なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:情報銀行

tatemono_yuubinkyoku
総務省が「郵便局データの活用とプライバシー保護の在り方に関する検討会」報告書(案)等」に関するパブコメを7月15日まで実施していたので、つぎのような意見を提出しました。

1.地方公共団体や地図会社等に日本郵便が収集した公道の街路データ・外観データ・空き家情報やデジタル地図などの情報を販売・第三者提供するとのことについて(報告書(案)13頁4.(2)アなど)
(1)地方公共団体や地図会社等に日本郵便が収集した公道の街路データ・外観データ・空き家情報やデジタル地図などの情報を販売・第三者提供するとのことであるが、2022年4月に施行された個人情報保護法は「二重オプトアウトの禁止」を明示している(個人情報保護法27条2項ただし書き、佐脇紀代志『一問一答令和2年改正個人情報保護法』48頁参照)。

この点、表札等や人物等が映り込んでいない街頭データ・外観データ・空き家情報であっても、日本郵便が保有する配達原簿システムなどの国民・住民の居宅の住所データベースを照会すれば、街頭データに居住する特定の個人を容易に照合できるのであるから、個人の居宅などが写っている街頭データも個人情報・個人データである(個人情報保護法2条1項1号、16条3項)。

また、一般の地図会社はオプトアウト方式で本人同意をとり地図を作製していることを考えると、日本郵政グループも同様にオプトアウト方式により街頭データ・外観データ・空き家情報や「デジタル地図」等を収集・作成すると思われ、日本郵政がオプトアウト方式で作成した街頭データやデジタル地図等の個人データを地図会社が購入などすることは、個人情報の第三者提供のオプトアウトに該当し、「二重オプトアウト」(個人情報保護法23条2項ただし書き)に該当してしまうので、地図会社などは日本郵政のデジタル地図の個人データを購入することは違法となる。

そのため、本報告書13頁が提言している、日本郵政が郵便配達員などの目視やバイク、ドローンなどに設置されたカメラ・センサーなどの情報から居住者情報などの個人データの添付されたデジタル地図や街頭データ等を収集・作製し、地方自治体や地図会社などに販売・第三者提供しようというスキームは個人情報保護法との関係で違法であり許容されない(なお本報告書案は本スキームを「委託」と整理しているようであるが、「委託」とは委託元の事業者が保有する個人情報をIT企業にPCにデータ入力させるような、委託元ができる範囲の事柄を委託するスキームを指すのであり、街頭データの提供やデジタル地図のデータの提供などは委託ではなく第三者提供であると考えられる。)。

さらに、GPS捜査事件判決(最高裁平成29年3月15日判決)は、公道上の情報であっても継続的・網羅的に収集される場合にはプライバシー権の侵害となるとしていることから、郵便局の配達車やバイクなどの車載カメラやドローン、配達員の目視などによる継続的・網羅的な住民・国民の居宅の居住データやデジタル地図の収集・作成はプライバシー権との関係で違法の危険性があり慎重な検討がなされるべきである(民法709条、憲法13条、憲法35条)。

(2)地方公共団体や地図会社等に日本郵便が収集した公道上の街頭データ・街路データ・外観データ・空き家情報やデジタル地図などの情報を販売・第三者提供するとのことであるが、郵便法8条および憲法21条2項の定める「通信の秘密」・「信書の秘密」との関係で違法・違憲であり許容されないと考えられる。

なぜなら「通信の秘密」とは通信内容・信書の内容そのものだけでなく、通信の送信者・受信者、宛先、電話番号、住所、通信の個数や通信日時、通信の有無などの「通信の外形的事項」も含まれると解されている(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁、大阪高裁昭和41年2月26日判決、賽原隆志『新・判例ハンドブック情報法』(宍戸常寿編)140頁)。郵便配達車やバイク等の車載カメラやドローン、郵便配達員などにより収集される街頭データやデジタル地図にはそれら通信の外形的事項も混入されざるを得ないから、それらの通信の秘密や信書の秘密に関する情報・データを地方自治体や地図業者などに第三者提供・販売等することは郵便法8条・憲法21条2項との関係で違法・違憲であり許容されない。

(3)地方公共団体や地図会社等に日本郵便が収集した公道上の街頭データ・街路データ・外観データ・空き家情報やデジタル地図などの情報を販売・第三者提供するとのことであるが、かりに地方自治体などと日本郵便との関係を個人情報保護法における「委託」(法27条5項1号)と整理した場合、いわゆる「委託の「混ぜるな危険」の問題」の規制があるため(令和2年改正の個人情報保護法ガイドラインQA15-18(2022年4月より施行)、田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁、田中浩之・北山昇『令和2年改正個人情報保護法Q&A』182頁)、日本郵便は地方自治体等の委託元から委託された範囲の個人データを収集・利用できるにとどまる。そのため、日本郵便は委託元ごとに街頭データやデジタル地図等を分別管理する必要があり、それらの複数のデータを「混ぜて」利用することは違法であり許容されない(法27条5項1号)。

