから一覧してどこに記録しているのかが見られるようになっておりまして、同意内容を確認したり、連携を解除することができるということを説明させていただいているところでございます。

30ページ、こちらは再掲になりますけれども、グループデータ連携時の同意取得画面とオプトアウトの画面になります。

最後に、グループデータ連携についての補足ということで、31ページでございます。グループ会社とのデータ連携に当たっては、弊社のデータの提供先であるグループ会社側のデータ保護体制も重要になってきますので、各社にデータ責任者を設置するであったりとか、弊社から提供したデータのさらなる第三者提供を禁止するなどのルールを策定して、その内容をプライバシーセンター内で御説明させていただいております。

○丸山座長　ありがとうございました。

それでは、これより質疑応答の時間とさせていただきます。

ただいまの御説明を踏まえて、御質問、御意見等のある方は御発言をお願いします。

御発言をされる際には、チャット欄に御投稿ください。

それでは、委員、オブザーバーの皆様、御質問をよろしくお願いいたします。

御質問をお待ちする間に、私から確認させていただきたい点がありますので、よろしくお願いいたします。

まず、プレゼンテーションのパワーポイントの25ページに関連することなのですけれども、御説明できる範囲で構いませんが、この行動履歴に基づく最適化というのは、デフォルトとしてはオンになっているという認識でよいのでしょうかという点と、デフォルトをオンにしている理由を教えていただきたいという点です。

次に、情報があるかどうか分からないのですけれども、現在利用者全体の中でオプトアウトしているパーセンテージが分かるようであれば教えていただければと思いました。

○ヤフー株式会社小柳Data Protection Officer　ありがとうございます。

デフォルトオンかオフかという点については、デフォルトオンで提供させていただいているところでございます。その理由でございますけれども、どちらかというと我々の事業側の視点になってしまうのですが、広告を掲載して、利益を得て、サービスをよりよくして、お客様によりよい情報を提供すると、どうしてもターゲティング広告は効率のいい広告の手段でもありますので、広告主様からの関心も非常に高くて、できるだけ我々がよりお客様に合った広告を提供したいというのももちろんありますけれども、主として事業的な面からオプトインでやらせていただいている状況でございます。

オプトアウトの率に関しては、大変恐縮なのですけれども、ただいま手持ちで率を持っておりませんが、そんなにオプトアウト率は高くないと。当然お調べして改めて御連絡させていただきますけれども、あまりオプトアウトはされていない状況かと理解しております。

○丸山座長　ありがとうございます。

それでは、新川座長代理より質問をよろしくお願いします。

○新川座長代理　新川でございます。

御説明ありがとうございました。大変充実したプライバシー保護や、あるいは消費者志向というものを丁寧に作っておられるというので感心をしていました。

社内の体制でお伺いをしたい点がございました。一つはCDO・DD体制、Data Protection Officer、アドバイザリーボードというのでプライバシー保護の体制を固めておられるわけですが、ここと実際に利用者、消費者との接点になりますプライバシーセンターの関係。それから、実際には広告主、それから広告業者や窓口といったような事業の御担当のところ。そういったところとの関係の仕方、関わり方については、このプライバシー保護体制が、社内的には先ほどのお話ではここが独立してというお話だったのですが、もう少し具体的な権限としてどのように各部門に関わっていっておられるのか。センターを通じてどういう関わり方をしておられるのか。可能な範囲で結構ですが、お教えいただけるとこれからのこうした自主規制を考えていく上でも参考になるのですが、いかがでしょうか。よろしくお願いいたします。

○ヤフー株式会社小柳Data Protection Officer　ありがとうございます。

おっしゃっていただいた責任体制をしっかり取るということについては、我々も非常に重要な観点だと思っておりまして、その発露としてCDO・DD、DPO、アドバイザリーボードというものを設置させていただいているところでございます。CDO・DDはどちらかというと事業そのものに関わる、事業側でいかに守りをするのかということで対応しているところでございます。もちろんそのほかにも法務部門みたいな守りの部門もございまして、CDO・DDと法務部門が一定の緊張関係を持って一つの結論を得る。その上で、その活動が適切に結論を導き出しているのかとか、もしくは十分な議論がしっかりされているのか、手続的に問題ないのかをDPOがどちらかというと第２線として監査的な形で見る形になっておって、さらにより重要な会社のプライバシーに関する意思決定に関しては、社内の仕組みだけではなくて外の先生方の目も入れたいというので、アドバイザリーボードが並立して存在している状況でございます。

