なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

カテゴリ: 個人情報保護法・情報法

tatemono_yuubinkyoku (2)
1.はじめに
朝日新聞などの報道によると、郵便局(日本郵便)が「お客さま感謝デー」と銘打ったイベントなどで、ゆうちょ銀行の保有する顧客の個人データを顧客の同意なしにかんぽ生命の保険営業に流用していたことがわかったとのことです。かんぽ生命は9月20日、保険業法違反の恐れがあるとして金融庁に報告。日本郵便は同日、全国の郵便局に対し、銀行データを使ったイベントは企画中のものも含めてすぐに中止するよう指示を出したとのことです。日本郵便は、「銀行システムで貯金残高や年齢が条件に合う顧客を検索・リスト化し、一時払い終身保険などを売るために来局を促す」等の行為をしていたとのことです。(「ゆうちょ顧客データ、かんぽ営業に不正流用 郵便局で保険業法違反か」朝日新聞2024年9月21日付)。このブログ記事では、この事件を保険業法の観点からみてみたいと思います。

2.非公開金融情報保護措置
郵便局(日本郵便)は、ゆうちょ銀行から銀行業の一部の委託を受けている銀行等代理店です。その銀行等代理店は、保険募集を行う際には、銀行の業務において取扱う顧客に関する情報(個人情報)の利用について、事前に書面その他の適切な方法により、当該顧客の同意を得なければならないとされており、そのための措置は非公開金融情報保護措置と呼ばれています(保険業法施行規則212条2項1号、212条の2第2項1号)。

保険業法施行規則
第212条
 生命保険募集人である銀行等又はその役員若しくは使用人が前項各号に掲げる保険契約の締結の代理又は媒介を行うときは、当該銀行等は、次に掲げる要件を満たさなければならない。
 銀行等が、顧客に関する情報の利用について、次に掲げる措置を講じていること。
 その業務(保険募集に係るものを除く。)において取り扱う顧客に関する非公開金融情報(その役員又は使用人が職務上知り得た顧客の預金、為替取引又は資金の借入れに関する情報その他の顧客の金融取引又は資産に関する公表されていない情報(第五十三条の九に規定する情報及び第五十三条の十に規定する特別の非公開情報を除く。)をいう。次条第二項第一号、第二百十二条の四第二項第一号、第二百十二条の五第二項第一号及び第二百三十四条第一項第十八号において同じ。)が、事前に書面その他の適切な方法により当該顧客の同意を得ることなく保険募集に係る業務(顧客が次項に規定する銀行等生命保険募集制限先に該当するかどうかを確認する業務を除く。)に利用されないことを確保するための措置
「非公開金融情報」とは、銀行等が職務上知り得た顧客の預金、為替取引または資金の借入に関する情報その他の顧客の金融取引または資産に関する公開されていない情報と規定されています(ただし、氏名・住所・電話番号・性別・生年月日・職業の属性情報は除く。保険業法施行規則212条2項1号イ)。

この点、冒頭の新聞記事によると、郵便局は、「銀行システムで貯金残高や年齢が条件に合う顧客を検索・リスト化し、一時払い終身保険などを売るために来局を促す」ためにイベント等を開催していたとのことであり、貯金残高などの情報は非公開金融情報に該当します。

つぎに、非公開金融情報保護措置とは、保険募集に係る業務において銀行等の非公開金融情報が事前の顧客の同意なしに利用されることを防止するための措置であるところ、どのような業務が「保険募集に係る業務」に該当するのかが問題となりますが、金融庁のパブリックコメント回答は、「もっぱら保険募集のために一定金額以上の預金を有する者の選定を行う準備作業」、「もっぱら保険募集のために顧客のリストを作成する行為等」も「保険募集に係る業務」に該当するとして、事前の顧客の同意が必要としています(中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第4版』273頁)。

この点、冒頭の新聞記事によると、「日本郵便は…顧客が来局したあとに同意を得れば問題ないと認識していた」とあります。

しかし日本郵便が行っていたのは、「銀行システムで貯金残高や年齢が条件に合う顧客を検索・リスト化し、一時払い終身保険などを売るために来局を促す」ものであったのですから、これは金融庁のパブコメ回答の「もっぱら保険募集のために一定金額以上の預金を有する者の選定を行う準備作業」や「もっぱら保険募集のために顧客のリストを作成する行為等」類似の行為であり、「保険募集に係る業務」に該当するといえるので事前に顧客の同意を得ていなければ、非公開金融情報保護措置違反になると考えられます(保険業法施行規則212条2項1号、212条の2第2項1号の違反)。

