tatemono_yuubinkyoku
このブログ記事の概要
総務省が検討している、日本郵政グループがデジタル地図の個人データを地図業者に販売・第三者提供などすることは個人情報保護法違反のおそれが高く、また、総務省の本報告書が提言しているさまざまな個人データビジネスも個人情報保護法、郵便法、保険業法、銀行法、憲法などとの関係で違法・違憲のおそれが強いものと思われます。総務省は本報告書の内容について、一から見直す必要があるのではないでしょうか。

1.日本郵政がデジタル地図事業に参入?
2022年1月25日の読売新聞記事によると、郵便局・ゆうちょ銀行・かんぽ生命の日本郵政グループがデジタル地図事業への参入の計画をしているそうです。
・【独自】日本郵政、デジタル地図事業に参入へ…変化を随時反映する「生きた地図」作り|読売新聞

記事によると、郵便局は全国に約2万4000局が存在し、約10万人の配達員がいるそうであり、この配達員の目視やカメラ、センサーを搭載した郵便用バイクなどで詳細な情報を収集し、道路状況の変化、店舗の開店・閉店などの情報を収集しデジタル地図に反映させる計画であるとのことです。

また、将来的には郵便事業で得た個人情報を基に、デジタル地図に居住者の人数なども盛り込む計画であるとのことです。

この郵便局の個人情報の利活用については、総務省は昨年7月に、「「デジタル時代における郵政事業の在り方に関する懇談会」最終報告書(案)に対する意見募集の結果及び最終報告書の公表」というプレスリリースを出しています。しかし本報告書は、総務省とは思えないくらい個人情報保護法などの理解の間違いが散見されて読んでいる国民の一人としていろいろと心配になってきます。

・「デジタル時代における郵政事業の在り方に関する懇談会」最終報告(案)に対する意見募集の結果及び最終報告書の公表

2.情報資産の洗い出し
「デジタル時代における郵政事業の在り方に関する懇談会」最終報告書(以下「本報告書」とする)4頁は、日本郵政グループの「現状」として各社が保有する個人データの情報資産の一覧を図表にしています。

日本郵政情報資産の洗い出し
(総務省「デジタル時代における郵政事業の在り方に関する懇談会」最終報告書より)

しかしゆうちょ銀行は融資などの関係から国民個人の職業、勤務先、収入、負債、他社の金融資産などの情報をもっているはずですがこの表にのっていません。また、かんぽ生命は保険の引き受けや保険金・給付金支払いに関連して、顧客の健康・医療データ、職業、勤務先などの情報をもっているはずですが、これも図に記載がありません。情報資産の洗い出しすら満足にできない日本郵政グループや総務省は大丈夫なのかと心配になります。

3.仮名加工情報
また、本報告書5頁は、郵便局において郵便物の引き受け時に得られる「配達先情報」「配達原簿情報」などを「仮名加工情報」にして、配達ルートの最適化や局内作業のスリム化を推進するとあります。さらに配達先情報などを仮名加工情報にして、EC事業者と連携し、両社が保有するデータのより高度な活用などによるEC物流の競争力強化」を行うとしています。

たしかに「仮名加工情報」は、企業などによる個人情報の利活用の推進のために令和2年改正個人情報保護法で新設された新しい概念ですが、これは元となる生の個人データの氏名などを削除するなどして、当該企業内で利用するための、「他の情報と照合しない限り特定の個人を識別できない情報」です。第三者提供は禁止されていますし(法36条の2第6項)、社内で利用する際も再び個人を識別する行為は禁止されています(法35条の2第7講)。加えて本人への電話やメールなどによる営業やダイレクトメールなどの到達行為も禁止されています(法35条の2第8講、佐脇紀代志『一問一答令和2年改正個人情報保護法』13頁。)

そのため、郵便局などが保有する個人データを仮名加工情報にしたからといって、EC事業者との連携がよりうまくゆくとは思えません。むしろプライバシーポリシーの利用目的にそのような趣旨で個人情報を利用することを明示して通知・公表を行い、生データとしての個人情報・個人データの活用をすべきではないでしょうか?氏名などが削除されていたり仮IDに変更されているデータを利用してEC事業者が業務をできるとは思えません。またそもそも個人情報保護法は仮名加工情報の第三者提供を禁止しています。

4.委託の「混ぜるな危険の問題」
なお、かりに郵便局とEC事業者との関係が第三者提供でなく委託であった場合、個人データの委託は可能ですが、しかし令和2年改正個人情報保護法ガイドラインQAはいわゆる委託の「混ぜるな危険の問題」において、個人データのデータセンターなどが、委託元から預かった個人データを自社が保有する個人データと名寄せ・突合して分析や加工などをすることなどを禁止しています。

