なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

カテゴリ: 個人情報保護法・情報法

welcomeHRトップ画面

1.WelcomeHRの個人情報漏洩事故が発覚

カオナビ子会社のワークスタイルテック(東京都港区)が運営する労務管理クラウドサービス「WelcomeHR」で、ユーザー情報16万人分近くが外部から閲覧可能になっており、うち15万人分近くが実際に第三者にダウンロードされたとワークスタイルテック社が3月29日にニュースリリースを公表しました。
・弊社サービスをご利用いただいているお客様への重要なご報告とお詫び|Workstyle Tech

プレスリリース
(ワークスタイルテックのプレスリリースより)

ワークスタイルテックのリリースによると、2020年1月5日から2024年3月22日にかけて、ユーザーの氏名、性別、住所、電話番号、ユーザーがアップロードした身分証明書(マイナンバーカード、運転免許証、パスポートなど)や履歴書の画像が閲覧可能だったとのことです。原因は、ストレージサーバのアクセス権限に設定ミスがあったことであり、外部からファイルを閲覧したり、ダウンロード可能な状態だったということです。

このニュースリリースに対しては、個人情報保護委員会に報告は行われているのか、マイナンバーカードの表面の画像の情報が漏洩したことは間違いないとして裏面のマイナンバーなどの情報も漏洩したのか?の2点がネット上で話題となっていました。

2.マイナンバーも漏洩していたことが発覚

その後、4月13日頃より、Twitter(現X)などSNSにおいて、ワークスタイルテックより今回の個人情報漏洩事故の被害者の方々に対して、お詫びのメールにて漏洩事故の詳細が送られてきたことが報告されています。このお詫びのメールによると、マイナンバーそのものも漏洩していたことが明らかにされています。

被害者のツイート
通知1
通知2
(被害者の方のTwitterの投稿より)

3.ワークスタイルテックの個人情報漏洩事故の対応の問題点

このワークスタイルテックの個人情報漏洩事故の対応については、いくつも疑問があります。

まず第一に、今回の事故の原因から、マイナンバーの漏洩も当初から明らかであり、ワークスタイルテックは3月29日のプレスリリースの段階で、マイナンバーも漏洩していたことをぼかさずに明らかにすべきだったのではないでしょうか。

個情委の個人情報保護法ガイドライン3-5-2は、「なお、漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましい。」としているからです。

第二に、この被害者あてのお詫びのメールを読むと、「マイナンバーについて(略)一方で、マイナンバーに記載されている情報(略)から、より詳しい個人情報を抜き取られることはありません。」と説明されていることは非常にミスリーディングなのではないでしょうか。

つまり、いわゆる名簿屋がこのような個人情報のデータセットを収集した場合、他で取得した複数の個人情報のデータセットと名寄せ・突合し、被害者本人の人物像を作り出し、それを販売するであるとか、プロファイリングを行う等の行為が可能となってしまいます(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』224頁)。そしてマイナンバーは悉皆性・唯一無二性を有する究極のマスターキーなので、これが漏洩してしまうと他の個人情報のデータセットとの名寄せ・突合が容易になってしまいます。

にもかかわらず、まるで「マイナンバーが漏洩したけれどあまり心配はいりません」と言いたげなこのお詫びメールのアナウンスは非常に不適切であると思われます。

そのため、ワークスタイルテックは被害者の方々に対して、市役所等の自治体にマイナンバーカードの再発行を行うことを奨励すべきなのではないかと思われます(マイナンバー法17条5項参照、下の追記参照)。

第三に、本事件ではマイナンバーを含む約15万件の個人情報が漏洩してしまったわけであり、ワークスタイルテックは被害者の方々に対してお詫び金(例えば500円程度)を支払うべきであるのに、それがお詫びメールに記載されていないのは奇異な感じがします。(なお、お詫び金はお詫びの意思を表明するものであり、損害賠償の金銭とは別物です。)

このように、ワークスタイルテックの個人情報漏洩事故の対応は非常に稚拙であると思われます。社内にしっかりとした情報システム部門や法務・コンプラ部門がないのだろうかと心配になります。