プライバシーセンターも、具体的な我々とお客様との接点でございますので、実はプライバシーセンターの中身を具体的に作っているのはCDOです。CDOはデータの活用について一次的な責任を弊社の中では負っているわけなのですけれども、その責任を負う者がどうお客様に対して説明するのかということについても責任を負っていまして、CDOの部隊がプライバシーセンターをしっかり管理しています。それについて、こういう記載の仕方をしたい、説明したいということについて御提案をいただいて、法務部門と広告部門などが調整をして、案を固める。それをDPOがチェックをして、この部分はもうちょっと丁寧に説明してくださいとか、そういったことを入れて、何層かに関与する者が全く別の観点から、あとは全然知らない人を私が呼んできて、これを見て説明は分かりますかとか、そういうヒアリングや調査みたいなものをして、よりよいものにしていくということでやっております。

CDOやDDに関しては、個別の自分の責任領域においてそれぞれ権限を持っていますが、私は実は個別の案件について意見は言うのですけれども、決める権限はないのです。それはビジネスとの関係で、完全に利害関係を切断しなければいけないからです。私は時にすごく強く意見を言ったりしますし、社内においては聞いてくれないという状況は特になくて非常に助かっているといえば助かっているのですけれども、私自身はサービスの運営みたいなものについては一切責任はない。消費者的な立場から、いろいろよりサービスがよくなるような改善のための意見をする立場という形になっております。

回答になっておりましたでしょうか。

○新川座長代理　ありがとうございます。

役割分担のところは大変よく分かりました。その際、少し途中で触れていただいたのですが、実際の現場レベルでのデータ責任者、CDOや各ディレクターレベルでの責任者の方々が現場での第一次的な御担当ということで理解したのですが、先ほど、法務部門あるいはコンプライアンスとの関係でチェックがというお話もいただきました。少し別の議論になるのかもしれませんが、そうした法務やあるいはコンプラとの関係で言うと、現場のデータ責任者の方々はどういう位置付け、また、実際にはProtection Officerとの関わりは法務部門を通じてどのように関わってくるのか、少しだけ整理があればお教えいただければと思ったのですが、いかがでしょうか。

○ヤフー株式会社小柳Data Protection Officer　サービスの担当者がこういうサービスを提供したいとか、こういう機能を追加したいといった企画があるときには、まずはDDにそのデータの使い方について相談をする形になっておりまして、多くの場合、契約が発生したりとか、既存のユーザーとのお約束、プライバシーポリシーであったり、利用規約との関係であったりを整理するために、法務部門にまず相談に行くようになっております。弊社の場合ですと、何か追加するとか、何か今のものをいじる、サービスの画面をいじるとか、そういう場合であっても法務部門にほぼ全て相談が行くようになっていまして、そこで法務部門の者がこれはお客様のプライバシーに影響が新しく生じてしまうのではないかということを判断した場合には、法務部門の中に専門部隊、プライバシーについて特に専門的に検討する部隊がいまして、そこが毎週定例会議をしております。そこでDDであったりとかCDO部門の者たちが集まって議論をして、こうあるべきではないかということを議論するのですけれども、そこにDPO部門の者も入っていまして、そこで法務部門がフィルターをかけてきたプライバシーに影響を与えそうなものみたいなものを吸い上げて、そこでみんなで議論して、あるべき方向性を決めるみたいな形で関わらせていただいているところです。

○新川座長代理　御丁寧にありがとうございました。よく分かりました。

○丸山座長　そのほか、御質問がある委員、オブザーバーの方、いらっしゃいますでしょうか。

それでは、大石オブザーバー、よろしくお願いします。

○大石オブザーバー　御説明ありがとうございました。

私からは先ほど丸山座長が御質問されたことに関連して一つと、もう一つ質問させていただきたいと思います。

先ほど、パーソナルデータの利用のところについてはデフォルトとしてオンになっているというお話だったのですが、これは一般の本当にこういうことに詳しくない消費者が見ても、一目でどこか分かるように表示してあるものなのか。先ほどからずっとお話を伺っていて、25ページ、26ページ、27ページ、28ページと、分かっている、気にしている人は自分でオフにしなければいけないとか、同意についてもきちんと必要であることが分かると思うのですけれども、本当にこういうことに詳しくない、ただネットの情報を見たい、買物をしたいというだけの消費者は、パーソナルデータが利用されていることについての認識もないし、そこを自分で解除しなければいけないという認識がそもそもないのではないかというのが大変気になっています。その辺りがどのようにどこに表示してあるかが分かれば教えていただきたいのが一つです。