3.まとめ
このように郵便局・日本郵便が「お客さま感謝デー」と銘打ったイベントなどで、ゆうちょ銀行の保有する顧客の個人データを事前の顧客の同意なしにかんぽ生命の保険営業に流用していたことは、非公開金融情報保護措置違反であり、保険業法に抵触すると考えられます。日本郵便、かんぽ生命は2019年には組織ぐるみの大規模な生命保険の乗換契約の不正により大きな社会的批判を浴びましたが、コンプライアンス軽視の社内風土は改善されていないようです。

今回の不祥事も、金融庁に報告書を提出し、新聞報道などがなされる状況になっても、日本郵便やかんぽ生命のウェブサイトをみてもプレスリリースが出されていないことも、日本郵政グループの透明性の低さや、内向きな姿勢を感じます。

■参考文献
・中原健夫・山本啓太・関秀忠・岡本大毅『保険業務のコンプライアンス 第4版』271頁、273頁

■追記(2024年9月27日)
日本郵政の増田寬也社長は9月27日、この不祥事について記者会見で謝罪したとのことです。また、日本郵政は本事件についてプレスリリースをようやく公表しました。
・非公開金融情報の不適切な利用について|日本郵政
・郵便局のゆうちょ情報流用で郵政社長「おわび」来月上旬に再発防止策|朝日新聞

また、9月27日の総務省の記者会見で、松本・総務大臣は本事件について、つぎのようにコメントしています。
ご承知のとおり、金融の仕組み、かつて40年ほど前は、保険も証券も銀行も全部分かれているときがありましたが、金融ビッグバンである程度フィナンシャルグループという形も認められるようになった中でありますが、顧客情報管理も含めてファイアウォールなど制度が組み立てられていますので、グループが連携して活動することは大事ですが、今申しましたように、顧客情報の管理も含めて法律、ルールは守っていただかなければいけないので、コンプライアンスの徹底を改めてお願いしたいと思います。

松本大臣コメント


■関連するブログ記事
・かんぽ生命・日本郵便の不正な乗換契約・「乗換潜脱」を保険業法的に考える


人気ブログランキング


PR
このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_rouei_businessman
1.損保4社で合計250万件の顧客の個人情報の漏えい
損害保険大手4社の保険契約者の個人情報が代理店を通じて他社に漏れていた問題で、漏洩した個人情報が4社で計約250万件に上ることを損保4社が金融庁に報告し公表しました。損害保険ジャパンが約99万1千件、東京海上日動火災保険が約96万件、三井住友海上火災保険が約33万6千件、あいおいニッセイ同和損害保険が約21万7千件だった。保険契約者の氏名、住所や電話番号、証券番号などが漏えいしていたとのことです。

情報漏れの経路は、主に二つであり、一つは、自動車ディーラーなどの保険代理店から他社に契約者情報がメールで共有されたケースで、全体の9割超にあたる約226万5千件に上った。関わったディーラーなどは延べ約1200社。

もう一つは、保険代理店に出向した損保社員が、他社の契約者情報を、出向元の損保に持ち出すケース。全体の1割弱に当たる約23万8千件で、情報を取られた代理店は延べ119店だったとのことです。損保各社は「個人情報の漏えいにあたるとの認識をしていなかった」等と釈明しているそうです(「損保4社、250万件漏洩 他社に氏名や電話番号 代理店通じ「共有」黙認」朝日新聞2024年8月31日付記事より)。

■損保各社のプレスリリース
・保険代理店との間で発生した保険契約情報の不適切な管理に関する対応状況|損保ジャパン
・情報漏えい事案にかかる金融庁への報告について|東京海上日動
・保険代理店ならびに当社出向者による情報漏えい事案の調査結果について|三井住友海上
・保険契約情報の不適切な管理に伴うお客さまへの通知文書の発送開始について|あいおいニッセイ同和損保

2.個人情報保護法から考える
上の一つ目のケースを考えると、保険代理店が他社保険代理店に保険契約者の個人情報をメールで「共有」することは、他者保険代理店がグループ会社などでない限りは個情法の「共有」(個情法27条5項3号)には該当せず、本人の同意のない違法な目的外利用(18条1項)、違法な第三者提供(27条1項)であると考えられます。また個人情報の提供を受けて受け取った側の保険代理店は、個人情報の適正取得の義務違反です(20条1項)。