■追記:4月15日 マイナンバーカードの利用停止・再発行について

個人情報保護委員会に電話で確認したところ、「本件のようにマイナンバーの悪用のおそれがある場合には、被害者の方は、市役所等の自治体にマイナンバーカードの利用停止と再発行の申出を行ってほしい、それにより再発行されるマイナンバーは新しい番号に切り替わるとのことでした。なお、自治体によってはデジタル庁のマイナンバー総合フリーダイヤルへの申出を行うようお願いされるかもしれないが、まずは自治体に問い合わせてほしい」とのことでした。

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

school_jugyou_tablet

1.はじめに

個人情報保護委員会が令和6年4月10日付で公表している「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方②)」の資料を読んでみました。今回の資料は、①子どもの個人情報、②消費者団体訴訟制度、の2点を取り上げています。

2.子どもの個人情報

本資料1頁は、まず「現行の個人情報保護法上、子どもの個人情報の取扱い等に係る明文の規定はない」とした上で、個人情報保護法ガイドライン(通則編)2-16および個人情報保護法ガイドラインQA1-62が、「「本人の同意」を得ることが求められる場面(目的外利用、要配慮個人情報の取得、第三者提供等)について、以下のとおり、「一般的には12歳から15歳までの年齢以下の子どもの場合には法定代理人等から同意を得る必要がある」とされている」と説明しています。

ppc1

つぎに本資料は、児童の権利条約(1989年)やデジタル環境下のこどもに関するOECD勧告(2021年)が、子どものプライバシーやデータ保護が重要であると規定していると説明しています。

また、本資料3頁以下は、子どもの個人情報に関する外国制度として、EU、イギリス、アメリカ、中国、韓国、インド、インドネシア、ブラジル、カナダ等の法制度を概観しており、「子どもの個人情報等をセンシティブ情報又はセンシティブデータと分類した上で特別な規律の対象とするケース」や「子どもの個人情報に特有の規律を設けるケース」が多いと分析しています。

ppc2
ppc3
ppc4

さらに本資料8頁以下は、子どもの個人情報に関する外国における主な執行事例として、InstagramやTikTok、YouTubeなどの事例をあげています。

ppc5
加えて本資料10頁は、日本における子どもの個人情報に関する社会的反響の大きかった事例として、①全寮制の学校Aが、全生徒にウェアラブル端末を購入してもらい、心拍数、 血圧、睡眠時間等の個人データを収集しようとした事件(広島叡智学園事件(2018年))、②学校Bで、生徒の手首につけた端末で脈拍を計測し、授業中の集中度を測定する実証研究を行った事件(市立鷲宮中学校事件(2021年))の概要が紹介されています。

また、子どもの個人情報に関連して個人情報保護法に基づく行政上の対応が行われた事例として、四谷大塚事件(2024年2月)の概要が紹介されています。

ppc6

なお本資料12頁は、「個人情報保護法相談ダイヤルにおける子どもの個人情報等に係る相談事例等」として、頻度の多い相談事例や、その他の相談事例等をあげていますが、とくに「事例C 事業者がパンフレットに児童の個人情報を掲載しているが、当該掲載について児童から口頭で同意をとったのみであり、親には何らの連絡もなかった」事例や、「事例D 未成年の娘あてに事業者からDMが届いた。発送先の事業者に確認したところ、名簿販売業者から娘の情報を取得したうえで営業をかけているようであった」という事例、「事例G 事業者が保有する児童の個人情報について、親が開示・削除等の請求をしているにもかかわらず、なかなか応じてくれない」事例、などを読むと、やはり子どもの個人情報の法規制は待ったなしだと思われます。

ppc7

3.消費者団体訴訟制度

本資料15頁は、適格消費者団体は、「不当な勧誘」、「不当な契約条項」、「不当な表示」などの事業者の不当な行為をやめるよう求めることができるとし、「事業者が不特定かつ多数の消費者に対して消費者契約法等に違反する不当な行為を行っている、又は、行うおそれのあるとき」には差止請求を行うことができると説明しています。この「消費者契約法等」には消費者契約法のほか、景品表示法、特定商取引法、食品表示法が規定されていると説明されています。(個人情報保護法はまだ規定されていない。)

