はじめに
2026年3月下旬、高校3年生のかろん氏(@KaronDAAA)が、Twitter風のUIをベースに複数のSNS機能を融合させた新たなソーシャルメディアプラットフォームをリリースした。
リリース直後は不具合が相次いだものの、その独自性と将来性から注目を集め、評価は賛否が分かれる形となっている。
しかし、個人開発ゆえの限界か、利用規約の整備やプライバシーポリシーの具体性、さらには権利侵害への対応策など、法務上のリスクについてはまだ払拭しきれていないとの指摘もあり、今後の持続的な運営に向けた課題として残っている。
Karotter: https://karotter.com/
Karotterの特徴
基本的なUXは既存の特にネーミング元であるTwitterに近いものでユーザーは直感的に利用でき短文投稿・リプライ・タイムライン閲覧といった基本機能はシンプルに整理されている。
一方で、内部的には複数の機能が統合されており、単なるクローンではなく「拡張されたSNS」として設計されている点が興味深い。開発者曰く、TwitterにDiscordを融合させた設計であるとのこと。
Twitterの様な短文投稿のみならず、通話、絵チャット、サークル(見せたい相手だけを集め、小さな公開範囲を作れる)等の多種多様な機能が備わっている。
また、KarotterではAPIが提供されているため、容易に投稿botの作成や外部アプリケーションとの接続が可能だ。
国内の個人運営SNSが少ない理由
個人開発者がなぜここまで日本でSNSやコミュニケーションツールを展開しないのかその理由は日本であるが故の厳粛な法務上のリスクにある。冒頭での指摘部分と密接に関係します。
- 届出電気通信事業者になるため
- 個人情報保護法が絡むため
- プロバイダー責任法が絡むため
届出電気通信事業者になるため
電気通信事業者には3つのパターンがあることはご存じでだろうか?
- 届出電気通信事業者「第二種」
- 登録電気通信事業者「第一種」
- 非届出電気通信事業者
正確には、「登録・届出を要しない電気通信事業者」と呼称する
登録電気通信事業者とは、総務省に電気通信事業者の開始を登録し認可されることで通信事業役務、主にインターネット接続サービスを提供するプロバイダーなどを指す。一方で、届出電気通信事業者「第二種」は、通信事業の役務が登録を要しないが総務省への届け出を有する事業を営む者またこれを行った者を指す。
本サービスは、特定の利用者に対して双方向にメッセージ送信ができるDM[ダイレクトメッセージ」と呼ばれる機能が備わっているため届出電気通信事業者「第二種通信役務」に該当する。開発者本人も関東総務局へ届済みとのこと。
「必要な届出を行っているのか」というご質問を複数いただいておりますが、当方は関東総合通信局へ電気通信事業の届出を行っています。
届出番号A-06-22071です。
本人のX投稿より引用
令和6年9月24日に通知されました。
非届出電気通信事業者についてはこちらで解説しています。
通信役務を提供する通信事業者は届出の有無を問わず以下の責任が発生します。
- 通信の秘密の保持運営者がDMを覗き見ることは刑事罰の対象。
システムトラブル時のデータ扱いに高度な慎重さが求められる。 - 通信の停止・制限児童ポルノや誹謗中傷など、違法な通信を遮断・制限する際の法的判断を、個人でミスなく行えるか。
外部送信規律 - Cookieや解析ツールの利用状況を透明化し、ユーザーに適切に通知・公表し続ける実務負担。
- プロバイダー責任法
被害者からの「発信者情報開示請求」に対し、ログの保存状況を確認し、法に基づいた適切な開示(または拒絶)判断を下す責任があります。 - 個人情報保護法
個人情報取扱者として収集する個人情報の扱いかたや収集目的を明確にさせ利用者の個人情報(プライバシー)を保護する法律→改正電気通信事業法「外部通信規律」と連動。
当然これらのほうは我々のようなウェブメディア(ブログを含め)でも発生する。
個人情報保護法が絡むため
電気通信事業の概要について理解したところで更に深層である外部通信規律を含めた「プライバシーポリシー」に関する法律「個人情報保護法」について見ていこう。
個人情報保護法は、個人情報保護法等並びに個人情報の保護に関する法律で定められた個人を特定する情報「パーソナルデータ」またはそれに関連する個人関連情報を取り扱う事業者「個人情報取り扱い事業者」に対する法的責任と義務を規定する法令です。
- 個人情報取り扱い事業者はその名称と所在地・連絡先を公表または通知せよ
- 法人であれば法人名と代表者氏名と個人情報取扱主任者の氏名
- 個人であれば氏名
- 住所
- 電話番号やメールアドレスもしくは問い合わせフォームへのリンク
- 身元を証明できる情報「要配慮個人情報」は厳密に管理・保管し必要なくば取得を禁ズる
- 病歴・心身の障害: 通院履歴や健康診断の結果など。