また二つ目のケースは、保険代理店に出向した損保社員が、他社の契約者情報を、出向元の損保に持ち出すことは、当該保険代理店については安全管理措置違反(23条、24条)が成立し、また当該保険代理店に委託を行っている損保会社は委託先の監督違反(25条)が成立すると考えられます。さらにその個人情報を受け取った損保会社は個人情報の適正取得の義務違反となると考えられます(20条1項)。加えて、保険代理店から個人情報の持ち出しを行った損保社員は、個人情報等データベース不正提供罪が成立する余地があるのではないでしょうか(179条)。

3.保険業法・ガイドライン・監督指針から考える
(1)保険業法・保険業法施行規則
保険業法100条の2は、「保険会社は…顧客に関する情報の適正な取扱い…その他の健全かつ適切な運営を確保するための措置を講じなければならない」と規定しています。そしてこれを受けて保険業法施行規則53条の8は、「保険会社は、その取り扱う個人である顧客に関する情報の安全管理、従業者の監督及び当該情報の取扱いを委託する場合にはその委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置を講じなければならない。」と規定しています。そのため、損保各社は保険業法100条の2および施行規則53条の8に抵触していることになります。

保険業法
(業務運営に関する措置)
第100条の2
保険会社は、その業務に関し、この法律又は他の法律に別段の定めがあるものを除くほか、内閣府令で定めるところにより、その業務に係る重要な事項の顧客への説明、その業務に関して取得した顧客に関する情報の適正な取扱い、その業務を第三者に委託する場合における当該業務の的確な遂行その他の健全かつ適切な運営を確保するための措置を講じなければならない。

保険業法施行規則
第53条の8
保険会社は、その取り扱う個人である顧客に関する情報の安全管理、従業者の監督及び当該情報の取扱いを委託する場合にはその委託先の監督について、当該情報の漏えい、滅失又は毀損の防止を図るために必要かつ適切な措置を講じなければならない。
(2)金融分野個人情報保護ガイドライン
また、金融庁の「金融分野における個人情報保護に関するガイドライン」の第10条は、損保会社を含む金融機関は、「その取扱いを委託された個人データの安全管理が図られるよう、法第25条に従い、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」(1項)と規定し、委託先を「定期的に監査を行う等により、定期的又は随時に当該委託契約に定める安全管理措置等の遵守状況を確認し、当該安全管理措置を見直さなければならない」(3項2号)等と規定しています。損保各社はこのガイドラインに抵触していることになります。

(3)保険監督指針
さらに、金融庁の「保険会社向けの総合的な監督指針」の「II -4-5 顧客等に関する情報管理態勢」は顧客の個人情報保護について規定しています。監督指針は、「顧客に関する情報は、保険契約取引の基礎をなすものであり、その適切な管理が確保されることが極めて重要である。」(II -4-5-1)とした上で、「経営陣は、顧客等に関する情報管理の適切性を確保する必要性及び重要性を認識し、適切性を確保するための組織体制の確立(部門間における適切な牽制の確保を含む。)、社内規程の策定等、内部管理態勢の整備を図っているか。」(II -4-5-2(1)①)、「顧客等に関する情報の取扱いについて、具体的な取扱基準を定めた上で、研修等により役職員に周知徹底しているか。特に、当該情報の他者への伝達については、コンプライアンス(顧客に対する守秘義務、説明責任)及びレピュテーションの観点から検討を行った上で取扱基準を定めているか。」(II -4-5-2(1)②)などの規定を置いています。損保各社は監督指針のこれらの規定にも抵触していることになります。

4.まとめ
このようにざっと見ただけでも、今回の個人情報漏えい事故においては損保各社および保険代理店は、個人情報保護法、保険業法、ガイドライン、監督指針などの各規定に違反・抵触していることになります。

損保各社は「個人情報の漏えいにあたるとの認識をしていなかった」等と釈明しているそうですが、「顧客に関する情報は、保険契約取引の基礎をなすものであり、その適切な管理が確保されることが極めて重要である。」(監督指針II -4-5-1)との精神はどこに行ってしまったのでしょうか。"損保各社や保険代理店の利益だけが重要である、保険契約者等の顧客のことはどうでもよい"とのコンプライアンスのかけらもない意識が透けて見えます。