この点、令和2年改正の個人情報保護法ガイドラインQA15-18(2022年4月より施行)は、「複数の会社から匿名加工情報の作成の委託を受けることは可能です。ただし、委託を受けた各個人情報の取扱い及び匿名加工情報の作成については、各委託者の指示に基づきその範囲内で独立した形で行う必要があります。異なる委託者から委託された個人情報を突合したり、組み合わせたりすることはできません。」と明確化しています(委託の「混ぜるな危険の問題」、田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁)。

そのため、もし日本郵便がなどが、委託元から預かった個人データを自社が保有する個人データと名寄せ・突合して分析や加工などをした個人データを委託元に渡すなどの業務を行うことは違法であり許されません。

(参考)
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」


5.「個人データには本人同意なく利用できる類型がある」?
本報告書6頁は、「個人データには本人同意なく利用できる類型がある」としてNTTドコモ「モバイル空間統計データ」を例示しています。しかしドコモのスマホの位置情報データはオプトアウト方式(法23条2項)で本人同意を取って利用してるので、総務省はこの点を完全に間違っています。(NTTドコモの説明ページはオプトアウト手続を明示しています。) ドコモモバイル空間統計データオプトアウト手続き
(NTTドコモサイトより)
・モバイル空間統計ガイドライン|NTTドコモ

6.郵便局が教育業界に参入?
本報告書7頁は、個人データの利活用のために日本郵政はデジタル・プラットフォーム事業者になるべきでありその具体例の一つに「教育」分野をあげています。様々な分野と連携すべきとの提言は分からなくもありません。しかしだからと言って郵便局などの日本郵政グループが「教育」分野に参入してでやることがあるのでしょうか。疑問です。

7.顔認証技術つき防犯カメラ
本報告書8頁は、顔認識技術などAIなどの先端技術を利用するように提言しています。しかしEUで2018年に施行されたGDPR(EU一般データ規則)22条プロファイリング拒否権を定め、またEUは2021年4月に「AI規制法案」を公表しましたが、同法案はAIの危険性を4段階で分類して法規制を行うところ、警察などによる顔認識技術・防犯カメラは一番危険な「禁止」の類型に分類し、全面的な法規制を行う方針です。さらに日本の個人情報保護委員会も2022年1月より顔認識技術と防犯カメラに関する検討会議を始めています。このような日本および西側世界の情勢を考えると、これから顔認証技術などを利活用しようという本報告書は時代遅れなのではないでしょうか。

・第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会|個人情報保護委員会

8.共通ID、共通客データベース
(1)銀行窓販規制
本報告書9頁は、郵便局、ゆうちょ銀行、かんぽ生命の「共通ID」「共通顧客データベース」を作成すべきとしています。しかし保険業法、銀行法は、銀行の優越的地位の濫用防止のため、銀行が持つ個人データは顧客の本人の同意がないと保険の募集に利用できないと規定しています(銀行窓販規制、保険業法300条1項9号、同施行規則212条3項1号等、中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第3版』264頁、経済法令研究会『保険コンプライアンスの実務』227頁)。

したがって、そのような顧客の本人の同意を確認せぬままに郵便局・ゆうちょ銀行・かんぽ生命の3社の顧客の個人情報データベースを構築し、3社の顧客を共通のデータベースで管理することは、保険業法違反、銀行法違反の法的リスクがあります。

また、保険業法施行規則53条の8は、保険会社に対して顧客の個人情報に対して安全管理を講じることを義務付け、また金融庁・個人情報保護委員会の「金融分野における個人情報保護に関するガイドライン(平成29年2月28日個人情報保護委員会・金融庁告示第1号)」も、銀行や保険会社などの金融機関に対して、顧客の個人情報を厳格に取り扱うことを要求しており、もし日本郵政グループが顧客の個人情報の管理を杜撰に行った場合、郵便局・ゆうちょ銀行・かんぽ生命は総務省だけでなく金融庁、個人情報保護委員会からも行政指導や行政処分を受ける法的リスクを負うことになります。

(2)マイナンバー法の「裏番号」「広義の個人番号」
本報告書4頁によると、郵便局・日本郵便は日本のほぼ全ての世帯の個人データを保有し、ゆうちょ銀行も約1億2000万件の個人データを保有してるとあり、日本郵政グループの「共通ID」はマイナンバーと同様に悉皆性・唯一無二性の法的性質を持つことになり、「裏番号」、「広義の個人番号」(マイナンバー法2条8項かっこ書き)に該当してマイナンバー(個人番号)と同等の取り扱いが要求されるため、これを税・社会保障・災害対策以外に利用することはマイナンバー法9条違反のおそれがあるのではないでしょうか。

