LOG IN

法務から見る abuse 対応 #legalAC

by hrgr_Kta

おはようございます、@hrgr_Kta です。
夜型人間なので朝早いのは苦手です。

法務系 Advent Calendar 2016 にようやく参加しました、恥ずかしながらひとネタ書いてみます。
しかしながら電気通信事業者にかかるニッチなネタを選んでしまったので、参考になる方には参考になるかなという感じでお読みください。

abuse 対応とは

私はホスティングやウェブサービスを提供している会社にいる法務でして、サービスを利用するユーザーがいけないことをしてしまったがために発生する、いわゆる「abuse 対応」に関わることがよくあります。
abuse 対応とは、自社サービスのユーザー(やその先にいるエンドユーザー)による第三者への名誉毀損や権利侵害等の迷惑行為について行う提供者側の一連の行為をいいます。
今回は便宜的に、犯罪行為にかかる警察対応(捜査関係事項照会や差押えなど)も含めてしまいます。

さて、B2C や B2B2C のサービスにおいて、abuse 対応に法務はどのように関わるべきか、またどのように対処するとよいか、私のこれまでの経験も踏まえて書いていこうと思います。

そもそもどんな問い合わせが来るか

大きな企業では専用窓口が設置されていたりランディングページが設定してあったりしますが、大抵の企業はカスタマーサポートや一応設けた abuse@ ほげほげのメールアドレスに問い合わせが入ります。
国内にせよ国外にせよ、問い合わせ内容としてはあんまり変わらず次のとおりです。

・便所の落書きから何ページにも渡る大々的な書きぶりまでの様々な名誉毀損
・勝手に個人情報や前科をさらしちゃうなどのプライバシー侵害
・歌詞の完全コピペから違法に複製された音声ファイルや動画ファイルの蔵置までもろもろの著作権侵害
・勝手にロゴや商品名を持ち出してしまうなどの商標権侵害
SPAM 配信
わいせつ画像から児童ポルノまで
・合法ドラッグだの脱法ハーブだの違法薬物の宣伝や販売
……その他もろもろ

フリーミアムのサービスだったり安価なサービスだったりすると、さらにはユーザー数が多ければ多いほど、このような問い合わせがたっぷりと届きます。

法務が事前にできること

対応ポリシーの制定

大きい企業では abuse 対応の専門部隊がいたりしますが、大抵の企業はどこの部署が対応するのか曖昧で、カスタマーサポートだったりエンジニアだったり、はたまたどこにも行き場がなくて法務が全部対応したりということもあるでしょう。
いずれにせよ大事なことは、abuse 対応にポリシーを持つことです。
ポリシーがないと、現場にせよ法務にせよ、その場その場で考えることになってしまい効率が悪くなったり統一感がなくなったりという問題が生じます。

事業部門長や社長など企業それぞれですが、サービスの決定権を持つ人物と予めどのような対応をするか、法務が主導して決めておくべきです。
どのような問い合わせが来てもユーザーの行為を処罰することを避け、あくまで法的書面や官公庁の通達のみを求めるのもいいと思います。
他方、自社のサービスのブランディング上迷惑行為や違法行為は一定程度除外していきたいのであれば、積極的に警告なりサービス提供の停止なりをすることもまた間違っていないと思います。
消極策にしろ積極策にしろ、決定権者が「我が社のサービスはこの対応で行くのだ」という方向性を予め確認しておけば、対応はスムーズに進むと思います。
捜査関係事項照会で提出する情報、差し押さえでないと提出しない情報などもここで決めておくべきです。
このあたりが明確になれば現場はもちろん法務が困ることも少なくなるのではないでしょうか。

利用規約をそれなりに使えるものにしておく

利用規約は法務の専門領域ですから、ここで大きく力を発揮したいところですね。
消極策であろうと積極策であろうと、何があっても利用規約に立ち返って、いざとなれば
そのためには違法行為や迷惑行為を類型化し、これらを禁止する旨の記載がまず必要です。
一般的なものばかり羅列するだけでなく、自社のサービスに特有な事象、傾向のある行為をあえて記載し、現場が対応しやすくなる(法務も論拠にしやすくなる)ようなものにすることが肝要です。
禁止行為が明示されればあとは停止、解約という流れを作っておけば、どのような場合でも対処はしやすくなると思います。

