なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

2021年09月

xidトップ画面2

このブログ記事の概要
渋谷区などは施設予約システムなどにxID社のxIDを導入を計画しているとのことです。加賀市、兵庫県三田市、町田市などもこのxIDを電子申請システムなどに既に導入しているとのことです。

しかしxID社サイトの説明によると、xIDとは利用者からスマホアプリxIDにマイナンバー(個人番号)を入力させ、同アプリで当該マイナンバーからデジタルIDであるxIDを生成するものであるとのことですが、マイナンバー法を所管する個人情報保護委員会のマイナンバー法のガイドライン(事業者編)Q&A9-2は、個人番号は、仮に暗号化等により秘匿化されていても、その秘匿化されたものについても個人番号を一定の法則に従って変換したものであることから、番号法第2条第8項に規定する個人番号に該当します。」としており、xID社のxIDマイナンバー法2条8項かっこ書きによりマイナンバーと法的に同等のもの(「広義の個人番号」・裏個人番号・裏マイナンバー)です。

そして、マイナンバー法9条と別表一(法9条関係)は、国民のマイナンバーを含む個人情報(特定個人情報)の漏洩の危険の防止、国民のプライバシー権侵害の防止、マイナンバーによる国家や大企業による国民の個人情報の一元管理など監視社会・監視国家の危険の防止や、民間企業や行政機関などによる脱法的なマイナンバーの収集・利用等の防止などのために、マイナンバーの利用目的税関係・社会保障関係・災害時の対応の3つに限定し、利用可能な機関・事業者を限定的に規定しているところ、xIDの目的である「官民のあらゆる場面で自由に利用できる、国民一人一つの共通ID」とのxID(=マイナンバー)の利用目的やそれを運用・利用する事業者・機関(= xID社や渋谷区など)については、法9条と別表一は利用目的や利用機関・事業者として認めていません。

また、法9条および別表一の法定する以外の利用目的や利用機関などに対して、本人や事業者・行政機関などがマイナンバーを提供することも禁止されています(法19条)。

したがって、xID社のxIDはマイナンバー法9条、19条および2条8項かっこ書き違反であり、自治体や官庁などの行政機関、民間企業などがxIDを電子申請システムなどに利用することも同様に法9条、19条および2条8項かっこ書き違反となります。

そのため、xIDの導入を計画中の渋谷区や、すでに導入済の加賀市、兵庫県三田市、町田市などはマイナンバー法違反を回避するために、施設予約システムや電子申請システムなどにxIDを利用する業務や計画を直ちに中止すべきです。

同時に、マイナンバー法の監督官庁である個人情報保護委員会は、xID社や、同社と業務提携を行っている企業や自治体などに対して行政指導・行政処分などを実施すべきではないでしょうか。

■追記(2021年11月5日)
xID社が10月22日付の個人情報保護委員会のプレスリリースを受けて、11月4日に今後の方針に関するプレスリリースを公表しました。こちらのブログ記事をご参照ください。
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて

■追記(2021年10月22日)
個人情報保護委員会は、10月22日に『個人番号(マイナンバー)を非可逆的に変換しているものであっても、個人番号の唯一無二性・悉皆性の特性ににより個人の特定に用いる場合は、個人番号に該当し、マイナンバー法9条に定めのない利用は違法』とのプレスリリースを出しました。したがって、マイナンバーからスマホアプリでxIDを生成し、個人を特定する共通IDとしてxIDを利用しているxID社のスキームはマイナンバー法違反です。(詳しくは本記事下部の追記をご参照ください。)

1.官民の様々なサイトの本人確認のためにマイナンバーカードをスマホアプリ化するxIDが大炎上中
官民の様々なサイトの本人確認のためにマイナンバーカードをスマホアプリ化するxID社の「xID」について、情報セキュリティや情報法の専門家の産業技術総合研究所主任研究員で情報法制研究所理事の高木浩光先生(@HiromitsuTakagi)などがマイナンバー法との関係で違法であると9月23日頃よりTwitter上で指摘し、Twitter上でxIDが炎上中です。
ひろみつ先生1
(高木浩光先生のTwitterより)
https://twitter.com/HiromitsuTakagi/status/1441238596539727886

2.xID
xID社サイトによると、xIDとは、官民のさまざまなサイトやデジタル上のサービスで、いちいちIDやパスワードなどを入力しなくても済むように、マイナンバーカードの公的個人認証サービスを利用して、マイナンバーカードと連携した独自のID(xID)を生成しするというデジタルIDおよびそのためのスマホアプリであるようです。

この点、2020年10月2日経産省の「第5回インフラ海外展開懇談会」に提出されたxID社のxIDに関する資料(「資料3 xID 日下様 ご提供資料(第5回インフラ海外展開懇談会 日本で唯一の次世代デジタルIDアプリ「xID」)」には、Society 5.0の社会においては、「パーソナルデータ(個人情報)を活用した個人最適なサービスの提供などを実現するにはデジタル世界で、あらゆるサービスを利用するAさんがどのサービスにおいても同一の人物である。と特定すること=”ユーザーの同一性・一意性担保”が重要です。利便性・信頼性と透明性を担保しながら利用できるデジタルIDがあれば、ユーザー同意に基づくパーソナルデータの活用が実現できます。」と説明されています。
経産省資料1
(経産省「第5回インフラ海外展開懇談会 日本で唯一の次世代デジタルIDアプリ「xID」」より)
・「第5回インフラ海外展開懇談会 資料3 xID 日下様 ご提供資料 日本で唯一の次世代デジタルIDアプリ「xID」」(2020年10月2日)|経産省

そして、同資料でxID社は「「事業者や行政におけるデータの管理は、各事業者や自治体によって個別にデータ管理されるよりも、UXPとxIDを用いたデータ連携基盤を用いたデータ管理をするほうが、各事業者・行政・市民にとって利便性が高くなる」と考えています。」と説明しています。

つまり、xID社はxIDの趣旨・目的を「民間事業者や行政における個人データの管理は、各事業者や自治体ごとに個別に個人データ管理するよりも、あらゆるサービスを利用する個人がどのサービスにおいても同一の人物であると特定できる、同一性・一意性が担保できるデジタルIDであるxIDを用いた個人データ管理をするほうが、個人データの活用が実現できて、利便性が高くなる」と説明しています。
経産省資料2
(経産省「第5回インフラ海外展開懇談会 日本で唯一の次世代デジタルIDアプリ「xID」」より)

つまり、xIDとは「民間企業や各自治体、各官庁などがばらばらに保有している国民の個人データを、本人の同一性・一意性が担保できるデジタルIDであるxIDにより、官民のさまざまなサービスを利用する個人の個人データを一元管理・集中管理して国民の個人データの活用を実現するもの」です。

すなわち、xIDとは一言で言うならば、「さまざまな行政機関・自治体やさまざまな民間企業がばらばらに保有する国民の個人データを、国・大企業が一元管理・集中管理して、国・大企業が自由な用途に利用できる「民間版マイナンバー」」(=裏個人番号・裏マイナンバー・「広義の個人番号」)と言えるでしょう(詳しくは後述)。

しかし、後述するとおり、さまざまな行政機関や各自治体、さまざまな民間企業が保有する国民の個人データを、民間企業のxID社が作成した「民間版マイナンバー」であるxIDで名寄せ・突合して国や大企業が一元管理・集中管理を可能にして、自由な用途に国・大企業が利活用することは、国・大企業による国民のプロファイリングを容易にし、また国・大企業による国民の監視・追跡・モニタリングなどを容易にしてしまうものであり、国民の個人の尊重や、国民の個人情報保護、国民のプライバシー・人格権などの国民の基本的人権を大きく侵害する危険があり、マイナンバー法はこのような「民間版マイナンバー」(裏個人番号・裏マイナンバー・「広義の個人番号」禁止しています(法9条、19条など)。

3.なぜマイナンバーを入力させるのか?
xIDはたしかに一見、便利そうなサービスではありますが、しかしこのxIDが、マイナンバーカードの公的個人認証サービスに関するICチップの部分の利用だけであれば問題がないところ、なぜかxIDの生成のために本人にマイナンバー(個人番号)を入力させ、そのマイナンバーをもとにスマホアプリのプログラムで非可逆的なxIDを生成していることに対してネット上ではマイナンバー法違反であると大きな批判が起きています。

マイナンバーの収集保管はしません
(xID社サイトより)

つまり、xID社サイトは「ヘルプ」の画面のなかの「なぜマイナンバーを入力する必要があるのですか?」とのQAにおいて、マイナンバーをもとに一意のIDを生成するために、マイナンバーをご入力いただいています。』・『非可逆的な方法で生成するのでxIDからマイナンバーを検出することはできません』とはっきりと記述しています。
なぜマイナンバーを入力するのですか?

すなわち、xID社サイトが上のように説明しているとおり、xID社は、xIDというデジタルIDの生成について、xID社がCCCのTポイントなどのような共通ポイント運営会社のように自社独自の会員番号・ユーザー番号をIDとして作成すれば特に問題がないのに、なぜかわざわざユーザー本人にマイナンバーをアプリに入力させ、当該マイナンバーをアプリのアルゴリズムで変換してxIDというユーザーIDを生成しているのです。

また、渋谷区の施設予約システムなどへのxIDの利用に関する資料を読むと、xIDを施設予約システムのデジタルIDとして利用することが明記されています。
渋谷区の施設予約システムの概要図
(渋谷区サイトより)
[別紙1] 令和 3 年度 施設予約システム再構築に係る 設計・開発業務委託|渋谷区

しかし、マイナンバー法9条および「別表第一(法9条関係)」にマイナンバーの取扱が許された事業者・機関として法定されていないxID社が、マイナンバー法9条および別表が法的する利用目的以外の目的でマイナンバーを収集・利用などすることは、マイナンバー法違反です。

また本人や行政機関、事業者なども、マイナンバー法が法定する事業者や国・自治体の機関以外に、マイナンバー法の規定する利用目的以外のためにマイナンバーを提供することは禁止されています(法19条)。

そして、マイナンバー法(番号法)2条8号は、つぎのように規定しています。

マイナンバー法

2条8項

この法律において「特定個人情報」とは、個人番号個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。第7条第1項及び第2項、第8条並びに第48条並びに附則第3条第1項から第3項まで及び第5項を除き、以下同じ。)をその内容に含む個人情報をいう。

つまりマイナンバー法2条8項の個人番号(マイナンバー)の後ろについているかっこ書きが示すとおり、「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む」は、マイナンバー法上、原則としてマイナンバー(個人番号)と同等のものして扱われます。

すなわち、マイナンバー法の法案の立案担当者である弁護士の水町雅子先生の『Q&A番号法』56頁はつぎのように解説しています。

『番号法(=マイナンバー法)は、特定個人情報(=マイナンバーを含む個人情報)の取扱いが安全かつ適正におこなれれるようにするための法律です。番号法で狭義の個人番号(=マイナンバー)に対してのみ規制しても、個人番号を脱法的に変換した番号などを個人番号の代わりに悪用されてしまっては、番号法の目的を達成することはできません。そこで個人番号の代替物と考えられるような番号・符号については、広義の個人番号として、番号法の各種規制をおよぼせるようにしています(法2条8項)(略)すなわち、広義の個人番号に該当するものは、個人番号を脱法的に変換したものや、個人番号や住民票コードから生成される番号・符号など、個人番号に性質上対応するものをいいます。(水町雅子『Q&A番号法』56頁)』

この点、個人情報保護委員会特定個人情報ガイドラインQ&A(事業者編)9-2もつぎのように解説しています。

特定個人情報ガイドラインQ&A(事業者編)9-2

Q9-2 個人番号を暗号化等により秘匿化すれば、個人番号に該当しないと考えてよいですか。

A9-2 個人番号は、仮に暗号化等により秘匿化されていても、その秘匿化されたものについても個人番号を一定の法則に従って変換したものであることから、番号法第2条第8項に規定する個人番号に該当します。(平成27年4月追加)

PPCのQA9-2
(個人情報保護委員会サイトより)

このように、「暗号化等によって秘匿化されたものについても、それは個人番号を(プログラム等により)一定の法則に従って変換したもの」であるので、マイナンバー法2条8項が規定するとおりマイナンバー(個人番号)に該当するのです。

この点、xID社サイトは「ヘルプ」の画面のなかの「なぜマイナンバーを入力する必要があるのですか?」とのQAにおいて、『マイナンバーをもとに一意のIDを生成するために、マイナンバーをご入力いただいています。非可逆な形で生成していますので、IDをもとにマイナンバーを検出することはできません。また、xIDではマイナンバーに関するすべての処理をデバイス上でのみ完結させており、マイナンバーを収集・保管することは致しません。』と回答しています。

なぜマイナンバーを入力するのですか?
(xID社サイトのヘルプより)

しかし、上でマイナンバー法2条8項の条文で確認したとおり、そもそも「マイナンバーをもとに一意のIDを生成する」こと自体が「広義の個人番号」(裏個人番号・裏マイナンバー)の生成であり、マイナンバー法上の大問題です。「非可逆な形で生成」したとしても、「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」はマイナンバーとして法的に扱われるので、マイナンバーをもとにxIDを生成しているのですから、xID社は「非可逆な形で生成」しているからとマイナンバー法の適応除外となるわけではありません。(この点は後述。)

また、「xIDではマイナンバーに関するすべての処理をデバイス上でのみ完結させており、マイナンバーを収集・保管することは致しません。」とありますが、マイナンバーから別のIDを生成することについては、それが事業者のサーバー上で行われるか利用者のスマホ上のアプリで行われるかはマイナンバー法上は関係のないことであり、また、xID社は利用者のマイナンバーをアプリで生成したxIDというマイナンバーと法的に同等のもの(広義の個人番号)を同社のサーバー等で保存・利用・提供などするわけですから、やはりマイナンバーをもとにアプリでxIDを生成するというxID社のスキームは、マイナンバー法上、完全に違法です(マイナンバー法9条・別表一(法9条関係)、法19条、法2条8項かっこ書き)。

■追記(10月7日)
産業技術総合研究所主任研究員の高木浩光先生が、マイナンバー法の「裏個人番号」についてブログ記事を書かれています。
・緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか|高木浩光@自宅の日記

4.なぜマイナンバー法はマイナンバーの厳格な取扱いを要求するのか?
(1)国民の個人データの名寄せ・突合を可能とする究極のマスターキーとしてのマイナンバー
このようにマイナンバー法がマイナンバー(個人番号)について厳格な取扱いを要求するのは理由があります。つまりマイナンバー法に基づき、国家(が法で委託したJ-LIS(地方公共団体情報システム機構))が国民すべてに悉皆性)、国民一人に一つの個人番号(マイナンバー)を割り当てることにより(唯一無二性)、マイナンバーを国民の個人情報・個人データのマスターキーとして利用して、国・自治体など行政のさまざまな部門の持つ国民の個人情報・個人データのデータマッチングを行うことにより、従来、紙と人間の手によって行ってきた様々な行政上の事務を効率化し、行政のコストダウンなどを行うのがマイナンバー制度です(宇賀克也『番号法の逐条解説』14頁)。

