なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

カテゴリ: 個人情報保護法・情報法

LINEポケットマネーTOP

1.消費者金融の主戦場がスマートフォンに
最近の日経新聞の記事(「消費者金融、スマホ申し込み9割 LINEはペイ借り入れも」)によると、消費者金融の主戦場が店舗からスマートフォンに移行しているそうです。同記事はLINE子会社の消費者金融「LINEクレジット」の「LINEポケットマネー」とその前提となる信用スコアリングの「LINEスコア」について解説しています。

ところで同記事によると、LINEスコアではAI分析により、LINEの利用において「1か月前より友だち(連絡先)が減少した場合には、延滞や貸し倒れの確率(リスク)が2倍になった」等の分析結果を割り出し信用スコアリングを行っていることに、ネット上では「LINEの「友だち」が減ると信用スコアが減ってしまうのか!?」等と驚きや困惑の声が広がっています。

LINEクレジットの与信判断の例
(LINEクレジットの与信判断の例。「消費者金融、スマホ申し込み9割 LINEはペイ借り入れも」日経新聞記事より)

2.プロファイリングと差別の問題
2022年4月に公表された、商事法務の「パーソナルデータ+α研究会」の「プロファイリングに関する最終提言」4頁によると、AI等によるプロファイリングとは「パーソナルデータとアルゴリズムを用いて、特定の個人の趣味嗜好、能力、信用力、知性、振る舞いなどを分析・予測すること」と定義されています。そしてプロファイリングの具体例は「融資の場面におけるAIを用いた個人の信用力の測定」などであるとされています。つまりLINEポケットマネーおよびLINEスコアはAIによるプロファイリングの問題といえます。

そしてプロファイリングにおいては差別のおそれが重要なリスクです。つまり、AIに学習させた個人データのデータセットに、もし人種や性別などの個人の属性に関するバイアス(偏り)が存在していた場合、そのバイアスが含まれた評価結果が生成され、結果として審査等の対象となる個人が不当な差別を受けるおそれがあります。

例えば2018年に米アマゾンがAIを用いた人事採用システムを導入した後、女性の評価が不当に低い欠陥が発覚し当該システムの利用を取りやめた事例は注目を集めました。このように不当な差別が意図せず生じてしまうことに、AIによるプロファイリングの恐ろしさがあります。また、AIを活用した機械的な審査では、対象者のスキルや実績などを十分に評価できず、特定の属性を持つ者に対して不当に厳しい条件が出力されてしまうおそれもあり、人間による判断が介在しないことは危険であると考えられます(久保田真悟「プロファイリングのリスクと実務上の留意点」『銀行法務21』890号(2022年10月号)45頁、47頁)。

この点、LINEポケットマネー・LINEスコアの「1か月前より友だち(連絡先)が減少した場合には、延滞や貸し倒れの確立(リスク)が2倍になった」等のAIの機械学習による評価結果には本当に不当な差別を招くバイアスが含まれていないかには疑問が残ります。(なおLINEポケットマネーのサイトを読むと「10分で融資可能か審査します」等と記載されており、人間の判断が介在していないのではと思われます。)

3.プロファイリングにおける要配慮個人情報の推知と取得の問題
プロファイリングによる個人データの生成行為(あるいは推知)が要配慮個人情報の「取得」に該当するかについては重要な解釈問題として議論されています(宇賀克也『新・個人情報保護法の逐条解説』215頁)。

しかしプライバシー権(憲法13条)との関係上、プロファイリングは要配慮個人情報やセンシティブ情報について、直接これらの情報を取得せずとも高い確率でこれらの情報を推知可能です。つまりプロファイリングによる要配慮個人情報の推知は取得とほぼ異ならないため、実務上は要配慮個人情報やセンシティブ情報の推知を取得とみなして業務対応を行うべきとの指摘がなされています(久保田・前掲46頁)。

この点、要配慮個人情報の取得については「本人の同意」が必要であるところ(個人情報保護法20条2項)、LINEポケットマネー(同クレジット)およびLINEスコアのプライバシーポリシーを読むと、「与信・融資の審査のために要配慮個人情報を取得・利用する」等との明示はなされておらず、本人の同意は十分に取得されていないのではないかとの疑問が残ります。(「本人の同意」については後述。)