先般の損保のビッグモーター事件を受けて、金融庁は保険代理店への規制を強化する方向で保険業法の見直しを検討している最中です。この点、金融庁は今回の事件を受けて、個人情報保護を強化する方向で保険業法等を見直していただきたいと考えます。また、個人情報保護委員会は2025年に向けて個人情報保護法の改正を検討中ですが、事業者への課徴金制度や団体訴訟制度の導入などは待ったなしの状況であると思われます。

■追記
生命保険業界でも同様の問題が報道されています。
・日本生命、契約者情報漏洩18万件 生命保険にも拡大|日経新聞

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family

個人情報保護委員会が『個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理』のパブコメを2024年7月29日まで実施しているので、つぎのとおり意見を書いて送ってみました。

1.生体データについて
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データも要配慮個人情報に含め、その取得には本人同意を必要とすべきである。
(理由)
個人情報のなかでも生体データの要保護性は高いと考えられるから、自己情報コントロール権(情報自己決定権、憲法13条)の観点からは、生体データについても要配慮個人情報(個情法2条3項)に含め、その取得には本人同意を必要とするべきである。かりにそれができない場合には、柔軟なオプトアウト制度の導入など、本人関与の仕組みを強化すべきである。

2.従業員の生体データのモニタリング
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
使用者がパソコンやプログラム等を利用して従業員の生体データや集中度などを監視・モニタリングすることは個情法19条、20条違反であることを明確化すべきである。
(理由)
近年、使用者がパソコンやプログラム等を利用して従業員の脳波や集中度などを監視・モニタリングしている事例が増えているが(「東急不動産の新本社、従業員は脳波センサー装着」日本経済新聞2019年10月1日付、日立の「ハピネス」事業など参照)、このような従業員の監視・モニタリングは労働安全衛生法104条違反であるだけでなく、これがもしEUであればGDPR22条違反であり、さらに従業員の「自らの自律的な意思により選択をすることが期待できない場合」に該当するので、個情法19条、20条に抵触して違法であることをガイドライン等で明確化すべきである。

3.生徒・子どもの生体データのモニタリング
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
学校・教育委員会等がパソコン・タブレットやウェアラブル端末等を利用して生徒・子どもの生体データや集中度などを監視・モニタリングすることは個情法19条、20条違反であることを明確化すべきである。
(理由)
近年、学校・教育委員会等がタブレット・パソコンやウェアラブル端末等を利用して生徒・子どもの生体データ等から集中度などを監視・モニタリングしている事例が増えているが(「「聞いてるふり」は通じない? 集中しない生徒をリアルタイムで把握 教員からは期待、「管理強化」に懸念も」共同通信2023年6月21日付、デジタル庁「教育データ利活用ロードマップ」など参照)、このような生徒・子どもの生体データの監視・モニタリングは、これがもしEUであればGDPR22条違反であり、さらに生徒・子どもの「自らの自律的な意思により選択をすることが期待できない場合」に該当するので、個情法19条、20条に抵触して違法であることをガイドライン等で明確化すべきである。

4.電話番号、メールアドレス、Cookieなどの個人関連情報について
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
電話番号、メールアドレス、Cookieなどの情報も個人関連情報とするのではなく、個人情報に該当するとすべきである。
(理由)
電話番号、メールアドレス、Cookieなどの情報も、多くの場合、特定の個人を追跡可能であり、ターゲティング広告等により当該個人の自由な意思決定に影響を及ぼし得るのであるから、電話番号、メールアドレス、Cookieなどの情報も個人関連情報とするのではなく、個人情報に該当するとすべきである。