しかしマイナンバーは国・自治体などのあらゆる分野の国民の個人情報・個人データを名寄せ・突合できてしまう非常に高度な識別機能を持つ究極のマスターキーであるため、もしマイナンバーが漏洩したり、行政において悪用や恣意的な利用がなされた場合、国のそれぞれの官庁などのさまざまな部門が分散して保有する個人情報・個人データが国民の意思に反して勝手に名寄せ・突合などが行われ、国民がコンピュータやAIによりそれらの突合された個人データの分析(自動処理)により勝手に評価・分析されてしまうなどのプロファイリングの危険や、国民の追跡・トレーシングや監視・モニタリングなどの危険、個人情報漏洩の危険、国民の個人情報・個人データが国や大企業・IT企業などに一元管理・集中管理されてしまう危険(監視社会・監視国家の危険)などのおそれがあります。

このような危険の防止のために、マイナンバー制度はマイナンバー(個人番号)という識別機能の極めて高い、究極のマスターキーを国家が法律に基づき作成し、国民に割り当てるものの、行政各部門が保有する国民の個人データに関しては一元管理、集中管理するのではなく、従来どおり行政の各部門が分散管理して個人データを保管することとしています。

マイナンバー制度の概要図
(内閣府サイトより)
・マイナンバー制度について|内閣府

またマイナンバー法の規定でマイナンバーの利用についても利用目的を、税関係・社会保障関係・災害時の対応の3つの分野のみに限定し、マイナンバーの提供を受けたり利用ができる機関・事業者を法律に限定的に規定し、それ以外の事業者や国・自治体の機関は利用禁止にするなどの対応を行い(法9条・別表第一(法9条関係)、19条など)、マイナンバーによる国民のプロファイリング、国民の個人情報の漏洩、国家や大企業などによる国民の個人情報の一元管理などのリスクを防止しようとしているのです。

つまり、マイナンバー法は行政の効率化を目指しつつ、同時に、国民の個人情報やプライバシー権、人格権(憲法13条)などの国民の個人の尊重と基本的人権を大きく侵害しかねない重大なリスクを防止するために、マイナンバー(個人番号)の厳格な取扱を要求するために個人情報保護法などの特別法として立法化されたものです(マイナンバー法1条、個人情報保護法1条、同法3条、憲法13条)。

にもかかわらず、マイナンバーからプログラムなどで変換されたマイナンバーと一対一の関係にある「当該個人番号に代わって用いられる番号、記号その他の符号(法2条8号かっこ書き)」(=今回の事件におけるxID)とセットで個人情報が漏洩などしてしてしまった場合(=特定個人情報の漏洩)、それを入手した名簿屋などが、「当該個人番号に代わって用いられる番号、記号その他の符号」とセットで漏洩した他の個人情報などとさらに別のところから入手した個人データなどを名寄せ・突合し、どんどんより多くの項目のそろった国民の個人データのデータベースを勝手に作成し、それらを勝手に他の事業者や外国に販売・転売するであるとか、あるいはそれらのより多く項目の国民の個人データのそろったデータベースで、本人に勝手にプロファイリングやトラッキング・トレーシングなどを行い、そのプロファイリングやトラッキングの結果を違法・不当に国民の信用スコアリングや身元調査、信用調査などに利用するであるとか、そのプロファイリング等の結果を他の事業者や外国に販売・転売するなどのリスクがより発生しやすくなってしまいます。

つまり、マイナンバー法は、マイナンバー(個人番号)による違法・不当な国民のプロファイリングのリスクトラッキングのリスク、個人情報・個人データの情報漏洩のリスク国家や大企業・IT企業などによる国民の個人情報・個人データの一元管理などのリスク(監視社会・監視国家のリスク)などの国民の個人の尊重や基本的人権などを大きく侵害しかねない重大なリスクを防止するために、マイナンバー(個人番号)の厳格な取扱を要求しています。

そして同様に、これらのマイナンバー(個人番号)がもたらすおそれのある国民の個人の尊重や基本的人権を侵害しかねない重大リスクを防止するために、マイナンバー法は、マイナンバー(個人番号)と同じように利用できてしまう唯一無二性・悉皆性を有する番号・記号・符号などである、「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」(法2条8項かっこ書き・「広義の個人番号」・いわゆる「裏個人番号」・「裏マイナンバー」)をも、事業者や行政機関などが勝手に作成して利用・提供などすることを法律で禁止しているのです。

(2)ハッシュ化の問題
そのため、マイナンバー(個人番号)をプログラムで例えばハッシュ化するなどして生成されたハッシュ値などの番号・記号・符号なども、それが非可逆性という性質を有しているとしても、マイナンバー法上はマイナンバー(個人番号)と同等のものであると評価され、マイナンバー法上の法規制に服することになると思われます(法2条8項かっこ書き)。

この点、産業技術総合研究所主任研究員の高木浩光先生は、9月28日のTwitterで『水町本にハッシュへの言及があるわけではないですが、「性質上個人番号と同等と考えられるもの」(水町逐条85頁)という説明。その性質が「悉皆性、唯一無二性」であることは続く頁に書かれています。書かれてはいるがもっと直接的にはっきり記述した方がよかった。』と投稿しておられます。
ひろみつ先生ハッシュ化
(高木浩光先生のTwitterより)
https://twitter.com/HiromitsuTakagi/status/1442292375011823621

マイナンバー法の立案担当者である弁護士の水町雅子先生の『Q&A番号法』56頁も上でみたとおり、「個人番号を脱法的に変換したものや、個人番号や住民票コードから生成される番号・符号など、個人番号に性質上対応するもの」は「広義の個人番号」(=裏個人番号・裏マイナンバー)に該当し、マイナンバー法の個人番号への法規制の対象になるとしており、マイナンバーをハッシュ化による非可逆化の処理をして番号・符号などを生成した場合は、当該番号・符号などは「広義の個人番号」(裏個人番号・裏マイナンバー)から除外されるとはしていません。

したがって、マイナンバーをスマホアプリでハッシュ化による非可逆的な番号のxIDにしたとしても、xIDはやはりマイナンバーと法的に同等のものである「広義の個人番号」(裏個人番号・裏マイナンバー)であり(法2条8項かっこ書き)、マイナンバー法のマイナンバーに関する各種の法規制を受けるので、法9条と別表一の規定する税・社会保障・災害時の対応の利用目的以外に利用・提供などすることは法9条違反となり、またxID社などの民間企業や自治体・国などの行政機関や本人が、法9条と別表一が定める以外の行政機関や事業者などにxIDを提供することは、法19条違反となります。

(3)GovTech企業としてのxID社
ところで、xID社は、同社サイトにおいて、『xID株式会社は「信用コストの低いデジタル社会を実現する」をミッションとして掲げ、マイナンバーカードを活用したデジタルIDソリューション「xID」を中心に、次世代の事業モデルをパートナーと共に創出するGovTech企業です。』と同社の概要を説明しています。

xID社について
(xID社サイトより)

しかし「マイナンバーカードを利用したデジタルIDソリューション」を行う「GovTech企業」であるにもかかわらず、xID社は、上でみたようなマイナンバー法やマイナンバー制度の趣旨・目的を理解せず、「マイナンバーをアプリで変換して生成したxIDはマイナンバーではない」という初歩的な誤解に基づきマイナンバーに関連する事業を行っているとは、xID社の経営陣や法務部門、情報システム部門などは法律や情報システムや情報セキュリティのド素人の人間しかいないのでしょうか?

xID社サイトによると、同社の代表取締役CEOの日下光氏は、石川県加賀市のDXアドバイザー、静岡県浜松市フェロー、2021年度総務省地域情報化アドバイザー、東京大学近未来金融システム創造プログラム講師などを歴任しているようです。また、同社の金融・不動産領域アドバイザーの赤井厚雄氏は、早稲田大学研究院客員教授、内閣府都市再生の推進に係る有識者ボード委員、内閣府未来技術社会実装有識者会議委員、国土審議会部会委員等を歴任しているとのことです。

このようなマイナンバー法や個人情報保護法制、情報システムや情報セキュリティなどの素人の人物を諮問委員としている内閣府未来技術社会実装有識者会議、内閣府都市再生の推進に係る有識者ボード、総務省地域情報化部門、国土審議会部会、石川県加賀市、静岡県浜松市などは本当に大丈夫なのでしょうか?

同様にこのような素人の人物達を教員・研究者にしている東京大学近未来金融システム創造プログラム部門、早稲田大学研究院なども大丈夫なのでしょうか?

同社サイトによると、xID社は楽天などの新経済連盟に加入し、Fintech協会スマートシティ・インスティテュートなどの業界団体にも加入しているようです。これらの団体の業務品質やガバナンス・コンプライアンスも大いに気になるところです。

5.xIDの導入・運用
(1)従業員のメンタルヘルスに関する情報システム・コロナワクチン予約システムへの導入
xID社のxIDは、今回問題となっている渋谷区だけでなく、加賀市などでも導入予定となっているそうです。また、同じく導入予定となっている「ラフールサーベイ」という企業は、企業の人事部門が従業員のメンタルヘルスを管理することを支援する企業であるそうですが、マイナンバーと法的に同じものであるxIDに、従業員のメンタルヘルスに関するセンシティブな医療・健康データを連結させてしまって大丈夫なのかと気になります。
ID導入予定
(xID社サイトより)

また、本年7月のxID社のプレスリリース「xID、コロナワクチン予約システムで採用。地方自治体で実証実験を開始。」によると、東京都日野市などの自治体で、コロナワクチン予約システムにおいて、利用者・住民のIDとしてxIDを利用する実証実験が行われているそうです。
・xID、コロナワクチン予約システムで採用。地方自治体で実証実験を開始。|xID

コロナワクチン接種の事実、いつだれが接種をどこで受けたか等は個人情報保護法が規定するセンシティブな個人情報である要配慮個人情報(個人情報保護法2条3項)「病歴」などの医療データには直接は該当しません。しかし、医師・看護師の問診を受けてワクチン接種を受けることは医療行為に該当するものであり、ワクチン接種を受けた本人のプライバシー権や、ワクチン接種を受ける受けないという医療に関する自己決定権(憲法13条)、ワクチン接種を受ける受けないという内心の自由(19条)に関連する、要配慮個人情報に準じる、センシティブな個人情報・個人データです。

そのため、自治体がコロナワクチン予約システムに法的にマイナンバーと同等のもの(広義の個人番号・裏個人番号・裏マイナンバー)であるxIDを導入し、xIDに要配慮個人情報に準じるセンシティブな個人情報であるワクチン接種の予約などに関する個人情報・個人データを連結させることは、これも上でみたように、マイナンバー法9条、19条、2条8項かっこ書きに違反するおそれがあるのではないでしょうか。

(2)自治体の電子申請システム「LoGoフォーム電子申請」への導入
さらに、本年7月のxID社のプレスリリース「【トラストバンク・xID】マイナンバーカードを活用した電子申請サービス「LoGoフォーム電子申請」が、25自治体で導入」によると、2020年7月より導入が開始された、xIDを利用した電子申請サービス「LoGoフォーム電子申請」が、石川県加賀市、兵庫県三田市など25自治体に広がったとされています。電子申請サービス「LoGoフォーム電子申請」とは、自治体職員が担当部署や上司などに各種の申請を行うための電子申請サービスであるそうです。

国の機関や地方自治体は公的機関であり、民間企業以上に高度な法令遵守・コンプライアンスが要求される機関ですが(国家公務員法98条1項、地方公務員法32条、憲法99条・憲法尊重擁護義務)、石川県加賀市、兵庫県三田市などはマイナンバー法や個人情報保護法制などを十分に理解し、この「LoGoフォーム電子申請」やxIDなどをしっかりと検討した上で導入したのか大いに気になるところです。
・「【トラストバンク・xID】マイナンバーカードを活用した電子申請サービス「LoGoフォーム電子申請」が、25自治体で導入」|xID

(3)金融機関や議員等の情報発信基盤などへの導入
xID社はセブン銀行LayerX富士ソフトVOTE FORなどとも業務提携しているそうですが、これらの企業も、法務部や情報システム部門などがマイナンバー法や個人情報保護法などの業務に関連する法律をしっかりと理解しているのか気になります。

(2019年の就活生の内定辞退予測データの販売が問題となったいわゆる「リクナビ事件」においては、個人情報保護委員会は、リクルートキャリアやトヨタなどに対して、「新しい業務を行う際に、社内で組織的に個人情報保護法などの法令を十分に検討していなかった」ことを理由の一つとして行政指導を行っています(個人情報保護委員会「株式会社リクルートキャリアに対する勧告等について」(令和元年12月4日))。)
xID提携企業
(xID社サイトより)

セブン銀行の属するセブン&アイ・ホールディングスセブンイレブン7payのシステムがあまりにもお粗末で、2019年夏にリリースされた後、社会的批判を受けてあっという間にサービス終了となったことが記憶に新しいものがあります。そのなかで同グループのセブン銀行は金融業だけあって比較的手堅く業務を行っているイメージがあったのですが、やはりセブン&アイ・ホールディングスのグループ会社といういうことなのでしょうか。

また、特にLayerXは、ITや個人情報保護法制の専門家集団の企業のはずですが、この点どうなのでしょうか。また、xID社と業務提携してる、VOTE FORという企業は国会議員・地方議員・行政機関の職員などの「情報発信を支援」する企業だそうですが、もし万が一、国会議員・地方議員や行政機関の職員などが個人番号と法的に同等のものであるxIDに簡単にアクセスなどができるとしたらこれもマイナンバー法9条、19条、2条8項かっこ書きとの関係で大問題の予感がします。

(4)富士ソフトのデータ連携基盤「UXP」と政府のスーパーシティ構想・スマートシティ構想
富士ソフトは法人向けシステム開発とともに、「筆ぐるめ」の企業であるようですが、もし筆ぐるめの住所録機能にxIDを入力する項目などがあったら大問題であると思われます。

また、富士ソフトは上でみた経産省の「第5回インフラ海外展開懇談会」に提出されたxID社のxIDに関する資料(「資料3 xID 日下様 ご提供資料(第5回インフラ海外展開懇談会 日本で唯一の次世代デジタルIDアプリ「xID」」)の「「UXP × xIDで実現するパーソナルデータの連携」に登場する「UXP(Unified eXchange Platform)」を開発しxID社と業務提携しているとのことです。

