MENU
ロジックで読み解き、エモーションで遊ぶ
  1. ホーム
  2. インフラ
  3. 『「届出済み」の裏に潜む法的欠陥――Karotterが直面する特定通信役務の壁』

『「届出済み」の裏に潜む法的欠陥――Karotterが直面する特定通信役務の壁』

インフラ

「通信が暗号化されていない(非暗号化)」といった技術的な不備を指摘するのは容易です。しかし、そこを批判する前に、私たちはサービスそのものの『法令全体の準拠性』を厳しく問わなければなりません。

特に、特定通信役務を営む「届出電気通信事業者」という肩書きは、決して免罪符ではありません。『届出を出した=法令を遵守している』というわけではなく、それはあくまでスタートラインに過ぎないからです。

通信の秘密の保持、改正電気通信事業法に基づく外部送信規律、そして個人情報保護法が求める実質的な本人関与の担保。これらのリーガル・レイヤーが崩壊した状態で、技術的なセキュリティを議論することに意味はありません。本記事では、目に見える「不具合」の奥に潜む、サービスとしての根本的な『適格性』について、ログと条文から解剖していきます。

  • 改正電気通信事業法における「外部送信規律」への適合性
  • 個人情報保護法が求める「透明性」と「本人関与」の欠如
  • プロバイダ責任制限法に基づく「発信者情報開示」への対応能力

これは単なる批判ではなく、個人開発SNSが持続可能なコミュニティへと成長するために不可欠なプロセスです。パケットログと条文を照らし合わせ、現状のKarotterが抱える「見えないリスク」を可視化します。

あわせて読みたい
高校三年生が開発・運営するSNS「Karotter」が話題?! 「高校3年生が開発したことで話題のSNS『Karotter』。TwitterライクなUIで注目を集めていますが、利用する前に知っておきたい技術的な特徴や、現在の開発状況を整理しました。」
目次

国内の個人運営SNSが少ない理由

個人開発者がなぜここまで日本でSNSやコミュニケーションツールを展開しないのかその理由は日本であるが故の厳粛な法務上のリスクにある。冒頭での指摘部分と密接に関係します。

  • 届出電気通信事業者になるため
  • 個人情報保護法が絡むため
  • プロバイダー責任法が絡むため

届出電気通信事業者になるため

電気通信事業者には3つのパターンがあることはご存じでだろうか?

  • 届出電気通信事業者「第二種」
  • 登録電気通信事業者「第一種」
  • 非届出電気通信事業者
    正確には、「登録・届出を要しない電気通信事業者」と呼称する

登録電気通信事業者とは、総務省に電気通信事業者の開始を登録し認可されることで通信事業役務、主にインターネット接続サービスを提供するプロバイダーなどを指す。一方で、届出電気通信事業者「第二種」は、通信事業の役務が登録を要しないが総務省への届け出を有する事業を営む者またこれを行った者を指す。

本サービスは、特定の利用者に対して双方向にメッセージ送信ができるDM[ダイレクトメッセージ」と呼ばれる機能が備わっているため届出電気通信事業者「第二種通信役務」に該当する。開発者本人も関東総務局へ届済みとのこと。

「必要な届出を行っているのか」というご質問を複数いただいておりますが、当方は関東総合通信局へ電気通信事業の届出を行っています。

届出番号A-06-22071です。
令和6年9月24日に通知されました。

本人のX投稿より引用

非届出電気通信事業者についてはこちらで解説しています。

通信役務を提供する通信事業者は届出の有無を問わず以下の責任が発生します。

  • 通信の秘密の保持運営者がDMを覗き見ることは刑事罰の対象。
    システムトラブル時のデータ扱いに高度な慎重さが求められる。
  • 通信の停止・制限児童ポルノや誹謗中傷など、違法な通信を遮断・制限する際の法的判断を、個人でミスなく行えるか。
    外部送信規律
  • Cookieや解析ツールの利用状況を透明化し、ユーザーに適切に通知・公表し続ける実務負担。
  • プロバイダー責任法
    被害者からの「発信者情報開示請求」に対し、ログの保存状況を確認し、法に基づいた適切な開示(または拒絶)判断を下す責任があります。
  • 個人情報保護法
    個人情報取扱者として収集する個人情報の扱いかたや収集目的を明確にさせ利用者の個人情報(プライバシー)を保護する法律→改正電気通信事業法「外部通信規律」と連動。