2021年秋には官民サービスの共通IDを発行するxID社の「xID」がこのマイナンバー法2条8項かっこ書きの定める「裏番号」「広義の個人番号」に該当し、当該共通番号を税・社会保障・災害対応以外の利用目的に利用することは同法9条に抵触し違法なのではないかと炎上しました。これに対して個人情報保護委員会はマイナンバー法2条8項かっこ書きの「広義の個人番号」を同法9条の定める税・社会保障・災害対応以外の利用目的に利用することは法9条違反のおそれがあるとの注意喚起のプレスリリースを出したばかりです。

・番号法第2条第8項に定義される個人番号の範囲について(周知)(令和3年10月22日)|個人情報保護委員会
(参考)
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)


9.情報銀行
本報告書10頁は日本郵政グループに情報銀行を実施せよと提言しています。

総務省情報銀行
(総務省の懇談会の報告書より)

しかし、郵便局の配達員などが配達業務に関連して目視や配送バイクに設置されたカメラ、ドローンのカメラなどで収集された顧客の個人情報・個人データを顧客本人の同意なく情報銀行や冒頭の読売記事にある「デジタル地図」などに利用することは、本人同意なしに個人情報の目的外利用を禁止し、また第三者提供を禁止する個人情報保護法に抵触する違法なものであるだけでなく、郵便法8条や憲法21条2項の規定する「信書の秘密」「通信の秘密」や国民のプライバシー権(民法709条、憲法13条)をも侵害する違法・違憲のおそれがあるのではないでしょうか。

郵便法
(秘密の確保)
第8条 会社の取扱中に係る信書の秘密は、これを侵してはならない。
 郵便の業務に従事する者は、在職中郵便物に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。

なぜなら、この「信書の秘密」は、「郵便物の発送元や宛先が知られると、思想・表現の自由が抑制されるおそれがある」ため、「開封の書状や葉書の発信人、宛先の住所・氏名等も含まれる」と、通信の時や主体、相手方の秘匿など広範囲におよぶと解されているからです(大阪高裁昭和41年2月26日判決・賽原隆志『新・判例ハンドブック情報法』(宍戸常寿編)140頁)。また、郵便法8条2項は郵便局の職員に対して「郵便物に関して知りえた他人の秘密」に関する守秘義務を定めています。

郵便法に隣接する分野の法律である電気通信事業法4条や憲法21条2項の定める「通信の秘密」も、例えば手紙の本文やメールの本文などの通信内容そのものだけでなく、通信の発信者・受信者、通信の有無、通信の日時、通信にかかわる住所、メールやウェブサイトのヘッダー情報など通信の外形的事項(「通信の構成要素」「メタデータ」とも呼ばれる)をも広く含むと解されています(曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁)。

そのため、郵便局の配達員などが配達業務に関連して目視やカメラ・センサーなどで収集した居住者情報などの個人データなども「信書の秘密」に該当し、また郵便局職員の「郵便物に関して知りえた他人の秘密」なので、これをみだりに日本郵政など日本郵政グループが利活用することは、信書の秘密・通信の秘密侵害郵便局職員の守秘義務違反として違法・違憲と評価されるおそれがあるのではないでしょうか。

そもそも郵便局やかんぽ生命などの日本郵政グループは数年おきに重大な個人情報漏洩事故を起こし、最近も顧客の個人情報の政治活動への目的外利用などの杜撰な情報管理が大きな問題となっています。「情報銀行」の業務を行うには、まずは日本郵政グループ内の情報管理が徹底されないことには、国民・住民は怖くて自らの個人情報を日本郵政グループに利活用させようと思わないのではないでしょうか。

(関連)
・かんぽ生命・日本郵便の3000件の個人情報漏洩事故/ブラック企業

10.個人情報保護法の「二重オプトアウトの禁止」
本報告書13頁は、地図会社に郵便局やかんぽ生命など日本郵政グループの職員が収集した個人データを第三者提供・販売することを提言しています。この部分を読むと、上でみた「顧客の本人同意が不要な類型」という個人情報の第三者提供は、はオプトアウト方式(個人情報保護法23条2項)のことらしいのですが、2022年4月から施行される令和2年改正の個人情報保護法は「二重オプトアウトの禁止」を明示しています(個人情報保護法23条2項ただし書き、佐脇『一問一答令和2年改正個人情報保護法』48頁)。

この点、一般の地図会社はオプトアウト方式で本人同意をとり地図を作製していることを考えると、日本郵政グループも同様にオプトアウト方式により「デジタル地図」を作成すると思われ、日本郵政がオプトアウト方式で作成したデジタル地図の個人データを地図会社が購入などすることは、個人情報の第三者提供のオプトアウトに該当し、「二重オプトアウト」(個人情報保護法23条2項ただし書き)に該当してしまうので、地図会社などは日本郵政のデジタル地図の個人データを購入することは違法となります(法23条2項ただし書き)。