- 犯罪の経歴・被害事実: 過去の逮捕歴や、犯罪被害に遭った事実。
- 信条・宗教: 支持政党や信仰している宗教。
- 社会的身分: 自らの努力で変えることができない属性。
- 人種・民族: 差別につながる恐れのある出自情報。
これらは雇用や行政上など明確に利用する目的がある場合を除いて取得すること自体が認められない。
- 個人を特定する情報「パーソナルデータ」を取得・利用するときはその目的・保管方法を明確にせよ
- 住所
- 氏名
- 電話番号
- 生年月日
- メールアドレス
これらを取得・使用する場合はその利用目的や取得方法を明確にしなくてはなりません。
- 個人を特定できる符号「個人識別情報」は取得目的・利用目的明確せよ
- Cookie
- ID
- 会員番号
- 社員番号等
- IPアドレス
これらを取得・使用する場合はその利用目的や取得方法を明確にしなくてはなりません。
- 要配慮個人情報を除いて個人情報を第三者(グループ企業を含む)に提供する場合はその目的を公表せよ
- Cookie
- 電話番号
- メールアドレス
- 氏名
- 住所
- 生年月日
- ID
- 社員番号等
- IPアドレス
これらを第三者事業者(グループ企業を含む)に提供共有する場合はその目的と方法を事前に公表・通知しあらかじめ同意を得なくてはなりません。
- 利用者また利害関係者からの開示・訂正・削除の求めがある場合は延滞なく応じよ
利用者並びに利害関係人(弁護士)等からの開示・訂正・削除の請求を受け付ける方法と費用並びに通知方法を明確にしなくてはならない。
- これらは利用者が容易に知り得る状態にせよ
- プライバシーポリシーの策定
- 個人情報保護指針「プライバシーステートメント」の策定
- オプトアウトツールの導入
いずれの三つの方法で利用者はいつでもその事業者のことや個人情報に関する方針を知ることができるようにされていなければなりません。
これが個人情報保護法。
外部通信規律はこれを電気通信という面で補完する規律
改正電気通信事業法における外部通信規律はこの個人情報保護法を電気通信という性質で補完規律で電気通信事業者は、プライバシーポリシー等に以下の情報を列挙しなくてはならない。
電気通信事業者が外部のSDK(解析ツールや広告タグなど)を利用する場合、利用者の端末から外部サーバーへ情報が飛ぶ前に、以下の情報を「利用者が容易に知り得る状態」にしなければなりません。
- 電気通信事業者の名称
- 住所
- 電話番号
- メールアドレス
- 通信先の情報
- 企業名
- 連絡先
- 利用目的
- 送信内容
- プライバシーポリシー等のリンク
これらを1社も漏らさず列挙するか・・・オプトアウトという方式CMP「同意管理プラットフォーム」を通じて同意が得れるまで通信を制限しなくてはならない。
プロバイダー責任法
プロバイダー責任法とは、特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律)と呼び通信事業の提供者とその利用者における利害関係における発信者の情報に関する保管・管理・開示に関する法律。
- プロバイダーはみだりに発信者の情報を開示してはいけない
- 権利侵害者「利害関係人」による発信者情報開示請求を受け付ける体制を整えなくてはならい
- 開示請求を受けた場合延滞なく期限を定め発信者に情報開示の同意を得なくてはならず期限を持って同意が得れない場合は利害関係人に延滞なく開示を行いその旨を発信者に通知しなくてはならない。
- プロバイダ責任制限法および個人情報保護法における開示請求を行われたときプライバシーポリシー等で公表していない通信事業者の氏名・住所・電話番号やメールアドレスを延滞なく通知しなくてはならない。
これらがあるためにブログも匿名「ペンネームなどだけでは運営できないのである。」
| 法律・規律 | 個人開発者にとっての「壁」 |
| 電気通信事業法 | 「事業者の自覚」の強制: DM機能一つで「届出(A-06-22071)」が必要となり、大手キャリアと同等の通信の秘密保持義務を負う。 |
| 個人情報保護法 | 「負債」の管理: ユーザーのプライバシーを預かる以上、漏洩時の賠償責任は個人の全財産に直結する。 |
| 外部送信規律 | 「透明性のコスト」: 1社も漏らさず外部送信先を列挙するか、高度な同意管理(CMP)を実装し続けなければならない。 |
| プロバイダ責任制限法 | 「裁定者の重圧」: 被害者と加害者の板挟みになり、法的知識に基づいた「開示・非開示」の決断を遅滞なく下さねばならない。 |
| 実名性の強制 | 「匿名の終焉」: ペンネームで活動していても、法的手続きが生じれば運営者自身の氏名・住所を隠し通すことはできない。 |
これですべてのインターネット事業に関する法律を整理することができ合わせて国内で個人開発者がSNSなどのコミュニケーションサービスを運用するのが困難である障壁であることも理解できたのではないでしょうか?