当然これらのほうは我々のようなウェブメディア(ブログを含め)でも発生する。

個人情報保護法が絡むため

電気通信事業の概要について理解したところで更に深層である外部通信規律を含めた「プライバシーポリシー」に関する法律「個人情報保護法」について見ていこう。

個人情報保護法は、個人情報保護法等並びに個人情報の保護に関する法律で定められた個人を特定する情報「パーソナルデータ」またはそれに関連する個人関連情報を取り扱う事業者「個人情報取り扱い事業者」に対する法的責任と義務を規定する法令です。

  • 個人情報取り扱い事業者はその名称と所在地・連絡先を公表または通知せよ
    • 法人であれば法人名と代表者氏名と個人情報取扱主任者の氏名
    • 個人であれば氏名
    • 住所
    • 電話番号やメールアドレスもしくは問い合わせフォームへのリンク
  • 身元を証明できる情報「要配慮個人情報」は厳密に管理・保管し必要なくば取得を禁ズる
    • 病歴・心身の障害: 通院履歴や健康診断の結果など。
    • 犯罪の経歴・被害事実: 過去の逮捕歴や、犯罪被害に遭った事実。
    • 信条・宗教: 支持政党や信仰している宗教。
    • 社会的身分: 自らの努力で変えることができない属性。
    • 人種・民族: 差別につながる恐れのある出自情報。

これらは雇用や行政上など明確に利用する目的がある場合を除いて取得すること自体が認められない。

  • 個人を特定する情報「パーソナルデータ」を取得・利用するときはその目的・保管方法を明確にせよ
    • 住所
    • 氏名
    • 電話番号
    • 生年月日
    • メールアドレス

これらを取得・使用する場合はその利用目的や取得方法を明確にしなくてはなりません。

  • 個人を特定できる符号「個人識別情報」は取得目的・利用目的明確せよ
    • Cookie
    • ID
    • 会員番号
    • 社員番号等
    • IPアドレス

これらを取得・使用する場合はその利用目的や取得方法を明確にしなくてはなりません。

  • 要配慮個人情報を除いて個人情報を第三者(グループ企業を含む)に提供する場合はその目的を公表せよ
    • Cookie
    • 電話番号
    • メールアドレス
    • 氏名
    • 住所
    • 生年月日
    • ID
    • 社員番号等
    • IPアドレス

これらを第三者事業者(グループ企業を含む)に提供共有する場合はその目的と方法を事前に公表・通知しあらかじめ同意を得なくてはなりません。

  • 利用者また利害関係者からの開示・訂正・削除の求めがある場合は延滞なく応じよ
    利用者並びに利害関係人(弁護士)等からの開示・訂正・削除の請求を受け付ける方法と費用並びに通知方法を明確にしなくてはならない。
  • これらは利用者が容易に知り得る状態にせよ
    • プライバシーポリシーの策定
    • 個人情報保護指針「プライバシーステートメント」の策定
    • オプトアウトツールの導入

いずれの三つの方法で利用者はいつでもその事業者のことや個人情報に関する方針を知ることができるようにされていなければなりません。

これが個人情報保護法。

外部通信規律はこれを電気通信という面で補完する規律

改正電気通信事業法における外部通信規律はこの個人情報保護法を電気通信という性質で補完規律で電気通信事業者は、プライバシーポリシー等に以下の情報を列挙しなくてはならない。

電気通信事業者が外部のSDK(解析ツールや広告タグなど)を利用する場合、利用者の端末から外部サーバーへ情報が飛ぶ前に、以下の情報を「利用者が容易に知り得る状態」にしなければなりません。