そのため、本報告書13頁が提言している、日本郵政が郵便配達員などの目視やバイク、ドローンなどに設置されたカメラ・センサーなどの情報から居住者情報などの個人データの添付されたデジタル地図を作製し、地図会社などに販売・第三者提供しようというスキームは個人情報保護法との関係で違法であり許容されないものと考えられます。

11.政府からの給付金の支払口座?
本報告書13頁は、災害対応、自治体の統計調査への協力だけでなく、「国の給付金の支払い」についてもゆうちょ銀行の口座などを利用することを提言しています。しかし、災害対応・自治体の統計調査などへの協力は国民・住民に対して説明がつくかもしれませんが、国の給付金の支給に郵便局の顧客個人情報をオプトアウトで利用したら、国民・住民から「なぜ国は私の口座を知っているのか?」「プライバシー侵害」「国に私達の口座の個人情報を漏洩した日本郵政は許せない!」等との大きな苦情リスクが発生するのではないでしょうか。

12.転居の有無に居住者データの有効利用
本報告書13頁は、「転居の有無に居住者データの有効利用」を提言しています。しかし「転居の有無に居住者データの有効利用」というのは、これもオプトアウト方式で探偵屋や名簿屋、受信料を徴収するNHK、DV加害者などに顧客本人の現住所の個人データを販売するものになってしまうのではないでしょうか。これは顧客の国民・住民のプライバシー侵害(民法709条、憲法13条)ですし、勝手に本人の現住所を第三者に知らせることは個人データの本人同意のない第三者提供(個人情報保護法23条1項)に該当する違法なものであるようにも思えます。もし実施した場合、日本郵政や総務省などは、国民・住民からの大きな苦情リスクに耐えられるのでしょうか?

13.まとめ
このように、総務省が検討している、日本郵政グループがデジタル地図の個人データを地図業者に販売・第三者提供などすることは個人情報保護法違反のおそれが高く、また、総務省の本報告書が提言しているさまざまな新しい個人データビジネスも個人情報保護法、郵便法、保険業法、銀行法、憲法などとの関係で違法・違憲のおそれが強いものと思われます。総務省は本報告書の内容について、一から見直す必要があるのではないでしょうか。

日本郵政グループは個人情報の問題だけでなく、2019年には日本郵便・かんぽ生命が地域の高齢者の生命保険契約の乗換を繰り替えさせるなどの組織ぐるみの保険募集の重大な違法行為が発覚し、現在、日本郵政グループは全社をあげた再発防止、コンプライアンスやガバナンスの徹底に取り組んでいる時期のはずです。にもかかわらず総務省がこの時期に個人情報の利活用など会社経営のアクセルを踏ませる提言を行うことには大きな違和感があります。

(関連)
・かんぽ生命・日本郵便の不正な乗換契約・「乗換潜脱」を保険業法的に考える

日本郵政グループやその監督官庁の総務省は、現在はまずは日本郵政グループ各社のコンプライアンス・ガバナンスの徹底に全力をあげて取り組むべきなのではないでしょうか。

(なお、情報セキュリティや情報法の専門家で産業技術総合研究所主任研究員の高木浩光先生は、もし日本郵便・郵便局が葉書・手紙などの配達業務というコモンキャリア、いわゆる「土管屋」の業務だけでなく、個人情報に関するビジネスを開始すると、郵便局は個人情報取扱事業者となり、郵便局に手紙・葉書などの郵送を頼む日本全国の法人は日本郵便・郵便局に対して安全管理措置の一つである「委託先の管理」(個人情報保護法22条)の義務を負うことになるがそのような結果は現実的ではないとブログ記事で総務省の報告書を批判されています。)

・郵便事業がコモンキャリアを逸脱すれば郵便物を差し出す事業者が個人情報保護法に抵触する|高木浩光@自宅の日記

このブログ記事が面白かったらブックマークやシェアをお願いします!

■関連する記事
・かんぽ生命・日本郵便の不正な乗換契約・「乗換潜脱」を保険業法的に考える
・かんぽ生命・日本郵便の3000件の個人情報漏洩事故/ブラック企業
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)
・コロナにより自宅療養等した場合、生損保の医療保険の入院給付金は支払われないのか?(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

■参考文献
・佐脇紀代志『一問一答令和2年改正個人情報保護法』13頁、48頁
・田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁
・中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第3版』264頁
・経済法令研究会『保険コンプライアンスの実務』227頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁
・郵便事業がコモンキャリアを逸脱すれば郵便物を差し出す事業者が個人情報保護法に抵触する|高木浩光@自宅の日記
・番号法第2条第8項に定義される個人番号の範囲について(周知)(令和3年10月22日)|個人情報保護委員会