5.プロファイリングと不適正利用
(該当箇所)
「不適正な利用の禁止」「適正な取得」の規律の明確化(「中間整理」4頁~6頁)
(意見)
不適正利用の禁止(法19条)に関する個人情報保護法ガイドライン(通則編)の「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に、「AI・コンピュータの個人データ等のプロファイリングの行為のうち、個人の権利利益の侵害につながるもの」を明示すべきである。
(理由)
本人の認識や同意なく、ネット閲覧履歴、購買履歴、位置情報・移動履歴やSNSやネット上の書き込みなどの情報をAI・コンピュータにより収集・分析・加工・選別等を行うことは、2019年のいわゆるリクナビ事件等のように、本人が予想もしない不利益を被る危険性がある。このような不利益は、差別を助長するようなデータベースや、違法な事業者に個人情報を第三者提供するような行為の不利益と実質的に同等であると考えられる。
また、日本が十分性認定を受けているEUのDGPR22条1項は、「コンピュータによる自動処理のみによる法的決定・重要な決定の拒否権」を定め、さらにEUで成立したAI法も、雇用分野の人事評価や採用のAI利用、教育分野におけるAI利用、信用スコアなどに関するAI利用、出入国管理などの行政へのAI利用などへの法規制を定めている。
この点、厚労省の令和元年6月27日労働政策審議会労働政策基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁・10頁および、いわゆるリクナビ事件に関する厚労省の通達(職発0906第3号令和元年9月6日「募集情報等提供事業等の適正な運営について」)等も、電子機器による個人のモニタリング・監視に対する法規制や、AI・コンピュータのプロファイリングに対する法規制およびその必要性を規定している。
日本が今後もEUのGDPRの十分性認定を維持し、「自由で開かれた国際データ流通圏」政策を推進するためには、国民の個人の尊重やプライバシー、人格権(憲法13条)などの個人の権利利益を保護するため(個情法1条、3条)、AI・コンピュータによるプロファイリングに法規制を行うことは不可欠である。
したがって、「AI・コンピュータの個人データ等のプロファイリングの行為のうち、個人の権利利益の侵害につながるもの」を「【個人情報取扱事業者が違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用している事例】」に明示すべきである(「不適正利用の禁止義務への対応」『ビジネス法務』2020年8月号25頁、『AIプロファイリングの法律問題』(2023年)50頁参照)。

6.こどもの個人情報等に関する規律の新設
(該当箇所)
こどもの個人情報等に関する規律の在り方(中間整理8頁~11頁)
(意見)
こどもの個人情報等に関する規律を新設することに賛成します。
(理由)
こどもは大人に比べて脆弱性・敏感性及びこれらに基づく要保護性があるにもかかわらず、近年、学校・教育委員会などが、生徒・子どもにウェアラブル端末をつけさせて生体データを収集し集中力や「ひきこもり」の予兆などを監視・モニタリングする事例などが野放しで増加しているが、このような学校等による生徒・子どもの監視・モニタリングは子どもの内心の自由やプライバシー、人格権を侵害しかねないものであり、子どもの権利利益を侵害している(個情法1条、3条、憲法13条、19条)。
したがって16歳未満の子どもの個人情報については収集等に法定代理人の同意を必要とし、また厳格な安全管理措置を要求するなどの法規制を新設することに賛成します。

7.課徴金制度・団体訴訟制度
(該当箇所)
課徴金、勧告・命令等の行政上の監視・監督手段の在り方(中間整理11頁)および団体による差止請求制度及び被害回復制度の導入(中間整理12頁)
(意見)
課徴金制度の導入などおよび団体請求制度の導入等に賛成します。
(理由)
国民・消費者の個人の権利利益のさらなる保護のため(個情法1条、3条)に賛成します。経済界は団体による差止請求にも反対しているようであるが、差止請求は違法な行為にしかなされないところ、経済界は違法行為がしたいのだろうかと疑問である。

8.漏えい等報告・本人通知の在り方
(該当箇所)
漏えい等報告・本人通知の在り方(中間整理18頁)
(意見)
現行の漏えい等報告・本人通知の在り方を緩和することに反対。
(理由)
二次被害・類似事案の防止が漏えい等報告及び本人通知の趣旨・目的なのであるから、たとえば事業者がセキュリティインシデントに対応中でマルウェア等の犯人を泳がせて調査しているような場合は別として、原則として個人情報漏えい事故が発生した場合は、迅速に漏えい等報告・本人通知を事業者に行わせるべきである。現行の漏えい等報告・本人通知の在り方を緩和することには反対。 また、漏えい等に関する義務が生じる「おそれ」要件についても、「おそれ」が発生している以上は安全管理措置義務違反が発生していることは事実なのであるから、事業者は違法であるのであって、「おそれ」要件を緩和することには反対である。