  • 電気通信事業者の名称
    • 住所
    • 電話番号
    • メールアドレス
  • 通信先の情報
    • 企業名
    • 連絡先
    • 利用目的
    • 送信内容
    • プライバシーポリシー等のリンク

これらを1社も漏らさず列挙するか・・・オプトアウトという方式CMP「同意管理プラットフォーム」を通じて同意が得れるまで通信を制限しなくてはならない。

プロバイダー責任法

プロバイダー責任法とは、特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律)と呼び通信事業の提供者とその利用者における利害関係における発信者の情報に関する保管・管理・開示に関する法律。

  • プロバイダーはみだりに発信者の情報を開示してはいけない
  • 権利侵害者「利害関係人」による発信者情報開示請求を受け付ける体制を整えなくてはならい
  • 開示請求を受けた場合延滞なく期限を定め発信者に情報開示の同意を得なくてはならず期限を持って同意が得れない場合は利害関係人に延滞なく開示を行いその旨を発信者に通知しなくてはならない。
  • プロバイダ責任制限法および個人情報保護法における開示請求を行われたときプライバシーポリシー等で公表していない通信事業者の氏名・住所・電話番号やメールアドレスを延滞なく通知しなくてはならない。

これらがあるためにブログも匿名「ペンネームなどだけでは運営できないのである。」

法律・規律個人開発者にとっての「壁」
電気通信事業法「事業者の自覚」の強制: DM機能一つで「届出(A-06-22071)」が必要となり、大手キャリアと同等の通信の秘密保持義務を負う。
個人情報保護法「負債」の管理: ユーザーのプライバシーを預かる以上、漏洩時の賠償責任は個人の全財産に直結する。
外部送信規律「透明性のコスト」: 1社も漏らさず外部送信先を列挙するか、高度な同意管理(CMP)を実装し続けなければならない。
プロバイダ責任制限法「裁定者の重圧」: 被害者と加害者の板挟みになり、法的知識に基づいた「開示・非開示」の決断を遅滞なく下さねばならない。
実名性の強制「匿名の終焉」: ペンネームで活動していても、法的手続きが生じれば運営者自身の氏名・住所を隠し通すことはできない。

これですべてのインターネット事業に関する法律を整理することができ合わせて国内で個人開発者がSNSなどのコミュニケーションサービスを運用するのが困難である障壁であることも理解できたのではないでしょうか?

Karotterはどこまで準拠しているか?

筆者は利用登録すらしていないが実際にKarotterにアクセスしてKarotterはどのレベルで準拠できているかを実際に見てきた。

  • 電気通信事業の届出〇
  • 個人個人情報保護法△
  • 外部通信規律×
  • プロバイダー責任法?
  • 利用規約△

個人個人情報保護法△および外部通信規律×の理由

筆者が個人個人情報保護法△と外部通信規律×にした理由は以下の通りです。

  • プライバシーポリシーがログインUIにしか設置されていない
    これは利用者が容易に知り得る状態にあるとは言えない。
    サイドバー内に入れるかフッターに配置しどのページからでもリンクを使用できるようしなくてNG
  • 個人情報開示について明確な規定がない
    個別対応するので詳しくはメールで・・・はNG
    明確に開示請求のプロセスや費用を記載しなくては準じてるとは言えない。
  • 運営者情報について不透明
    個人が運営する営利団体であろうと法人であろうと実名は公表が必要できなくば開示請求に関する規定で
    延滞なく通知することを明記しなくてはならない。
  • 外部送信先が不透明
    将来導入できるという曖昧表現であるだけで一切外部送信先が列挙されていない。
    現にアクセス解析としてアナリティクスを使用しているのであればGoogleを送信先として列挙しなくてNG
cloudflareinsightsでビーコン情報を送っている

補足としてcloudflareinsightsでビーコン情報を送っているのでやはりCloudflrareの列挙もないのは改正電気通信事業法第27条の12への直接的な違反に当たる。