また同様に日本郵便が、委託元から預かった個人データを自社が保有する個人データと名寄せ・突合して分析や加工などをした個人データを委託元に渡すなどの業務を行うことも違法であり許容されない。(「委託の「混ぜるな危険」の問題」を回避するためには、原則に戻り、日本の全国民のオプトイン方式による事前の個別の同意が必要である(法27条1項))。

2.カメラ画像の利用について(郵便局データの活用とプライバシー保護の在り方に関する検討会報告書(案)15頁ア)
総務省・経産省の「カメラ画像利活用ガイドブックver3.0」の遵守が提言されているが、カメラ画像の利用に関する事柄であり、郵便局のカメラは商用カメラだけではなく防犯カメラも存在するため、個人情報保護委員会で現在審議中の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」の作成する報告書やガイドライン等も遵守すべき旨を追記すべきである。

3.情報銀行について(郵便局データの活用とプライバシー保護の在り方に関する検討会報告書(案)24頁の「情報銀行」の部分)
郵便局の配達員などが配達業務に関連して目視や配送バイクに設置されたカメラ、ドローンのカメラなどで収集された顧客の個人情報・個人データを顧客本人の同意なく情報銀行や「デジタル地図」などに利用することは(あるいはオプトアウト方式の本人同意により利用することは)、本人同意なしに個人情報の目的外利用を禁止し、また第三者提供を禁止する個人情報保護法に抵触する違法なものであるだけでなく(法19条、27条1項)、郵便法8条や憲法21条2項の規定する「信書の秘密」「通信の秘密」や国民のプライバシー権(民法709条、憲法13条)をも侵害する違法・違憲のおそれがあり、許容されないのではないか。

また、日本郵政グループのかんぽ生命は生命保険の引き受けの告知や保険金・給付金支払い業務のために、国民の被保険者の医療データ・傷病データ・職業データ等を収集・保存しており、ゆうちょ銀行は国民・顧客の金融資産情報を保有しているが、それらのセンシティブな要配慮個人情報や機微な情報を「情報銀行」に利活用することは、金融庁の「金融分野の個人情報保護に関するガイドライン」第5条(機微(センシティブ)情報)が「機微(センシティブ)情報」という。)については、次に掲げる場合を除くほか、取得、利用又は第三者提供を行わないことと」と利用目的を限定列挙している規定に違反し許されないのではないか。

さらに、日本郵政グループが保有するセンシティブ情報・要配慮個人情報・金融資産などに関する機微情報を情報銀行に利活用することは、本人の明確な同意がないままに銀行など金融機関が保有するセンシティブ情報を保険営業に利用することを禁止する、保険業法や銀行法が定める「銀行窓販規制」に抵触し許容されないのではないか(保険業法300条1項9号、同施行規則212条3項1号等、中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第4版』260頁、経済法令研究会『保険コンプライアンスの実務』227頁)。

4.郵便局データなどの「データビジネスの段階的な展開」について(報告書(案)24頁の「データビジネスの段階的な展開」の部分)
日本郵政グループが情報銀行など、郵便局データなどの「データビジネスの段階的な展開」を実施することは、日本郵便が個人情報保護法上の個人情報取扱事業者(法16条2項)となることである。

すなわち、郵便局・日本郵便に信書や郵便物などの配達を委託する全国の中小企業を含む法人(個人情報取扱事業者)は、日本郵便に対して安全管理措置に関する「委託先の監督」(法25条)を実施することが法的に要求され、郵便物の配達の委託に際して日本郵便が十分な安全管理措置を講じているか事前のチェックや年1回の立入検査の実施、業務委託契約書の締結、秘密保持契約書の締結などが法的に要求されることになるが、これは現実的ではない。

日本郵便は「データビジネスの段階的な展開」を実施するとの計画は撤回し、郵便事業に専念すべきである。(産業技術総合研究所サイバーフィジカルセキュリティ研究センター主任研究員の高木浩光氏の「郵便事業がコモンキャリアを逸脱すれば郵便物を差し出す事業者が個人情報保護法に抵触する」『高木浩光@自宅の日記』参照。)

日本郵便が本業たる郵便事業だけでは経営が成り立たず、「データビジネス」という「副業」を行う必要があるということは、「郵政民営化」は失敗したということであり、国民の信書の自由(憲法21条2項)の基本的人権のための郵便局・日本郵便の事業は再び国が運営すべきである。