(なお、LINE社のプレスリリース「【LINE】「LINE」、スペインの登録ユーザー数がヨーロッパ圏で初めて1,000万人を突破」などによると、LINEのスペインのユーザーは1000万人を超えているそうです。欧州のGDPR(一般データ保護規則)22条1項は、コンピュータやAIによる個人データの自動処理の結果のみをもって法的決定や重要な決定を下されない権利を規定し、同条2項はそのような処理のためには本人の明確な同意が必要であると規定しています。そのため、もしLINEポケットマネーのサービスがスペイン等の欧州のユーザーに提供されていた場合、LINEはGDPR22条2項違反のおそれがあります。)

4.「本人の同意」の方式をLINEは満たしているか?
個人情報保護法は上でみた法20条2項だけでなく、法18条(利用目的の制限)、法27条(第三者提供の制限)、法28条(外国にある第三者への提供の制限)および法31条(個人関連情報の提供の制限)などの場面で本人の同意の取得を事業者に義務付けています。この本人の同意の方法については、「事業の性質および個人情報の取得状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法」によらなければならないと解されています(岡村久道『個人情報保護法 第4版』119頁)。

そして金融業や信用業務に関しては一般の事業よりもデリケートな個人情報を扱うため、それぞれの分野の個人情報保護に関するガイドラインが制定されています。「金融分野における個人情報保護に関するガイドライン」3条は、金融機関に対して、本人の同意を得る場合には、原則として書面(電磁的記録を含む)によるとした上で、事業者が事前に作成した同意書面を用いる場合には、文字の大きさ及び文書の表現を変える等の措置を講じることが望ましいとしています。

また「信用分野における個人情報保護に関するガイドライン」Ⅱ.1.(3)は、与信事業者は本人の同意を得る場合には、原則として書面(電磁的記録を含む)によることとし、文字の大きさ、文章の表現その他の消費者の理解に影響する事項について消費者の理解を容易にするための講じることを義務付けています。債権管理回収業ガイドラインもほぼ同様の規定を置いています(岡村・前掲121頁)。

この点、LINEポケットマネーのユーザーの申込み画面をみると、つぎの画像のように、LINEクレジット(LINEポケットマネー)やLINEスコアの利用規約やプライバシーポリシーへのリンク一覧が貼られ、そのリンク横にチェックを入れる画面があるだけで「次へ」と進むボタンがあるだけとなっています。

LINEポケットマネー同意画面
(LINEポケットマネーの申込みの際の同意画面)

それぞれのプライバシーポリシーを個別に見ても、プロファイリングや要配慮個人情報を取得(または推知)することを明示した条項はありません。(LINEポケットマネーのプライバシーポリシーの「3.機微(センシティブ情報の取扱い)」には、「(7)保険業その他金融分野の事業のため」との条項があるが、「与信」、「融資」または「信用」などの明示はなく、文字の大きさや文章の表現などの工夫もなされていない。)

したがってLINEポケットマネーのサービスは、「文字の大きさ、文章の表現その他の消費者の理解に影響する事項について消費者の理解を容易にするための講じる」等の信用分野個人情報保護ガイドラインⅡ.1.(3)などの規定への違反があるといえます。

また、LINEポケットマネーのプライバシーポリシーを見ると、韓国の関連会社(決済・バンキングシステムのLINE Biz Plus等)に業務委託を行っているとありますが、外国にある第三者(韓国の関連会社)への業務委託があるにもかかわらず、上でみたようにユーザーの本人の同意を明確に得ていないことは、これも個人情報保護法28条や信用分野個人情報保護ガイドラインⅡ.1.(3)などの規定への違反であると思われます。(法28条(外国にある第三者への提供の制限)の「提供」には、「委託」や「共同利用」なども含むため。)

