1．はじめに

本連載は13回にわたってサイバネティックアバター（CA）の法律問題を包括的に検討するものであり、今回は個人情報について検討したい。但し、第2回連載の冒頭で、既にCAと個人情報の保護に関する法律（以下「法」という）についての概括的検討をしている。したがって、いわゆる取得・管理利活用・提供等の各局面に応じた検討については第2回連載を参照されたい。そこで、以下では仮想事例に即した検討を行いたい。

2．事例

Xは、X1という名称のオンラインショッピングモール事業を営む。X1は、多数の出店者と消費者（但し、X1においては国内の消費者のみ）を集め、売買契約は出店者と消費者の間で直接締結する。この度、XはYというメタバースプラットフォーム事業者の提供するY1メタバース上に、X2バーチャルショッピングモール（以下「X2」という）を開設することにした。消費者WがX1やX2で買い物をする。この事例を踏まえ、メタバースと個人情報保護法に関する検討をしていきたい^［1］。以下では、X1における個人情報の取り扱いを論じた後、X2につき、CAを利用してX1と同じ国内販売を行う場合と、国際関係が生じる場合（外国の顧客に対しても販売する場合及びXが外国企業である場合）で場合分けをする。

なお、出店者には個人事業主も含まれ得るが、個人事業主だとしても、現代社会において個人情報データベース等を利用していないことはおよそ考えられない。よって、XもYも出店者Zもいずれも個人情報取扱事業者として、個人情報保護法上の義務を負う^［2］。

3．X1における個人情報の取り扱い

まずは、CAが利用される場合との比較のため、CAが利用されない、単なるオンラインショッピングモール事業における個人情報の取り扱いを簡単にまとめよう。例えば消費者Wが「VRゴーグル」で検索した結果、出店者ZがX1ショッピングモール上で販売しているVRゴーグルが出てきたので、クリックしてX1上のZのページに飛び、吟味した結果、当該商品を購入するというシチュエーションを考えよう。

この場合、まずはWがXの会員に登録して住所等の情報をXに提供し、その上で、その情報をXがZにWの同意を得て第三者提供し、かかるWの会員情報をもとに、ZはVRゴーグルの発送等を行うといった形の経路をたどることになることが多そうである^［3］。

X及びZには、個人情報取扱事業者（法16条2項）として、Wの個人情報に関し、利用目的規制（利用目的の特定（法17条）、プライバシーポリシー等を通じた公表・通知（法21条）、利用目的の範囲内での利用（法18条））、適正取得規制 法20条1項）・適正利用規制（法19条）、要配慮個人情報（法2条3項）の取得前同意規制（法20条2項）、苦情処理義務（法40条）等が掛かる。このうち、利用目的規制につき、今回X及びZが取得した情報を単にVRゴーグルを送付するために利用するだけであれば、その旨を利用目的として特定すれば良い。しかし、実務上、この情報（Wがメタバース関係製品を購入したこと等）をマーケティングに利用したい場合もある（例えば今後もWにメタバース関係の製品の広告・宣伝を行い、関連商品の売上げにつなげる等）。このような場合には、利用目的として、そのようなマーケティング目的を明記しなければならない^［4］。

また、最近は、ターゲティング広告等のより精緻かつ有効な広告施策のためにAIで行動履歴等を分析する等の対応を行う可能性があり、「個人情報の保護に関する法律についてのガイドライン（通則編）」（以下、「通則編」という）によれば、利用目的規制においてそのような分析をする旨を特定しなければならない^［5］。なお、個人情報を取得するタイミングがどの段階であるかが問題となるが、例えば、インターネット検索経由でX1モールのサイトにWがアクセスした段階では、Xとして、（WのIPアドレス等は知っていても）Wの個人を識別することができない可能性は高い。むしろ、VRゴールグルを買いたい、として、X1モールに会員登録した時点において「特定の個人を識別することができる」（法2条1号）情報を取得した、としてこの段階が個人情報の取得のタイミングとみなされることが多そうである。なお、（VRゴーグルの場合にはあまり考えられないものの、）購買履歴の中には要配慮個人情報たる信条や病歴等を推知できるものも含まれるかもしれないが、「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」（以下、単にQ番号のみ示す）によれば、推知情報は要配慮個人情報ではない^［6］。

また、個人データについては、第三者提供規制（法27条）、安全管理規制（法23条）、データ内容の正確性確保（法22条）等が問題となる。上記のとおり、本件では、XがWらをX1モールの会員として登録をさせ、その上でWらの会員情報をZを含む各店舗運営者にかかる会員情報として提供するというデータのやり取りを想定していた。Xとしての会員管理の目的を実現するため、データベース上で特定の個人に紐付く情報を検索できるようにして管理していると理解される。そこで、Wの情報は個人データ（法16条3項）である。よって、Wの情報をXがZに提供するにあたっては原則として本人の同意が必要である（法27条）^［7］。また、オンラインショップからの情報漏えい事案は後を絶たないところ、このような事態が起こらないよう、従業者や委託先に対する管理を含む安全管理を徹底しなければならない（法23〜25条）。なお、製品のリコールのため、VRゴーグルを販売をしたZが当該ゴーグルの製造元にWの情報を提供する場合には、本人同意が不要となる（法27条1項2号）^［8］。また、VRゴーグル運送のための運送業者への委託に伴って個人データが提供されることは委託の例外（法27条5項1号）にあたり、この場合も事前の本人同意が不要となるものの^［9］、Zとしては、委託先である運送業者の監督が必要である（法25条）。