対応部署との連携強化

abuse 対応を法務以外の部署が行う場合、abuse 対応部署との意思疎通を日常的に行うことが重要です。
前述のポリシーや利用規約を理解してもらうことで誤った対応が減るよう、法務から積極的に情報提供なり研修を実施するなりを検討すると良いのではないでしょうか。
逆に法務としては、現場がどのような対応を行っているか、対応件数や対応状況の把握に努めることも傾向と対策を検討する上で大事です。
さらに、技術的にどのような情報が出せるか、自社サービスを日頃から理解しておくために現場からいろんなことを聞いておき、可能であれば記録しておく必要もあるでしょう。
とにかく現場と仲良くなっておかないと、このあたり全然スムーズに進まないので要注意です。

abuse 対応が発生したら

ユーザーや第三者からの問い合わせが来た場合

電話、メール、書面、書式の整っているものからいないものまで、様々来ると思います。
ポリシーが確立されていればそれに従って現場も法務も動けばいいと思います。
もしポリシーが確立されていなかった場合、まずはエビデンス重視の動きをするのが無難です。
電話だけで対応するのは危ないですし、メールで端的に権利侵害されたから止めてなどと言われるならもっと具体的な箇所や理由を求めてよいと思います。
書面が来ても書式が整っていなければ、書式をこちらから提示して、そのとおりに記載してもらい、再度送付してもらってもよいと思います。
ただ送信防止措置しても収まりそうにないような案件であれば、まずは当事者間解決を促すことや、警察だったり弁護士だったりに相談してもらうよう誘導することもあっていいのではないでしょうか。

とりあえず権利侵害にかかるエビデンスが届きました、というところに来たら、あとはプロバイダ責任制限法3条に従って照会をユーザーに行い、送信防止措置等に動くことができればよいのではないかと。
SPAM配信などプロ責法で対処しきれない部分があったとしたら、利用規約のみで対処することも考えておきましょう。
警告を発して改善を要望することがスムーズにできると、よりサービス運営が安定するかもしれません。

一方で違法行為の通報があったものの通報者は権利侵害された者ではない場合があります。
このようなケースは非常に対応に悩むケースで、ポリシーがあればそれに従って落としていくことも考えられるのでしょうが、該当するものがない場合、はたして落としていいものかわからなくなることがあります。
自社が行うこともできますが、通報者に協力してもらい、違法行為に関連する団体への再連絡をお願いすることも一つの手だと思います。
SPAMであれば迷惑メール相談センターだったり、違法薬物であれば厚生労働省だったりの窓口を案内して、そこから依頼が来るよう仕向けてもらえれば、事業者はエビデンスが手に入るのでより動きやすくなるのではないでしょうか。

官公庁から要望が届いた場合

問い合わせというよりこの法律に違反しているからもう止めてしまえ、という書面が様々な官公庁から届く場合があります。
ユーザーに猶予を与えて改善を求めることも考えられますが、お上がこれは違法行為であると指し示したものを疑わしいだけでよくわからないからと猶予を与えすぎると違法行為に加担しているように見られるかもしれません。
あえていったんサービスの利用を停止させ、その後ユーザーと改善の道を探ることも有用なのではないかと思います。

警察などの捜査機関から問い合わせが来た場合

刑事訴訟法197条2項を始め、様々な行政機関が照会の権限を持っています。
照会については任意回答が主ですが、回答できない理由がない限りは回答しなければなりません。
サービス提供側としては、自社サービスの治安維持を行ってくれる捜査機関に協力しないことは、自らの首を絞めることと同じになってしまうからです。

とはいえ、すべての照会に忠実に答える必要はないと思います。
我々にはユーザーの個人情報や通信の秘密を保護する義務があるからです。
捜査機関がどのような事案で捜査をしているのか、そして捜査を進展させるためにはどのような情報が必要なのか、必ずヒアリングしましょう。
このヒアリングによっては、捜査機関が欲しいと思っている情報は実は捜査とは無関係だったりする場合があります。
我々は捜査に必要な情報は提供しても、それ以外の情報は守らねばなりません。
事業者としての立場を理解してもらうためにも、事案の概要をヒアリングして、自社のサービスを説明しつつ、ここまでは回答できる、という話ができるようになるといいのではないでしょうか。

