ステルスマーケティングに関する検討会 報告書案
消費者庁に設置されたステルスマーケティングに関する検討会で、報告書案が公表されました。
景品表示法5条3項の告示指定により、対応するようです。
具体的な告示案として、
「事業者が自己の供給する商品又は役務の取引について行う表示であって、一般消費者が 当該事業者の当該表示であることを判別することが困難であると認められるもの。」
との記載があります。優良誤認・有利誤認のどちらの要素も無い場合、つまり、広告内容自体には消費者を誤解させるような内容が含まれていない場合でも、その表示が事業者(広告主)による表示であることを判別することが困難な場合には、景表法違反となることになります。
ステマなので、事業者(広告主)の名義がでない場合が想定されることになりますが、「事業者が・・・行う表示」の該当性については、事業者が表示内容に関与したか否かが基準となるようです(報告書内では、東京高判平成20年5月23日ベイクルーズ事件が挙げられています)。
また、記事等を作成する者が自主的な意思により行った表示については「表示内容の決定に関与した」とはいえないとされているものの、広告内容に関する明示的な依頼・指示がなくても、前後の客観的事情、すなわち、対価の支払いや、紹介してもらう条件での商品の無償提供などがある場合には、「表示内容の決定に関与した」表示とされ得るという趣旨の記載があります。
「当該事業者の当該表示であることを判別することが困難である」か否かについては、「広告」「プロモーション」等の文言を表示することで該当しないこととなり得るという趣旨の記載があります。
報告書内でも、消費者に広告だと分からない方が広告効果が高いとの指摘があり、だからこそステルスマーケティングが広く行われているのだと思いますが、この規制が入ったときに、どのような表現を使うかは、広告担当者と法務担当者の知恵の見せ所になると思います。
トヨタ系列へのサイバー攻撃
【2022年3月1日追記・修正】
2022年2月28日、トヨタの取引先(仕入先)にサイバー攻撃が行われ、トヨタの全工場が稼働停止になるというニュースがありました。
攻撃の具体的な方法は、まだ報道からは分かりません。(2日にも通常稼働に戻せるか、という感じの報道内容なので、ランサムウェアではなさそうです。攻撃を受けた取引先のウェブサイトはダウンしていますから、DDoS攻撃等ではないかなと考えてます。)
攻撃はランサムウェアによる攻撃だという報道が出ています。
また、ランサムウェアの感染に至る経緯で、2022年2月以降、エモテットによるトヨタの名前が入ったメールサーバへの接続の試行が確認されていたようです。サーバの認証情報がエモテットにより窃取されたのではないかとされています。
取引先(仕入先)に対する攻撃は、IPAが公表した情報セキュリティ10大脅威2022 組織編の第3位に入った、「サプライチェーンの弱点を悪用した攻撃」に位置づけられそうです。
トヨタが国内全工場(14工場28ライン)を停止し、さらにダイハツ工業、日野自動車の工場も停止するようですが、その理由はまだ報道からは分かりません。
どのような攻撃か分からないため断定的なことはいえませんが、今後、新規取引あるいは取引継続を判断する際の考慮要素として、取引先のセキュリティへの取組みがより重要な要素になってくるのではないかと考えます。
ランサムウェア
セキュリティ関係のニュースを追いかけると、ランサムウェアの被害に関するものを見ない日はないといっていいほどだと思います。
一般紙である日経新聞でも、1週間から10日くらいの間に1度は記事が載っている印象です。今日もこんな記事が載っていました。
次から次へと新しいランサムウェアが登場しています。最近だとHiveというランサムウェア(Raas)について、FBIが報告書を出して警戒を呼び掛けています。(どうでもいい話ですが、記事中でリンクされているFBIの報告書は「FBI FLASH」というタイトルで、ヘッダーの稲光が目をひくデザインでした。)
IPAが公表する10大脅威の2021年版でも、ランサムウェアは、「組織」の1位となっています。
情報セキュリティ10大脅威 2021:IPA 独立行政法人 情報処理推進機構