9.医療データの収集・目的外利用・第三者提供の規制緩和
(該当箇所)
社会のニーズ及び公益性を踏まえた例外規定の新設並びに明確化(中間整理23頁)
(意見)
医療データにつき例外規定を設け、取得や目的外利用、第三者提供等に本人同意やオプトアウトを不要とする議論に反対。
(理由)
現在の情報法・憲法の学説上、個人情報保護法(個人データ保護法)の趣旨・目的は自己情報コントロール権説(情報自己決定権説)が通説であり、ドイツやEUなど多くの西側自由諸国でも同様である(曽我部真裕・林秀弥・栗田昌裕『情報法概説第2版』209頁、渡辺康行・宍戸常寿・松本和彦・工藤達朗『憲法Ⅰ基本権』121頁、山本龍彦『個人データ保護のグローバル・マップ』247頁、359頁等参照)。
そして自己情報コントロール権説からは、個人情報保護法が目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合において、事業者や行政機関等が患者などの本人の同意を取得することが必要と規定されていることは当然のことと考えられる。
そのため、この目的外利用や第三者提供をする場合、医療データなどの要配慮個人情報を収集する場合に本人の同意の取得を不要とする有識者ヒアリング等における森田朗名誉教授や鈴木正朝教授、高木浩光氏などの主張は自己情報コントロール権説に反し、つまり個人情報保護法(個人データ保護法)の趣旨・目的に反している。
また、法律論を離れても、たとえば4月3日の個人情報保護委員会の有識者ヒアリングでは、横野恵准教授の「医療・医学系研究における個人情報の保護と利活用」との資料13頁の「ゲノムデータの利活用と信頼」においては、一般大衆の考えとして、ゲノムデータの利活用に関する「信頼の醸成に寄与する要素」の2番目に「オプトアウト制度」が上がっている。
したがって、医療データの利用等に関して、患者の本人の同意やオプトアウト制度などの本人関与を廃止する考え方は、一般国民の支持を得られないと思われる。
また、森田名誉教授や鈴木正朝教授、高木浩光氏など、医療データの製薬会社やIT企業などによる利活用を推進する立場の人々は、「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」との考え方を前提としているように思われる。
たしかに患者が医療に貢献することは一般論としては「善」である。しかし、日本は個人の自由意思を原則とする自由主義・民主主義国である(憲法1条、13条)。患者個人が医療や社会に貢献すべきか否かは個人のモラルにゆだねるべき問題であり、ことさら法律で強制する問題ではない。すなわち、患者の医療への貢献などは、自由主義社会においては自由な討論・議論によって検討されるべきものであり、最終的には個人の内心や自己決定にゆだねられるべきものである(憲法19条、13条)。
「日本国民はすべて医療データを製薬会社などに提供し、医療や社会に貢献すべきだ」「そのような考え方を個人情報保護法の改正や新法を制定し、国民に強制すべきだ」「そのような考え方に反対する国民は非国民、反日だ」との考え方は、中国やロシアなど全体主義・国家主義国家の考え方であり、自由主義・民主主義国家の日本にはなじまないものである。
さらに、患者の疾病・傷害にはさまざまなものがある。風邪などの軽い疾病のデータについては、製薬会社などに提供することを拒む国民は少ないであろう。しかし、がんやHIVなど社会的差別のおそれのある疾病や、精神疾患など患者個人の内心(憲法19条)にもかかわる疾病など、疾病・傷害にはさまざまな種類がある。それらをすべて統一的に本人同意を不要とする政府の議論は乱暴である。
したがって、憲法の立憲主義に係る基本的な考え方からも、医療データの一時利用・二次利用について患者の本人の同意を原則として不要とする議論は、個人情報保護法(個人データ保護法)の趣旨・目的に反しているだけでなく、わが国の憲法の趣旨にも反している。以上のような理由から、私は医療データの一時利用・二次利用について患者の本人の同意やオプトアウト等の本人関与の仕組みを原則として不要とする個人情報保護委員会や政府の議論に反対である。

10.その他:プロファイリング・AI法
(該当箇所)
その他(中間整理26頁)
(意見)
プロファイリングによる要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。本人同意または本人関与の仕組みを導入すべきである。また、日本も早期にEUのようなAI法を制定すべきである。
(理由)
2016年のケンブリッジ・アナリティカ事件、最近のイスラエルの軍事AI「ラベンダー」など、プロファイリングの問題は個人情報保護の本丸である。個人情報保護法20条2項は要配慮個人情報の取得については本人同意を必要としているが、プロファイリングによる要配慮個人情報の「推知」、すなわち要配慮個人情報の迂回的取得は法規制が存在しない。これでは本人同意は面倒だと、事業者はプロファイリングによる推知を利用してしまう。
この点、世界的には、EUのGDPR21条はプロファイリングに異議を述べる権利を定め、同22条は完全自動意思決定に服さない権利を規定している。またアメリカのいくつかの州も同様の法規制を置いている。
このように世界的な法規制の動向をみると、日本もプロファイリングによる要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。すなわち、本人同意または本人関与の仕組みを導入すべきである。
また、日本も早期にEUのようなAI法を制定すべきである。

