日銀サイト
1.日銀の『プライバシーの経済学入門』
本年6月に日本銀行がウェブサイト上で公表した論文『プライバシーの経済学入門』16頁が、日本個人情報保護法上、「プロファイリングによって取得した情報は「個人情報」には該当しないと記述していることがネット上で大きく注目されています。

この論文『プライバシーの経済学入門』は、2021年6月3日付で日本銀行ウェブサイトに公開された日本銀行決済機構局の方々によるものとされています。

すなわち、『プライバシーの経済学入門』16頁は、つぎのように記述しています。
(日本の個人情報保護法において、)『学説上解釈の余地があるとされているものの、推論(プロファイリング)によって取得した情報は、「個人情報」には該当しないと解されているためである(宇賀2018)。この前提によった場合、プラットフォーマーが人々の個人情報を類推した結果を第三者に提供したとしても、個人情報保護法には違反していないと考えられる』(日本銀行『プライバシーの経済学入門』16頁)

日銀『プライバシーの経済学入門』16頁
(日本銀行『プライバシーの経済学入門』16頁より)
・「プライバシーの経済学入門」|日本銀行

つまり、日銀の本論文においては、日本の個人情報保護法上、「推論(プロファイリング)によって取得した情報は、「個人情報」には該当しないと解されているためである(宇賀2018)』としています。

そして、本論文の文末の脚注をみると、「(宇賀2018)」とは、個人情報保護法の著名な学者であり最高裁判事の宇賀克也先生の『個人情報保護法の逐条解説 第6版』であることが示されていますが、具体的には宇賀先生のこの本のどの部分であるかは示されていません。(執筆者の方々は、あまり学術的な論文に親しくないのかもしれません。)

私も宇賀先生のこの『個人情報保護法の逐条解説 第6版』を見直してみたのですが、よくわからなかったため、日銀に問い合わせてみたところ、回答をいただきました。

2.日銀の回答
日銀の回答の概要はつぎのとおりでした。

1.宇賀克也『個人情報保護法の逐条解説 第6版』の個人情報保護法2条の定義における「個人情報」の定義の解説にあるとおり、プロファイリング(推論)によって得られた情報は、個人情報に該当するかは明示されていない。

2.同書143頁は、『本人の同意なしにプロファイリングによって要配慮個人情報を新たに生み出すことは、要配慮個人情報の「取得」に当たると解すべきかという重要な解釈問題が存在する』と、論点であると指摘している。

3.プロファイリングにより取得した情報が要配慮個人情報に該当するか否かについては、平成30年の衆議院の質問主意書に対する政府回答が、「「個人情報保護法ガイドライン(通則編)」2-3が、同ガイドライン2―3(1)から(11)までに掲げる情報を推知させる情報にすぎないものについては、要配慮個人情報に含まれないとしており、個人情報取扱事業者が同ガイドライン2―3(1)から(11)までに掲げる情報を推知させる情報にすぎないものを取得することは、同法第十七条第二項の規定により制限されるものではない」と否定している。

4.そのため、『プライバシーの経済学入門』16頁は、プロファイリングで取得した情報に対する法的保護に不明確性があることを簡潔に記載し、個人情報保護法について概括的に扱った参考図書として宇賀先生の教科書を挙げたものである。

3.検討
(1)プロファイリングによって得られた情報は個人情報に該当しないのか?
まず、日銀の回答の1.については、個人情報保護法2条1項1号は、「個人情報」の定義について、「個人情報」とは、生存する個人に関する情報であって、(略)当該情報に含まれる氏名、生年月日その他の記述等(略)により特定の個人を識別することができるもの」としています。

そして、宇賀克也『個人情報保護法の逐条解説 第6版』(以下「宇賀・前掲」とする)37頁は、『「個人に関する情報」とは、個人の属性・行動、個人に関する評価、個人が創作した表現等、当該個人と関係するすべての情報が含まれる。公知の情報であるか否かを問わないし、情報の存在形式も、文字情報に限られ』ないと解説しています。

つまり、個人の属性・行動、個人に関する評価情報などの、当該個人と関係するすべての情報が「個人に関する情報」です。

そして、宇賀・前掲37頁は、「特定の個人を識別することができるもの」について、「誰か一人の情報であることが分かることを意味し、特定の個人を識別できるとは、識別される個人が誰か分かることを意味する」と解説しています。