もう一点、それと関連して、オプトアウトの方法はデジタルプラットフォーマーの皆様それぞれに違っていて、それも一つ消費者にとっては分かりにくさになっていると思うのですけれども、事業者間で消費者利益に関する打合せとか、そういうものは実際になさっていたりすることがあるのかを聞きたいです。

もう一つすみません。さっきの新川座長代理の質問に関連して、小柳様はData Protection Officerで、全く企業というよりも消費者の側で対応してくださっているというお話だったのですけれども、それを社内で選ぶときの条件とか、どういう方が選ばれるのかというのも教えていただければと思いました。

○ヤフー株式会社小柳Data Protection Officer　ありがとうございます。

１点目、デフォルトオンのところで、消費者が分からないのではないかという御指摘でございますけれども、正におっしゃるとおりだと思っていて、スケジュールが遅くなってしまっているのですが、IDを取得する際に利用規約等々に同意してくださいということで、16ページに表示してございますけれども、こちらに広告の最適化をしています、それについては設定画面からオフにできますという文言の追加をしたほうがいいのではないかということで、私、DPO部門から事業サイドに申し伝えております。これはまだ具体的な日付は確定していないのですけれども、将来的にはそういった対応をさせていただきたいと思っているところでございます。

既に登録されているお客様もいらっしゃるということで、そういったお客様に対しては、先ほどお話しさせていただいた19ページのところでございますけれども、プライバシー設定みたいなものを御確認いただくというようなお願いをするメールを年１回程度で考えておりますが、昨年７月から開始しておりまして、今年もやりたいと思っているところでございます。御指摘いただいたとおり、お気づきにならないで、本来御本人の御要望に沿わない形で我々がデータ利用してしまうことはお互いにとって望ましいことではないと思いますので、これについてはそういうギャップみたいものが生じないように少しずつ対応を進めていきたいと思っております。

２点目、事業者によってオプトアウトや設定の画面がそれぞればらばらで分かりにくいということでいただいた御指摘ですけれども、事業者間で相互に連絡を取り合ってこのようにしましょうということはあまりないのが現状でございます。あまり弊社も具体的な活動をしていないところですが、プライバシーデーというものがございまして、そのプライバシーデーに例えば定期的な確認のお願いのメールをするとか、一部の事業者では少し活動が共通したというか、みんなたまたま一緒になってしまったということだと思いますけれども、そういう活動をされているところがあるのかと思います。いずれにしても、事業者で特に外資系の事業者の場合ですと、日本法人、日本のサービス側だけでなかなかこういうページの遷移であったりなどをいじれない、決められない。グローバルで揃えないといけないという現状はあって、なかなかそういうことは進んでいないということはあるのかと思っております。中途半端な回答になってしまいますけれども、そのような状況でございます。

DPOの選任ですけれども、私が言うのもあれなのですが、第一はプライバシーに関する法律であったりとか、社会からの期待みたいなものに敏感であることが一番重要なのかと思っております。当然それは前提として、その上でちゃんと意見を言える人というのが重要なのかと思っていて、私は割とあまり周りの顔色を気にしないでいろいろ言ってしまう、この性格がいいところもあれば悪いところもあると思うのですけれども、私自身としてはそういう過去からの対応みたいなもので、こいつだったら何かあったらちゃんと意見をするだろうということで選ばれたのかと理解しております。専門性を有していることと、後はちゃんと意見が言えることかと私個人としては理解しております。

○大石オブザーバー　おっしゃりにくいことを聞いてしまってすみません。ありがとうございました。

○丸山座長　それでは、追加の質問で、新川座長代理、よろしくお願いします。

○新川座長代理　ありがとうございます。

後段の広告の排除のところで少しお伺いをしたかったのですが、広告をガイドライン違反として判定をされるときに、客観的な基準を設けて累積の点数で非承認とされているというような取組のお話をいただきました。この場合の非承認とされるときのポイントを例示的には幾つか出していただいているのですが、実際にはこの非承認のポイントとして、私どもは消費者の保護という観点から消費者の利益を直接侵害するようなものを排除したい、あるいは消費者に誤った理解をさせるようなもの、そして、極めて強い誘導的なものを大変気にしているところがございます。そうした観点ですと、こうした非承認理由の基準やそれを適用するルールについて、もし何かそうした消費者視点のようなものがあればお教えをいただきたい、また、そうした観点での優先順位付けのようなものがあればお教えいただけると有り難いと思った次第です。