この「UXP(Unified eXchange Platform)」とは、富士ソフトのプレスリリースなどによると、「エストニア政府でも採用されているX-Roadを商用化した製品」であり、「暗号化技術を活用することで、複数のデータベース間のデータ連携を安全に共有することを可能」とする「分散型のシステム」であり、「機微・機密データ」の連携に強い、「複数のシステムやデータベース、そのデータレイアウトを変更することなく連携・利活用することが可能」な「分散型」の「データ連携基盤」であるそうです。
・富士ソフトとxID、データ連携基盤「UXP」と次世代デジタルID「xID」の共同提供の検討における基本合意書を締結(2020年9月1日)|富士ソフト

富士ソフトは同社サイトによると、このxID社と提携したデータ連携基盤「UXP」を、近年、政府が推進している未来都市創生プロジェクト「スーパーシティ構想」(スマートシティ)に提供したい方針のようです。
富士ソフトスーパーシティ構想
(富士ソフトウェブサイトより)
・富士ソフトの連携基盤UXP×Fiware|富士ソフト

この富士ソフトのスーパーシティ構想におけるxIDと連携した「UXP」の概要図をみると、病院、介護施設、保育園などの患者や児童、入居者や保育士、介護士などのバイタルデータ・ストレスデータなどの個人の心身のセンシティブな医療データ・健康データやレセプトのデータや検査結果などの医療データをデータ連携基盤UXPでxIDを個人データのマスターキーとして収集し名寄せ・突合を行い、一元管理・集中管理し、これら国民・住民のセンシティブな個人データを研究機関やIT企業や製薬会社などに提供するようです。

しかし、富士ソフトやxID社、内閣府など政府のこのようなスーパーシティ構想・スマートシティ構想は、広義の個人番号・裏個人番号・裏マイナンバーという、マイナンバーと法的に同等のものであるxIDに国民・住民のセンシティブな医療データやバイタルデータ・ストレスデータなど(要配慮個人情報など)を連結させる点で、マイナンバー法9条の定めるマイナンバーの税・社会保障・災害対応という利用目的からはずれており違法です。

また、国民・住民のさまざまな個人データやライフログ、医療データ・健康データなどの要配慮個人情報をxIDとUXPにより名寄せ・突合して集中管理・一元管理して研究機関や製薬会社、IT企業などに提供してそれらの国民・住民の個人データを利活用することは、国・自治体や大企業による国民・住民のあらゆる個人データの監視・追跡・モニタリングであり、国・大企業の前で国民が丸裸のごとき状態(監視社会・監視国家・国民総背番号制度)をもたらしてしまうものであり、国・大企業による国民のあらゆる種類の個人データによるプロファイリングやスコアリングなどが行われてしまう危険が非常に高いのではないでしょうか。

日本のマイナンバー制度は、上でもみたとおり、行政の効率化などの目的のために、国の各行政機関や各自治体が保有する国民の個人データを名寄せ・突合できるマスターキーとしてのマイナンバー(個人番号)を作成するものの、行政機関の保有する国民の個人データは従来どおり分散管理し、またマイナンバーの利用目的も税・社会保障・災害対応の3分野に法律で限定し、利用できる行政機関・事業者も法律で限定して、国や大企業などによるマイナンバーの濫用による国民の個人の尊重や基本的人権の侵害に歯止めをかけています。

にもかかわらず、国民・住民のオープンデータや病院・介護施設・保育園・学校などのあらゆる個人データ・医療データなどの要配慮個人情報、ライフログなどをxIDやUXPなどにより名寄せ・突合できるようにして、一元管理・集中管理されたこのような官民の保有する国民のあらゆる個人データを利活用しようという、xID社や富士ソフト、あるいは内閣府などの政府が推進しようとしているスーパーシティ構想・スマートシティ構想などは、官民による広義の個人番号・裏個人番号・裏マイナンバーの利用による国民の個人情報の利活用というマイナンバー法や個人情報保護法制の潜脱行為であり、行政の効率化と国民の人権保障の調和を図ろうとするマイナンバー法やマイナンバー制度、そしてマイナンバー法の一般法である個人情報保護法などの趣旨・目的そのものに反し、国民の個人の尊重や個人情報、プライバシー権、人格権や自己情報コントロール権の侵害(憲法13条)であり、もし裁判所で争われた場合、違法・違憲との判断が出される可能性があるのではないでしょうか。

(5)自治体への導入
一方、石川県加賀市、兵庫県三田市、町田市などxID社と提携しているその他の自治体も、マイナンバー法やそれぞれの自治体の個人情報保護条例・個人情報保護法などを十分に理解した上で業務を実施しているのか気になります。
xid提携自治体1
xid提携自治体2
(xID社サイトより)

(6)スマホアプリxIDのインストール件数
加えて、Googleのandroidスマホのplayストアをみると、android版スマホアプリのxID既に約1000件以上ダウンロードされて利用されているようです。日本はiPhoneなどのapple製品のシェアのほうがずっと高いので、xIDアプリの実際の利用者はこの数倍となるのではないでしょうか。つまり、xID社によるマイナンバーの違法な収集・利用が少なくとも1000件(実際にはその数倍)、すでに行われていることは間違いないようです。
FAJLlV6VQAsiW5q

6.マイナンバー法上の個人情報漏洩等の重大事故があった場合の個人情報保護委員会への報告
この点、マイナンバー法29条の4は、「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態が生じたとき」には、事業者や地方公共団体などは個人情報保護委員会に対して速やかに報告をしなければならないと、報告法的義務としています。

また個人情報保護委員会の「特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則」は、「100人以上」の特定個人情報の漏洩等を「重大事故」(重大インシデント)と定義して、重大事故が発覚したときは、事業者や地方自治体などは「直ちに」、個人情報保護委員会に対して「第一報」(速報)を行わなければならないとしています。同規則2条2項ロは、「法第9条の規定に反して利用された個人番号を含む特定個人情報」が「100人を超える場合」をも「重大事故」であると定義し、個人情報保護委員会へ直ちに報告することを義務付けています。

重大事故の報告
(個人情報保護委員会サイトより)
・特定個人情報の漏えい事案等が発生した場合の対応について|個人情報保護委員会

この点、xID社はネット上の炎上を受けて9月24日付で「ソーシャルメディア等で頂いているxIDアプリに関するご意見について」とのプレスリリースを公表しています。

お詫びのリリース
(xID社サイトより)
・ソーシャルメディア等で頂いているxIDアプリに関するご意見について|xID

しかしこのプレスリリースを読むと、「関係官庁や顧問弁護士と法律面の確認はしてきた」と、xIDがマイナンバーの入力を要求し、入力されたマイナンバーからアプリでxIDを生成していることの違法性を否定しています。(この関係官庁が具体的にどの官庁で、また顧問弁護士が具体的に何という弁護士なのか大いに気になりますが。)

そして、「多くのご意見を頂いております個人番号の入力につきまして、かねてより当社も利用者様の不安を招く可能性を認識しており、そのため、現在開発中で年内リリース予定の次期バージョンでは個人番号入力を伴う手順を廃止するよう進めております。」としています。

つまりxID社はマイナンバーからxIDを生成することは違法と認識しておらず、ただ「利用者の不安」を払拭する目的のために「現在開発中で年内リリース予定の次期バージョンでは個人番号入力を伴う手順を廃止」するとしていますが、既に同社がマイナンバーから生成済のxIDのデータを直ちに削除・廃棄するであるとか、マイナンバーからxIDを生成するスキーム自体を中止する等とは一言も述べていません。当然、個人情報保護委員会へ報告を行うなどとも書かれておらず、マイナンバー法が規定するマイナンバーの重大インシデントが発生中であるにもかかわらず、状況は深刻です。

7.マイナンバー法上の個人情報保護委員会の権限・罰則
(1)報告徴求・立入検査など
マイナンバー法は、このような場合、個人情報保護委員会は、行政機関や自治体、事業者などに対して報告徴求を行い、立入検査などを実施することができると規定しています(法35条)。そしてこの報告徴求に対して虚偽の報告をしたり、立入検査に対して検査を妨害などした場合には、一年以下の懲役又は五十万円以下の罰金の刑罰が科されます(法54条)。

また、個人情報保護委員会は、マイナンバーの安全管理などのために、総務省やその他の官庁、行政機関などに対して「必要な措置」の実施を要求することができます(法37条)。

(2)罰則
さらに、「人を欺き」、「個人番号を取得した者」は、三年以下の懲役又は百五十万円以下の罰金に処する」と罰則が規定されています(法51条1項)。

ここでいう「個人番号」には、個人番号からプログラムで生成された「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」(法2条8項)も含まれると解されています(宇賀・前掲234頁)。

また、法51条2項は、「前項の規定は、刑法(明治四十年法律第四十五号)その他の罰則の適用を妨げない。と規定しているので、刑法詐欺罪窃盗罪組織犯罪処罰法(組織的な犯罪の処罰及び犯罪収益の規制等に関する法律)の定める犯罪収益等の没収・追徴なども可能と解されています(宇賀・前掲237頁、(組織犯罪処罰法2条2項1号ロ、別表第二(第二条関係)37号はマイナンバー法51条1項に該当する罪の収益には組織犯罪処罰法が適用されると規定しているため))。

そのため、マイナンバー法9条および別表に定める利用目的および機関・事業者に該当しないにもかかわらず、利用者・ユーザーにマイナンバーの提供(入力)を要求して当該マイナンバーからxIDを生成して利用・管理・提供しているxID社の業務はこの「人を欺き」、「個人番号を取得」に該当するとして、法51条1項の三年以下の懲役又は百五十万円以下の罰金の罰則が科される可能性があるのではないでしょうか。

同時に、法51条2項の規定により、xID社には刑法上の詐欺罪、窃盗罪などが適用される可能性もあり、さらに組織犯罪処罰法に基づき、同社がxIDの業務により得ていた収益も、「犯罪収益」に該当するとして、没収・追徴が行われる可能性があります。

加えて、偽りその他不正の手段により個人番号カードの交付を受けた者」に対しては、六月以下の懲役又は五十万円以下の罰金の刑罰が科されます(法55条)。例えば、行政機関の担当者を買収したり、甘言を弄したり、懇願するなどしてマイナンバーカードの交付を受けるなどの行為は、「不正」に他人のマイナンバーカードの交付を受けることに該当し、この法55条の罰則が適用されるされています(宇賀・前掲246頁)。

8.まとめ
渋谷区では民間のITベンチャー企業と連携した、LINEによる住民票の写しの申請が違法であり許されないと総務省からダメ出しが出されたばかりであり、今回の渋谷区とxID社の件は「またか」との感があります。

一方、国においても、国・自治体のデジタル化やマイナンバー制度の推進などを任務とするデジタル庁が9月から正式発足しましたが、同庁幹部の向井治紀氏がNTTから違法不当な接待を何度も受けていたことが発覚し、また事務方トップのデジタル監に、アメリカの性犯罪者の富豪から巨額の寄付を受けた不祥事でMITメディアラボを辞任したばかりの伊藤穣一氏をあてる人事が大きな社会的批判を浴びて撤回されたものの、代わってデジタル監に就任した石倉洋子・一橋大学名誉教授が自身のウェブサイトで画像素材サイトの画像を無断で対価を支払わずに多数利用していたという著作権法違反の事件が発覚しました。

さらに平井卓也・デジタル庁大臣も、違法不当な接待をIT企業から受けていた問題や、特定企業との癒着や脱税、NECを「徹底的に干せ」「脅せ」などと発言したことなどが社会的批判を浴びています。加えてデジタル庁自体も、民間IT企業の職員を数百人規模で中途採用して職員にするなど、利益相反や特定企業との癒着の危険性、憲法15条2項や国家公務員法96条1項などが要求する行政の公平性・中立性が保たれるのかなどの憲法レベルのさまざまな問題をはらんでいます。

近年のわが国の政府や経済界は、新自由主義的思想のもとに、露悪趣味的な、「自分達の考えた政策や事業の実現のためには法律やモラルなどどうでもよい」という雰囲気が漂い、日本社会は法治主義や「法の支配」ではなく、政治力や経済力、腕力・発言力などの強い人間が社会を支配する「人の支配」が横行する社会となってしまい、日本社会全体が大きく低迷・迷走しています。

日本のマイナンバー制度などを含む個人情報保護に関する行政やデジタル行政に対する国民からの信頼確保のためには、個人情報保護委員会や総務省などは、xID社や提携企業、xIDなどを導入や導入を検討している渋谷区、石川県加賀市、兵庫県三田市、町田市などに対して報告徴求や立入検査などを実施し、状況を分析した上で行政指導を行い罰則を科すなどの厳格な対応を早急に実施すべきではないでしょうか。

同時に、日本のITベンチャー企業や、デジタル化を推進している行政官庁や全国の自治体も、マイナンバー法や個人情報保護法制など憲法・法律やモラルなどを遵守することが、国民からの日本のIT業界や国・自治体のデジタル行政や個人情報保護行政への信頼を保つため、そして低迷する日本社会を再び活力ある社会、主権者たる国民の人権保障が重視され、法治主義・「法の支配」が貫徹される社会にするために重要なのではないでしょうか。

■追記(9月28日)
「7.マイナンバー法上の個人情報保護委員会の権限・罰則」にマイナンバー法51条に関する説明を追加するなどしました。

■追記(9月29日)
9月28日に、渋谷区議会議員の須田賢氏(@sudaken_shibuya)よりつぎのようなコメントをTwitterにて頂戴しました。

『渋谷区で現在公募している施設予約リニューアルのシステムで引用RTの記事のように問題が指摘されているxIDについて、法令上の問題の有無について提供しているxID社及び所管する総務省に確認をするよう渋谷区の所管部門に要請しました。今後の渋谷区の対応についてフォローしていきます。』

須田賢渋谷区議のツイート
(須田賢氏のTwitterより)
https://twitter.com/sudaken_shibuya/status/1442741641370955776

そのため、私の方からは、須田区議に対し、「マイナンバー法の所管の官庁は個人情報保護委員会であるので、総務省だけでなく個人情報保護委員会にも渋谷区から照会していただきたい」旨をTwitterで返信させていただきました。

個人情報保護委員会および総務省の渋谷区やxID社などへの回答や対応が待たれます。

■追記(9月30日)
加賀市9月29日付のプレスリリース「xIDを利用しているサービスの一時利用停止について」によると、ネット上の炎上を受けて、xID社は現在、個人情報保護委員会に対してxIDがマイナンバー法違反であるかどうかについて照会を行っているとのことであり、また、それを受けて加賀市はxIDを利用している同市の電子申請サービスなどの一時停止を決定したとのことです。
・【プレスリリース】xIDを利用しているサービスの一時利用停止について|加賀市

加賀市プレスリリース
(加賀市サイトより)

今後の展開が注目されます。

■追記(10月4日)
愛媛県官民共創デジタルプラットフォーム「エールラボえひめ」が10月1日のプレスリリースにおいて、xIDを利用した新規会員登録とログイン認証の一時停止を発表しています。
・xIDアプリと連携した新規会員登録及びログイン認証の一時停止について|エールラボえひめ
エールラボえひめ