この点、これも著名な個人情報保護法の実務書・解説書である、岡村道久『個人情報保護法 第3版』70頁は、「「特定の個人を識別」について、「防犯カメラ画像等によって特定の個人の顔が、いわば「この人」であると識別しうる場合には、当該個人の実名等が不明であっても、本要件を満たす」としています。

そのため、「個人の属性・行動、個人に関する評価情報などの、「個人に関する情報」(当該個人と関係するすべての情報)」であって、実名等が不明でも「この人、あの人」であると「特定の個人を識別できる情報」は、個人情報保護法上の「個人情報」です(法2条1項、鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』18頁)。
個人情報の定義『ニッポンの個人情報』
鈴木正朝・高木浩光・山本一郎「「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)」EnterpriseZineより

すなわち、「プロファイリング(推論)によって得られた情報」が、「個人の属性・行動、個人に関する評価などの、当該個人と関係するすべての情報」、つまり「個人に関する情報」であり、かつ、「実名等が不明でも「この人、あの人」であると「特定の個人を識別できる情報」である場合は、当該情報は個人情報保護法上の「個人情報」に該当します(法2条1項1号)。

したがって、「プロファイリング(推論)によって得られた情報は、個人情報に該当するかは明らかでない」とする日銀の見解は正しくないのではないかと思われます。

(2)平成30年の衆議院の「プロファイリングに関する質問に対する答弁書」について
つぎに、日銀の回答の2.の、平成30年の衆議院の「プロファイリングに関する質問に対する政府答弁書」とは、衆議院サイトなどで調べてみると、平成30年の第196国会の『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』(以下「本政府答弁書」とする)であると思われます。
・平成30年第196国会『衆議院議員松平浩一君提出プロファイリングに関する質問に対する答弁書』|衆議院

この本政府答弁書に先立つ衆院議員の松平浩一氏の質問書によると、松平氏は、おおむね、「個人情報保護委員会のガイドライン等を参照すると、個人情報保護委員会は、ある情報が要配慮個人情報について推知させるものであっても、推知情報にとどまる限り、あらかじめの本人の同意なく当該情報を取得・利用することは法17条2項との関係で問題がないという整理をしていると思われるが、そのような理解でよいか。」という質問と、「「推知された情報が要配慮個人情報に準ずるもの」および「推知された情報が、推知のレベルを超えて、ある個人の要配慮個人情報と実質的に同等と評価できる情報」の場合には、やはり本人の同意が必要ではないか」という質問をしています。

これに対して政府答弁書は、前者の質問については、個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」2-3が、「なお、次に掲げる情報(=要配慮個人情報)を推知させる情報にすぎないもの(例:宗教に関する書籍の購買や貸出しに係る情報等)は、要配慮個人情報には含まない。」としていることを受けて、「要配慮個人情報を推知させる情報にすぎないもの(推知情報)は要配慮個人情報ではないから、個人情報取扱事業者が推知情報を取得することは、個人情報保護法17条2項違反とならない」と答弁しています。

そして後者の質問について本政府答弁書は、「お尋ねの「一定の場合には推知された情報が要配慮個人情報に準ずる」こと及び「推知される情報が、推知のレベルを超えて、ある個人の要配慮個人情報と実質的に同等と評価できる場合」の意味するところが明らかではないため、お答えすることは困難である」と答弁しています。つまり政府はこの点をうまく回答を避けています。

すなわち、本政府答弁書は、「推知情報は要配慮個人情報ではないので、推知情報を個人情報取扱事業者が本人の同意を得ずに取得することは、法17条2項との関係では問題ない」と言っているだけであり、日銀の回答の2.のように「プロファイリングにより取得した情報が要配慮個人情報に該当」することを「否定」しているわけではありません。

この点は、日銀の『プライバシーの経済学入門』は、松平浩一・衆院議員のプロファイリングに関する質問書とそれに対する政府答弁書における、要配慮個人情報と、「推知情報」と、「「推知された情報」が要配慮個人情報に準ずる場合」および「「推知された情報」が「要配慮個人情報と実質的に同等となる場合」」の3つの用語・概念を混同しているのではないかと思われますが、いずれにしても、本政府答弁書は「推知された情報」が「要配慮個人情報と実質的に同等となる場合」等については回答を避けています。