5.まとめ
このように、LINEポケットマネーおよびLINEスコアのサービスは、プロファイリングについて不当な差別のおそれがあり、また特に要配慮個人情報の推知・取得について個人情報保護法20条2項などの違反の可能性があり、さらにユーザーの本人の同意の取得について法28条や信用分野個人情報保護ガイドラインⅡ.1.(3)等の違反の可能性があると思われます。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・宇賀克也『新・個人情報保護法の逐条解説』215頁
・岡村久道『個人情報保護法 第4版』119頁、121頁
・山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』59頁
・久保田真悟「プロファイリングのリスクと実務上の留意点」『銀行法務21』890号(2022年10月号)44頁
・ヤフーの信用スコアはなぜ知恵袋スコアになってしまったのか|高木浩光@自宅の日記
・「消費者金融、スマホ申し込み9割 LINEはペイ借り入れも」|日本経済新聞
・「プロファイリングに関する最終提言」|商事法務「パーソナルデータ+α研究会」

■関連する記事
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの改正プライバシーポリシーがいろいろとひどいー委託の「混ぜるな危険」の問題・外国にある第三者
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?



[広告]








タグ :
security
privacy
個人情報
LINE
LINEポケットマネー
LINEスコア
GDPR
プロファイリング
要配慮個人情報
出澤剛
このエントリーをはてなブックマークに追加 mixiチェック

saiban_small_no_gavel
1.はじめに
刑事事件において捜査機関が被疑者・被告人の指紋、DNA型、顔写真などのデータを収集し、これをデータベースに保存していることが問題となっています。これに対して初めて被疑者・被告人の指紋、DNA型、顔写真などのデータの抹消を命じる画期的な判決(名古屋地判令4・1・18・控訴中)が出されたとのことで、見てみたいと思います。

2.事案の概要
原告Xは、自らの居住地の近隣においてマンション建設を行っていた建設会社の従業員とトラブルになり暴行を加えた容疑で現行犯逮捕された起訴されたものの無罪判決が確定した者である。捜査機関は捜査の過程で、Xの承諾の下にXの指紋、DNA型、顔写真、携帯電話のデータを取得した。

本件訴訟は、XがY1(愛知県)およびY2(国)に対しては警察官の現行犯逮捕、捜索差押えおよび取調べに違法がある等として国家賠償法に基づく賠償を求めるとともに、Y2に対し、捜査機関が取得したXの指紋、DNA型、顔写真および携帯電話の各データの抹消などを求めたものである。これに対して裁判所は携帯電話のデータについてはXの主張を認めなかったものの、Xの指紋、DNA型および顔写真の各データについては抹消を命じる判決を出したものである。(控訴中)

3.判旨
(1)指紋、DNA型および被疑者写真のデータベース化について
憲法13条は、国民の私生活上の自由が公権力の行使に対しても保護されるべきことを規定しているものであり、個人の私生活上の自由の一つとして、何人もみだりにその容貌・姿態を撮影されない自由を有すると解される(最高裁昭和44年12月24日大法廷判決、最高裁平成7年12月15日第三小法廷判決)。また、DNA型(略)についても、基本的には識別性、検索性を有するものとして、少なくとも指紋と同程度には保護されるべき情報であるため、何人もみだりにDNA型を採取されない自由を有すると解される(略)。

もとより、これらの自由も公共の福祉のために必要があるときには、相当な制限を受けることはありうるものであり(略)しかしながら、情報の漏出や、情報が誤って用いられるおそれがないとは断言できないものであり、また、継続的に保有されるとして場合に将来どのように使われるか分からないことによる一般的な不安の存在や被侵害意識が惹起され、結果として、国民の行動を萎縮させる効果がないともいえないことからすれば、何の不利益もないとは言い難いのであって、みだりに使用されない自由に対する侵害があると言わざるを得ない。

既述のとおり主として自由主義を基本的価値として標榜する諸外国において、データベースを整備するに際し、DNA型の採取、管理等に関する立法措置を講じ、対象犯罪、保存期間、無罪判決確定時等の削除などの規制を設けているのは、国民の私生活における自由への侵害になりうるとの理解があるものと解される…。