2022年4月1日から施行される予定の個人情報保護法ガイドライン通則編*1でも、「ランサムウェア」という用語が出てきています。
上述のHiveもそうですが、最近のランサムウェアは二重脅迫型と呼ばれており、データを暗号化し、金を払えば復号するという脅迫と、金を払わなければ不正取得した情報(企業秘密や個人情報)を公開するという脅迫の双方を行います。
会社法の役員責任の観点からすると、ランサムウェアの感染を防止するために何をすべきか(内部統制の問題)のほかに、感染した場合にどのような対応をとるべきか、具体的には金銭の支払い要求に応じるべきか否か、といった点でも問題を突きつけられることになりそうです。
まだこの問題に関する裁判例はないように思いますが、役員責任が問題となる他の類型から示唆が得られるのではないかと考えてます。この点は、いずれまとまったところで、このブログで発信できればと思います。(まだ全く手を付けてないですが。)
迷惑メール白書2021
日本データ通信協会(デ協と略すのですね。)から、迷惑メール白書2021が発行されました。ダウンロードは無料です。
「迷惑メール」白書というと、怪しげな投資や出会い系など、個人を狙ったメールが私用のスマートフォンに送られてくる事象を対象としているように考えてしまいますが、この白書では、いわゆるビジネスメール詐欺(BEC)など企業が直面する問題についてもかなり力を入れた記述がされています。
※ ビジネスメール詐欺(BEC)は、IPAが毎年出している「情報セキュリティ10大脅威」でも、2021年版の「組織」の5位にランクインしています。
技術的な対策についての説明も充実していて、特に送信者側での対応については、OP25B、SPF・DKIM・DMARCなど、情報処理安全確保支援士試験で問われているような内容について説明が加えられています。
また、個人的には、ちょっと観点が違いますが、特電メール法、特商法の執行状況についてまとめた箇所(白書75~79頁)がメール等を使った広告宣伝を行っている企業へのアドバイスの際に、海外における同種規制をまとめた表(白書44~45頁)が海外展開を検討する企業へのアドバイスの際に、それぞれ役に立ちそうだと思いました。
いろんな読み方のできる、読み応えのある内容だと思います。
消費者法分野におけるルール形成の在り方等検討WG報告書
2021年8月11日付の消費者法分野におけるルール形成の在り方等検討ワーキング・グル
ープ報告書が、8月19日に公表されました。
かなりの部分を自主規制・共同規制に関する内容が占めていますが、「第4 自主規制の整備が求められる新しい取引分野」中で、インターネット上での取引においてよく見られる分野について、今後の規制の方針が示されています。
取り上げられたのは、次の4つです。
- アフィリエイト広告
- 後払い決済サービス
- ターゲティング広告
- CtoC取引
このうち、4は私の業務や職務とあまり関わりがなく問題意識もいまいち分からないので、1~3の各項目について概要を紹介します。
1.アフィリエイト広告
悪質なおためし商法(「お試し無料」等をうたい実際は定期購入を条件とした契約を締結させるもの)等に対応するため、次のような自主規制の導入が検討されています。
- 事業者団体による虚偽・誇大広告基準の策定/留意事項の提示
- ASPによるアフィリエイターの管理画面等での適正な広告表示の促進
なお、これらの自主規制が行われても消費者被害が発生する場合には行政規制の整備を検討するものとされています。*1
アフィリエイト広告については、2016年6月30日付で消費者庁から「アフィリエイトサイト上の表示についても、広告主がその表示内容の決定に関与している場合(アフィリエイターに表示内容の決定を委ねている場合を含む。)には、広告主は景品表示法及び健康増進法上の措置を受けるべき事業者に当たる」との解釈が示されており、表示内容の決定に関与した広告主が景品表示法の適用を受ける旨の解釈が示され、これに沿った行政処分の事例もあります。