併せて、こうした非承認の手順が客観的な点数基準でほぼ自動的に進んでいくのか、あるいは途中でも人の目で確認というところもございましたが、何かそういう組織的なプロセスが入るのか。ここの２点ほどお教えいただけると有り難かったのですが、いかがでしょうか。よろしくお願いいたします。

○ヤフー株式会社中村COOメディア統括本部トラスト&セーフティ本部ポリシー室室長　それでは、中村から御質問いただきましたところを回答させていただきます。

まず、私の説明がもしかすると正しくできていなかったかもしれないので、改めてとなってしまいますが、先ほど点数とおっしゃっていただきましたが、弊社の広告を非承認にする場合の判定基準といたしましては、何かスコアであるとかを定めているわけではなく、これとこれの要素で何点なので掲載停止にするという考え方ではございません、広告掲載基準の中にはもちろん薬機法や景表法のような広告の規制に反する、抵触するおそれのあるものを禁止しているような内容もございますが、一方、法令に違反するというまでではないのですが、ユーザーの皆様に不快感を与えてしまう、嫌悪感を与えてしまう、あるいはこちらは法令違反になるかもしれませんが、誤解を与えてしまうというような広告の表現であったり内容についてもお断りをしております。

広告掲載基準を定めるに当たって、まず一番考えているところとしましては、ユーザーの皆様に財産や健康的な被害であるとか、そういったところを与えないことを一番に考えておりますので、そういった視点での広告掲載基準がまずございます。そういった広告掲載基準に基づきまして、その基準にあります内容に１か所でも抵触するようなものが広告の中で確認された場合には、事前にお断りするケースもございますし、掲載後に確認をさせていただいた際に発見された場合には、その時点で掲載を止めさせていただくといった対応もしております。こちらが１点目の回答になります。

審査の方法につきまして、先ほどシステムと人で両方の目を使ってやっていますという説明をさせていただきましたが、システムの場合につきましては、AIを活用した、正解データを私たちが作って、こういったものは例えば広告掲載基準に抵触するであろうと機械が判定できるものについては機械的に停止をさせていただいたり、非承認にさせていただくケースもございます。また、システムで検知したものを人の目で改めて見るというフローも併せて作っております。ですから、フィルタリングをした上で人間が広告掲載基準に基づいて細かなチェックをして、その時点で広告掲載基準に反するものを非承認にするというフローもございます。

○新川座長代理　ありがとうございました。よく分かりました。

○丸山座長　それでは、清水オブザーバーから御発言をお願いします。

○清水オブザーバー　大阪大学の清水と申します。

今日は大変興味深いお話をどうもありがとうございました。プライバシーに関するところで少しお伺いしたいのですけれども、こちらのDPOの方とCDO・DD体制というところの関係で、恐らくもちろん消費者向けの利用規約、その他の消費者側から見えるものも別に内規のような形でこのようなプライバシー利用を認めるとか、こういうものは適切ではないとかといった社内的なルールがあるのかと想像しますけれども、そういったものについてまずどこが作成して管理しているのかという点と、DPOという方の立場として、いわば例えば会社の中の監査役のような形で随時事業を見ている中で気がついたときに関与する立場なのか、何かをするときに必ずそのプロセスの中に入り込むような形になっているのか。要するに、社内の中で結構独立性があると理解したのですけれども、その独立性を使ってどういう形で実際のチェックが行われているかを詳しく教えていただけると有り難いと思いました。

また、これと経営陣の関係ということで、このオフィサーとされている方々の立場ですか。御社の会社組織がどういう形態を取っているのか存じ上げませんので、経営陣との関係でこの仕組みはどういう形でリンクしているのかを教えていただけると有り難いです。よろしくお願いします。

○ヤフー株式会社小柳Data Protection Officer　承知いたしました。

内規みたいなものはありまして、基本的にはCDOですね。社内のデータの活用について責任を負う者の部門が策定をして管理をしております。当然、こういう使い方についてルールを作ってくださいとか、こういうルールにしてくださいみたいなものは、私、DPOからお願いをしていると。あくまでデータを使うのは、事業側のCDOなりそのほか事業部門の者の責任でルールを作ってもらって、そのルールの内容についてはDPOの部門がダブルチェックをするという形で運用させていただいているところでございます。

DPOの関与の仕方でございますけれども、幾つかパターンがあるのかと思っております。大きくは随時関与するという形で、特に法務部門に情報が集約されるということがございますので、法務部門でどのような議論がされているのかということを基本的にはメールであったり、社内で使われている情報のやり取りをするチャットみたいなものがありますのでそこの中を見ていて、この件については報告しに来てくださいとか、そういった形で関与するのが一番多いパターンではあります。