(2)本件各データの削除の可否について
警察法上、犯罪鑑識施設の維持管理その他犯罪鑑識に関する事務が警察庁の所掌事務の一つに掲げられ(同法17条、5条4項20号)、指掌紋規則等については、いずれも犯罪鑑識に関する事務の実施のために必要な事項として警察法81条及び同法施行規則13条1項に基づき制定されたものである。…指掌紋規則等が上記各法令に基づいて制定されていることについて、適法な法律の委任によらないとまで認めることはできない。

そこで、指掌紋規則等を見ると、主として警察当局における指掌紋規則等の取扱いについての規程となっており、データベースの運用に関する要件、対象犯罪、保存期間、抹消請求権について規定がなく、被疑者の指掌紋規則等の抹消については、①指掌紋規則等に係る者が死亡したとき、②指掌紋を保管する必要がなくなったときに抹消しなければならないとされているのみである。

この抹消を義務付ける場合の「必要がなくなったとき」について、令和3年5月11日参議院内閣委員会議事録によれば、政府参考人は、要旨、保管する必要がなくなったときに該当するか否かについては個別具体の事案に即して判断する…と答弁している。

しかしながら、指紋、DNA型及び被疑者写真にはみだりに使用されない一定の保護法益が認められるべきであるから…犯罪捜査のための必要性があるといった公共の福祉の観点から比較衡量して検討する必要があ(る)。

この点、…当該被疑事実以外の余罪の捜査や(少なくとも一定の範囲内の)有罪判決が確定した場合に再犯の捜査に使用するために保管することは許容できると解される。

しかし、…指紋、DNA型及び被疑者写真を取得する前提となった被疑事実について、公判による審理を経て、犯罪の証明がないと確定した場合については、継続的保管を認めるに際して、データベース化の拡充の有用性という抽象的な理由をもって、犯罪捜査に資するとするには不十分であり、余罪の存在や再犯のおそれ等があるなど、少なくとも当該被疑者との関係でより具体的な必要性が示されることを要するというべきであって、これが示されなければ、「保管する必要がなくなった」と解すべきである。

指紋、DNA型及び被疑者写真をみだりに使用されない利益…当該権利自体が人格権を基礎に置いているものと解することは可能であるから、指紋、DNA型及び被疑者写真を取得された被疑者であった者は、訴訟において、人格権に基づく妨害排除請求として抹消を請求することができると解するのが相当である…。

(なお携帯電話のデータについては、本判決は、同データの保管は、刑事確定訴訟記録法または記録事務規程を根拠としており、これらの規定は過去に行われた刑事事件等の記録を一定期間保管することを目的としていること、保存期間の定めがあること等を指摘し、抹消の対象外としている。)
4.検討
(1)本判決の判断枠組み
本判決は、憲法13条は国民の私生活上の自由は公権力の行使に対しても保護されるべきことを規定しているとし、京都府学連事件(最高裁昭和44年12月24日判決)と指紋押捺に関する判例(最高裁平成7年12月15日判決)をあげて、国民にはみだりに容貌・姿態を撮影されない自由、みだりに指紋押捺をさせられない自由があることを指摘し、さらにDNA型についても、識別性・検索性があることから、「少なくとも指紋と同程度には保護されるべき情報」であるとして、何人もみだりにDNA型を採取されない自由を有すると判示しています。

そしてこれらの自由も公共の福祉から制約されることがあるが、しかしこれらの情報の漏出や、情報が誤って用いられる危険、国民の行動への萎縮効果の問題があると指摘しています。

さらに本判決は小山剛教授などの意見書を参考に、ドイツやイギリスなどの立法例を検討し、それらの立法例ではデータベースの対象となる犯罪、管理、保存期間、無罪判決確定時の削除などの規定を置いており、それに対して日本の法制度は国民の人権保障の観点から「脆弱」であると指摘しています。