■追記(10月6日)
富士ソフトのデータ連携基盤「UXP」と政府のスーパーシティ構想・スマートシティ構想等について追記しました。

■追記(10月7日)
xID社が10月6日付で新たなプレスリリースを公表しました。このリリースによると、同社は9月29日に個人情報保護委員会に対して、xIDアプリの詳細仕様及びこれまでの経緯に関する事実説明を行ったとのことです。個人情報保護委員会の判断や対応が待たれます。
・個人情報保護委員会への当社xIDアプリの個人番号入力に関する説明について|xID
xIDプレスリリース2
(xID社サイトより)

また、高木浩光先生が10月6日付で「裏個人番号」に関するブログ記事を公開されています。
・緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか|高木浩光@自宅の日記

■追記(10月12日)
読売新聞が10月12日付の記事でxIDのマイナンバー法違反の件を報道しています。
・行政手続きアプリに「違法」指摘、利用停止の動き広がる…自治体側は問題に気づかず|読売新聞

この読売新聞の記事は高木浩光先生のつぎコメントも掲載されています。

『マイナンバーの収集が制限されているのは、唯一の番号に国民の様々な情報が紐付けられるのを避けるため。デジタル化で多様な情報が集約される流れにあり、自治体は法の趣旨を忘れてはならない。』(「行政手続きアプリに「違法」指摘、利用停止の動き広がる…自治体側は問題に気づかず」読売新聞2021年10月12日夕刊より)

■追記(2021年10月22日)
個人情報保護委員会は、10月22日に『個人番号(マイナンバー)を非可逆的に変換しているものであっても、個人番号の唯一無二性・悉皆性の特性により個人の特定に用いるものは、個人番号に該当し(マイナンバー法2条8項かっこ書き)、同法9条に定めのない利用は違法』との趣旨のプレスリリースを出しました。
・「行政手続における特定の個人を識別するための番号の利用等に関する法律」第2条第8項に定義される個人番号の範囲について(周知)|個人情報保護委員会

マイナンバー法第2条第8項において、個人番号(マイナンバー)とは、第5項に定義される番号そのものだけでなく「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む」こととされています。また、その該当性については、その生成の由来から個人番号に対応するものと評価できるか否か及び個人番号に代わって用いられることを本来の目的としているか否かの観点を総合的に勘案して判断されます。

したがって、例えば個人番号(マイナンバー)の一部のみを用いたものや、不可逆に変換したものであっても、個人番号(マイナンバー)の唯一無二性や悉皆性等の特性を利用して個人の特定に用いている場合等は、個人番号(マイナンバー)に該当するものと判断されることがあり、その場合、マイナンバー法第9条に定めのない目的に利用していたり、保管していたりすると、マイナンバー法に抵触するおそれがありますのでご留意ください。』(2021年10月22日・個人情報保護委員会「行政手続における特定の個人を識別するための番号の利用等に関する法律」第2条第8項に定義される個人番号の範囲について(周知)」より)

PPCxIDプレスリリース


したがって、やはり、マイナンバーからスマホアプリで非可逆的なxIDを生成し、その唯一無二性・悉皆性の性質を利用して個人を特定するための共通IDとしてxIDを利用しているxID社のスキームは、それが非可逆的なものであっても、マイナンバー法9違反です。

この点、マイナンバー法2条8項かっこ書きの「裏個人番号」・「広義の個人番号」の規定について、宇賀克也先生「脱法的に個人番号を変換したもので可逆的に個人番号を識別できるものを含む」(宇賀克也『番号法の逐条解説』24頁)とし、「可逆的に個人番号を識別できないもの」は「裏個人番号」に含まれないとしていますがこれは正しくありません。

上でみた高木浩光先生や水町雅子先生のように、やはり、マイナンバーを非可逆的に変換した番号などであっても、唯一無二性・悉皆性を備え、個人の特定に使われる番号・符号などは「裏個人番号」・「広義の個人番号」に該当し、つまり法的にマイナンバーと同等のものであると考えるのが正しいことになります。

そのため、xIDをマイナンバー法9条が規定する税・社会保障・災害対応以外の目的の共通IDやデジタルIDなどに利用することはマイナンバー法9条違反となります。

そのため、xID社や、同社のxIDを共通ID・デジタルIDとして個人の特定に利用している加賀市、三田市、町田市や導入を計画中の渋谷区などの各自治体や、同社と業務提携して業務を行っている富士ソフト、LayerX、セブン銀行などは、直ちにxIDの利用や利用の計画を中止する必要があります。また、同様に、xIDやxIDと同等の「民間版マイナンバー」の共通IDをスーパーシティ構想などに利用しようと計画している国・自治体や事業者なども、xIDなどを共通ID・デジタルIDとして利用することはマイナンバー法9条違反となるので、計画などの再検討が必要です。

■参考文献
・宇賀克也『番号法の逐条解説』14頁、24頁、234頁、237頁
・水町雅子『Q&A番号法』56頁
・特定個人情報の漏えい事案等が発生した場合の対応について|個人情報保護委員会
・マイナンバー制度について|内閣府
・「株式会社リクルートキャリアに対する勧告等について」(令和元年12月4日)|個人情報保護委員会
・緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか|高木浩光@自宅の日記

■関連する記事
・xID社がプレスリリースで公表した新しいxIDサービスもマイナンバー法9条違反なことについて
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・河野太郎大臣がTwitterで批判的なユーザーをブロックすることをトランプ氏の裁判例や憲法から考えたー表現の自由・全国民の代表(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた





































このエントリーをはてなブックマークに追加 mixiチェック

真光書店きらら展ポスター
調布市の京王線調布駅北口の駅前の真光書店の地下一階で、9月26日より、芳文社のマンガ雑誌「まんがタイムきらら」の「NEW GAME!」と「星屑テレパス」の複製原画展が開催されています。(10月31日(日)まで。)
・真光書店|ちょうふどっとこむ
・まんがタイムきららWeb|芳文社

真光書店きらら展入口

真光書店は昔から「まんがタイムきらら」関係のマンガの品揃えが非常に充実しています。
真光書店きららの本棚

また、少年漫画、少女マンガ、青年マンガなどのマンガ一般の品ぞろえも非常に充実しています。アメコミなどめずらしい種類のマンガも販売されています。

さらに、真光書店は近くに電気通信大学、国立天文台、JAXAの調布航空宇宙センターなどがあるためか、地下一階は、IT・AI・セキュリティなどのデジタル系の書籍・教科書・専門書や、デザイン・CG・3D・絵の描き方などの書籍・解説書、電気系・建築系・通信系・天文学・地学などの理工系の書籍・専門書などの品ぞろえが非常に充実しています。これらのIT系やデザイン系、理工系のジャンルの書籍の品ぞろえはおそらく多摩地区一なのではないでしょうか。1階のビジネス書・法律書コーナー・資格の参考書なども良書がそろっています。

真光書店は調布駅北口に1968年(昭和43年)に開店した50年以上の歴史のある老舗の書店です。調布市は故・水木しげる先生が長年住んでおられた場所なので、水木先生のマンガや画集、エッセイ集などを特集した本棚もあります。調布・三鷹・狛江などの風景画で有名な画家の中川平一先生の画集なども販売されています。調布市役所などが刊行している行政資料、地元の郷土資料に関する書籍など、ネット通販などでは入手困難な書籍も販売されています。

真光書店ビル

私も地元民として、子供の頃からこの書店にお世話になってきました。地元住民にとっては、調布市立中央図書館などと並んで、多くの書籍や雑誌などに触れられる貴重な場所です。末永く営業を続けてほしいと思います。



■関連する記事
・「ゲゲゲの鬼太郎」の調布の聖地をめぐってみた
・「中川平一風景画展ー調布を描いて55年ー」が3月13日よりたづくりで開催される
・三鷹の国立天文台に桜を見に行ってみた
・野川公園に桜を見に行ってきた(2018)





























このエントリーをはてなブックマークに追加 mixiチェック

読売新聞記事
(読売新聞サイトより)

1.JR東日本が駅構内等で防犯カメラと顔認識システムを利用して、刑務所からの出所者や不審者を監視する防犯対策を実施しているとの読売新聞のスクープ記事
読売新聞の9月21日付の午前の記事で、「JR東日本が7月から、防犯カメラと顔認識システムを利用して、刑務所からの出所者と仮出所者や、不審者を駅構内などで検知する防犯対策を実施していることがわかった」とする記事がネット上で大きな注目を集めています。具体的には、①過去にJR東の駅構内などで重大犯罪を犯し服役した人(出所者や仮出所者)、②指名手配中の容疑者、③うろつくなどの不審な行動をとった人、を防犯カメラ・顔認証システムで監視し、必要に応じて警察と連携した対応を行うとしています。
・【独自】駅の防犯対策、顔認識カメラで登録者を検知…出所者の一部も対象に|読売新聞

JR東日本の2021年7月6日付のプレスリリース「東京2020オリンピック・パラリンピック競技大会に向けた鉄道セキュリティ向上の取り組み について」や、国土交通省のプレスリリース「鉄道の警戒警備の強化に関するお知らせ」によると、JR東日本は、東京オリンピック・パラリンピックの開催に合わせて、不審者、不審物などを監視するセキュリティの強化のために、新幹線や在来線の約110駅に約5800台の防犯カメラを設置し、変電所や車両基地などに約8350台の防犯カメラなどを設置し、さらに駅員にウェアラブル端末式の防犯カメラを装着させるなどして、収集したデータをセキュリティセンターで集中管理して監視を行うとされています。また、JR東日本のプレスリリースには「顔認証技術の導入に当たっては、個人情報保護委員会にも相談の上、法令に則った措置を講じています。」と書かれていることも気になる点です。
・東京2020オリンピック・パラリンピック競技大会に向けた鉄道セキュリティ向上の取り組み について|JR東日本
・鉄道の警戒警備の強化に関するお知らせ|国土交通省

ところが、この読売新聞のスクープ記事が報道された同日の夜には、新聞各社の報道によると、JR東日本は「顔認証システムで刑務所の出所者・仮出所者を監視する取組は撤回する」と発表したとのことです。
・駅で出所者の「顔」検知、JR東が取りやめ…「社会の合意不十分」と方針転換|読売新聞

JR東日本は、監督官庁である国土交通省や個人情報保護委員会などと調整した上で、この鉄道セキュリティ対策を企画・立案し実施したはずなのに、読売新聞のスクープ報道を受けてたった1日でその一部を撤回したのは不可解な話です。本ブログ記事では、このJR東日本の防犯カメラ・顔認証システムによる駅構内などにおける刑務所の出所者や不審者などの監視を、個人情報保護法などから問題点を検討してみたいと思います。

2.防犯カメラ・顔認証システム
顔認証システム(顔認証カメラ)とは、防犯カメラが収集した個人の顔の画像から、目、鼻、口といった顔の特徴をシステム的に数値化し、その「特徴点のデータ」(=「顔データ」、「顔認証データ」・「テンプレート」等と呼ばれる)を作成しデータベース(DB)に登録し、DB登録されている顔データとカメラで撮影し抽出した顔データを照合することで、特定の個人を識別するシステムのことをいいます。顔認証システムは、自動的に特定の個人を識別できることが、従来のただの画像という「生データ」しか取得しない従来の防犯カメラと大きく異なる点です。

そして、顔認証システムは特定の個人を識別するための「一対一の本人確認」のみならず、不特定多数の人間から特定の個人を識別する「一対nの識別」にも利用ができるため、警察や、今回話題となったJR東日本などのように民間企業でも利用が広がっています。

このような顔認証システムは、警察や民間企業などにとって有用性が高い一方で、撮影された個人の容貌の保護の問題(肖像権)、撮影方法や撮影画像の利用方法の問題(プライバシー権)、撮影された画像および顔データの保護の問題(個人情報の適切な取扱い)などについてさまざまな法的問題が発生します(新保史生「監視・追跡技術の利用と公法的側面における課題」『プライバシー・個人情報保護の新課題』(堀部政男編)201頁)。

3.個人情報保護法
(1)個人情報・個人データ
防犯カメラが撮影した生データとしての個人の顔や容貌などは、「個人に関する情報」であって、電磁的記録などを含むさまざまな情報・記述などにより、「あの人、この人」と「特定の個人を識別できるもの」は個人情報保護法上の「個人情報」に該当します(法2条1項1号)。そして民間企業などがコンピュータで体系的に処理する個人情報は「個人データ」に該当します(法2条6項)。

なお、従来、6か月以内に消去されるデータは個人データに該当しないと規定されていましたが、この規定は令和2年の個人情報保護法改正で改正され、改正法が施行される2022年4月以降は、6か月以内に消去されるデータも個人データに該当します(改正法2条7項)。

(2)顔データ・個人識別符号
今回問題となっている顔認証システムによる顔データ(顔認証データ)や遺伝子データ、声帯認証データ、歩行認証データ、指紋・掌紋認証データなどは、「個人に関する情報」であって「特定の個人を識別できるもの」である限り個人情報・個人データですが、平成27年の個人情報保護法改正で、これが個人情報・個人データに該当することを明確化するために、「個人識別符号」(いわゆる1号個人識別符号)という名称で、個人情報・個人データに該当することが条文上、明示されました(法2条2項1号、法2条1項2号)。

顔認証システムによる顔データは、個人情報保護法施行令1条1項ロの「顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌」に該当し、法2条2項1号の「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」である「個人識別符号」に該当するので、やはり個人情報・個人データに該当することになり、民間企業などは個人情報保護法第4章の規定する個人情報取扱事業者の義務を負うことになります。

(3)犯罪歴・要配慮個人情報
EUが1995年に制定したEUデータ保護指令は、病歴、犯罪歴、思想・信条、人種など社会的差別の原因になるおそれのある情報をセンシティブ情報(機微情報)として、個人情報のなかでも特に厳格な取扱いが必要であるとしました。しかし2003年に成立した日本の個人情報保護法は経済界の個人情報の利活用を重視するいわゆる「ザル法」であるため、このセンシティブ情報に関する規定はなく、金融庁などの個人情報保護ガイドラインなどにセンシティブ情報の規定が存在するにとどまっていました。しかし平成27年の法改正で日本の個人情報保護法にも、このセンシティブ情報は「要配慮個人情報」という名称でようやく取り入れられました(法2条3項)。

今回のJR東日本の防犯カメラ・顔認証システムで問題となる刑務所から出所や仮出所した人々を監視するということは、個人の犯罪歴に関わる情報の取扱ですので、この要配慮個人情報の取扱の問題となります。

要配慮個人情報について、個人情報保護法は、その収集には原則として本人の同意が必要であると規定し(法17条2項)、また要配慮個人情報の第三者提供については、オプトアウト方式による第三者提供を禁止しています(法23条2項かっこ書き)。

