1．はじめに

本連載は13回にわたってサイバネティックアバター（CA）の法律問題を包括的に検討するものであり、今回は個人情報について検討したい。但し、第2回連載の冒頭で、既にCAと個人情報の保護に関する法律（以下「法」という）についての概括的検討をしている。したがって、いわゆる取得・管理利活用・提供等の各局面に応じた検討については第2回連載を参照されたい。そこで、以下では仮想事例に即した検討を行いたい。

2．事例

Xは、X1という名称のオンラインショッピングモール事業を営む。X1は、多数の出店者と消費者（但し、X1においては国内の消費者のみ）を集め、売買契約は出店者と消費者の間で直接締結する。この度、XはYというメタバースプラットフォーム事業者の提供するY1メタバース上に、X2バーチャルショッピングモール（以下「X2」という）を開設することにした。消費者WがX1やX2で買い物をする。この事例を踏まえ、メタバースと個人情報保護法に関する検討をしていきたい^［1］。以下では、X1における個人情報の取り扱いを論じた後、X2につき、CAを利用してX1と同じ国内販売を行う場合と、国際関係が生じる場合（外国の顧客に対しても販売する場合及びXが外国企業である場合）で場合分けをする。

なお、出店者には個人事業主も含まれ得るが、個人事業主だとしても、現代社会において個人情報データベース等を利用していないことはおよそ考えられない。よって、XもYも出店者Zもいずれも個人情報取扱事業者として、個人情報保護法上の義務を負う^［2］。

【図1】当事者関係図

3．X1における個人情報の取り扱い

まずは、CAが利用される場合との比較のため、CAが利用されない、単なるオンラインショッピングモール事業における個人情報の取り扱いを簡単にまとめよう。例えば消費者Wが「VRゴーグル」で検索した結果、出店者ZがX1ショッピングモール上で販売しているVRゴーグルが出てきたので、クリックしてX1上のZのページに飛び、吟味した結果、当該商品を購入するというシチュエーションを考えよう。

この場合、まずはWがXの会員に登録して住所等の情報をXに提供し、その上で、その情報をXがZにWの同意を得て第三者提供し、かかるWの会員情報をもとに、ZはVRゴーグルの発送等を行うといった形の経路をたどることになることが多そうである^［3］。

X及びZには、個人情報取扱事業者（法16条2項）として、Wの個人情報に関し、利用目的規制（利用目的の特定（法17条）、プライバシーポリシー等を通じた公表・通知（法21条）、利用目的の範囲内での利用（法18条））、適正取得規制 法20条1項）・適正利用規制（法19条）、要配慮個人情報（法2条3項）の取得前同意規制（法20条2項）、苦情処理義務（法40条）等が掛かる。このうち、利用目的規制につき、今回X及びZが取得した情報を単にVRゴーグルを送付するために利用するだけであれば、その旨を利用目的として特定すれば良い。しかし、実務上、この情報（Wがメタバース関係製品を購入したこと等）をマーケティングに利用したい場合もある（例えば今後もWにメタバース関係の製品の広告・宣伝を行い、関連商品の売上げにつなげる等）。このような場合には、利用目的として、そのようなマーケティング目的を明記しなければならない^［4］。

また、最近は、ターゲティング広告等のより精緻かつ有効な広告施策のためにAIで行動履歴等を分析する等の対応を行う可能性があり、「個人情報の保護に関する法律についてのガイドライン（通則編）」（以下、「通則編」という）によれば、利用目的規制においてそのような分析をする旨を特定しなければならない^［5］。なお、個人情報を取得するタイミングがどの段階であるかが問題となるが、例えば、インターネット検索経由でX1モールのサイトにWがアクセスした段階では、Xとして、（WのIPアドレス等は知っていても）Wの個人を識別することができない可能性は高い。むしろ、VRゴールグルを買いたい、として、X1モールに会員登録した時点において「特定の個人を識別することができる」（法2条1号）情報を取得した、としてこの段階が個人情報の取得のタイミングとみなされることが多そうである。なお、（VRゴーグルの場合にはあまり考えられないものの、）購買履歴の中には要配慮個人情報たる信条や病歴等を推知できるものも含まれるかもしれないが、「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」（以下、単にQ番号のみ示す）によれば、推知情報は要配慮個人情報ではない^［6］。