その上で本判決は指掌紋規則等を検討し、「指掌紋を保管する必要がなくなったときに抹消する」との規定について検討をし、裁判で無罪の確定判決が出された場合にはこの規定に該当すると判示しています。そして本判決は、指紋、DNA型および被疑者写真を取得された被疑者であった者は、訴訟において人格権に基づく妨害排除請求権として抹消を請求できるとして、本事例では抹消を認めています。国側は「データベース化の拡充の有用性」という理由付けで抗弁を行っているようですが、極めて抽象的な理由付けであり、本判決は妥当であると思われます。

(2)携帯電話のデータについて
本判決は指紋、DNA型および被疑者写真の各データについては抹消を認めていますが、携帯電話のデータについては抹消を認めていません。本判決は、同データの保管は、刑事確定訴訟記録法または記録事務規程を根拠としていますが、やや形式的な理屈付けに思われます。

2005年に施行されその後数次の改正が行われている個人情報保護法は、顔データやDNAデータだけでなく、携帯電話に関するデータに関しても、個人データ・個人関連情報として保護の対象としています。また近時の警察のGPS捜査に関する判例(最高裁平成29年3月15日判決)は、位置情報についても継続的・網羅的に収集された場合には違法なプライバシー侵害となりうると判示してGPS捜査には立法が必要であるとしています。

このように考えると、本判決が携帯電話のデータに関しては抹消の対象外としたことには疑問が残ります。

(3)その他
立法論としては、欧州などに比べて日本のこれらの警察当局の各データベースにおける人権保障は本判決も指摘するとおり「脆弱」であるため、国・国会は警察当局の各データベースについて対象となる犯罪、管理、保存期間、無罪判決確定時の削除などの規定や削除の手続き方法などについて立法を行うべきです。「データベース化の拡充の有用性」という抽象的な理屈付けで国や警察当局がこれらのデータベースを漫然と拡大させることは、国民の私生活上の自由を侵害すると考えられ、憲法13条の趣旨に違反すると思われます。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・『判例時報』2522号(2022年8月21日号)62頁
・乾直行「無罪判決確定者による顔写真、指掌紋、DNA型の抹消請求が認められた事例 名古屋地判令4・1・18」『季刊刑事弁護』112号92頁



[広告]






タグ :
警察
DNA
指紋
顔写真
データベース
裁判
名古屋地判令4・1・18
security
privacy
個人情報
このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
調布市議会が「(仮称)調布市議会の個人情報の保護に関する条例(案)の概要について」のパブリック・コメントを11月1日まで実施していたので、意見を書いて提出しました。

・「(仮称)調布市議会の個人情報の保護に関する条例(案)の概要について」へのご意見をお寄せください

1.「(仮称)調布市議会の個人情報の保護に関する条例(案)の概要について」「2 主な制定内容」「(2) 定義」
(1)死者の個人情報について
調布市個人情報保護条例の「個人情報」の定義をみると「死者の個人情報」を含むのか否か不明であるが、もし調布市または調布市議会のこれまでの実務取扱いで、個人情報に死者の個人情報も含めて保護していたのであれば、地方自治・団体自治の観点から(憲法92条、94条)、新しい条例においても死者の個人情報を含めて保護するように個人情報を定義すべきではないか。

(2)条例要配慮個人情報について
これまでの調布市議会または調布市の実務取扱いとして、センシティブ情報(機微情報)に、個人情報保護法の定める要配慮個人情報に含まれない情報をも保護の対象にしてきたのであれば、それを今後も条例要配慮個人情報と定義し保護すべきではないか。(例えば本籍地、金融資産情報、図書館の貸出履歴、性的指向、労働組合の加入の有無など。)

2.同「(7) 調布市個人情報保護審査会への諮問」について
調布市議会または調布市が調布市個人情報保護審査会への諮問制度を存置することに賛成です。

3.匿名加工情報・仮名加工情報について
仮名加工情報は原則として第三者提供が禁止されているため(個人情報保護法41条6項)、仮名加工情報を調布市議会が第三者提供を受けることはあり得ないと思われ、仮名加工情報に関する規定は不要ではないでしょうか。

また、少し前までパブリック・コメントを実施中であった調布市個人情報保護条例案は匿名加工情報の規定の設置を見送るとしていたこととのバランスを取るためにも、調布市議会の条例も匿名加工情報の規定は不要とすべきではないでしょうか。