また本資料17頁は、団体訴訟の差止請求に関連し、「個人情報に係る本人が不特定かつ多数と評価しえる事例に係る個人情報保護法に基づくこれまでの主な行政上の対応」として、Facebook事件(平成30年10月)、JapanTaxi事件(平成30年11月、令和元年9月)、リクルート内定辞退率予測データ事件(2019年)、破産者マップ事件(令和4年)、ビジネスプランニング事件(令和6年1月)の概要をあげています。

ppc8
ppc9

さらに本資料21頁は、「不法行為の成否と個人情報保護法の関係」として、令和5年の顔識別機能付き防犯カメラ報告書からつぎのように一部を抜粋しています。

『「不法行為法と個人情報保護法はその目的や性格に異なる部分があることから、不法行為が成立する場合、同時に個人情報保護法違反となる場合もあり得るが、不法行為が成立したからといって必ずしも個人情報保護法違反となるわけではない。」
不法行為の成否を評価するに当たり考慮される要素は、個人情報保護法上も不適正利用の禁止規定(法第19条)や適正取得規定(法第20条第1項)の解釈などにおいて、考慮すべきであると考えられる。
(出典)「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」(令和5年3月)から引用。』
「不法行為の成立=個人情報保護法違反ではない」としつつも、「不法行為の成否を評価するに当たり考慮される要素は、個人情報保護法上も不適正利用の禁止規定(法第19条)や適正取得規定(法第20条第1項)の解釈などにおいて、考慮すべきであると考えられる。」と個人情報保護委員会がしていることは、個情委が今後、不適性利用禁止条項を積極的に発動する可能性があるのではないでしょうか。個人的には個情委のこの取組みに期待したいです。

また本資料21頁は、個人情報の取扱いにおいて損害賠償責任が問題となった主な事例として、早大名簿提出事件(最高裁平成15年9月12日判決)とベネッセ個人情報漏洩事件(最高裁平成29年10月23日判決)をあげています。

ppc10

ベネッセ個人情報漏洩事件はおよそ3500万件もの個人情報が漏洩した事件ですが、このように被害者が不特定かつ多数の個人情報漏洩事件について、消費者団体訴訟における損害賠償請求ができるようになることは、被害者救済の観点から重要であると思われます。また、団体訴訟制度の個人情報保護法への導入は、事業者の実務への影響は非常に大きいと思われます。

■関連するブログ記事
・PPCの「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」(2023年11月)を読んでみた
・個情委の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」を読んでみた
・埼玉県の公立中学校の「集中しない生徒をリアルタイムで把握」するシステムを個人情報保護法や憲法から考えた
・戸田市の教育データを利用したAI「不登校予測モデル」構築実証事業を考えた-データによる個人の選別

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

内田洋行
内田洋行サイトより)

1.戸田市の教育データを利用したAI「不登校予測モデル」構築実証事業

2024年4月4日付の日経クロステックの記事「不登校になりそうな児童生徒をAIが予測、戸田市の教育データ活用実証が示したこと」が、Twitter(現X)上で話題を呼んでいます。この実証実験は、「2023年12月から同市内の公立小学校12校、同中学校6校の計約1万2000人の児童生徒のデータを分析対象に、「不登校予測モデル」構築の実証をした。事業はこども家庭庁の「こどもデータ連携実証事業」として戸田市が受託し、内田洋行、PKSHA Technologyグループとともに進めたもの」であるそうです。

内田洋行2
内田洋行サイトより)

不登校予測モデルは、教育総合データベースのデータを利用してAIが機械学習し、予測モデルを構築してゆくそうです。モデルの構築に利用した特徴量は、出欠席情報、保健室の利用状況、いじめに関する記録、教育相談、健康診断データ、学校生活アンケート、戸田市が独自に実施している「授業がわかる調査」、県学力調査の学力データ、県学力調査の質問紙調査、RST受検結果、「心のアンケート」など多岐にわたるそうです。(なお本事業は保護者の同意を取得しているそうですが、学校や自治体と保護者の力関係を考えると、このような本人同意が有効な同意といえるのか疑問が残ります。)

ところで、この戸田市の事例で注目されるのは、本記事によると、予測モデルの構築に際して重要なのは「特徴量」であるところ、出欠情報、教育相談が上位にくるだけでなく、「健康診断の体重や歯科検診」、「健康診断の肥満」も特徴量重要度の上位にあがっていることだと思われます。