5.スマートシティについて(郵便局データの活用とプライバシー保護の在り方に関する検討会報告書(案)21頁の「スマートシティ」の部分)
「スマートシティ」(「デジタル田園都市構想」)は、当該地域の行政、商業施設、学校、医療機関などの個人データを収集し、住民の「共通ID」を基にそれらの個人データを突合・名寄せ・分析・加工し、行政・民間・病院・学校などがそれらの個人データを共有するスキームであるが、これは個人情報保護法17条(利用目的の特定)やOECD8原則の「1.目的明確化の原則 (Purpose Specification Principle)」の背景となっている「個人データの必要最低限度の原則」に反しており、許容されない。

海外の例をみても、中国など国家主義諸国においては一定の実績があるものの、国民の個人の尊重と基本的人権を重視する西側自由主義諸国では失敗している。そのため、公的機関である日本郵便や日本郵政がスマートシティ構想に参加することは控えるべきである。

■関連する記事
・日本郵政がデジタル地図事業や情報銀行等に参入することを個人情報保護法などから考えた
・情報銀行ビジネス開始を発表した三菱UFJ信託銀行の個人情報保護法の理解が心配な件
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?



[広告]












このエントリーをはてなブックマークに追加 mixiチェック

ITmediaニュースによると、三菱UFJ信託銀行情報銀行事業を開始することを発表したそうです。

・三菱UFJ信託が情報銀行事業開始 Dprimeで「お金の代わりに個人情報を預かる」|ITmediaニュース
・情報銀行サービス「Dprime」ブランドアンバサダー・中田英寿氏の就任について|三菱UFJ信託銀行

記事によると、三菱UFJ信託銀行は、本人の同意のもとに、個人の氏名、住所などの情報とともに、趣味嗜好、位置情報・行動履歴、資産情報などを収集・保管して、本人が選択した企業に対して、本人の同意のもとにこれらの個人情報・個人データを第三者提供し、本人は当該企業から割引などの対価を受けるとのことです。

三菱信託銀行の情報銀行ビジネス
(ITmediaニュースより)

ところで、記事を読むと、「氏名、住所の詳細、メールアドレス等、個人が特定される法的に個人情報に該当するものは企業に第三者提供しない」と三菱UFJ信託銀行の方が記者会見で発表したとの点が個人的には非常に気になります。

三菱信託銀行法的に個人情報に該当する情報は第三者提供しない
(ITmediaニュースより)

この、「氏名、住所さえ消去すれば個人情報ではない」的な、まるで石器時代のような個人情報保護法の基本的な部分の誤解を前提にしたような発言は、本当に天下の三菱グループの、かつ金融機関の三菱UFJ信託銀行の方が発表したものなのでしょうか?そしてそれをIT系メディア大手のITmediaニュースの記者もツッコミを入れることなく報道してしまったのでしょうか?

記事によると、この三菱信託の情報銀行ビジネスのアンバサダーにはサッカーの中田英寿氏が就任したそうで、中田氏は「企業による個人データの利活用の重要性」を記者会見で力説したそうであり、この情報銀行ビジネスのアレな感じがさらに強調されているような気がします。

言うまでもなく、個人情報保護法2条1項1号は、「個人に関する情報」であって、かつ、「特定の個人を識別できるもの」は個人情報に該当すると定義しています。そのため、趣味嗜好、位置情報・行動履歴、資産情報などの情報・データも、この個人情報の定義に該当するものはやはり個人情報です(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁)。

個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

また、本年5月にパブコメで公表された、令和2年改正の個人情報保護法に対応する「個人情報保護法ガイドライン(通則編)」も、「行動履歴、閲覧履歴、位置情報・移動履歴、サービス利用履歴等も連続的蓄積されて特定の個人が識別できれば個人情報に該当すること」と、趣味・嗜好個人関連情報に該当すること」を明確化しています。

・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について|e-GOV

■詳しくはこちら
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?

そのため、行動履歴、資産情報等のデータの多くはおおむね個人情報に該当すると思われますが、「法的に個人情報に該当するものは提供しない」との三菱UFJ信託銀行は、この情報銀行ビジネスにおいて、相手方の企業に対して一体何を第三者提供するつもりなのか非常に疑問です。

情報銀行ビジネスを開始すると経営判断した三菱UFJ信託銀行の経営陣の判断能力も心配ですし、同行の法務部は、この情報銀行業を事前にしっかりリーガルチェックしたのだろうかと非常に心配です。(ITmediaニュースの記者の方の個人情報保護法の理解も。)

三菱UFJ信託銀行の情報銀行ビジネスは、個人情報保護法の基本的な理解が間違っていて、開始前からグダグダな予感がします。日本は、EUのGDPRやAI規制法案など、西側自由主義・民主主義諸国の個人データ保護法の流れからますます離れてゆくガラパゴスだと思わざるを得ません。

■関連する記事
・個人情報保護法ガイドラインは図書館の貸出履歴なども一定の場合、個人情報や要配慮個人情報となる場合があることを認めた!?
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?
・みずほ銀行のみずほマイレージクラブの改正を考える-J.Score・信用スコア・個人情報
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた













このエントリーをはてなブックマークに追加 mixiチェック

ヤフースコア
1.はじめに
ヤフー株式会社は、本年7月1日(月)よりヤフーが保有するビッグデータから開発した独自のスコア「Yahoo!スコア」を同社と契約した事業者が活用できる新ビジネスの提供を開始することを発表しました。同社サイトによると、Yahoo!スコアとは、①本人確認の度合い、②信用行動度合い、③消費行動度合い、④Yahoo! JAPAN利用度合いを測る4カテゴリーに属するスコアと、それらを集約した総合スコアで構成されるとのことです。しかし、このヤフーの情報銀行的な新ビジネスは、個人情報保護法の定める特に目的外利用の禁止(15条、16条)などとの関係から適法といえるのでしょうか?

・ヤフーが保有するビッグデータから開発した「Yahoo!スコア」 7月1日よりビジネスソリューションサービスの提供を開始|ヤフー株式会社

2.個人情報の目的外利用の禁止
個人情報保護法は、「事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。」と定め(15条1項)、そして事業者は、「特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。」と定められています(16条1項)。

つまり国民の個人情報・プライバシー保護のために、事業者は漠然とした目的ではなく、できるだけ具体的な特定された利用目的を策定し、それをウェブサイトなどで公表しなければならず、そして個人情報を本人から取得したあとも、それを利用目的の範囲を超えて取り扱ってはならないのです(目的外利用の禁止)。

3.ヤフーのプライバシーポリシー
この点、ヤフー株式会社のプライバシーポリシーをみると、個人情報の利用目的はつぎのように列挙されています。

2.パーソナルデータの利用目的
当社は、以下のことを行うためパーソナルデータを利用させていただきます。

(1) お客様に適したサービス等をご提供するため
(2) お客様からのお問い合わせに対応するため
(3) 商品の配送、代金請求、ポイント付与等をするため
(4) お客様にサービス等に関するお知らせをするため
(5) サービス等を安全にご提供するため。これには、利用規約に違反しているお客様を発見して当該お客様に通知をしたり、サービス等を悪用した詐欺や不正アクセスなどの不正行為を調査・検出・予防したり、これらに対応することが含まれます
(6) サービス等の改善および新たなサービス等を検討するため
(7) サービス等のご利用状況等を調査、分析するため

利用目的

・プライバシーポリシー|ヤフー株式会社

今回のYahoo!スコアは、6号の「サービス等の改善および新たなサービス等を検討するため」と7号の「サービス等のご利用状況等を調査、分析するため」が関わってくると思われますが、「Yahoo!Japanをご利用のお客さまの各サービスのご利用状況などのデータをスコア化し、当社が契約した事業者に当該スコアデータ等を第三者提供します」等とは明示されていません。したがって、ヤフーがプライバシーポリシーの改正を行うことなく7月1日以降、Yahoo!スコアの個人データを契約した事業者に第三者提供することは、個人情報の目的外利用であり違法です(15条、16条違反)。

あるいは産業技術総合研究所情報セキュリティ研究センター主任研究員の高木浩光先生がツイッター上で述べておられるとおり、「Yahoo!知恵袋」に質問を投稿したり回答を投稿しているユーザー達は、まさか自分たちの各行為が自分自身のスコア化に利用されているとは思わないでしょう。そのため、やはりヤフーの行っているスコア化は個人情報の目的外利用といえます。

さらに、ヤフーのサービス一覧をみると、「Yahoo!パートナー」、「Yahoo!しごと検索」などは、同じヤフーのサービスのなかでもより個人のデリケートな機微情報が含まれているように思われます。目的外利用の問題だけでなく、このようなサービスに基づく個人データをヤフーがスコア化することには疑問を感じます。

なお、今回のYahoo!スコアは、ヤフーのプレスリリースなどで「本人の同意に基づき」と大々的に宣伝されたにもかかわらず、自らの個人データのスコア化を望まないユーザーがスコア化を止めるサイトの場所が非常にわかりにくいことなど、ユーザーにとって非常に不親切なものです。

4.開示・訂正・利用停止などの請求権
このようにYahoo!スコアが個人情報保護法15条、16条違反であることから、Yahoo!のユーザーは、同法28条以下の条文に基づき、ヤフーに対して自分の個人情報について開示・訂正・利用停止・削除などの各措置を請求することができます。

5.個人情報保護委員会
また、ヤフーが約6600万人もの大量のユーザー・会員数であることから、今回のYahoo!スコアの影響範囲は大きいものと思われます。報告徴求・立入検査・助言・行政指導などの権限(40条以下)を有する個人情報保護委員会が何らかの対応すべきなのではと、一般人としては思います。


法律・法学ランキング

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