したがって、わが国の政府は「「プロファイリングにより取得した情報が要配慮個人情報に該当」することを「否定」している」との日銀の理解は、これも正しくないと思われます。

なお、この点、岡本・前掲191頁は、要配慮個人情報の取得や利用について、法17条2項5号の「本人が自分のTwitterブログなどで自ら公開していた場合」などにおいても、「本人以外の第三者が、本人の同意を得ることなく、当該本人がインターネット上で公開している情報から本人の信条犯罪歴等に関する情報を取得し、既に保有している当該本人に関する情報の一部として、自己のデータベース等に登録することは、本17条2項違反となる」としています。

さらに、要配慮個人情報を合理的な理由なく事業者等が取り扱うことは、個人情報保護法以外にも、プライバシー権侵害として不法行為(民法709条)による損害賠償責任が成立する可能性があることも指摘されています(岡村・前掲191頁)。

4.結論
このように、「日本の学説上、プロファイリングによって得られた情報は個人情報保護法上の「個人情報」に該当するか否かは明確でない」という点は正しくなく、また、わが国の政府は、「「プロファイリングにより取得した情報が要配慮個人情報に該当」することを「否定」している」という点も正しくありません。

そのため、そのような日銀のわが国の個人情報保護法に関する理解を前提とした、日銀『プライバシーの経済学入門』16頁の、「日本の学説上、推論(プロファイリング)によって取得した情報は、「個人情報」には該当しないと解されている(宇賀 2018)」という記述は誤りであると思われます。

同時に、それを前提とした、本日銀論文の『この前提によった場合、プラットフォーマーが人々の個人情報を類推した結果を第三者に提供したとしても、個人情報保護法には違反していないと考えられる』も、やはり誤りであると思われます。

上で検討したように、日本の個人情報保護法においても、プラットフォーマー等が、プロファイリングして類推した情報も、個人の属性・行動、個人に関する評価などの、当該個人と関係するすべての情報が「個人に関する情報」であり、かつ、実名等が不明でも「この人、あの人」であると識別できる情報は、やはり「個人情報」に該当するので、そのような「個人情報」に該当する「プロファイリングにより類推した情報」を、当該プラットフォーマーなどの個人情報取扱事業者が第三者に提供する場合には、やはり法23条1項により、当該情報の本人の同意が必要となり、本人の同意のない第三者提供は個人情報保護法違反となります。

そして、そのようなそのような「個人情報」に該当する「プロファイリングにより類推した情報」が、「要配慮個人情報」(法2条3項)に該当する場合には、やはり法17条2項が規定するとおり、「法令に基づく場合」(法17条2項1号)などの例外規定に該当する場合以外は、やはり「あらかじめ本人の同意」を得て取得することが必要となります。また、要配慮個人情報をオプトアウト方式で第三者提供することは禁止されていますので(法23条2項かっこ書き)、やはり要配慮個人情報を第三者提供する場合には、個人情報取扱事業者は本人の同意が必要となります(法23条1項)。

本論文は、わが国の中央銀行である日本銀行が公表した、個人情報・プライバシーとプロファイリングなどの先端分野に関する論文として、ITやDX、情報セキュリティなどの関係者の方々や関係する政府機関や金融機関の方々、個人情報保護法や情報法などに関する学者・研究者の方々から注目されている論文であると思われ、ITやデジタル化などに関する専門サイト等もすでに取り上げているところです。そのため、日銀は本論文の該当部分の訂正などを行うべきではないでしょうか。

■補足
AIやコンピュータのプロファイリングについては、最近、EUのGDPR22条の「コンピュータによる個人データの自動処理(プロファイリング)による法的決定・重要な決定の拒否権」(プロファイリング拒否権)や同じくEUが本年4月に公表したAI規制法案などが注目されています。