また、個人データについては、第三者提供規制（法27条）、安全管理規制（法23条）、データ内容の正確性確保（法22条）等が問題となる。上記のとおり、本件では、XがWらをX1モールの会員として登録をさせ、その上でWらの会員情報をZを含む各店舗運営者にかかる会員情報として提供するというデータのやり取りを想定していた。Xとしての会員管理の目的を実現するため、データベース上で特定の個人に紐付く情報を検索できるようにして管理していると理解される。そこで、Wの情報は個人データ（法16条3項）である。よって、Wの情報をXがZに提供するにあたっては原則として本人の同意が必要である（法27条）^［7］。また、オンラインショップからの情報漏えい事案は後を絶たないところ、このような事態が起こらないよう、従業者や委託先に対する管理を含む安全管理を徹底しなければならない（法23〜25条）。なお、製品のリコールのため、VRゴーグルを販売をしたZが当該ゴーグルの製造元にWの情報を提供する場合には、本人同意が不要となる（法27条1項2号）^［8］。また、VRゴーグル運送のための運送業者への委託に伴って個人データが提供されることは委託の例外（法27条5項1号）にあたり、この場合も事前の本人同意が不要となるものの^［9］、Zとしては、委託先である運送業者の監督が必要である（法25条）。

最後に、保有個人データについては本人の開示等の請求権（法33条以下）がある。X及びZは、W本人よりその保有個人データ開示請求がなされた場合には、開示等に応じなければならない。

4．X2がCAを利用してX1同様の国内販売を行うものの場合

（1）はじめに

それでは、X2がCAを利用してX1と同じ国内販売を行うという場合、上記3で検討した通常のオンラインショッピングモールの例と比較して個人情報の取り扱いにおいて、どのような相違が発生するだろうか。

以下では利用目的、取得対象データ、第三者提供及び同意について検討していきたい^［10］。

（2）利用目的

まず、利用目的の公表・通知との関係で、どのタイミングで個人情報を取得するのかが問題となる。例えば、Y1の仮想空間中においてX2がシームレスにつながっているという場合、つまり、別途ログインしなくても、Y1に一度ログインさえすれば、X2に入って品物を検索したり、選択したりすることができ、そしていざ商品を購入するという段階ではじめてXがWから直接、又はYを通じてWの情報を得るという場合を考えよう。この場合は、上記の検索のアナロジーでいうと、X2上で商品を選んでいる段階では、まだXはWの個人情報を取得していないと評価される可能性がある。しかし、例えばWが自分の自画像をもとにしたアバターを利用しているとか、WのユーザーIDがWのアバターの周囲に表示されており、特に、その際にWがユーザーIDとして実名を利用している^［11］等であれば、Wが商品を選んでいる段階で既にXとしてWの個人情報を取得しているとみなされる可能性がある。

取得の時期がどの段階であるかという問題は、どのようにプライバシーポリシーにおいて利用目的を公表するかに関係してくる。例えば、一般的なホームページ（HP）の利用形態を想定して、個人情報保護委員会は「自社のホームページのトップページから1回程度の操作で到達できる場所への掲載」をすべきとする^［12］。このような議論は、ユーザーとして、HPに容易にアクセスできるということが前提となっている。しかし、メタバースにおいては、X2モール（仮想空間上の拠点）こそが、まさに従来型のHPのような役割を果たしている。そうすると、もし、従来どおりXがその（メタバース外の）HP上にプライバシーポリシーを掲載するだけで良い、とすれば、もしユーザーWとして利用目的を知りたいと考えた際、わざわざXのHPを検索してプライバシーポリシーを確認する必要がある。このような追加的なユーザーの負担をどのように考えるべきだろうか。