地方自治・団体自治(憲法92条、94条)の観点から、調布市議会および調布市が国の「個人情報の利活用」という政策に安易に迎合する必要はないと考えます。「個人の権利利益の保護」と「個人の人格尊重」をこそ重視すべきであると考えます(個人情報保護法1条、3条、憲法13条)。

4.その他
2021年11月に発覚した調布市つつじが丘のNEXCO東日本による陥没事故の被害者住民の情報公開請求に係る個人情報の調布市による漏洩事件を踏まえ、このような個人情報の重大インシデント発生時に、調布市議会または調布市個人情報保護審査会に調布市への報告徴求や立入検査、助言・指導・処分などを行うための根拠条文を新しい条例に設けるべきではないでしょうか。

■参考文献
・斎藤裕「令和3年改正個人情報保護法と個人情報保護条例の効力」『判例時報』2510号97頁
・冨安泰一郎『一問一答令和3年改正個人情報保護法』61頁

■関連する記事
・「調布市個人情報保護法施行条例(案)の概要」のパブコメに意見を送ってみた
・東京都の「令和5年度以降の東京都における個人情報保護制度に関する条例整備の考え方について(意見募集)」にパブコメ意見を書いてみた



[広告]










タグ :
調布市議会
個人情報条例
パブコメ
security
privacy
個人情報
このエントリーをはてなブックマークに追加 mixiチェック

building_tokyo_tochou
東京都がパブコメ「令和5年度以降の東京都における個人情報保護制度に関する条例整備の考え方について(意見募集)」を2022年10月31日まで実施していたので、次のようなパブコメ意見を書いて提出してみました。

・令和5年度以降の東京都における個人情報保護制度に関する条例整備の考え方について(意見募集)|東京都

1.該当箇所(御意見の内容に該当する箇所)と御意見
(1)該当箇所
「8 個人情報の適正な取扱いを確保するために専門的な知見に基づく意見を聴くことが特に必要であると認めるときは、東京都情報公開・個人情報保護審議会(情報公開条例第 39条)に諮問します。」について

(2)意見
「個人情報の適正な取扱いを確保するために専門的な知見に基づく意見を聴くことが特に必要であると認めるとき」に限定されず、従来どおり東京都または東京都議会等は東京都情報公開・個人情報保護審議会に幅広く諮問を行うべきである。

2.御意見の理由
個人情報保護法129条は「個人情報の適正な取扱いを確保するために専門的な知見に基づく意見を聴くことが特に必要であると認めるとき」は、審議会などの機関に諮問することができると規定しているため、地方自治体は「特に必要であると認める場合」に限り審議会などに諮問することができるのかが問題となり、同法129条の趣旨・目的が問題となる。

この点、同法129条の趣旨について、令和3年5月11日の参議院内閣委員会において政府参考人(冨安泰一郎・内閣官房内閣審議官)は「個別の個人情報の取扱いの判断については、国が策定するガイドラインも作られ、個人情報保護委員会の助言等もあるので、そういったものを参照することで解決される場合が多いと考えられる。したがって地方公共団体が個別の個人情報の取扱いの判断について審議会に諮問する必要性は減少するものと考えている」と述べている(https://kokkai.ndl.go.jp/txt/120414889X01720210511/66)。

つまり、個人情報保護法においては、個人情報保護委員会が地方自治体における個人情報の取扱いについて監督することになり、地方自治体の審議会などが審議する必要がある場合が減少するため同法129条を設けたものと解される。そのため、地方自治体の審議会等が幅広く審議を行うことによる弊害の防止が立法趣旨となっているわけではない。

したがって、同法129条はあくまで例示規定であり、特に必要と認める場合以外に審議会等に諮問を行うことが法律により禁止されるわけではないと解される。そのように考えても個人情報保護法の全体的な趣旨・目的である「個人情報の有用性に配慮」と「個人の権利利益の保護」および「個人の人格尊重の理念を尊重」が阻害されるわけではない(個人情報保護法1条、3条)。地方自治や団体自治(権力分立)により国民・住民の個人情報、プライバシー権および人格権など(憲法13条)を保護しようという憲法92条、94条の趣旨からもそのように解すべきである。