4.JR東日本の犯罪歴などの要配慮個人情報の取扱に法的問題はないのか?
このように、社会的差別をまねくおそれがあるために、犯罪歴、病歴、思想・信条、人種などの要配慮個人情報を民間企業などが収集するためには、原則として本人の同意が必要とされていますが、法はいくつかの例外を設けています。その一つが「法令に基づく場合」です。

個人情報保護法

(適正な取得)

第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
 法令に基づく場合
(略)
 当該要配慮個人情報が、本人、国の機関、地方公共団体、第76条第1項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
(後略)

読売新聞の記事によると、JR東日本は、「事件の被害者や目撃者、現場管理者らに加害者の出所や仮出所を知らせる「被害者等通知制度」に基づき、従来より検察庁から情報提供を受けている。出所者や仮出所者については情報が提供された際、JR東や乗客が被害者となるなどした重大犯罪に限って氏名や罪名、逮捕時に報道されるなどした顔写真をデータベースに登録する。」という取扱いを行うとされています。

つまり、"刑務所からの出所者、仮出所者などの情報は犯罪歴であり要配慮個人情報(法2条3項)に該当するが、「被害者等通知制度」という「法令に基づく場合」(法17条2項1号)の例外規定に該当するので、JR東日本が出所者などの個人の犯罪歴や氏名・住所などの要配慮個人情報や個人情報を本人の同意なしに収集することは合法である"とJR東日本は考えているようです。

(そして、この「被害者等通知制度」により法務省・検察庁から出所者等の氏名・住所・犯罪歴などの情報を収集し、その情報をもとにテレビや新聞などの報道機関の報道から出所者等の顔写真などの情報を収集することは、法17条2項5号の「当該要配慮個人情報が、…第76条第1項各号に掲げる者…により公開されている場合」の例外規定に該当し合法であるとJR東日本は考えていると思われます。)

しかし、このようなJR東日本の考え方は法的に正しくないと思われます。

JR東日本が出所者等の犯罪歴や氏名・住所などの情報を収集するための「被害者等通知制度」は、内閣府男女共同参画局や法務省のウェブサイトなどで調べると、法務省の制定した「平成28年5月27日法務省刑総第741号 被害者等通知制度実施要領」を根拠として運用されていると解説されています。

犯罪被害者通知制度
(法務省サイトより)
・被害者等通知制度実施要領|法務省

このような国会でなく、官庁の制定した「実施要領」(=通達)が、個人情報保護法17条2項が要配慮個人情報の本人の同意なしに例外的に収集を許す「法令」に該当するか否かが問題となります。

この点、個人情報保護法は、要配慮個人情報の収集、個人情報の目的外利用、個人情報の第三者提供の3つの場面においては、本人の承知しないところで本人の個人情報が不当に利用、保存、突合、連結、分析などが行われ勝手にプロファイリングに利用されてしまうリスクや、本人の承知しないまま本人の個人情報がある事業者から別の事業者へと転々と流通するなどのリスクを防止するため、本人に自らの個人情報をコントロールできるように、原則として本人の同意が必要であるとしています。

しかしこの三か所の場面には、例外として本人の同意が不要な場合として「法令に基づく場合」が規定されています(法17条2項1号、法16条3項1号、法23条1項1号)。

この「法令に基づく場合」が例外として許されている趣旨は、それぞれの法令は国会審議において、当該個人情報の収集等の必要性が立法意思として明らかにされ、当該法令により保護されるべき権利利益が明確であって、当該法令に照らして合理的範囲に限り取り扱われるものであることから適用除外とされていると解説されています(岡村久道『個人情報保護法 第3版』183頁、園部逸夫『個人情報保護法の解説(改正版)』124頁)。

つまり侵害されるおそれのある国民本人の基本的人権や権利利益の侵害の可否やその程度、それに対する法令の個人情報の収集の必要性などが、国民の信託を受けた国会議員による国会で十分審議された上で立法化される(はずな)ので、「法令に基づく場合」は例外として本人の同意が不要とされるのです。

そのため、この3つの場面の「法令に基づく場合」の「法令」とは、国会や地方自治体の議会の定める法律や条例、法律に基づいて制定される政令、府省令は含まれますが、官庁や自治体など行政機関が制定する訓令・通達含まれないとされています(個人情報保護法ガイドラインQ&A1-59、岡村・前掲183頁、園部・前掲124頁)。

この点、上でみたように、法務省・検察庁の「被害者等通知制度」は、国会などが立法した刑事訴訟法などの法律に根拠がある制度ではなく、行政機関である法務省の制定した「平成28年5月27日法務省刑総第741号 被害者等通知制度実施要領」という通達(要綱通達)を根拠として運用されているものであり、個人情報保護法17条2項1号の定める「法令に基づく場合」には該当しません。

したがって、法務省・検察庁の「被害者等通知制度」により出所者等の犯罪歴などの要配慮個人情報を収集することは個人情報保護法17条2項1号の「法令に基づく場合」に該当するので合法であるとするJR東日本の説明は法的に正しくありません。このようなJR東日本の犯罪歴などの要配慮個人情報の収集は違法といえます(法17条2項1号)。

5.プライバシー権や肖像権侵害による不法行為に基づく損害賠償責任の法的リスク
なお、上でも触れたとおり、事業者などがある個人の個人情報を違法・不当に取り扱った場合、個人情報保護法上違法となるだけでなく、当該個人の肖像権やプライバシー権の侵害であるとして不法行為に基づく損害賠償責任を負う法的リスクも発生することになります(民法709条、憲法13条)。

この点、ある自治体が弁護士会からの弁護士会照会(弁護士法23条の2)に対して、ある個人の前科を漫然と回答した事件に関して、1981年の最高裁は、当該自治体に対して不法行為に基づく損害賠償責任を認めています(前科照会事件・最高裁昭和56年4月14日判決)。

また、JR東日本の経営陣や法務・コンプライアンス部門などは、このような個人情報保護法など法令を十分に社内で検討せずに顔認証システム等の運用の企画・実施を行ったことを反省する必要があります。2019年の就活生の内定辞退予測データの販売が行われた、いわゆる「リクナビ事件」においては、個人情報保護委員会は、リクルートやトヨタなどに対して、「社内で個人情報保護法など法律を十分に検討せぬままに新しい業務を行ったこと」を理由として行政処分を行っているからです。
・個人情報の保護に関する法律に基づく行政上の対応について|個人情報保護委員会

同様に、監督官庁である国土交通省や個人情報保護委員会なども、JR東日本と事前にどのようなやり取りや法的判断を行ったのか等が問われる状況ではないでしょうか。

6.挙動不審者への対応について
しかしJR東日本は、出所者・仮出所者に関する対応は撤回した一方で、「うろつくなどの不審な行動をとった人」を防犯カメラ・顔認証システムで監視する取扱いは継続する方針であるそうです。

防犯カメラ・顔認証システムに関しては、従来、個人情報保護委員会などは個人情報保護法18条4項4号の「取得の状況からみて利用目的が明らかであると認められる場合」に該当するので、防犯カメラや顔認証システムを店舗などに設置している民間企業などは、個人情報の収集にあたって利用目的を通知・公表しなければならない(法18条1項)とする原則は適用されないと、極めて消極的な立場をとっていました。

しかし、2013年には独立行政法人情報通信研究機構がJR西日本の大阪駅構内に約90台の防犯カメラ・顔認証システムを設置して災害時の安全対策などの実証実験などを実施する計画を公表したところ、大きな社会的批判を受けた事件や、2016年にジュンク堂書店などにおける防犯カメラ・顔認証システムの利用が社会的に大きな賛否両論の議論を巻き起こしたことなどを受けて、平成27年の個人情報保護法改正に伴い、個人情報保護委員会は個人情報保護法ガイドラインQ&Aに規定を置きました。

すなわち、「防犯カメラが作動中であることを店舗の入口に掲示する等、本人に対して自身の個人情報が取得されていることを認識させるための措置を講ずることが望ましいと考えられます。また、カメラ画像や顔認証データを体系的に構成して個人情報データベース等を構築した場合、個々のカメラ画像や顔認証データを含む情報は個人データに該当するため、個人情報保護法に基づく適切な取扱いが必要です。」などの個人情報保護法ガイドラインQ&Aを追加するなどの対応を行っています(個人情報保護法ガイドラインQ&A1-11)。

また、民間企業などが防犯カメラではなく、店舗にカメラを設置して顧客の行動をモニタリング・監視してマーケティング活動など商用目的でカメラや顔認証システムを利用することについても、経産省と総務省が2018年3月に『カメラ画像利活用ガイドブックver2.0』を作成し公表しています。
・「カメラ画像利活用ガイドブックver2.0」の公表|総務省

このカメラ画像利活用ガイドブックは、個人情報保護法を遵守した上で、商用カメラの付近や店舗などの入り口などに、個人情報の利用目的や商用カメラの実施運用主体の名称及び連絡先などを記載した書面などを掲示することなどを求めています。

さらに、個人情報保護委員会は本年9月令和2年個人情報保護法改正に対応した同ガイドラインQ&Aを公表しましたが、同Q&Aにおいても、防犯カメラ・顔認証システムに関するQAがさらに追加されています。

とくに、同ガイドラインQ&A((令和2年改正法関係)の7-50は、防犯カメラ・顔認証システムにより収集された顔データの共同利用に関するものですが、次のように、①共同利用する顔データなどは防犯の利用目的のために「真に必要な範囲に限定」し、②「データベースへの登録条件を整備し、犯罪行為などに関係ない者の情報を登録しないこと」、③「個人データの開示等の請求及び苦情を受け付け、その処理に尽力するとともに、個人データの開示、訂正、利用停止等の対応に、管理責任者を明確に定めて必要な対応を行うこと」などを事業者側に要求し、防犯カメラ・顔認証システムに関して事業者側に厳格な運用を行うことを求めています。

個人情報保護法ガイドラインQ&A(令和2年改正法関係)7-50

(前略)『防犯目的のために取得したカメラ画像・顔認証データを共同利用しようとする場合には、共同利用されるカメラ画像・顔認証データ、共同利用する者の範囲を目的の達成に照らして真に必要な範囲に限定することが適切であると考えられます。』
(中略)
『例えば共同利用するデータベースへの登録条件を整備して犯罪行為や迷惑行為に関わらない者の情報については登録・共有しないことが必要です。』
(中略)
『さらに、個人データの開示等の請求及び苦情を受け付けその処理に尽力するとともに個人データの内容等について開示、訂正、利用停止等の権限を有し安全管理等個人データの管理について責任を有する管理責任者を明確に定めて、必要な対応を行うことが求められます。』

PPC個人情報QA7-50
・個人情報保護法ガイドラインQ&A(令和2年改正法関係)|個人情報保護委員会

このように個人情報保護委員会が事業者に対して防犯カメラ・顔認証システムの厳格な運用を求めるのは、近年、防犯カメラ・顔認証システムの警察や民間企業などによる利用が増加するに伴い、店舗の従業員などのミスや悪意、あるいは恣意的な運用などで、本当は万引きなどをしていないのに、「万引き犯人」として事業者の万引き犯人のブラックリストのデータベースに誤登録されてしまい、その情報が他の店舗や他の事業者などと共有化され、当該万引き犯人と誤登録された人が、誤登録された店舗だけでなく、他の店舗や他の業種・業界の店舗でも「万引き犯」や「万引き犯予備軍」などとして違法・不当な取扱いを受け、多くの小売店で買い物をすることが事実上できなくなってしまう等の、いわゆる「万引き犯罪の冤罪被害者の問題」が存在します。

もちろんスーパー、コンビニ、書店、ドラッグストアなどの小売業において万引き犯罪は死活問題であり、犯罪である万引き犯罪は撲滅されるべきですが、しかしそのための防犯カメラ・顔認証システムの運用において、一般の国民に「万引き犯の冤罪被害者」が発生してしまうことは、これも当該被害者の方々の平穏な生活を営むなどの基本的人権を侵害する重大な問題です。

■関連する記事
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで|なか2656のブログ
(万引き犯罪の冤罪被害者の方々が取りうる対処方法については、このブログ記事の「4.顔認証データの共有」の部分をご参照ください。)

このように防犯カメラ・顔認証システムは「もろ刃の剣」であるため、それを運用する事業者は、上でみた新しい個人情報保護法ガイドラインQ&A7-50が説明するとおり、①顔データなどは防犯の利用目的のために「真に必要な範囲に限定」し、②「データベースへの登録条件を整備し、犯罪行為などに関係ない者の情報を登録しないこと」、③開示・訂正・利用停止請求や苦情の申出などには真摯に対応すること、などが要求されます。

また、個人情報保護法15条は事業者は「個人情報の利用目的をできるだけ特定」することを要求していますが、これは事業者に個人情報の利用目的をできるだけ特定させることにより、事業者が個人から収集する個人情報を利用目的の達成のために必要最低限にさせる趣旨であるとされています(宇賀克也『個人情報保護法の逐条解説 第6版』131頁)。

この点、JR東日本は21日夜に、「うろつくなどの不審な行動をとった人」に対しては防犯カメラ・顔認証システムによる監視・モニタリングを継続する方針を公表したとのことですが、新しい個人情報保護法ガイドラインQ&A7-50などが説明するとおり、「うろつくなどの不審な行動をとった人」について、「データベースへの登録条件を整備」「関係のない者の情報を登録しないこと」を徹底すること、開示・訂正・利用停止等の請求や苦情申出などに対して誠実に対応することなどが求められます。

ところが、JR東日本のウェブサイトを見る限り、同社は防犯カメラ・顔認証システムの運営基準・規則などを制定し公表していないようです。「うろつくなどの不審な行動をとった人」という文言だけでは非常に不明確であり、JR東日本の従業員などによるミスや恣意的な運用などが行われる危険性があります。また個人情報保護法15条が事業者が収集することが許される個人情報は、利用目的の達成のために必要最低限のものに限られ、漫然と広範な個人情報を収集することは許さない趣旨であることを考えると、同社は早急に防犯カメラ・顔認証システムの運営基準・規則などを制定し公表すべきではないでしょうか。

また、万引き犯罪と防犯カメラ・顔認証システムに関しては、「特定非営利法人 全国万引犯罪防止機構」が本年2月に個人情報保護委員会より、個人情報保護法47条に基づく認定個人情報保護団体に認定されました。
・万防機構が『認定個人情報保護団体』になりました|全国万引犯罪防止機構

認定個人情報保護団体とは、主に業界・業種ごとに設置され、当該業界・業種の事業者の個人情報の適正な取扱いの確保や苦情対応などのために、当該業界・業種の事業者が遵守すべき「個人情報保護指針」などを制定し、当該業界などの事業者に当該個人情報保護指針などを遵守させなければならないと規定されています(法53条)。