一見、生徒の不登校の予測とはあまり関係ないように思われる、体重、肥満、歯科検診、数学の点数などにより不登校を予測することは妥当なのでしょうか。

2.「「関連性」のないデータによる個人の選別・差別」の禁止

この点、最近、情報法制研究所副理事長の高木浩光先生は、個人情報保護法(個人データ保護法)の趣旨・目的は「関連性のないデータによる個人の選別・差別」を防止することであるとの学説をとなえておられます。高木先生はカフェJILISの鼎談記事「ニッポンの教育ログを考える(後編)」(2022年1月20日)でつぎのように述べています。

OECDガイドラインの2つ目の原則である「データ内容の原則」(Data Quality Principle)は、personal dataはその利用目的に対して「relevant」でなければならないと言っている。「Personal data should be relevant to the purposes for which they are to be used」ってなっているのです。 (略)

今回の件について言いたいのは、この「Personal data should be relevant to the purposes for ……」という基本原則の意味は、データ分析をして本人を評価するに際しては、目的に関連しているデータしか使っちゃダメって言ってるんですね。「関係ないデータを使うな」って言ってるんですよ。

で、その「関係ない」っていうのはどういうことなのか。いくら言葉だけ見てても意味わからないわけですけど、立案にかかわった人の論文を見ると、具体的に説明されていて、例えば、政府が所得税額を計算するのにコンピューターを使う際に、収入額とかを基に個人データ処理するのは「目的に関連している」データを用いた評価なんだけども、そこに日頃の生活の素行みたいなデータを入れて税額を計算したら、それはおかしいだろうってことになる。そのような場合のことを「関係ないデータを使っている」と言ってるわけです。
(カフェJILIS「ニッポンの教育ログを考える(後編)」の高木浩光先生発言より。)

この高木先生の見解によると、生徒の不登校を予測するAIを機械学習させるためのデータとして、「出欠情報、教育相談、いじめの有無、心理検査、心理アンケート」などは「関連性がある」といえると思われますが、「体重、肥満、歯科検診結果、数学の点数」などは「関連性がない」ものとして、このような項目により機械学習させたAIの予測モデルは「関連性のないデータによる個人の選別・差別」に該当し、つまりOECD8原則の第二原則の「データ内容の原則」に抵触しているのではないでしょうか。

また、同じくカフェJILIS「ニッポンの教育ログを考える(後編)」では、弁護士の板倉陽一郎先生も、つぎのようにEUのAI規制法(2024年3月13日に欧州議会が最終案を可決)の観点から日本の教育データの利活用を批判されています。

最新の公的な文書としてはEUのAI規則案ですよ。EUのAI規則案で、4つの種類のAIだけは絶対禁止ってしてるんです(shall be prohibited,5条1項(a)-(d))。(略)

4つの種類だけは絶対やめようっていう中に、(公的機関が)「最初に収集されたコンテキストとは関係ない社会的コンテキストで、特定の人とかグループに有害な取り扱いをする」scoringという類型があります(5条1項(c))。コンテキストと関係がないっていうのが、今のrelevancyの現在地ですよ。そういうscoringはやめようっていうのが、そのAI規則案が4つだけ禁止している、絶対ダメなものひとつなんです。教育ログは、そこにちょっとね、一歩入りかけとるわけですよ。気をつけないといけない。

欧州が絶対ダメって言ってるんですからね。それをね、ニコニコして入れたらね。お前らバカなのかってなるじゃないですか。だから欧州に従えという話ではないですが,絶対禁止になっている4つのところぐらいは見ながらやっぱやらないとまずいですよね。だって他に禁止されてるのって、サブリミナルで自殺に追い込むAIとかそんなやつですよ?(5条1項(a))。それと同等程度にダメだっていうふうに言ってるわけです。
(カフェJILIS「ニッポンの教育ログを考える(後編)」の板倉陽一郎先生発言より。)
AI規制法禁止カテゴリ
総務省「EUのAI規制法案の概要」11頁より、禁止カテゴリのAIの4類型)

すなわち、EUのAI規制法が禁止カテゴリとしている4つのAIの一つは「最初に収集されたコンテキストとは関係ない社会的コンテキストで、特定の人とかグループに有害な取り扱いをするスコアリング」であり、デジタル庁やこども家庭庁が推進しているAIによる教育データの利活用はそれに該当すると板倉先生は指摘しています。