他方、仕組みとしてよりプライバシーへの配慮みたいなものを確実なものにするためには、プライバシーに関連するようなサービスの開発やシステムの開発について、よりしっかりとした形でなるべく早いタイミングで関与できるようにしたいと思っておりまして、Privacy Impact Assessment、PIAと呼ばれているプライバシー影響評価というものがあるのですけれども、これは何らかプライバシーに関連するようなサービスを提供しようとする場合にお客様にどんな影響が起きてしまうのかを組織的に評価するような仕組みみたいなものなのですけれども、これを導入したいと思っておりまして、今、社内規程を作っているところでございます。それが始まるともう少しよりかちっとした形で、こういう案件についてはPrivacy Impact Assessmentを通してくださいと。その中の最終的な中身についての承認はDPOでやるという全体の仕組みを作りたいと考えているところです。現在は割とむしろ随時関与して情報をもらうという状況になっているところでございます。

経営陣との関係でございます。CDOは執行に関しては経営陣というような少し偉い形になっていまして、DPOは執行からは外れているので経営陣とは独立した状況にあるのですけれども、私が例えば経営の先ほど申し上げた最高経営会議みたいなものに上がるものについては出席をさせてくれということで関与するとか、そういう形になっています。CDOと私はお客様のデータを守るという意味では比較的方向性が一致しているものですから、私の意見を前提に、CDOは経営陣の一部なのでそちらで経営陣で議論するとか、当然私もその場に行って助言をするとか、勧告をするとか、そのような形でリンクしているというのか分からないですけれども、そういった関わり方を経営との関係ではしております。社長の川邊も折に触れて私によく言っているのですけれども、意見は何でも言ってくれと言われておりまして、私はそれを真に受けていろいろなところに行っていろいろ意見を言わせていただいている状況でございます。

○清水オブザーバー　どうもありがとうございました。随分立ち入ったことをお伺いしてしまって恐縮です。

○丸山座長　ありがとうございました。

その他、御質問、御確認のある方、いらっしゃいますでしょうか。

なければ、１点だけ教えていただきたいのですけれども、21ページにパーソナルデータの取得について絵も使いながら分かりやすく説明しているパワーポイントのところがあるのですが、ヤフーの場合に、例えばヤフーニュースについてコメントを入れたり「いいね」を押したりするような機能があると思うのですけれども、ああいったところでの行動についても情報が取得されているのか。それについてはここに書かれている文言に含まれるのか、それとも取っていないということなのか、少し細かい話になるのですが、具体的なイメージをつかみたかったので教えていただければと思いました。

○ヤフー株式会社小柳Data Protection Officer　具体的にはそういう情報は取得させていただいておりまして、これで言うと端末操作を通じてお客様に御入力いただくであったりとか、サービスの利用に伴って取得するという形になっているのかと思います。「いいね」を押すと、ある意味、端末でそういった操作をしているということで、それに伴って取得をしているということかと思います。ページの閲覧みたいなものですと、閲覧されたことの記録は自動的に端末から送られてきますので、それを保存して利用させていただいている。そういった２つのパターンになるのかと思っております。

○丸山座長　ありがとうございます。

そのほか、御質問はありませんでしょうか。いかがでしょうか。お時間が来ているので、大丈夫でしょうか。

それでは、ヤフー株式会社様へのヒアリングはこの辺りにさせていただきます。

小柳様、海賀様、中村様におかれましては、大変お忙しい中を御出席いただきまして、誠にありがとうございました。

○ヤフー株式会社中村COOメディア統括本部トラスト&セーフティ本部ポリシー室室長　こちらこそありがとうございました。

○ヤフー株式会社小柳Data Protection Officer　ありがとうございました。

（ヤフー株式会社退室）

○丸山座長　次回に向けて、何か特に意見、御発言のある委員の方、おられますでしょうか。大丈夫でしょうか。

それでは、本議題については以上にしたいと思います。

本日は御議論をいただき、ありがとうございました。

最後に、事務局から事務連絡をお願いします。

---

≪３．閉会≫

○太田参事官　本日は長時間にわたりまして御熱心に御議論いただきまして、ありがとうございました。

次回の会合につきましては、確定次第、御連絡させていただきます。

以上でございます。

○丸山座長　それでは、本日はこれにて閉会とさせていただきます。

お忙しいところをお集まりいただきまして、ありがとうございました。

(以上)