ところが全国万引犯罪防止機構のウェブサイトを見る限り、同機構は万引き犯罪と防犯カメラ・顔認証システムに関する個人情報保護指針などを制定・公表していないようです。同機構も小売業界などの防犯カメラなどの運用などに関する個人情報保護指針などを早急に制定・公表することが望まれます。

7.学者の先生方の見解
なお、冒頭でみた9月21日午前の読売新聞のスクープ記事は複数の有識者の方のコメントを掲載していますが、警察官僚OBの刑事政策学者の方や情報システムの専門家と思われる方のコメントは、「安全・安心な社会のためには出所者などを監視するシステムも必要」などの一面的な残念な内容となっているようです。

そのなかで刑事訴訟法の神奈川大教授の白取祐司先生『出所後も監視対象とし、行動を制限しようとすることは差別にあたる。刑期を終えた人の更生を支えるという我が国の刑事政策の基本理念にも反するのではないか』とのご見解がまさに正論であるように思われます。犯罪を侵した人も、刑事裁判を受け、刑務所で刑期を終えれば刑罰は終了するのであり、刑期が終わった後も防犯カメラなどで監視せよとすることは、少なくとも現在の刑法や刑事訴訟法などの法律が予定する事態ではありません。

またこの点、読売新聞が肝心の個人情報保護法など情報法の学者の先生方に取材していないことは疑問です。1960年代からのコンピュータの発達は、とくに西側の自由主義諸国でコンピュータの発達が人間の個人の尊厳や基本的人権を侵害するのではないかという問題意識を発生させ、1974年の国連事務総長報告書『科学の発展と人権』は、コンピュータの発達により個人のプライバシーが侵害される危険や、国家権力の前で国民が丸裸のごとき状態にされる危険(監視社会・監視国家の危険)、国家が個人情報を収集・保管・分析などを行うことにより国民が行動や表現行為に委縮効果が発生する危険、そして本人の承知しないうちにさまざまな個人情報が国や大企業などにより収集、突合、結合、分析され、勝手に本人がコンピュータにより「個人データによる人間の選別」(プロファイリング)が行われてしまう危険などが示されています(奥平康弘・戸松秀典「国連事務総長報告書(抄)人権と科学技術の開発」『ジュリスト』589号105頁、高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁)。

上でみた「万引き犯罪の冤罪被害者」の問題のように、現代急速に普及しているコンピュータやAIによる防犯カメラ・顔認証システムは、まさに人間がAIやコンピュータによって勝手に「個人データによる人間の選別・差別」が行われてしまう危険をはらんでいます。

この「個人データによる人間の選別」(プロファイリング)への拒否権(プロファイリング拒否権)はその後、プライバシー権、情報自己決定権、自己情報コントロール権などの考え方とともに、西側自由主義諸国の個人データ保護法の趣旨・目的の一つとなってきました。

この考え方は、1996年のILO「労働者の労働者の個人情報保護に関する行動準則」などに受け継がれ、EUにおいては1995年のEUデータ保護指令15条から2018年のGDPR22条となり、さらに本年4月に公表されたEUのAI規制法案に受け継がれています(高野一彦「従業者の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』(堀部政男編)163頁)。

このEUのAI規制法案は、AIの人間の生命や基本的人権などへの危険をもとに、AIがもたらすリスクを①原則禁止、②高リスク、③限定的なリスク、④最小限のリスク、という4段階に分類したしています。

そしてこのAI規制法案においては、警察などが公共の場所・空間で顔認証の技術を使い、市民を「常時監視」することを一番上の類型の「原則禁止」に分類しています。

ところが、日本においては防犯カメラ・顔認証システムに関しては警察など公的機関による利用を規制するための国会の制定した法律は存在せず、警察の内規(要綱通達)で運用が行われています。また、民間企業などによる防犯カメラ・顔認証システムの運用も、「杉並区防犯カメラの設置及び利用に関する条例」など一部の自治体の条例以外には、個人情報保護法ガイドラインQ&Aや経産省等の「カメラ画像利活用ガイドブック」などの行政機関の通達レベルの規定があるにとどまり、これも歯止めをかけるための国会の制定した法律が存在しません(石村修「コンビニ店舗内で撮影されたビデオ記録の警察への提供とプライバシー」『専修ロージャーナル』3号19頁)。(これは2017年に違憲判決(最高裁平成29年3月15日判決)の出された警察のGPS捜査なども同様です。)

この点、憲法・情報法の山本龍彦・慶応大学教授は、本年8月の朝日新聞社の公開講座「世界発・デジタル化社会は民主主義を壊すか」において、『警察による防犯カメラ・顔認証技術の運用には国会の立法が必要である。民間企業などによる顔認証技術等の運用は、防犯目的だけでなく商用目的など利用目的が複数存在するので一律の法規制は難しいが、少なくとも事業者や業界団体などが制定した自主ルールの個人情報保護方針を事業者などに遵守させるための枠組み立法は必要であろう。』との趣旨のご見解を述べておられます。

今回明らかとなったJR東日本の防犯カメラ・顔認証システムによる駅構内の出所者や不審者などの監視・モニタリングの問題や、警察や民間企業による防犯カメラ・顔認証システムの野放しともいえる利用に歯止めをかけ、国民の権利利益の保護や個人の人格権の尊重、国民の個人の尊重や基本的人権の確立(個人情報保護法1条、3条、憲法13条)などを守るために、国会は防犯カメラ・顔認証に関する立法を早急に行うべきであると思われます。

■追記(10月8日)日本における「プロファイリング拒否権」や「AI・コンピュータのデータによる人間の選別・差別」の考え方について
日本においても労働分野・雇用分野では、EUのGDPR22条1項などのような「プロファイリング拒否権」の考え方が、2000年の労働省「労働者の個人情報保護の行動指針」の「第2 個人情報の処理に関する原則」の6(6)や、2019年6月の厚労省『労政審基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~』9頁、10頁に示されており、国会の制定した法律レベルではないものの、「プロファイリング拒否権」や「AI・コンピュータのデータによる人間の選別・差別」への問題意識は日本においても存在します。詳しくは次のブログ記事をご参照ください。
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング

■追記(10月9日)個人情報保護委員会のJR東日本への対応が非常に杜撰だったことが発覚
10月8日付の朝日新聞の(社説)顔認識データ 明確なルール作り急げは、『ところが今回、その委員会(=個人情報保護委員会)が、とりわけ慎重な扱いが求められる出所者情報の利用を、詳細な検討をせずに認めていたことがわかった。法の不備があるとはいえ、委員会の認識が甘かったのは明らかだ。』と報道しています。
(社説)顔認識データ 明確なルール作り急げ|朝日新聞

この報道が本当なら大問題です。現在、9月に正式発足したデジタル庁が「国民の個人情報やマイナンバーを国・大企業がますます利活用して日本の経済成長を!そのためには法律や国民の人権保障などどうでもいい!」とアクセル全開で業務を開始していますが、それに対するブレーキ役の、個人情報保護法やマイナンバー法の所轄の官庁である個人情報保護委員会が、個人情報保護法や行政法などの基本的理解が欠落しているということでは、政府のデジタル行政や個人情報保護行政は、国・大企業の個人情報の利活用ばかりがますます推進され、国民の人権保障がますます軽視されることになりかねません。

(2016年に個人情報保護委員会が設置された頃から、同委員会に自分達の被害を申出て、問題解決のための対応を請願し続けてきた「万引き犯罪の冤罪被害者」の方々は、今回の同委員会の杜撰な対応をどう考えているでしょうか。)

もし日本社会が今後も官民あげて国民の個人情報保護を軽視し続ける状況が継続すると、国民の人権保障を重視するEUが、GDPR(EU一般データ保護規則)の日本に対する十分性認定を取消すなどという事態にも発展しかねません。

個人情報保護委員会は、今回のJR東日本への一連の対応の不祥事について、有識者による第三者委員会を設置して調査を行い、再発防止策の策定や関係者の懲戒処分などを行い、一連の経緯を国民に公表すべきではないでしょうか。なあなあに事を済ませては、国民の政府の個人情報保護行政やデジタル行政への信頼感はますます低下するばかりであると思われます。

■関連する記事
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・コロナ禍の就活のウェブ面接での「部屋着を見せて」などの要求を労働法・個人情報保護法から考えた
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)

■参考文献
・新保史生「監視・追跡技術の利用と公法的側面における課題」『プライバシー・個人情報保護の新課題』(堀部政男編)201頁
・岡村久道『個人情報保護法 第3版』183頁
・園部逸夫『個人情報保護法の解説(改正版)』124頁
・宇賀克也『個人情報保護法の逐条解説 第6版』131頁
・日置巴美「「顔」情報の活用と個人情報保護」『ビジネス法務』2017年4月号87頁
・奥平康弘・戸松秀典「国連事務総長報告書(抄)人権と科学技術の開発」『ジュリスト』589号105頁
・高野一彦「従業者の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』(堀部政男編)163頁
・石村修「コンビニ店舗内で撮影されたビデオ記録の警察への提供とプライバシー」『専修ロージャーナル』3号19頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・EUのAI規制案、リスク4段階に分類 産業界は負担増警戒|日経新聞
・加藤尚徳「あまりにも未熟な日本の「顔」画像利用の議論」|一般社団法人次世代基盤政策研究所





















このエントリーをはてなブックマークに追加 mixiチェック

CCC委託の混ぜるな危険の問題1
(CCCサイトより)

1.個人情報保護委員会が令和2年改正に対応した個人情報保護法ガイドラインQ&Aを公表
個人情報保護委員会(PPC)が、2021年9月10日に令和2年改正に対応した個人情報保護法ガイドラインQ&Aをサイトで公表しました。
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会

(関連する記事)
・CCCがトレジャーデータと提携しTポイントの個人データを販売することで炎上中なことを考えたー個人情報保護法(追記あり)
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

今回公表された令和2年改正対応の個人情報保護法ガイドラインQ&Aをみると、QA7-38からQA7-43までの5つのQAが、個人情報の第三者提供の「委託」(法23条5項1号)に関するものであり、とくにいわゆる「委託の混ぜるな危険の問題」について詳しく解説を行っていることが注目されます。

このブログでは、以前、2021年1月15日にTポイントを運営するCCC カルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の第三者提供の委託の「混ぜるな危険の問題」に抵触する違法なものであることを取り上げました(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)。
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」-なか2656のblog

今回の本ブログ記事では、9月10日にPPCが公表した令和2年法改正に対応した個人情報保護法ガイドラインQ&Aの個人情報の第三者提供の委託に関する解説をみて、CCCの1月15日のT会員規約4条6項の「他社データと組み合わせた個人情報の利用の明確化」がやはり「委託の混ぜるな危険の問題」に抵触し違法であることを確認してみてみたいと思います。

2.委託の「混ぜるな危険の問題」
(1)個人情報保護法の本人の同意の必要な第三者提供の例外としての「委託」
1970年代以降のコンピュータやAIなどの発達により、個人情報・個人データが本人の同意なしに無制限にある事業者から第三者へ提供された場合、本人に関する他の種類のさまざまな個人データとの突合・結合・加工が容易に行われ、第三者提供後に当該個人データがどのように利用され、流通するかなどが不明の状態におかれ、個人データの主体である本人のプライバシーが侵害されるおそれや、本人がそれらの個人データで勝手にプロファイリング(=コンピュータ・AIによる個人データの自動処理により法的決定や重要な決定が行われること)されるおそれなど、本人に不測の権利利益の侵害や個人の尊重や基本的人権の侵害が行われる危険が増大しています。

そこで個人情報保護法は、事業者が保有する個人データを第三者提供することを特に注意すべき行為と位置づけ、本人が自らの個人データの流通をコントロールすることができるように、個人データの第三者提供には原則として本人の同意が必要であるとする規制を設けています(個人情報保護法23条1項、岡村久道『個人情報保護法 第3版』241頁)。

一方、近年は企業などの業務の外部委託(アウトソーシング)が普及しており、例えばある企業におけるPCへの紙データの入力作業などの情報処理関係の業務を外部の事業者に委託する場面が増えています。このような「委託」については、個人データの提供先の事業者は提供元の事業者とは別の主体として形式的には第三者に該当するものの、委託のたびに本人の同意を取得することは煩雑であるなど、委託先の事業者を個人データの主体の本人との関係において委託元の事業者と一体のものとして取り扱うことに合理性があるため、第三者提供における「第三者」に該当しないものと個人情報保護法はしています。

そのため、個人情報保護法は、事業者が「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴って当該個人データが提供される場合」、つまり「委託」の場合には第三者提供に該当しないので本人の同意やオプトアウト手続きは不要であるとしています(法23条5項1号、岡村・前掲262頁)。

(2)委託の混ぜるな危険の問題
しかし、「委託」とは上のように委託元の「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託すること」であるため、「委託された業務以外に当該個人データを取扱う」ことは「委託」に該当せず、これを本人の同意やオプトアウト手続きなしに行うことは原則に戻って本人の同意のない第三者提供として違法となります(法23条1項)。またこれは本人の同意のない個人データの目的外利用としても違法であり(法16条)、さらに委託元の事業者は個人データの安全管理措置に関する委託先の監督の義務違反にもなります(法22条)。

この違法となる「委託された業務以外に当該個人データを取扱うこと」の具体例として、個人情報保護法ガイドラインQ&A7-37の事例2(=旧ガイドラインQ&AQ&A5-26-2の事例(2))は、「複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合」をあげていますが、これがデータセンターなどにおける、いわゆる「委託の混ぜるな危険の問題」と呼ばれる事例です。

この「委託の混ぜるな危険の問題」が違法となるのは、そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することであり、したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないからであると解されています。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)。

3.CCCのT会員規約の改正による「他社データと組み合わせた個人情報の利用の明確化」
この点、2021年1月15日付でTポイントを運営するCCC カルチュア・コンビニエンス・クラブはT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行いました(T会員規約4条6項)。

T会員規約4条
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。 なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC会員規約4条6項
(CCCサイトより)
・T会員規約等、各種規約の改訂について|CCC
・T会員規約 新旧比較表|CCC

つまり、CCCが2021年1月に規約改正を行って新設した、T会員規約4条6項は、①後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」と、②前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」の2つを行うことを明確化する内容となっています。

4.CCCのT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」(旅行代理店Bの事例)について
(1)CCCのT利用規約4条6項後段・「旅行代理店Bの事例」
このT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」について、CCCのプレスリリースはつぎのような具体例と図で説明しています。

CCC旅行代理店の事例
(CCCのプレスリリースより)