また、上で高木先生が述べている「関連性のない」とは、EUのAI規制法では「最初に収集されたコンテキストとは関係ない社会的コンテキストで、特定の人とかグループに有害な取り扱いをする」ことであると板倉先生は指摘されています。

この点を戸田市の実証実験で考えると、学校における健康診断、歯科検診、学力テストにおける数学の試験などは、生徒の健康状態を測る目的や教科の学習度合いを測る目的に収集されたデータであり、それらのデータを生徒の不登校の予測の目的で利用することは「最初に収集されたコンテキストとは関係ない社会的コンテキスト」=「関連性がない」と評価され、AI規制法5条1項(c)に抵触している可能性があるのではないでしょうか。(仮にもし日本にもEUのAI規制法が適用されるとするならば。)

3.まとめ

したがって、高木先生や板倉先生の考え方によれば、戸田市の生徒の不登校予測のためのAIモデルの実証実験や、デジタル庁やこども家庭庁等が推進している教育データの利活用政策は、OECD8原則の「データ内容の原則」およびEUのAI規制法5条1項(c)に抵触のおそれがあるのではないでしょか。このような施策をデジタル庁・こども家庭庁などの政府や戸田市などの自治体が推進していることは法的に大きな問題なのではないでしょうか。

4.補足:個人情報保護法の3年ごと見直し・自民党の「責任あるAI推進基本法(仮)」

なお、2023年11月より個人情報保護委員会(PPC)は、個人情報保護法のいわゆる「3年ごと見直し」のための検討を行っています。PPCの資料を読んでみると、AIやプロファイリング、子どもの個人情報保護などが議論の俎上にあがっています。また現行の不適正利用禁止規定(法19条)も条文の具体化が行われるのではないかと思われます。すると現在こども家庭庁などが推進している教育データの利活用政策などは見直しを余儀なくされる可能性もあるのではないでしょうか。(個人の予想ですが。)

b0183ad4
(個人情報保護委員会サイトより)

また、2024年2月に自民党は「責任あるAI推進基本法(仮)」を公表しています。しかし同法案は、大手のAI開発事業者を国が指定し、当該事業者に7つの体制整備義務を課し、あとはAI開発事業者の自主ルールにゆだねる内容で、EUのAI規制法の禁止カテゴリ・ハイリスクカテゴリなどのような規定は存在せず、全体としてAIの研究開発の発展を強く推進する内容となっているようであり、日本社会のAIのリスクの防止に不安が残る内容となっています。

AIの研究開発の発展も重要ですが、国民個人の権利利益の保護、個人の基本的人権や個人の人格権の保護も重要なのではないでしょうか(個情法1条、3条)。

責任ai基本法の骨子
(自民党サイトより)

■このブログ記事が面白かったらシェアやブックマークをお願いします!

■参考文献
・「不登校になりそうな児童生徒をAIが予測、戸田市の教育データ活用実証が示したこと」2024年4月4日付日経クロステック
・教育総合データベース(デジタル庁実証事業) の検討状況|戸田市
・内田洋行とPKSHAグループ、こども家庭庁の実証事業として埼玉県戸田市のこどもの不登校をAIで予測する取組みに参画|内田洋行
・ニッポンの教育ログを考える——プライバシーフリーク・カフェ#16(後編)|カフェJILIS
・EUのAI規制法案の概要|総務省

■関連するブログ記事
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・PPCの「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」(2023年11月)を読んでみた
・個情委の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」を読んでみた

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

test_shiken_businesswoman

1.「精神疾患や発達障害を採用でふるい落とす「不適正検査スカウター」」!?

最近、Twitter(現X)などSNS上で、「人材採用で失敗しないための不適正検査」として「不適正検査スカウター」という採用選考の適性試験の企業向けの宣伝を見かけます。SNS上では、この不適正検査スカウターに対して「精神疾患や発達障害を採用でふるい落とす差別的なもの」との批判も見かけます。このような検査は法的に許されるのでしょうか?