Karotterはどこまで準拠しているか?
筆者は利用登録すらしていないが実際にKarotterにアクセスしてKarotterはどのレベルで準拠できているかを実際に見てきた。
- 電気通信事業の届出〇
- 個人個人情報保護法△
- 外部通信規律×
- プロバイダー責任法?
- 利用規約△
個人個人情報保護法△および外部通信規律×の理由
筆者が個人個人情報保護法△と外部通信規律×にした理由は以下の通りです。
- プライバシーポリシーがログインUIにしか設置されていない
これは利用者が容易に知り得る状態にあるとは言えない。
サイドバー内に入れるかフッターに配置しどのページからでもリンクを使用できるようしなくてNG - 個人情報開示について明確な規定がない
個別対応するので詳しくはメールで・・・はNG
明確に開示請求のプロセスや費用を記載しなくては準じてるとは言えない。 - 運営者情報について不透明
個人が運営する営利団体であろうと法人であろうと実名は公表が必要できなくば開示請求に関する規定で
延滞なく通知することを明記しなくてはならない。 - 外部送信先が不透明
将来導入できるという曖昧表現であるだけで一切外部送信先が列挙されていない。
現にアクセス解析としてアナリティクスを使用しているのであればGoogleを送信先として列挙しなくてNG
補足としてcloudflareinsightsでビーコン情報を送っているのでやはりCloudflrareの列挙もないのは改正電気通信事業法第27条の12への直接的な違反に当たる。
プロバイダー責任法?の理由
プロバイダー責任法?にした理由は単純で発信者情報開示に関する規定が利用規約にも個別の規約にも一切規定がなかったため。
被害者(利害関係人)がどこから、どのような書式で「発信者情報開示請求」を行えばよいのか、その導線が規約に一切記されていません。
- 意見照会プロセスの明文化なし
開示請求を受けた際、運営者が発信者に対して行う「意見照会(開示してよいかどうかの確認)」の手順や回答期限が不明です。これでは発信者側の防御権も守られません。
- 損害賠償制限(免責)の要件不備
運営者が適切な削除対応や開示対応を行うことで損害賠償を免れるための「ガイドライン」が規約にないため、トラブル時に運営者自身が法的責任を過度に負うリスクがあります。
利用規約△と判断した理由
利用規約△と判断した理由は対象年齢6歳以上としている点だいくらデジタルネイティブ世代とはいえ、年齢6歳「小学生」では、まだ適切な判断が行えずSNSという不特定多数とやりとりを行う場に登場にするには早期すぎる。
一般的に、子供に不法行為の責任(他者への誹謗中傷や権利侵害)が認められるのは12歳前後(小学校卒業程度)とされています。6歳児がトラブルを起こした場合、運営者は「責任能力のない者」を無防備に放流していることになり、監督責任を問われるリスクが生じます。
- 2. 同意の有効性と保護者確認の欠如
個人情報保護法や民法に基づき、未成年者の利用には保護者の同意が必須です。しかし、6歳児が自分一人で規約を読み、理解し、適切に同意を得ているかをシステム的に担保するのは、現在のKarotterのUI(ログイン画面のみのポリシー等)では極めて困難です。
- 3. 児童オンラインプライバシー保護(COPPA等)への意識
世界的な基準(COPPA等)では13歳未満のデータ収集には非常に厳格な制限があります。日本国内においても、6歳児の行動データや発信内容を「事業」として扱うことは、児童保護の観点から行政や社会から非常に厳しい目に晒されます。
結論:国内個人開発の「見えない壁」
今回の分析から、日本国内で個人がSNSを運営する難しさは、単なる「開発力」ではなく、これら膨大な「法務実務の維持コスト」にあることが明確になりました。
- 届出(○):スタートライン
- 運用(△・×):ユーザーを守り、自分(運営者)を守るための実務。ここが埋まらない限り、法務リスクは「払拭しきれない」まま残る。
ペンネームや匿名で運営していても、これらの法的手続きが発生した瞬間に運営者の身元は法的に引き出されます。かろん氏の挑戦は、技術的な成功以上に、この「法務のデバッグ」を完遂できるかどうかが、真の分水嶺となるでしょう。