SaaS・サブスクリプションビジネスの利用規約—ユーザーデータの利用権確保

2019.06.03更新

利用規約

利用者が入力するデータやアクセス履歴等を利用・公開する権利について、事業者としてどこまでを確保するかは、事業運営スタンスにも関わる問題です。SaaS・サブスク利用規約シリーズの入門編第7回では、日米の業界ひな形に見られる温度差について整理します。

SaaS・サブスク事業者によるユーザーデータ利用の是非

SaaS・サブスクリプションサービスを提供する事業者は、ユーザーにそのアクセスや利用を認めているネットワーク、コンピュータ、ディスク領域で構成されるシステム全体を掌握する、いわば「システム管理者」の役割を担っています。

そのため、ユーザーがサービス上に書き込みアップロードするデータやファイルはもちろんのこと、アクセスしたコンテンツ・コマンドなどの操作履歴、利用頻度や時間帯等のすべてを把握しうる立場にあります。

一方で、第三者であるSaaS・サブスク事業者からそのサービス上での行動を覗き見られたり分析等に利用されることについて、ユーザーから見れば情報の安全性やデータに関する何らかの権利が脅かされていると感じる 場面もあるでしょう。

（1）サブスク事業者が公開したデータからユーザー個人が特定されたトラブル

実際、サブスクリプションサービスを提供する事業者が、ユーザーによるサービス上での行動履歴データを利用・公開してトラブルとなった事例が存在します。そのリーディングケースとなったのが、Netflix Prize事件 です。

https://www.netflixprize.com/index.html 2019年6月3日最終アクセス

この事件では、同社がユーザの嗜好に合わせて映画をレコメンドするアルゴリズムを強化すべく、コンテストの開催を企画。その分析対象データとして約50万人のユーザの映画視聴履歴と評価を匿名化して参加者に提供したところ、Netflixでの映画レンタル時期と映画レビューサイトIMDbへの書込み時期とが符合し個人が特定できてしまうという、プライバシー上の問題が発生しました。

本件については、訴訟となりかけたところでFTCが介入し、Netflix社が解決金を支払うことで和解しています。

（2）大量に集積したデータの財産的権利が争われたトラブル

また、サブスクリプションサービスでのトラブルではありませんが、事業者が大量に集積したデータを第三者が流用することにつき、その財産的権利の帰趨が争われた事例として、翼システム事件（東京地裁中間判平成13年5月25日判時1774号132頁）があります。

この事件では、原告翼システム社が作成し販売した10万車両を超える実在車両のデータベースについて、その著作物性は否定しながら、被告システムジャパン社が当該データをデッドコピーし販売していた行為を民法709条の不法行為と認定、約5,600万円の損害賠償を認めています。

事業者が利用できるユーザーデータの境界線を定義していない規約は多い

事業者が細心の注意を払い、ユーザーデータを個人情報と切り離し統計的に処理し、または著作物に該当しない個々の入力データを集積して加工するぶんには、法的に問題なく利用・公開することもできます。しかし、上記のような トラブルを防止しデータ利用を明確な権利として確保するためには、利用規約においても明確にユーザーの同意を取り付けておくべき でしょう。

この点、伊藤雅浩ほか『ITビジネスの契約実務』でも、以下のようにその重要性が指摘されています。

ユーザの利用状況に基づいてサービスが向上すれば、ユーザにとってもメリットがある。他方で、クラウドサービスは、サービス提供者に情報が筒抜けとなってしまい、セキュリティに問題があるという指摘もある。（中略）クラウドサービスであればなおさら、ユーザの利用状況は秘匿されるべき情報であることから、トラブルが生じないようにするため、サービス提供者が利用できる情報の範囲について境界線を定めておくことが重要である。
（伊藤雅浩ほか『ITビジネスの契約実務』（商事法務,2017）P155）

ところが、日本のSaaS・サブスクサービスの利用規約においては、こうしたデータの利用権について具体的に記載された例はまだ少ない のが現状です。

たとえば、JISAが公開するASPサービスモデル利用規約においては、事業者のデータの利用権に関する規定例は示されていません。また、経済産業省が公開する「クラウドセキュリティガイドライン活用ガイドブック」では、IaaS・PaaS的なクラウドサービスを前提としていることもあり、利用者データへのアクセスそのものを「やむを得ない理由」等に限定する規定となっています。