ここで、個人情報の取得が会員登録時であれば、多くのサイトは会員登録時に、プライバシーポリシーと規約を確認して同意をさせるUIを採用しており、そのような方法で個人情報取得前にユーザーはプライバシーポリシーを確認することができる。そこで、もしこの事例でも、個人情報の取得時が会員登録時であれば、これによって適切な公表通知対応がされていると評価することができる可能性がある。しかし、上記のように個人情報をより早期に取得しているとすると、その段階では遅いかもしれない^［13］。

ここで、Q1-59が「『公表』とは、広く一般に自己の意思を知らせることであり、公表に当たっては、事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法による必要があります。ホームページで公表することも可能と解されますが、当該店舗に来訪した者にとってそのホームページが合理的に把握可能であることを含め、分かりやすい場所への掲載が求められるものと解されます。」としていることは、公表方法において参考になると思われる。すなわち、個人情報保護委員会は、具体的場面において合理的に把握可能な方法で利用目的を公表せよとしている。本件でも、いかに合理的にCAを利用するユーザーに当該情報を知らせるか、という側面から工夫を凝らすべきだ、ということになるだろう。

例えば、Y1メタバース上のX2のショッピングモールに入る際に、ポップアップを出して、「ここからはX2の管理するショッピングモールです。プライバシーポリシーはこちら」として、プライバシーポリシーをクリックできるようにするとか、ショッピングモールの入場口でプライバシーポリシーを見られるようにするとか、X2ショッピングモールにいる間は常に隅に自動表示される「？」といったアイコンをクリックするとプライバシーポリシーを選択できる等、具体的実装には色々な方法があり、また、それらを組み合わせることも考えられるが、メタバースという事業の性質及びそこにおける個人情報の取扱状況に応じた合理的かつ適切な方法を模索すべきである。

なお、上記と異なり、Y1メタバースからX2に入るに際して何らかの認証や登録が必要な（いわば、シームレスではない）場合には、X2に入る際の手続きの一つに、プライバシーポリシーを示して同意をしてもらうという方法を入れることが考えられるだろう。

（3）取得対象データ

メタバースにおける個人情報の取り扱いが、他と特に異なる点としては、ユーザーの行動データ、会話データ、ユーザーの体の動き、視線、表情などの情報を収集できるため、取得されるデータが大量かつ、より詳細である¹⁴という点が指摘されている。

ここで、GDPR（EU一般データ保護規則）はデータ最小化原則を定めているところ、日本においては、法22条が必要のないデータの遅滞なき消去を定めており、また法18条1項はあらかじめ本人の同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならないとしているものの、それら以上に明文でデータ最小化原則を定めるものはない。もっとも、一度個人情報を取得してしまえば、XやZ等の個人情報取扱事業者は、例えばそれが個人データであれば安全管理（法23条）を行う必要がある。

特に、現実世界の店舗にカメラを設置して顧客の顔画像等を取得するのであれば、顔画像のみを例えば時系列に並べるだけである限り単なる個人情報に過ぎない¹⁵。そこで個人データに関する義務が掛からないと解する余地があった。これに対し、メタバースでは、個人IDに紐付けてユーザーの情報を取得することが容易である。そこで、そのような情報を取得すれば、それは個人を対象に検索できるとして個人データ（及び原則として保有個人データ）となる可能性が高まることが指摘できるだろう。つまり、取得した情報につき、個人情報に関する義務のみならず、個人データや保有個人データに対する義務もすべて掛かってきてしまうのである。

そのような観点からは、「データの量が多いことが正義（more data）」という考えに少し歯止めを掛け、そもそもその情報は（仮に取得しようと思えば取得できるとしても）本当に取得が必要なのか、という観点で再考するべきである。

例えば、X2ショッピングモールにおいて、ある顧客WがWの（中の人）の顔写真をアバターとして、また、アバターの周囲にWというIDが表示されるようにしてどのような商品があるかX2ショッピングモールの中を見回って、例えばZのブースに来たとしよう。そのタイミングで、XやZとしては、個人情報を（IDに紐づけた個人データの形で）取得しようと思えば、いつでも取得できるだろう。しかし、それをあえて取得しないということが望ましい場合があるということである。