さらに、消費者庁担当者による書籍でも「広告主がアフィリエイト広告の内容を知らなかったとしても,上記のとおり表示主体性が肯定される場合として他の事業者に表示内容の決定を委ねた場合が含まれることも踏まえれば、そのことによっても広告主の表示主体性が否定されることにはならない」*2との考え方が示されていて、消費者庁が積極的に規制しようとしていることが分かります。
この報告書に示された方向性も含め、アフィリエイト広告を利用する事業者は、今後の動きを追っていく必要がありそうです。
2.後払い決済サービス
悪質なお試し商法における後払い決済サービスの利用に対応するため、次のような自主規制の導入が検討されています。
- 過剰与信の防止、苦情処理体制、加盟店審査や運用状況の確認等を含んだ統一したルールの策定
こちらについても、消費者被害が発生している場合には行政規制の導入を検討するとされていますが、具体的な検討会はまだ立ち上がっていないようです。
3.ターゲティング広告
ターゲティング広告を目的としたデータの取得・利用について消費者に懸念、不安及び抵抗感が生じていることを踏まえ、次のような自主規制の導入が検討されています。
- 消費者の視点*3を踏まえた対応
- 消費者の認知限界を踏まえ、消費者の期待に反して利用しないという観点からの対応
個人情報保護法の令和2年改正により個人関連情報制度が導入されることにより、ターゲティング広告にサードーパーティクッキーの情報を利用する場合にも本人の同意が必要となりますが、こちらの規制はさらに消費者の視点から分かりやすい情報提供を行うことを求めるものと整理できます。
このような情報提供の内容が、個人関連情報に関する本人の同意の有効性に関する一要素になるかもしれません。
まとめの文章を検討したのですが、なかなか思いつかないので、ちょっと尻切れトンボですがここで終わりにします。
サイバーセキュリティ経営可視化ツール
IPAから、サイバーセキュリティ経営可視化ツールが公開されました。
サイバーセキュリティ経営ガイドライン(
https://www.meti.go.jp/policy/netsecurity/mng_guide.html)に準拠したウェブサービスで、Webブラウザ上で計47問の質問に回答していくと診断結果等が表示されるようです。
従業員300名以上の企業・組織を対象としているとのことです。
試しに使ってみたところ、特にこちらの情報を入力することなく利用することができました。
評価は表(項目&点数)と、レーダーチャートにより表示されます。
また、対応についても関連する文書へのリンクが表示されました。
自社だけでなく、委託先業者におけるサイバーセキュリティへの取組みを知る用途でも使えそうな気がしました。
結果はPDFで出力できるので、委託元が独自に作成したエクセルの細かい表に書いてもらう方法(これがかなり面倒な作業であることは、IT系業務を受託する会社の人からよく聞きます)よりも、このウェブサイトを教えて「診断結果を出してね」とお願いする方が効率的な気がします。
今度、セキュリティ担当取締役に存在を伝えてみようと思います。
ブログ開設のごあいさつ
弁護士をやってます。業務でインターネット広告(ターゲティング広告やアフィリエイトなど)や個人情報・パーソナルデータを扱うこともあり、以前からサイバーセキュリティなどデジタル関連の分野には興味がありました。
インターネットを通じたBtoBサービスを手がける某社の監査役になったことから、より深く調べるようになりました。サイバーセキュリティにしても、個人情報にしても、かなり専門的で、かつ、動きの速い分野だなという感想を持ちました。
調べる中で、様々なソースにあたったつもりですが、監査役という視点からの情報はなさそうだったため、せっかくだから自分で発信してみようと思い、このブログを開設することにしました。
監査役による監査という視点、つまり、業務の適法性や内部統制システムといった会社法上の視点から、サイバーセキュリティやデジタル関連のトピックについて書いていこうと思っています。
情報処理安全確保支援士試験に合格しており、そちら関係の情報も、面白そうなものがあれば発信できればと思います。
少しでも興味を持ってもらえる記事を書けるようがんばります。
よろしくお願いいたします。