このT会員規約4条6項後段「旅行代理店Bの事例」は、旅行代理店Bが、「まだハワイに旅行していない人にハワイ旅行を販売促進したい」という意図で、旅行代理店Bが、「自社の保有するハワイに旅行したことのある人の顧客リスト」(B社の他社データ)をCCCに預け(委託、個人情報保護法23条5項1号)、CCCは「B社の他社データである顧客リストと、CCCの保有するT会員の個人データを突合し、「旅行代理店Bを利用してハワイ旅行をした人の趣味・嗜好・社会的属性などの特徴を分析」し、「ハワイ旅行に興味がありそうな人」を把握し、T会員の個人データの個人から、旅行代理店Bの顧客リストのハワイ旅行に行ったことのある人を除外し、その除外されたハワイ旅行に興味がありそうなT会員の個人(見込み客)に対して、ダイレクトメールなどでハワイ旅行の販売促進を行うという内容になっています。

(2)個人情報保護法ガイドラインQ&A7-41
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-41はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-41 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

PPC個人情報ガイドラインQA7-41
(個人情報保護委員会サイトより)
・個人情報保護法ガイドラインQ&A(令和2年改正法関係)|個人情報保護委員会

つまり、個人情報保護法ガイドラインQ&A7-41が解説するとおり、CCCなど共通ポイント制度により複数の委託元の企業から個人データの管理などの委託を受けている事業者や、複数の委託元から個人データの管理などの委託を受けているデータセンターなど、独自に収集した個人データを保有している事業者は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先(=CCCなど)は、委託に伴って委託元(=旅行代理店Bなど)から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはでき」ないのです。

そして、同Q&A7-41の事例2は、「委託」として行うことができない具体例として、「既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること」と、CCCのT会員規約4条6項後段の旅行代理店Bのそっくりそのままの事例をあげています。

したがって、このCCCの旅行代理店Bの事例、つまりT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」は個人データの「委託」として行うことは違法であり、許されないことになります(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、CCCや旅行代理店Bは、この違法状態を回避するためには、個人情報保護法ガイドラインQ&A7-41が解説するとおり、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

(3)CCCマーケティングの「ハワイ州観光局」の事例
この点、CCCカルチュア・コンビニエンス・クラブ株式会社の子会社であるCCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「ハワイ州観光局」の事例が掲載されています。
・事例 ハワイ州観光局 CCCグループアセットの結集が実現する「五感に訴える観光地マーケティング」|CCCマーケティング

CCCマーケティングハワイ州観光局
(CCCマーケティング社サイトより)

このハワイ州観光局の事例は、上のT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」つまり「旅行代理店B」の事例と非常によく似ており、CCCはこの事例を念頭にT会員規約4条6号後段を新設したのであろうと思われます。

このCCCマーケティングのハワイ州観光局の事例の解説を読むと、「ハワイ州観光局では、ハワイ諸島のひとつであるハワイ島の渡航者数増加のために、2019年11月~12月にかけ、CCCマーケティングをパートナーとしてキャンペーンを実施した」とあります。

同サイトの解説によると、ハワイ州観光局の担当者は、「今回の施策では、リーチするべきターゲットを『海外旅行には行くが、ハワイには行ったことがない』、『ハワイには行ったことがあるが、ハワイ島には行ったことがない』というお客さまと設定したのですが、課題となったのが、アプローチするべきターゲットの顧客データでした」。「私たちでも、CRMや会員制公式ポータルサイト『allhawaii(オールハワイ)』、さらにソーシャルメディアなどで保有しているデータは、数十万件あります。ただ、その多くは、すでにハワイのファンとなっている顧客のデータであり、今回のキャンペーンのターゲットとは異なります。

そのため、ハワイ州観光局は、同局が保有する「すでにハワイのファンとなっている顧客のデータ」などの数十万件の個人データをCCCマーケティングに委託し、CCCはその他社データをCCCの保有するT会員の個人データと突合し分析を行い、ハワイ旅行に行きそうな見込み客の趣味・嗜好・社会的属性などの特徴を分析し、その特徴に合致する個人データを持つT会員から、すでにハワイ旅行に行ったことのあるT会員の個人データを除外し、残りの見込み客のT会員に対してDMを送信したり、蔦屋書店でハワイ旅行のキャンペーンを実施するなどの販売促進を、ハワイ州観光局とともに実施したようです。

このCCCマーケティングのハワイ州観光局の事例は、上でみた個人情報保護法ガイドラインQ&A7-41の事例2に該当するので、これをCCCが「委託」のスキームで行った場合は、それはガイドラインQ&A7-41などが施行となる2022年4月以降は完全に違法となります。

CCCおよびハワイ州観光局は違法状態を回避するためには、同ガイドラインQ&A7-41が解説するように「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

5.CCCのT利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について
(1)健康飲料メーカーAの自社の顧客の趣味・嗜好や社会的属性などを分析するための委託
T利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について、CCCのプレスリリースはつぎのような具体例と図で説明しています。
CCC健康飲料メーカーの事例
(CCCのプレスリリースより)

つまり、「自社の青汁を飲んでくれている顧客はどんな人々なのだろう?」と顧客の趣味嗜好や社会的属性などを知りたい健康飲料メーカーAが、自社の青汁を飲んでくれる顧客の個人データ(他社データ)をCCCに委託し、CCCはCCCの保有するT会員の個人データと健康飲料メーカーAの他社データを突合し、A社の青汁を飲んでいるT会員の個人データを分析し、その趣味・嗜好や社会的属性などを割り出し、それを統計データなどにした上でA社に戻し、A社は自社商品のマーケティングなどに当該データを利用すると説明されています。

(2)個人情報保護法ガイドラインQ&A7-42
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-42はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-42 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合し、新たな項目を付加して又は内容を修正して委託元に戻すことはできますか。

A7-42 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1) (略)
事例2) 顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと

これらの取扱いをする場合には、委託先において本人の同意を取得する等、付加・修正する情報を委託元に適法に提供するための対応を行う必要があります。(後略)(令和3年9月追加)

PPC個人情報QA7-42の1
PPC個人情報QA7-42の2
(個人情報保護委員会サイトより)

このように、個人情報保護法ガイドラインQ&A7-42は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。」としています。

そしてその具体例として、事例2は、「顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと」をあげています。

したがって、CCCのT会員規約6条の4前段の「「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」つまり健康飲料メーカーAの事例も、健康飲料メーカーAが自社の顧客情報をCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいてA社の青汁の顧客の趣味・嗜好や社会的属性などを分析し、それらの新たな項目を付加したデータをA社に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、この健康飲料メーカーAの事例も個人情報の委託として違法です(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、この健康飲料メーカーAの事例も、CCCおよび健康飲料メーカーAが違法状態を回避するためには、CCCにおいて本人の同意を取得することなどが必要となります。

(3)CCCマーケティングの「タケシダ醤油」の事例
この点、CCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「タケシゲ醤油」の事例が掲載されています。

CCCマーケティングタケシゲ醤油
(CCCマーケティング社サイトより)
・事例 タケシゲ醤油 購買データの分析でヒット商品のさらなる価値向上を実現|CCCマーケティング

CCCマーケティング社サイトの解説によると、タケシゲ醤油はもともと食品会社など法人向けに製造販売していた「博多ニワカそうす」という調味料を一般消費者向けにも販売を行ったところ売上が好調であったため、「博多ニワカそうす」を購入する一般消費者の趣味嗜好や社会的属性などを分析してマーケティングを行いたいと、CCCに委託を行い、CCCは自社のT会員の個人データで「博多ニワカそうす」の顧客の個人データの突合を行い、同商品の顧客の趣味嗜好や社会的属性、人物像などを分析し、CCCはその分析データをタケシゲ醤油に戻し、そのデータをもとにタケシゲ醤油は「博多ニワカそうす」のレシピ本を作成するなどして、さらに同商品の売り上げの増加を行ったとされています。

博多ニワカそうすの顧客の人物像
(CCCマーケティング社サイトより)

しかしこのタケシゲ醤油の事例も、タケシゲ醤油の「博多ニワカそうす」の顧客の個人データをCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいて「博多ニワカそうす」の顧客の趣味・嗜好や社会的属性、モデルとなる人物像などを分析し、それらの新たな項目を付加したデータをタケシゲ醤油に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、このタケシゲ醤油の事例も個人情報の委託として違法であると思われます(法23条5項1号・法23条1項・法22条・法16条の違反)。

(4)CCCマーケティングの「チューリッヒ保険」の事例
また、CCCマーケティングのサイトの「事例」をみると、通販型の傷害保険などの損害保険会社のチューリッヒ保険の事例も掲載されています。
・事例 チューリッヒ保険 ユニークデータと徹底分析で実現する長期・安定的な顧客獲得|CCCマーケティング

CCCマーケティングチューリッヒ保険
(CCCマーケティング社サイトより)

このチューリッヒ保険の事例は、サイトの解説によると、チューリッヒ保険がもつ優良な見込み客のセグメント(集団)などの情報・データの改善のための分析をCCCに委託し、CCCはその見込み客のセグメントのデータをCCCのT会員の個人データで分析・加工し、CCCはよりよい見込み客のセグメントのデータを作成し、チューリッヒ保険に戻しているようです。このチューリッヒ保険の事例も、もしその過程でチューリッヒ保険が保有する既存顧客の個人データをCCCに委託などしてCCCがT会員の個人データと突合などをしていた場合は、個人情報保護法ガイドラインQ&A7-42などに抵触する違法な「委託」スキームの利用である可能性があります。

6.まとめ
本年1月15日にCCCカルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の委託の「混ぜるな危険の問題」に抵触する違法(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)なものであることは、本ブログで取り上げただけでなく、ネット上でも大きな社会的注目を受けました。

・CCCがT会員規約等を改訂→改訂後規約が想定する事例の違法性及び問題点が指摘される。|togetter

そして本年9月10日に個人情報保護委員会が公表した、令和2年法改正対応の個人情報保護法ガイドラインQ&A7-41、7-42など追加された個人情報の「委託」に関する解説は、上でみたように、CCCのT会員規約6条4項の「他社データと組み合わせた個人情報の利用」が個人情報の「委託」スキームとしてやはり違法であることを明確に示しています。

今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aは2022年4月から施行予定であるそうなので、CCCやCCCと個人データのやり取りを行っている事業会社などは、それまでに自社のデータビジネスが個人情報保護法などの法令に抵触していないか、今一度再検討が必要であると思われます。

また、今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aの「委託」に関する解説は、ネットやSNSにおける行動ターゲティング広告やDMP(Data Management Platform)などの事業に与える影響も大きいと思われます。これらの業務を行う企業の実務担当者の方々も、自社のビジネスモデルが個人情報保護法など法令に抵触していないか、今一度再検討が必要であると思われます。

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・河野太郎大臣がTwitterで批判的なユーザーをブロックすることをトランプ氏の裁判例や憲法から考えたー表現の自由・全国民の代表(追記あり)
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権

■参考文献
・岡村久道『個人情報保護法 第3版』241頁、262頁
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会





















このエントリーをはてなブックマークに追加 mixiチェック

河野太郎Twitterトップ画面
(河野太郎氏のTwitterより)

1.河野太郎大臣がTwitter上で批判的な国民にブロックを多用していることが話題
河野太郎行政改革担当相はTwitterで237万人を超えるフォロワー数がおり、熱狂的な支持層がいる一方で、Twitterブロック機能を多用することでも知られています。河野大臣がTwitterのブロックを多用することについては9月7日に記者会見で記者から質問が出され、河野大臣は「Twitter上でも礼節を求めることは当然」で問題ないとの回答をしたとのことです。(なお、安倍前首相や立憲民主党の蓮舫議員なども、Twitterでブロックを多用することで有名です。)

しかし、アメリカにおいては2019年にトランプ氏Twitter上で批判的なユーザーをブロックすることが争われた裁判において、トランプ氏のブロックは米合衆国憲法の規定する「言論の自由」の侵害であり違憲との興味深い判決が出されているところです。このブログ記事では、政治家がTwitter上でユーザーをブロックすることについて、主に憲法から考えてみたいと思います。
・河野大臣、ツイッターのブロック「問題ない」SNS上でも礼節求める|朝日新聞

2.表現の自由
日本の憲法21条1項は国民の基本的人権として「集会、結社及び言論、出版その他一切の表現の自由は、これを保障する」表現の自由を規定しています。この表現の自由は、意見や表現などを表明するだけでなく、情報をコミュニケーションする自由ですので、意見などの情報を受け取る自由、議論をする自由、国民の「知る権利」なども含まれます。

日本国憲法
第21条
第1項 集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。

この表現の自由は、国民個人が表現活動を通じて自己実現や自己の人格を発展させるという個人的な価値(自己実現の価値があるだけでなく、表現活動によって国民が政治的意思決定に関与するという民主政に資する社会的な価値(自己統治の価値の二つの価値があり、とりわけ後者の、国民が議論により民主政治に参加するために不可欠な基本的人権であるという、民主主義国家の前提をなす基本的人権として極めて重要な人権です(芦部信喜・高橋和之補訂『憲法 第7版』180頁)。

3.プライバシー権・自己決定権・自己情報コントロール権
その一方で、国民個人には、例えば①子どもをもうけるかどうかなど家族のあり方を決める自由、②服装・髪型など身じまいなどのライフスタイルを決める権利、③尊厳死・医療拒否なぞ自分の生命のあり方を決める自由など、個人の人格的な生存にかかわる重要な私的事項を個人が公権力や他人から干渉されずに自律的に決定する自己決定権という基本的人権が存在します。この自己決定権はもともとアメリカの判例で形成された「一人でほっておいてもらう権利」として発展してきたプライバシー権(古典的プライバシー権・狭義のプライバシー権、東京地裁昭和39年9月28日判決・「宴のあと」事件)と並んで形成された、「広義のプライバシー権」とされ、個人の尊重幸福追求権を規定する憲法13条の保障のもとにあるとされています。

この「個人の人格的な生存にかかわる重要な私的事項を個人が公権力や他人から干渉されずに自律的に決定する権利・自由」としての自己決定権には、国民個人が誰と友人・知人や会話や議論の相手となるか/ならないかという他社との私的な関係性を自己決定する権利も含まれるといえるのではないでしょうか。つまり、河野大臣がTwitter上で批判的なユーザーをブロックすることは、自己決定権から一応説明が可能とも考えられます。

4.基本的人権の限界
とはいえ国民の基本的人権も無制限ではありません。憲法12条、13条、22条、29条は、国民の基本的人権は「公共の福祉」により制約を受けることがあると規定していますが、この「公共の福祉」とは、ある個人の基本的人権が他の個人の基本的人権と衝突した際に、その基本的人権を制約し衝突を抑えるものであり(内在的制約)、現代ではこの基本的人権に内在する制約は、上でみた憲法の4つの条文に関する基本的人権だけでなく、すべての基本的人権に該当すると考えられています(芦部・高橋・前掲111頁)。

そのため、河野大臣がTwitterで批判的なユーザーをブロックすることが表現の自由、自己決定権や自己情報コントロール権などに基づく人権であるとしても、それは無制限に許されるわけではなく、他の国民、とくに批判的な国民・ユーザーの表現の自由などとの関係で一定の制約を受けることになります。