F3Ap7Iva8AAAbvm
(Twitter上の不適性検査スカウターの宣伝より)

2.不適性検査スカウターとは

不適性検査スカウターについて調べてみると、たとえば「就活の教科書」サイトの「【例題あり】不適性検査スカウターtracsの問題と対策 | NR,SS,答えも」がつぎのように詳しい解説を行っています。

「不適性検査スカウター(tracs)とは、一言で言うと企業が「人材採用で失敗しないための不適性検査」です。」「他のWebテストと比較して適性検査の割合が多いことが特徴で、不適性検査スカウター(tracs)では能力検査が1種類、適性検査が3種類となっています。」そして適性検査は「検査SS(資質検査)、検査SB(精神分析)、検査TT(定着検査)」の3つとなっています。

その上で、「精神状態の傾向」においては、「「うつ傾向」「非定型うつ傾向」「仮面うつ傾向」「演技傾向」「強迫傾向」など、問題行動やトラブルの引き金にもなり得る精神状態の傾向を測定する」ものであると解説されています。

この点、不適性検査スカウターのウェブサイトを見てみると、この検査はシンガポールの「SCOUTER TECHNOLOGY PTE. LTD.」という会社が開発・運営しているようです。

そして同社サイトの説明を見ると、たしかに「精神分析検査は、6カテゴリー21項目におよぶ多面評価尺度(検査項目)を備えています。 心理分析と統計学に基づき、面接だけでは見極めにくいメンタル面の潜在的な負の傾向を測定します。 会社や職場に対する強い不満、精神的な弱さ、集中力・注意力不足による事故(ヒューマンエラー)等、問題行動やトラブルの原因となる性質や心理傾向を発見します。 いわば採用前に実施する心の健康診断の役割を果たし、採用の失敗を超強力に減らします。」と解説されています。

そして、同ウェブサイト上の「精神分析の詳細」の部分の「検査結果レポート(人事用)」の図表をみると、「精神状態の傾向」の部分で「うつ傾向、非定型うつ傾向、仮面うつ傾向、境界傾向、自己愛傾向、強迫傾向」などの度合いがチェックされ、「負因性質」の部分では「注意散漫性向、非社会性向、精神的脆弱性」などの度合いがチェックされるようになっています。

不適性検査スカウターの精神面の画面
(不適性検査スカウターのウェブサイトより)

これは確かに、適性検査、性格検査というよりは、うつ病や発達障害などの精神疾患をあぶりだし、そのような傾向のある人を採用選考で不採用とするための検査であるように思われますが、このような検査は法的に許されるものなのでしょうか?

3.労働法から考える

(1)適性検査・性格検査
企業や人材会社などの採用選考などに関しては職業安定法が規律しており、職安法5条の5(個人情報の取扱い)などの部分については平成11年労働省告示第141号(職安指針)という通達が出されています。それらを基に、厚労省はウェブサイト上で「公正な採用選考の基本」との解説ページを設けています。

この「公正な採用選考の基本」は、「(1)採用選考の基本的な考え方」として、「ア 採用選考は、①応募者の基本的人権を尊重すること、②応募者の適性・能力に基づいた基準により行うこと、の2点を基本的な考え方として実施することが大切です。」と解説しています。

この②の「応募者の適性・能力に基づいた基準により」から、求人を行う企業等が採用選考で応募者の適性・能力を判断するために適性検査や性格検査などを行うこと自体は、一般論としては法的に問題がないと言えると思われます。

(2)不適性検査スカウターについて
一方、不適性検査スカウターは求職者のうつ病や発達障害、パーソナリティ障害などの精神疾患の度合いをチェックするものですが、平成11年労働省告示第141号は、職安法5の5に関連する「第4 求職者等の個人情報の取扱い」の1.(1)イは、「人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項に関する個人情報については、求職企業等は原則として収集を禁止しています。

職安指針第4

そのため、精神疾患などの病歴や健康情報が「その他社会的差別の原因のおそれのある事項」に該当するかが問題となります。

この点、厚労省の「公正な採用選考をめざして」9頁の「採用選考時の健康診断/健康診断書の提出」においては、採用選考時における健康診断において、「合理的かつ客観的に必要である場合を除いて実施しないようお願いします」とし、「真に必要な場合であっても、応募者に対して検査内容とその必要性についてあらかじめ十分な説明を行ったうえで実施することが求められます」としており、厚労省は、病歴等の情報が平成11年労働省告示第141号が定める原則として収集が禁止される個人情報に該当するとの見解をとっています(倉重公太朗・白石紘一『実務詳解 職業安定法』306頁)。