11.顔識別機能付き防犯カメラ(1)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データに関連し、個人情報保護法16条4項や施行令5条の法改正を行い、顔データは保有個人データであると改正すべきである。
(理由)
生体データに関連し、顔識別機能付き防犯カメラシステムによる誤登録の問題に関して、現行法上、顔識別機能付き防犯カメラシステムによる顔データは、個人情報保護法施行令5条のいずれかの号に該当し、当該顔データは保有個人データではないということになり(個人情報保護法16条4項)、結局、顔識別機能付き防犯カメラを運用する個人情報取扱事業者は個人情報保護法を守る必要がないということになってしまうが、そのような結論は誤登録の被害者の権利利益の保護(法1条、3条、憲法13条)との関係で妥当とは思えない。
そのため個人情報保護法16条4項や施行令5条の法改正を行い、顔データは保有個人データであると改正すべきである。

12.顔識別機能付き防犯カメラ(2)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
生体データの問題に関連し、顔識別機能付きカメラシステムによる顔データの共同利用については、全国レベルや複数の県をまたがる等の広域利用を行う場合には、個人情報保護委員会に事前に相談を求めることを個情法上に明記すべきではないか。そのために個人情報保護法の法改正等を行うべきでないか。
(理由)
「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会第6回」の議事録5頁に、「そういった観点から、一つ地域というのがメルクマールになると理解している。広域利用に関しては相当の必要性がなければできないとしつつ、個人情報保護委員会に相談があったような場合に対応していくのが1つの落としどころかと感じた。」等との議論がなされているから。 また、宇賀克也『新・個人情報保護法の逐条解説』275頁、園部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』187頁などにおいても、共同利用が許される外延・限界は「一つの業界内」、「一つの地域内」などと解説されており、全国レベルの共同利用や県をまたぐ広域利用、業界をまたぐ共同利用などは個人情報保護法が予定しておらず、本人が自分の個人情報がどこまで共同利用されるのか合理的に判断できないと思われるから。

13.顔識別機能付き防犯カメラ(3)
(該当箇所)
「要保護性の高い個人情報の取扱いについて(生体データ)」(中間整理3頁~4頁)
(意見)
開示・訂正等請求を求める一般人(顔識別機能付き防犯カメラの誤登録の被害者等)が個人情報保護法などにおいて取りうる法的手段(例えば個人情報取扱事業者のウェブサイト上のプライバシーポリシー上の開示・訂正等請求の手続きに従って請求を行う、民事訴訟を提起する等)に関して、個人情報法保護法ガイドライン(通則編)や「個人情報の保護に関する法律についてのガイドラインに関するQ&A」等に一般人にもわかりやすい解説を用意するべきではないか。
(理由)
生体データの問題に関連し、顔識別機能付きカメラシステムの誤登録の被害者が個人情報取扱事業者に顔データの削除などを請求しても事業者から拒否される場合が多い。また誤登録の被害者等は法律のプロではないことが一般的である。
そのため、開示・訂正等請求を求める一般人(防犯カメラの誤登録の被害者等)が個人情報保護法などにおいて取りうる法的手段(例えば個人情報取扱事業者のウェブサイト上のプライバシーポリシー上の開示・訂正等請求の手続きに従って請求を行う、開示・訂正等請求の民事訴訟を提起する等)に関して、個人情報法保護法ガイドライン(通則編)や「個人情報の保護に関する法律についてのガイドラインに関するQ&A」等に一般人にもわかりやすい解説を用意するべきではないか。あるいは一般人向けに開示・訂正等手続きについて解説した「自治会・同窓会等向け会員名簿をつくるときの注意事項ハンドブック」のようなパンフレットを作成すべきではないか。

以上

■関連するブログ記事
・MyData Japan 2024の「George's Bar ~個人情報保護法3年ごと見直しに向けて~」の聴講メモ
・個情委の「3年ごと見直し」における医療データの取扱いに本人同意を不要とする議論に反対する

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

20240717_163729
1.はじめに
2024年7月17日に一橋講堂で開催された、MyData Japan 2024の「George's Bar ~個人情報保護法3年ごと見直しに向けて~」を聴講したので、備忘録のメモをまとめたいと思います。(なお、間違いや漏れなどがありましたら私の責任です。)