5.憲法の私人や民間企業への適用の問題-間接適用説
ところで18世紀以降の西側自由主義諸国の近代憲法における基本的人権は、国家など公権力との関係で国民の人権などの権利・自由を保護することが重視されます(立憲主義)。Twitterは民間企業であるTwitter社が運営するサービスであるため、憲法の人権条項は適用されないのではないか?との問題があり得ます。

しかし現代社会においては大企業などの社会的権力による国民の権利自由の侵害が大きな問題となっています。そのため現代においては、憲法の基本的人権にかかわる条文は、民間企業と国家との関係や、国民の私人同士の関係においても、例えば公序良俗違反や権利の濫用は無効であるとする民法90条、同1条3項などの法律の一般条項の適用において、憲法の人権条項の趣旨を取り込んで法律の解釈・適用を行うという考え方が判例・通説となっています(間接適用説・最高裁昭和56年3月24日判決・日産自動車事件など)。そのため河野大臣のTwitter上のブロックの問題は、やはり憲法の基本的人権の問題でもあるわけです。

6.トランプ前アメリカ大統領のTwitter上のブロックに関するアメリカの裁判例
この点、アメリカでは、2019年に当時のアメリカ大統領ドナルド・トランプ氏Twitter上で批判的なユーザーをブロックすることは米合衆国憲法修正1条の定める「言論の自由」の侵害であり違憲であるとの2018年の第一審判決(ニューヨーク州南部地区連邦地方裁判所)を支持した興味深い連邦巡回控訴審判決が出されています(米連邦第2巡回控訴審2019年7月9日判決)。
・Twitterでのトランプ大統領の批判ブロックは違憲--米裁判所|C-NET Japan

このC-NET Japanの報道によると、大統領にブロックされた複数のTwitterユーザーを代表してコロンビア大学のナイト憲法修正第1条研究所がトランプ大統領に対して提起したこの裁判では、同研究所は、トランプ氏がユーザーをブロックする行為について、「指定されたパブリック・フォーラム」への参加に対して、違憲状態の制限を強要するものだ」と主張したとのことです。

これに対して2019年7月9日の米連邦第2巡回区控訴裁判所は、「米憲法修正第1条は、あらゆる種類の公的目的にソーシャルメディアアカウントを利用する政治家・官僚は、開かれたオンライン上の会話となるはずの場から、政治家・官僚が同意しない意見を表明したからという理由で、ユーザーを排除することを許可しない」として、トランプ氏のTwitter上の反対派ユーザーのブロックは米合衆国憲法修正1条の言論の自由に反して違憲であるとし、第一審判決を支持する興味深い判決を出しています。

アメリカ合衆国憲法
修正第1条(信教・言論・出版・集会の自由、請願権)
連邦議会は、国教を定めまたは自由な宗教活動を禁止する法律、言論または出版の自由を制限する法律、 ならびに国民が平穏に集会する権利および苦痛の救済を求めて政府に請願する権利を制限する法律は、これを制定してはならない。

7.「パブリック・フォーラム」論
ここで登場するパブリック・フォーラムとは、道路・広場・公園などのように、交通や憩いの場というだけでなく、人々が自由に交流し会話や表現などを行う場所のことです。表現のためにはこのような表現の空間の確保は不可欠であり、このような場所を、その場所・施設などの管理者の管理権などを理由に安易に国民の利用を制限することは、表現の自由への規制につながります。

この点、アメリカの判例は、政府の所有・管理する施設①道路・広場・公園などの「伝統的なパブリック・フォーラム」②表現のために特に設置された公会堂等の「指定されたパブリック・フォーラム」③上記いずれにも該当しない場所である「非パブリック・フォーラム」、の3つに分類しています。

そしてアメリカの判例は、①の「伝統的なパブリック・フォーラム」における表現の自由の法律などによる規制・制限は裁判所の厳格な審査が適用され、②の「指定されたパブリック・フォーラム」については設置・維持については管理者の裁量であるが、設置した場合には①の伝統的なパブリック・フォーラムと同様に裁判所の厳格な審査が適用されるとしています。また、③の「非パブリック・フォーラム」については国民の表現のために利用させるか否かは管理者の裁量であるが、しかしその「見解」や表現内容による差別を管理者はしてはならないとアメリカの判例はしています。

さらに、例えば自治体の掲示板や広報誌などのコラム欄を市民に開放する場合などは、当該場所・空間は「指定されたパブリック・フォーラム」に該当すると解されています(高橋和之『立憲主義と日本国憲法 第5版』252頁)。

トランプ氏のTwitterのブロックに関する本判決は、本来は政府の施設などに関するパブリック・フォーラム論を民間企業であるTwitter社に援用し、政治家・官僚などが「あらゆる種類の公的目的にソーシャルメディアアカウントを利用する」場合には、当該SNSのアカウントは「開かれたオンライン上の会話の場」(パブリック・フォーラム)となり、「政治家・官僚が同意しない意見を表明したからという理由で、ユーザーを排除すること」つまり政治家・官僚SNSにおける「ブロック」は、憲米合衆国憲法修正1条の「言論の自由」を侵害する違憲なものであると判断したものであり、非常に画期的な判決であるといえます。

(なお、このアメリカのトランプ氏の裁判は、米合衆国最高裁判所において、トランプ氏が2021年に大統領でなくなったことを受けて訴えの利益が失われたとして却下されています。)

この表現の自由に関するパブリック・フォーラム論は、日本でも京王電鉄の吉祥寺駅構内において、京王電鉄の許可なしに市民がビラ配布などを行った表現行為が鉄道営業法35条(無許可の演説)、刑法130条(不退去罪)に該当するか否かが争われた事件において、1984年の最高裁判決は憲法21条1項の表現の自由も無制約ではないとして当該市民への鉄道営業法、刑法の適用を認めたものの、伊藤正己裁判官補足意見においてパブリック・フォーラム論に言及したことが大いに社会的注目を集めました(最高裁昭和59年12月18日判決)。

すなわち、伊藤裁判官の補足意見はつぎのように述べています。

「道路、公園、広場などの「一般公衆が自由に出入りできる場所は、それぞれその本来の利用目的を備えているが、それは同時に、表現のための場として役立つことが少なくなく…これを「パブリック・フォーラム」と呼ぶことができよう。このパブリック・フォーラムが表現の場所として用いられるときには、所有権や、本来の利用目的のための管理権に基づく制約を受けざるを得ないとしても、その機能にかんがみ、表現の自由の保障を可能な限り配慮する必要がある。」

もとより、道路のような公共用物と…(私鉄の鉄道会社の敷地などの)私的な所有権、管理権に服するところとは、性質に差異があり、同一に論ずることはできない。しかし、後者にあっても、パブリック・フォーラムたる性質を帯有するときには、表現の自由の保障を無視することができないのであり、…前述の考量の結果、表現行為を規制することが表現の自由の保障に照らして是認できないとされる場合がありうる。

このように、アメリカの判例のパブリック・フォーラム論は、政府・公的機関の所有・管理する場所での表現の自由に関するものであるのに対して、日本の伊藤裁判官の補足意見のパブリック・フォーラム論は、国・自治体や公的機関の所有・管理する場所であるかどうかではなく、表現が行われる場所・空間が「公開された場所・空間」かどうかという性質に着目し、表現の自由や集会の自由の制約に関する比較衡量を行おうとしている点に大きな意義があるといえます(平地秀哉「駅構内でのビラ配布と表現の自由」『憲法判例百選Ⅰ 第7版』126頁)。

·この伊藤裁判官のパブリック・フォーラム論は、京都府の勤労会館における集会の自由が争われた京都地裁平成2年2月20日判決(京都府勤労会館事件)でも採用され、その後、同じく公民館における集会の自由に関する泉佐野市民会館事件(最高裁平成7年3月7日判決)上尾市福祉会館事件(最高裁平成8年3月15日判決)や、公共施設だけでなく民間企業のホテルにおける集会の自由に関するプリンスホテル日教組会場使用拒否事件(東京高裁平成22年11月25日判決)など、公的施設だけでなく民間の私的な開かれた場所・空間における集会の自由・表現の自由をできるだけ保障しようとする日本の判例のスタンスに受け継がれています(野中俊彦・中村睦男・高橋和之・高見勝利『憲法Ⅰ 第5版』365頁、367頁)。

8.まとめ
このような日本やアメリカの憲法、とくにアメリカのトランプ氏のTwitterのブロックに関する控訴審判決などを見てみると、もし日本でも河野太郎大臣などに対してブロックされたユーザー・国民から同様の訴訟が裁判所に提起された場合に、日本の裁判所がどのような判断を行うのか多いに気になるところです。

従来、パブリック・フォーラム論については政府・公的機関の施設・場所などを対象にしてきたアメリカの裁判所ですら、Twitter社などの民間企業のSNSにおける政治家・官僚のアカウントについてはパブリック・フォーラムに該当するとして、政治家・官僚が反対派のユーザーのブロックを表現の自由の侵害で違憲との判断をしたのであり、パブリック・フォーラム論について政府・公的機関の施設・場所なのか民間の施設・場所なのかの違いを重視せず、公開された場所における表現の自由などを保障しようとする日本の裁判所では、より河野大臣などに不利な判決がでる可能性も無きにしもあらずなのではないでしょうか。

上でも見たように、表現の自由、言論の自由は憲法が保障する基本権人権のなかでも、国民が政治に参画するための前提の人権という点で、民主主義国家において特に重要な人権です。そして、河野太郎氏は行政のトップの内閣の大臣であり、河野氏のTwitterアカウントは国民に開かれた議論の場であるだけでなく、行政や政治に関する国民の「知る権利」からも極めて重要な場所・空間であるからです。

日本の憲法や情報法などに関する法律学の学者や法律家の先生方や、SNSの運営などを行うIT企業の実務家の方々、政治家・官僚などの方々などの、今後のこの問題に関するご見解・コメントなどにも大いに注目したいと思います。

■追記(9月9日)
このブログ記事に対しては、情報法、知的財産権法やITがご専門の弁護士の足立昌聰先生(@MasatoshiAdachi)などから、民間企業であるTwitterなどSNSにおける表現の自由の問題の難しさなどに関して、8日夜に貴重なご教示・ご感想をいただきました。足立先生、誠にありがとうございました。

トランプ氏とSNSの問題に関しては、2021年1月の米議会襲撃事件を受けて、TwitterやFacebookなどは相次いでトランプ氏のアカウントをBANして永久追放としました。このようなSNS各社の動きに対しては、ドイツのメルケル首相が「表現の自由はとても重要で、それを規制できるのは議会の立法だ。」と述べたことが社会的に注目されました。

・メルケル独首相のツイッター社等のトランプ氏追放への「苦言」を考える-表現の自由・憲法の構造

Twitterなど民間企業であるSNSにおける表現の自由、情報社会におけるSNSと政治の問題などは、今日的な非常に難しい問題であると思われます。

■追記(9月15日・河野大臣のTwitter上のブロックを憲法の統治の部分から考える)
ネット上で、この私のブログについて、ある方より、「憲法43条1項など、憲法の統治の部分からもこの問題を論じてみては」との貴重なご指摘をいただきました。

憲法の統治の部分から考えても、河野大臣は衆議院議員でもありますが、国会議員は「全国民の代表」です(憲法43条1項)。つまり選挙で当選して一度国会議員になったのであれば、支持者達の意見ばかりでなく、反対派や批判的な国民の意見にも十分耳を傾け、国会議員として少数意見にも配慮した熟議を行い、全国民のためになるような国会議員としての活動を行わなければなりません。そのため、河野大臣が大臣としてTwitter社から公認マークを受けているTwitterアカウントにおいて、自分に批判的な意見の国民を大量にブロックすることは憲法43条1項の「全国民の代表」にも違反しています。

また、河野大臣は大臣ですので公務員ですが、「すべて公務員は全体の奉仕者であって一部の奉仕者ではない」憲法15条2項、国家公務員法96条1項)と規定されているとおり、その公務には公平性・中立性が憲法レベルで要求されるので、河野大臣が大臣としてのTwitterアカウントにおいて批判的意見の国民を大量にブロックすることは、これも大臣としての公務に要求される公平性・中立性を遵守しておらず、自身の支持者の国民に対してのみ「一部の奉仕者」として職務を行っているものであり、これも憲法15条2項、国家公務員法96条1項に違反しているものと思われます。

このように、河野大臣がTwitterで自身に批判的な国民を大量にブロックしていることは、憲法43条1項、15条2項に違反しているなど、日本国憲法の統治に関する部分からも大きな問題をはらんでいるといえます。

■追記(2024年3月18日)
この問題に関連して興味深い記事に接しました。
・「政治家がソーシャルメディアで一般人をブロックすると違憲になる可能性がある」と合衆国最高裁判所が認める|Gigazin
・公務員のSNSブロック「違憲可能性」 コメント制限巡り、米最高裁|毎日新聞

この記事によると、アメリカの連邦最高裁が、公務員による市民に対するSNS上のブロックについて違憲となる可能性があることを認めたとのことです。

アカウントが「特定の問題について国家を代表して発言する実際の権限」を有しており、「ソーシャルメディアに投稿する際にその権限を行使すると主張している場合」に、一般ユーザーのブロックが違憲になる可能性があるとされています。これらの権限やその行使が明文化されていなくても、「ソーシャルメディアアカウントが自治体や省庁のオフィスによって管理されている場合」「政府職員が代理として政治家個人のアカウントに投稿している場合」「任期が終了した時にアカウントが別の役人に引き継がれている場合」など、国家の代表としての実態があれば公的なアカウントとして認められる可能性があるそうです。
(「「政治家がソーシャルメディアで一般人をブロックすると違憲になる可能性がある」と合衆国最高裁判所が認める」Gigazinより)

もし河野太郎氏がアメリカの政治家であったら、この連邦最高裁判決に照らすと、河野氏のSNS上の一般人のブロックはやはり憲法違反の可能性があるのかもしれません。

■関連する記事
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・東京医科大学の一般入試で不正な女性差別が発覚-憲法14条、26条、日産自動車事件
・懐風館高校の頭髪黒染め訴訟についてー校則と憲法13条・自己決定権
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権

■参考文献
・芦部信喜・高橋和之補訂『憲法 第7版』111頁、180頁
・高橋和之『立憲主義と日本国憲法 第5版』252頁
・野中俊彦・中村睦男・高橋和之・高見勝利『憲法Ⅰ 第5版』365頁、367頁
・山本龍彦・横大道聡『憲法学の現在地』139頁
・安西文雄・巻美矢紀・宍戸常寿『憲法学読本』93頁
・平地秀哉「駅構内でのビラ配布と表現の自由」『憲法判例百選Ⅰ 第7版』126頁



PR
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