問題は、このように、情報を少なくとも積極的には取得しないこととしても、既にWがZのブースに来訪し、XやZの従業員¹⁶が、アバターに付されたWというIDを見た段階で、もはや個人情報を取得済みとみなされるのではないか、という点である。

しかし、Q4-4では、「個人情報を含む情報がインターネット等により公にされている場合、①当該情報を単に画面上で閲覧する場合、②当該情報を転記の上、検索可能な状態にしている場合、③当該情報が含まれるファイルをダウンロードしてデータベース化する場合は、それぞれ『個人情報を取得』していると解されますか。」という問いに対し、個人情報保護委員会が、「個人情報を含む情報がインターネット等により公にされている場合、それらの情報を①のように単に閲覧するにすぎない場合には『個人情報を取得』したとは解されません。一方、②や③のようなケースは、『個人情報を取得』したと解し得るものと考えられます。」と回答している¹⁷。そうすると、本件でも、単に「見た」というだけでそれを記録しないのであれば、取得が否定される余地は十分にあり得ると思われる。

とは言え、Q1-16は「個人情報取扱事業者が、一連の取扱いにおいて、特定の個人を識別することができる顔画像を取得した後、顔画像から属性情報を抽出した上で、当該属性情報に基づき当該本人向けに直接カスタマイズした広告を配信する場合、当該顔画像を直ちに削除したとしても、個人情報を取り扱って広告配信を行っていると解されます」としている。例えば取得直後に削除したとしても、一瞬でも（個人情報となる）アバター画像を取得して例えばどのようなリコメンドをすべきかについて分析する等するのであれば、それは個人情報の取得となる。

なお、ある個人情報を取得しているとみなされる行為を行った場合において、取得の方法がどのようなものか¹⁸を伝える義務については必ずしも個人情報保護法上明確に認められるものではない¹⁹。

もっとも、そもそも本人として個人情報が取得されていることが分からない場合もあるだろう。この場合については、カメラでの取得に関するものであるがQ1-13は「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならないため、カメラの設置状況等から、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能といえない場合には、容易に認識可能とするための措置を講じなければなりません（法第20条第1項）。例えば、防犯カメラが作動中であることを店舗や駅・空港等の入口や、カメラの設置場所等に掲示する等の措置を講じることが考えられます。また、外観上、カメラであることが明らかである等、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能であったとしても、上記例で示した掲示等の措置を講じることにより、より容易に認識可能とすることが望ましいと考えられます。」としている²⁰。要するに、消費者WとしてXやZに情報を取得されたと思われる段階以前において、XやZが取得に該当するような行為を行うのであれば、その旨を本人において容易に認識可能となるような措置を講じるべきである。

この点は、上記（2）の利用目的のところで適切にプライバシーポリシーを表示する際に、取得をする旨が認識可能になるようにするということが考えられる²¹。

なお、トラッキングによりアバター上も足を引いている様子等が映り、身体障害という要配慮個人情報が明らかになることはあるが、政令9条1号は「本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合」は本人の同意なく取得可能としており、本人同意が不要な可能性がある²²。

（4）第三者提供

CA同士がX2上でやり取りをする中でどこまでが第三者提供となるかについては、SNSに関する議論が参考になる。

通則編3-6-1*2は「ブログやその他のSNSに書き込まれた個人データを含む情報については、当該情報を書き込んだ者の明確な意思で不特定多数又は限定された対象に対して公開されている情報であり、その内容を誰が閲覧できるかについて当該情報を書き込んだ者が指定していることから、その公開範囲について、インターネット回線への接続サービスを提供するプロバイダやブログその他のSNSの運営事業者等に裁量の余地はないため、このような場合は、当該事業者が個人データを第三者に提供しているとは解されない。」としている。