なお、上記のポリシーによって捜査関係事項照会で提出できない情報を求められた場合には、差し押さえ手続きを求める必要があります。
強制的に提出するような求めをもらうことも、事業者として適切な手続きをしたことのエクスキューズになると思います。

海外の権利管理団体から問い合わせが来た場合

著作権や商標権の管理を委任された海外の団体が、普通に英語メールをよこして送信の差止めを要求してくるケースがあります。
しかしながら日本にDMCAはありませんし、あくまでプロバイダ責任制限法でしか対処できません。
ノーティスアンドテイクダウンは申立人に有利になりすぎる感もあり、言われるがままに対応するのに抵抗を感じる場合が少なくないと思います。

これを送信防止措置依頼として受理し、通常の abuse 対応フローに乗せて対応していくことが一般的なのかと思いますが、これをあえて正規の情報を得るためにさらにメールのやり取りをすることもありですし、そもそも書面よこせというのもありでしょうし、はたまたここは日本なんだからそもそも日本語でよこせよっていうのもありなのかなと思ったりしています。

現場が(たまたま?)発見してしまった場合

外部からの通報ではなく、自社が違法であるという認識を持つというケースは、通信の秘密に関わったりする部分もありまして、そこはいろいろと争いがあるのでここでは割愛しつつ。
とはいえ違法な投稿がなされている、というような発見をたまたましてしまった現場から連絡があった場合、ついつい正義感にかられて止めてしまえ、と言ってしまう法務の方もいるかもしれません。
その過度な正義感を裏打ちしてくれるポリシーがあればよいのですが、これがない限りは静観するのもありだと思います。
一般的に abuse 行為は判断が難しいケースがほとんどですから、断定できませんということがあって当たり前ということで決めつけることなく、よほどあからさまなものについてのみ経営判断を仰いでみるという程度でよいのではないでしょうか。

いずれにせよ法務が abuse 対応担当者に助言できること

法を理解している法務が abuse 対応をバリバリ行うのが一番理想的だと思いますが、リソース的に難しいというのが大抵の企業の本音ではないかと思います。
ですので、カスタマーサポートやエンジニアが頑張って対応してくれてることが多いのではないでしょうか。
現場より一報を受けた法務は、まず現場から状況を正確に把握し、ポリシーの確認とそれに沿った行動の遂行を確認していきます。
さらに情報を不必要に出さないこと、自社が悪行をしたのではないことを理解してもらった上で謝罪ばかりしないようにすることを助言することも案外重要です。
法務として、誰がどのような立場にあるのかを常に俯瞰して、その立場にあった動きを助言できるといいのではないでしょうか。

おわりに

これからの abuse 対応

リベンジポルノやヘイトスピーチなど、以前はあまり話題にならなかったような事象が問題化されて、対応に頭を悩ますことが増えてくることもあると思います。
法制化され、認知度も上がれば対応もしやすくなるでしょうが、それまでは予めポリシーを策定し、自社がどのように対応するのかを明確にしておくとよいのではないでしょうか。
また、迷惑行為を事前に察知しユーザーに干渉することも考えられますが、これは電気通信事業法4条の「通信の秘密」との兼ね合いで今でも議論が落ち着かない部分です。
ディープ・パケット・インスペクションのような行為がどこまで正当行為として認められるのか、業界としての動向も注視していかないといけません。

参考になるサイトなど

このあたりの話、一番まとまっているのはテレサ協こと一般社団法人テレコムサービス協会のウェブサイトです。
こちらにガイドラインがいろいろとありますので、参考になるかと思います。
違法情報等対応連絡会
プロバイダ責任制限法ガイドライン等検討協議会

abuse 対応については、事業者で集まったりして協議を進めているところもあります。
今はいくつかにバラけてしまっていますが、今後は組織化されて各方面に要望を出すこともできるのではないかな、と期待していたりします。
私は私で、実は、JANOGというネットワーク技術者寄りの団体でこの辺のネタのBoFを主催したことがあります。
2017年1月にあるJANOG39でも1年ぶりにBoFに登壇する予定ですので、ご興味ありましたらぜひお立ち寄りください。

というわけで最後は若干宣伝になりましたが、これで終わりにしたいと思います。
法務系 Advent Calendar 2016 はまだまだ続きますよ!

このエントリーをはてなブックマークに追加



hrgr_Kta
OTHER SNAPS