この考え方は、コンピュータの発展を受けた1970年代頃からの、「コンピュータのデータによる人間の選別・差別の危険」への問題意識を受けたものですが(高木浩光「個人情報保護から個人データ保護へ」『情報法制研究』2巻75頁)、日本においても、2000年の労働省「労働者の個人情報保護に関する行動指針」第2、6(6)で規定が置かれ、その後も2019年6月の厚労省の『労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~』9頁以下も同様の問題を指摘しており、リクナビ事件を受けた2019年9月の厚労省の通達「募集情報等提供事業等の適正な運営について」「学生等の他社を含めた就職活動や情報収集、関心の持ち方などに関する状況を、本人があずかり知らない形で募集企業に提供することは…学生等の就職活動に不利に働くおそれが高い。…このような事業は行わないこと」とし、「収集した個人情報の内容及び提供先について、あらかじめ明示された基準によらずに、事業者の判断により選別又は加工を行うこと」を明確に禁止しているように、欧州だけでなく日本でも受け継がれています。そしてこの「AIやコンピュータによる人間の選別の拒否権」は、日本の憲法においても、「個人の尊重」や人格権、自己情報コントロール権(憲法13条)、適正手続の原則(憲法31条)などから導き出されると解されています(山本龍彦『AIと憲法』101頁)。

したがって、AIやコンピュータなどによるプロファイリングを行う事業者等は、個人情報保護法や同ガイドライン等だけでなく、憲法や職業安定法、関連する厚労省の指針や通達などをも遵守することが求められます。

■追記
日銀は7月9日付で、この『プライバシーの経済学入門』16頁の修正を行っています。
・プライバシーの経済学入門|日本銀行

『さらに、やや逆説的だが、こうした状況は、わが国の個人情報保護法によっても対処できない可能性がある。なぜなら、推論(プロファイリング)による要配慮個人情報の生成が要配慮個人情報の「取得」に該当するかは解釈問題とされているためである(宇賀2018)。該当しないとの解釈によった場合には、プラットフォーマーが要配慮個人情報に該当しない個人情報をオプトアウト方式により第三者に提供し、その第三者が推論を行ったとしても、個人情報保護法には違反していないと考えられる。

修正版プライバシーの経済学入門16頁
(日銀「プライバシーの経済学入門」(7月9日版)16頁より)

上でもふれたとおり、プロファイリングという手法による/よらないに関係なく、「個人に関する情報」であって、かつ、「特定の個人を識別できるもの(容易照合性を含む)」は個人情報保護法の条文上、個人情報に該当します(法2条1項)。そして、その個人情報が「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実」などに該当する場合は、当該情報は要配慮個人情報(法2条3項)に該当します。

この点、最近公表された、PPCの令和2年改正個人情報保護法ガイドライン(通則編)のパブコメ結果308は、「Cookieなどだけでなく、GoogleのFLoCなどの新しい収集方法で取得されたデータについても個人関連情報などに含まれることを明記すべき」との意見に対して、PPCは「収集の方法によって判断がかわるものではない。」と回答しています。

また、オプトアウト方式による個人情報の第三者提供は、個人情報保護委員会への届出などが必要です(個人情報保護法23条2項)。さらに、この日銀の新しいスキームも、個人情報の第三者提供先でのプロファイリングなどの個人情報の取扱の目的ややり方など次第では、個人情報保護法を潜脱する手法を規制するために令和2年改正で新設され2022年4月施行予定の不適正利用の禁止(改正法16条の2)に抵触し違法となるおそれがあると思われます。

この点、PPCの令和2年改正個人情報保護法ガイドライン(通則編)のパブコメ結果57でPPCは、「プロファイリングの目的や得られたデータの利用方法など個別の判断が必要であるが、プロファイリングに関わる個人情報の取扱が「違法または不当な行為を助長、または誘発するおそれ」がある場合は、不適正利用に該当する場合があり得る。」と明確に回答しています。

■関連
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集の結果について|個人情報保護委員会・e-GOV

■関連する記事
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・「内閣府健康・医療戦略推進事務局次世代医療基盤法担当」のPPC・令和2年改正個人情報保護法ガイドラインへのパブコメ意見がいろいろとひどい件
・Github利用規約や厚労省通達などからAIを利用したネット系人材紹介会社を考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・AIによる自動処理決定拒否権
・ドイツで警察が国民のPC等をマルウェア等で監視するためにIT企業に協力させる法案が準備中-欧州の情報自己決定権と日米の自己情報コントロール権

■参考文献
・宇賀克也『個人情報保護法の逐条解説 第6版』37頁、143頁
・岡村道久『個人情報保護法 第3版』70頁、191頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』18頁
・山本龍彦『AIと憲法』101頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁
・厚労省職業安定局・職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運用について」(PDF)
・「労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」|厚労省