これをメタバースに応用すれば、メタバースの公開の場において不特定多数の人に公開されることを前提に、何らかの言動を行った場合、その言動を他のメタバースユーザ等が知ることは、本人が自ら公開しているものであって、Y1メタバースを運営するYや、そのプラットフォーム上でX2ショッピングモールを運営するXが（仮にY1上やX2上での行為であっても）個人データを（例えば当該公開された言動を視聴・鑑賞等する第三者に対して）第三者提供をしている訳ではないとなるだろう。

しかし、例えばX2ショッピングモール上（又はZのスペース上）において商談ブースのようなものを作成し、一度非公開で情報を取得した上で、その上でかかる取得情報を第三者に提供するのであれば、このような情報は本人が公開したとはみなすことはできないだろう。

なお、本事例においては、Yの提供するY1メタバース上にX2オンラインショッピングモールが構築されているところ、その関係でYがXに対して、又は、XがYに対して個人データを提供するのであれば、その点についても第三者提供として原則として本人同意が必要である（法27条）。

（5）同意

なお、第三者提供に関する同意等については、メタバースのアバターであれば、例えば子どもが大人のアバターを利用する等して、外見だけからは年齢が分からないという性質がある。この点において、現実世界とは相違がある。基本的には、12～15歳まで以下の子どもについての第三者提供では法定代理人等からの同意が必要とされている²³ところ、ショッピングを行うというX2の性質からすれば、（想定される商品の販売価格如何にもよるが）利用規約で利用者を16歳以上や18歳以上に限定する等した上で、本人名義のカード以外を用いようとしている等の疑問があれば年齢確認をする等の対応が望ましい。

5．X2で国際販売も行う場合

（1）はじめに

以上に加え、X2において国際販売を行う場合及びXが外国業者である場合について検討しよう。すなわち、メタバースは国境を越えることから比較的容易に外国向けの販売や外国からの販売が可能であるものの、その場合には、上記4と個人情報の取り扱いに関し、どのような相違があるのだろうか²⁴。

（2）X2において国際販売を行う場合

この点、外国居住者であっても、個人情報保護法上の本人である以上、Xらは4の場合と同様の義務を負うことになる。

加えて、外国にある第三者に対する個人データの提供の問題が生じる（法28条）。例えばVRゴーグルを販売するのであれば、その配送を現地の配送業者に委託する場合があり、そのために、Wの住所氏名等を配送業者に提供する必要がある。これは外国にある第三者への個人データの提供（以下、「外国第三者提供」という）にあたる。

ここで、外国第三者提供についても、原則として本人同意を得る必要があるところ、その本人同意取得の際には、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他参考となるべき情報を当該本人に提供しなければならない（28条2項）。

また、委託に伴う外国第三者提供であれば、相当措置²⁵を講じることで同意不要とすることができる（法28条1項括弧書き）。なお、委託であれば、安全管理のために、外的環境の把握（通則編10-7）を行い、それに応じた措置を講じた上でそれを本人が知り得る状態に置く（法32条）必要がある。

上記にもかかわらず、EU又は英国であれば、国内と同様に取り扱うことができる²⁶。

（3）Xが外国業者である場合

Xが外国の業者の場合、法171条が、個人情報取扱事業者が、国内にある者に対する物品又は役務の提供に関連して、国内にある者を本人とする個人情報を、外国において取り扱う場合についても、個人情報保護法を適用するとしている。そこで、Xが商品販売や役務提供過程で得た日本居住者の個人情報取り扱いには日本の個人情報保護法が適用される。また、例えば日本語でのプライバシーポリシー提供なども必要である²⁷。

本研究は、JSTムーンショット型研究開発事業、JPMJMS2215の支援を受けたものである。本稿を作成する過程では慶應義塾大学新保史生教授及び情報通信総合研究所栗原佑介主任研究員に貴重な助言を頂戴し、また、早稲田大学博士課程杜雪雯様及び同修士課程宋一涵様に裁判例調査及び脚注整理等をして頂いた。加えてWorld Trend Report編集部の丁寧なご校閲を頂いた。ここに感謝の意を表する。