そのため、東京都情報公開・個人情報保護審議会への諮問については、「個人情報の適正な取扱いを確保するために専門的な知見に基づく意見を聴くことが特に必要であると認めるとき」に限定せず、従来どおりに東京都または東京都議会等は幅広く諮問を行うべきである。(斎藤裕「令和3年改正個人情報保護法と個人情報保護条例の効力」『判例時報』2510号97頁参照。)

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・斎藤裕「令和3年改正個人情報保護法と個人情報保護条例の効力」『判例時報』2510号97頁
・冨安泰一郎『一問一答令和3年改正個人情報保護法』61頁

■関連する記事
・「調布市個人情報保護法施行条例(案)の概要」のパブコメに意見を送ってみた
・調布市の陥没事故の被害者住民の情報公開請求に係る個人情報の漏洩事件について考えた(追記あり)
・マイナポータル利用規約と河野太郎・デジタル庁大臣の主張がひどい件
・保険証の廃止によるマイナンバーカードの事実上の強制を考えたーマイナンバー法16条の2(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?



[広告]








タグ :
東京都
個人情報保護条例
個人情報保護審査会
パブコメ
個人情報
security
privacy
このエントリーをはてなブックマークに追加 mixiチェック

マイナンバーカード
1.はじめに
マイナンバーカードに保険証を一体化すると政府が方針を打ち出すなど、最近、マイナンバー制度が話題ですが、今度はマイナポータルの利用規約の免責条項の部分がひどいとネット上で炎上ぎみとなっています。つまり、マイナポータル利用規約の免責条項が、何かあっても「国は一切の責任を負わない」と規定していることがひどいと話題になっているところ、本日(2022年10月29日)のネット記事(「情報流出しても責任負わず? マイナポータル「免責事項」に疑義続出 河野デジタル相の回答は?」ITmediaニュース)によると、河野太郎・デジタル庁大臣は「一般的な(IT企業のサービスの)利用規約と変わらない」と反論しているとのことです。そこで私もマイナポータルの利用規約を読んでみました。

2.マイナポータル利用規約3条と23条1項
すると、マイナポータル利用規約3条と23条1項はたしかに「国は一切の責任を負わない」との趣旨の規定していますが、これはいくらなんでも無理筋と思われます。

マイナ1
(マイナポータル利用規約3条)

マイナ2
(マイナポータル利用規約23条1項)

・マイナポータル利用規約|デジタル庁

3.定型約款
たしかに民間企業などの契約書や約款などの作成の実務においては、民法の一般原則として、「契約自由の原則」があるために、労働基準法などの強行法規に抵触しない限り、約款や契約書などは当事者が原則自由に作成し、それに基づいて契約などを締結することができます。このマイナポータル利用規約も約款の一つといえます。

しかし、近年改正された民法は定型約款の規定を新設して約款の取扱いを明確化しています(民法548条の2以下)。そして同548条の2第2項は消費者契約法10条に似た条文ですが、「相手方の権利を制限し、又は相手方の義務を加重する条項であって、その定型取引の態様及びその実情並びに取引上の社会通念に照らして第一条第二項(=信義則)に規定する基本原則に反して相手方の利益を一方的に害すると認められるものについては無効」と規定しています。

つまり、約款が有効であっても、その個別の約款条項が相手方の権利を制限し、又は相手方の義務を加重する条項であり、取引上の社会通念に照らして信義則に反して相手方の利益を一方的に害するような約款条項は無効なのです。そのため「何があっても一切の責任は負わない」という趣旨のこのマイナポータル利用規約3条、23条1項は法的に無効と評価される可能性が高く、無理筋といえます。

4.マイナンバー法・個人情報保護法
また、マイナンバー(個人番号)は行政が保有する国民個人の個人データを名寄せ・突合できる”究極のマスター・キー”ですので、マイナンバー法は国の責務として「国は…個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講」じなければならないと法的義務を規定しています(マイナンバー法4条1項)。

マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)
(国の責務)
第4条 国は、前条に定める基本理念(以下「基本理念」という。)にのっとり、個人番号その他の特定個人情報の取扱いの適正を確保するために必要な措置を講ずるとともに、個人番号及び法人番号の利用を促進するための施策を実施するものとする。
(略)

5.ベネッセ個人情報漏洩事件
この点、マイナンバー法の一般法にあたる個人情報保護法は民間企業や行政機関等に個人データの滅失、棄損や漏洩などを防止するための安全管理措置を講じなければならないと法的義務を課しています(法23条)。

そして、2014年に発覚したベネッセ個人情報漏洩事件において被害者がベネッセに損害賠償請求を行った民事裁判では、最高裁はベネッセ側の安全管理措置が不十分であったことを認定し、審理を高裁に差戻し、大阪高裁はベネッセ側の損害賠償責任を認めています(最高裁平成29年10月23日判決)。

つまり、企業や行政機関等が安全管理措置などを怠った場合、損害賠償責任が発生することがあると最高裁は認めています。したがって、この判例からも、「何があっても一切の責任をデジタル庁は負わない」というこのマイナポータル利用規約3条、23条1項の免責条項はちょっと無理筋すぎます。

6.国家賠償法
なお、万が一マイナンバー制度で個人情報漏洩事故などが発生した場合には、被害者の国民はデジタル庁や国を相手取って国家賠償法に基づく損害賠償請求の訴訟を提起することになると思われます。

国家賠償法1条1項は「国又は公共団体の公権力の行使に当る公務員が、その職務を行うについて、故意又は過失によつて違法に他人に損害を加えたときは、国又は公共団体が、これを賠償する責に任ずる。」と規定しています。そのため万一国賠訴訟になった場合には、「一切の責任を負わない」というマイナポータル利用規約3条、23条はあまり意味がないように思われます。行政と民間企業の違いを河野大臣やデジタル庁の官僚たちが理解できているのか疑問です。

国家賠償法
第1条 国又は公共団体の公権力の行使に当る公務員が、その職務を行うについて、故意又は過失によつて違法に他人に損害を加えたときは、国又は公共団体が、これを賠償する責に任ずる。
(略)

7.まとめ
このブログではこれまで何回かデジタル庁に関して取り上げてきていますが、河野太郎大臣やデジタル庁の官僚の方々は、法律面があまり強くない方々ばかりなのでしょうか。国民の一人としては大いに心配になります。

個人情報保護法制の趣旨・目的は「個人情報の利活用」の面だけでなく「個人の権利利益の保護」と「個人の人格尊重」(個人情報保護法1条、3条)の面があるわけですので、デジタル庁の役職員の方々は、デジタル行政の企画立案や運営にあたっては、個人の個人情報やプライバシー権(憲法13条)の保護への十分な配慮もお願いしたいものです。

■追記(2022年11月24日)
本日の朝日新聞が本件を取り上げていますが、マイナンバー法の立案担当者の弁護士の水町雅子先生の「一般的に利用規約は、免責の範囲を広くとる記述に偏りやすい。規約への同意の有効性にも問題が残る。ただ、マイナポータルは、嫌なら使わなければいいという民間のサービスとは違う。よりわかりやすい説明が求められる。」とのコメントが掲載されています。

・マイナポータル、国は免責 「一切負わない」規約に批判も|朝日新聞

■追記(2022年11月30日)
神奈川新聞によると、河野太郎大臣はマイナポータル利用規約の免責規定の改定を行う方針を記者会見で公表したとのことです。

・マイナポータル規約 河野デジタル相が「修正指示」|神奈川新聞

このブログ記事が面白かったらブックマークやシェアをお願いします!

■関連する記事
・保険証の廃止によるマイナンバーカードの事実上の強制を考えたーマイナンバー法16条の2(追記あり)
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)



[広告]










タグ :
マイナンバー
マイナポータル
利用規約
マイナンバーカード
個人情報
security
privacy
河野太郎
デジタル庁
これはひどい
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