最後に、保有個人データについては本人の開示等の請求権（法33条以下）がある。X及びZは、W本人よりその保有個人データ開示請求がなされた場合には、開示等に応じなければならない。

4．X2がCAを利用してX1同様の国内販売を行うものの場合

（1）はじめに

それでは、X2がCAを利用してX1と同じ国内販売を行うという場合、上記3で検討した通常のオンラインショッピングモールの例と比較して個人情報の取り扱いにおいて、どのような相違が発生するだろうか。

以下では利用目的、取得対象データ、第三者提供及び同意について検討していきたい^［10］。

（2）利用目的

まず、利用目的の公表・通知との関係で、どのタイミングで個人情報を取得するのかが問題となる。例えば、Y1の仮想空間中においてX2がシームレスにつながっているという場合、つまり、別途ログインしなくても、Y1に一度ログインさえすれば、X2に入って品物を検索したり、選択したりすることができ、そしていざ商品を購入するという段階ではじめてXがWから直接、又はYを通じてWの情報を得るという場合を考えよう。この場合は、上記の検索のアナロジーでいうと、X2上で商品を選んでいる段階では、まだXはWの個人情報を取得していないと評価される可能性がある。しかし、例えばWが自分の自画像をもとにしたアバターを利用しているとか、WのユーザーIDがWのアバターの周囲に表示されており、特に、その際にWがユーザーIDとして実名を利用している^［11］等であれば、Wが商品を選んでいる段階で既にXとしてWの個人情報を取得しているとみなされる可能性がある。

取得の時期がどの段階であるかという問題は、どのようにプライバシーポリシーにおいて利用目的を公表するかに関係してくる。例えば、一般的なホームページ（HP）の利用形態を想定して、個人情報保護委員会は「自社のホームページのトップページから1回程度の操作で到達できる場所への掲載」をすべきとする^［12］。このような議論は、ユーザーとして、HPに容易にアクセスできるということが前提となっている。しかし、メタバースにおいては、X2モール（仮想空間上の拠点）こそが、まさに従来型のHPのような役割を果たしている。そうすると、もし、従来どおりXがその（メタバース外の）HP上にプライバシーポリシーを掲載するだけで良い、とすれば、もしユーザーWとして利用目的を知りたいと考えた際、わざわざXのHPを検索してプライバシーポリシーを確認する必要がある。このような追加的なユーザーの負担をどのように考えるべきだろうか。

ここで、個人情報の取得が会員登録時であれば、多くのサイトは会員登録時に、プライバシーポリシーと規約を確認して同意をさせるUIを採用しており、そのような方法で個人情報取得前にユーザーはプライバシーポリシーを確認することができる。そこで、もしこの事例でも、個人情報の取得時が会員登録時であれば、これによって適切な公表通知対応がされていると評価することができる可能性がある。しかし、上記のように個人情報をより早期に取得しているとすると、その段階では遅いかもしれない^［13］。

ここで、Q1-59が「『公表』とは、広く一般に自己の意思を知らせることであり、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法による必要があります。ホームページで公表することも可能と解されますが、当該店舗に来訪した者にとってそのホームページが合理的に把握可能であることを含め、分かりやすい場所への掲載が求められるものと解されます。」としていることは、公表方法において参考になると思われる。すなわち、個人情報保護委員会は、具体的場面において合理的に把握可能な方法で利用目的を公表せよとしている。本件でも、いかに合理的にCAを利用するユーザーに当該情報を知らせるか、という側面から工夫を凝らすべきだ、ということになるだろう。

例えば、Y1メタバース上のX2のショッピングモールに入る際に、ポップアップを出して、「ここからはX2の管理するショッピングモールです。プライバシーポリシーはこちら」として、プライバシーポリシーをクリックできるようにするとか、ショッピングモールの入場口でプライバシーポリシーを見られるようにするとか、X2ショッピングモールにいる間は常に隅に自動表示される「？」といったアイコンをクリックするとプライバシーポリシーを選択できる等、具体的実装には色々な方法があり、また、それらを組み合わせることも考えられるが、メタバースという事業の性質及びそこにおける個人情報の取扱状況に応じた合理的かつ適切な方法を模索すべきである。

なお、上記と異なり、Y1メタバースからX2に入るに際して何らかの認証や登録が必要な（いわば、シームレスではない）場合には、X2に入る際の手続きの一つに、プライバシーポリシーを示して同意をしてもらうという方法を入れることが考えられるだろう。

5．X2で国際販売も行う場合

本研究は、JSTムーンショット型研究開発事業、JPMJMS2215の支援を受けたものである。本稿を作成する過程では慶應義塾大学新保史生教授及び情報通信総合研究所栗原佑介主任研究員に貴重な助言を頂戴し、また、早稲田大学博士課程杜雪雯様及び同修士課程宋一涵様に裁判例調査及び脚注整理等をして頂いた。加えてWorld Trend Report編集部の丁寧なご校閲を頂いた。ここに感謝の意を表する。