プロバイダー責任法?の理由

プロバイダー責任法?にした理由は単純で発信者情報開示に関する規定が利用規約にも個別の規約にも一切規定がなかったため。

被害者(利害関係人)がどこから、どのような書式で「発信者情報開示請求」を行えばよいのか、その導線が規約に一切記されていません。

  • 意見照会プロセスの明文化なし
    開示請求を受けた際、運営者が発信者に対して行う「意見照会(開示してよいかどうかの確認)」の手順や回答期限が不明です。これでは発信者側の防御権も守られません。
  • 損害賠償制限(免責)の要件不備
    運営者が適切な削除対応や開示対応を行うことで損害賠償を免れるための「ガイドライン」が規約にないため、トラブル時に運営者自身が法的責任を過度に負うリスクがあります。

利用規約△と判断した理由

利用規約△と判断した理由は対象年齢6歳以上としている点だいくらデジタルネイティブ世代とはいえ、年齢6歳「小学生」では、まだ適切な判断が行えずSNSという不特定多数とやりとりを行う場に登場にするには早期すぎる。

一般的に、子供に不法行為の責任(他者への誹謗中傷や権利侵害)が認められるのは12歳前後(小学校卒業程度)とされています。6歳児がトラブルを起こした場合、運営者は「責任能力のない者」を無防備に放流していることになり、監督責任を問われるリスクが生じます。

  • 2. 同意の有効性と保護者確認の欠如
    個人情報保護法や民法に基づき、未成年者の利用には保護者の同意が必須です。しかし、6歳児が自分一人で規約を読み、理解し、適切に同意を得ているかをシステム的に担保するのは、現在のKarotterのUI(ログイン画面のみのポリシー等)では極めて困難です。
  • 3. 児童オンラインプライバシー保護(COPPA等)への意識
    世界的な基準(COPPA等)では13歳未満のデータ収集には非常に厳格な制限があります。日本国内においても、6歳児の行動データや発信内容を「事業」として扱うことは、児童保護の観点から行政や社会から非常に厳しい目に晒されます。

総括「Karroterのローチンは速すぎている」

今回の検証を通じて感じたのは、実装スピードに対し、サービスを支えるべき「法務的・倫理的な基盤」の構築が圧倒的に追いついていないという現実です。結論から言えば、Karotterのローンチは、公共の場に出るには早すぎました。

「技術的に作れること」と「サービスとして運営し続けること」の間には、想像以上に深く重い溝があります。UIのアップデートよりも先に、この「地味で重たい法的課題」に向き合わなければ、持続可能なプラットフォームにはなり得ません。

本質的なリスク管理と真の応援】

「高校生だから」は免罪符にならない。真の応援とは何か。

最後に強調すべきは、「高校生が開発したから」という背景は、法的なリスクや責任を回避するための盾にはなり得ないということです。運営者の無知を「若さ」や「挑戦」という大義名分で庇護する空気感は、ユーザー自身が本来感じるべきリスクへの警戒心を麻痺させ、無防備なまま法的リスクの渦中へと飛び込ませる結果を招きます。

リスクをリスクとして正しく認識させず、無責任に利用を推奨する振る舞いは、実質的にユーザー自身を危険に晒す「共同正犯」にも類する行為です。

また、我々のような技術的・法的な検証を行う立場から言えば、「安易に登録して使うべきではない」という点も付け加えなければなりません。法的な不備や懸念がある以上、安易にユーザーとなってしまえば、いざ法的トラブルに巻き込まれた際に「利用規約への同意」が足かせとなり、証拠保全すらままならず、確実に敗北するリスクを背負うことになります。

指摘・批判をするのであれば、登録して使うのではなく、「外側から分析して指摘した上で、静観する」。これが鉄則です。つまり、「使わないのが当たり前」なのです。

真に開発者の将来を応援するのであれば、その未熟さを不自然に庇うのではなく、露呈している法的・制度的な不備を厳しく指摘し、公共のサービスとしてあるべき姿を求めることこそが、技術コミュニティとしての正しい姿勢ではないでしょうか。

結論として、Karotterのローンチは「速すぎている」。

インフラ
SNS Web セキュリティ ブログ 個人情報保護 法令 法律 電気通信事業
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次