したがって、不適性検査スカウターは就活生・転職者等の求職者のうつ病や発達障害などの精神疾患の傾向をチェックするツールであり、うつ病や発達障害などの精神疾患の傾向の個人情報は「その他社会的差別の原因のおそれのある事項」に該当するので、不適性検査スカウターは、平成11年労働省告示第141号第41.(1)イ、職安法5条の5および就職差別を禁止する職安法3条に抵触し違法のおそれがあるのではないでしょうか。

4.個人情報保護法から考える

(1)不正の手段による取得の禁止・本人同意なしの要配慮個人情報の取得禁止
また、もし求人企業が就活生・転職者等の求職者に対して、あらかじめ精神疾患などの傾向に関する個人情報を収集する目的であることを通知・公表せず、本人の同意を取得せずに不適性検査スカウターで求職者の検査を実施することは、「偽りその他不正の手段」による個人情報の収集を禁止した個人情報保護法20条1項違反のおそれがあり、また本人同意なしの病歴などの要配慮個人情報の収集を禁止した同法同項2項違反のおそれがあると思われます。(なお職業安定法5条の5は、不正の手段による個人情報の収集も禁止しています。)

(2)不適正利用の禁止
さらに、不適性検査スカウターのように、求職者を検査し、それによりうつ病や発達障害などの精神疾患・精神障害をあぶりだし、当該求職者を採用選考で精神疾患・精神障害を理由として不採用とすることは、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用」することを禁止した個情法19条に抵触するおそれがあるのではないでしょうか。

この点、個人情報保護委員会の個人情報保護法ガイドライン(通則編)3-2(法19条関係)は、不適正利用禁止規定(法19条)に該当する事例として、「事例5)採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみにより、正当な理由なく本人に対する違法な差別的取扱いを行うために、個人情報を利用する場合」をあげています。

不適正利用禁止事例5

この個情法ガイドライン(通則編)3-2の事例5に照らすと、不適性検査スカウターは、採用選考を通じて個人情報を取得した求人企業が精神疾患・精神障害等の特定の属性のみにより不採用との違法な差別的取扱いを行うためのツールであるといえるので、不適性検査スカウターは個人情報保護法19条(不適正利用の禁止)に抵触していると判断されるおそれがあるのではないでしょうか。

5.まとめ

このように検討してみると、不適性検査スカウターは、平成11年労働省告示第141号第41.(1)イ、職安法5条の5、同法3条および個人情報保護法19条、20条1項、同条2項に抵触しているおそれがあります。また、不適性検査スカウターを採用し利用している求人企業も同様に上述の法令に抵触しているおそれがあるのではないでしょうか。

(なお、本ブログ記事の労働法に関する部分については、東京労働局需給調整事業部の担当者の方に確認させていただきました。どうもありがとうございました。)

このブログ記事が面白かったらシェアやブックマークをお願いします!

■参考文献
・倉重公太朗・白石紘一『実務詳解 職業安定法』306頁
・岡村久道『個人情報保護法 第4版』91頁、235頁

■関連するブログ記事


人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

デジタル認証アプリのイメージ図
(デジタル庁のパブコメの資料より)

デジタル庁のデジタル認証アプリについては、これまでも本ブログで取り上げてきたところ、そろそろデジタル認証アプリが4月リリース予定とのことで、パブコメ結果の公表などを待っていたのですが、本日(3月30日)に読売新聞が大きく解説記事「国の個人認証アプリ 迷走…デジタル庁 構想・開発」を掲載しているとのことで読んでみました。(コンビニで買ってきました!)

デジタル認証アプリとは、マイナンバーカードによる公的個人認証のためのアプリであり、デジタル庁が開発・運営し、同庁が認証業務を行う「署名検証者」になるというものです。

しかしこのデジタル認証アプリ構想は、①国民個人の官民の各種ネットサービスの利用履歴がデジタル庁に蓄積し個人のプロファイリングが行われるリスクなどのプライバシーリスクがあること、②そもそもこのような制度を公的個人認証法の施行規則の改正という行政の内部で決定してよいのかという問題、などがあり、1月にパブコメが開始され情報公開がなされるとネットなどで批判が起きていました。

本記事によると、パブコメには「29件の意見が寄せられた。プライバシー侵害のおそれのほか、民業圧迫との批判、「デジタル庁の想定するユースケースは犯罪収受移転防止法の要件を満たさないので実現できないのではないか」といった実務の観点からの指摘もあった。数は多くないとはいえ、いずれも専門家からの厳しい指摘だった。」「デジタル庁は…3月中に予定していた施行規則の改正はいったん見合わせ、4月に予定していたアプリのリリースも「数か月遅れる可能性がある」という。」とのことです。

この点は、パブコメを書いて提出された方々、ネット上などで批判されてきた方々などの勝利といえるのではないでしょうか。願わくば、この問題についてはデジタル庁など政府が密室で決定してしまうのではなく、国会で議論を行い必要な法改正などを行うことが望まれます。(また、デジタル庁は読売新聞にはパブコメ結果を開示したのですから、一般国民に対しても早期にパブコメ結果を開示してほしいと思います。)

ところで、本記事においてはマイデータ・ジャパン理事長の崎村夏彦先生と山本龍彦教授のコメントが掲載されており、大変参考になりました。

マイデータ・ジャパン理事長の崎村夏彦先生のコメント
「これでは国民がいつどんなオンラインサービスを使っているのか政府が網羅的に把握できるおそれがある。」「こうした識別子は大量の情報の名寄せが可能でプライバシーの観点から十分な配慮が必要」

慶応大学・山本龍彦教授(憲法・情報法)のコメント
「国が包括的な検証者となることは立法時に想定されていたのか。そこで生じうる名寄せのリスクは検討されていたのか。まずはそこから確認する必要がある。」「仮に今回の変更が立法時の想定を越えるものであるならば、本来は「開かれたアリーナ」である国会で議論すべきもの。」

(「国の個人認証アプリ 迷走…デジタル庁 構想・開発」読売新聞2024年3月30日付より)
デジタル認証アプリについては、個人が官民の各種サービスを利用した履歴が一元管理され、不当な個人のプロファイリングや、関連性のないデータによる個人の選別・差別、国家による個人の監視などの個人の権利利益の侵害や個人の人格権侵害のリスクがあります(マイナンバー法1条、個人情報保護法1条、3条、憲法13条)。

そのため、「法律による行政の原則」(憲法 41 条、65 条、 76 条)の観点から、デジタル認証アプリについて、公的個人認証法の施行規則の一部改正だけではなく、マイナンバー法そのものを一部改正し、根拠条文を設置し、利用目的や目的外利用の禁止、安全管理措置等を規定し、違法・不当な利用に歯止めをかけるべきと考えます。

また、デジタル認証アプリで収集された個人情報(「連続的に蓄積」された電子証明書の発行番号(シリアル番号)やサービス利用履歴等も含む。個情法ガイドライン(通則編)2-8(※)参照。)についても、利用目的の制限、第三者提供等の制限、安全管理措置、保存期間の設定、データ最小限の原則、開示・訂正請求など本人関与の仕組みの策定、情報公開・透明性の仕組みの確保、不適正利用・プロファイリングの禁止などの法規制がなされるべきと考えます。

さらに、マイナンバーカードの電子証明書の発行番号(シリアル番号)についても、マイナンバー(個人番号)に準じたものとして取扱うように法規制し(マイナンバー法2条8項)、利用目的の厳格化、目的外利用の禁止、第三者提供の制限、厳格な安全管理措置などの法規制を、マイナンバー法を改正するなどして盛り込むべきだと考えます。(同様に、マイナンバーカードやマイナポータルなどについてもマイナンバー法に根拠条文が非常に少ないため、これらについても「法律による行政の原則」の観点から、政令や施行規則・通達・ガイドライン等の整備ではなく、まずは法規制を実施すべきだと思われます。)

■関連するブログ記事
・デジタル庁のマイナンバーカードの「デジタル認証アプリ」で個人の官民の各種サービスの利用履歴が一元管理されるリスクを考えた
・デジタル庁のデジタル認証アプリに関するパブコメに意見を提出してみた

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