2.加藤絵美先生(一般社団法人Consumer Rights Japan 理事長)の発表
・もともと個人情報保護法制は消費者庁の管轄であったが、消費者契約法2条3項が「消費者契約」の定義を置いているように、消費者団体の活動は、主に有償契約を念頭において行われており、個人情報保護への取組みは遅れている面があった。
・個人情報保護法の3年ごと見直しについて、経済界から課徴金と団体訴訟について「経済活動を萎縮させる」との批判が出ていることについては疑問に考えている。厳しい法律を守る企業が企業価値を高めて消費者から信頼されて成長できるのであるから、「萎縮」させるとの批判は当たらないと考えている。
・「プロ」の企業に対して消費者は「もっとも典型的な素人」である。

3.森亮二先生(英知法律事務所・弁護士)の発表
・個人情報保護法の3年ごと見直しの中間整理が発表されたので、それについていくつか述べたい。
・生体データの保護については概ね賛同。要配慮個人情報として取得には本人同意を必要とすべきである。
・Cookie、端末IDなどの個人関連情報については、個人データに含まれるものとして、安全管理措置等により保護がなされるべきである。
・団体訴訟について産業界から大きな批判が出ているが、団体訴訟による損害賠償は結果責任ではなく安全管理措置を尽くしていなかったという過失責任なのであるから、産業界が大きく批判することは当たらないと考える。
・また団体訴訟の差止については、違法行為が差止の対象となるだけなのであるから「萎縮」は問題とならない。それとも企業側は違法行為をやりたいと考えているのであろうか。
・課徴金制度については、破産者マップ事件などのように刑事司法がうまく機能していない事例があり、そのような事例へのよい対策となるのではないか。
・日本はプロファイリングへの法規制が少ない「プロファイリング天国」であり、プロファイリングへの法規制がなされるべき。プロファイリングによる要配慮個人情報の推知も、要配慮個人情報の取得として本人同意が必要とされるべき。中間整理ではプロファイリングが「その他」の部分に「引き続き検討」という趣旨で書かれているのは残念。

4.山本龍彦先生(慶応義塾大学教授)の発表
本年6月3日の個人情報保護委員会の有識者ヒアリングの際の資料をもとに発表したい。
・2016年のケンブリッジ・アナリティカ事件、最近のイスラエルの軍事AI「ラベンダー」など、プロファイリングの問題は個人情報保護の本丸である。
・個人情報保護法20条2項は要配慮個人情報の取得については本人同意を必要としているが、プロファイリングによる要配慮個人情報の「推知」、すなわち要配慮個人情報の迂回的取得は法規制が存在しない。これでは本人同意は面倒だと、事業者はプロファイリングによる推知を利用してしまう。
・世界的には、EUのGDPR21条等はプロファイリングに異議を述べる権利を定め、同22条は完全自動意思決定に服さない権利を規定している。またアメリカのいくつかの州も同様の法規制を置いている。
・このように世界的な法規制の動向をみると、日本もプロファイリングの要配慮個人情報の「推知」を要配慮個人情報の「取得」として法規制すべきである。すなわち、本人同意または本人関与の仕組みを導入すべきである。
・ダークパターンについても、個人の自由な意思決定を阻害しており、法規制を行うべきである。
・Cookie、端末情報などの個人関連情報も、本人の意思決定に働きかけることができるのであるから、本人同意または本人関与の仕組みが必要である。
・生体データについても、本人同意または本人関与の仕組みが必要である。
・なお、3年ごと見直しについては経済界から「経済活動が萎縮する」との強い批判がなされているが、法律を守らないならトラストが築かれず、むしろ消費者の側に萎縮が発生し、それはビジネスに不利に働くのではないだろうか。
・最後に、個人情報保護法3条について。政府の「個人情報の保護に関する基本方針」は「個人の人格を尊重」の部分について憲法13条およびプライバシーに言及している。つまり、個人情報保護法は憲法具体化法である。

5.司会の宍戸常寿先生(東京大学教授)と3先生でディスカッション
宍戸先生)今回の講演会にあたり、①個情法と消費者法、②AI時代の個情法、③企業から見た個情法の規制強化、④3年ごと見直しの在り方・言語、の4つのテーマがあるのではないかと思っている。まず、①について加藤先生からコメントをいただけないだろうか。
加藤先生)個情法はもともと消費者庁の管轄だった。しかし消費者団体は個人情報保護の問題にあまりうまく対応できていない。個人情報保護の問題は、事業者と消費者の非対称性、格差の問題が大きな問題であると考えている。個人情報保護について、消費者のエンパワーメントが必要であるが、しかしパターナリズムに陥ってはまずいと思っている。
宍戸先生)話が少しずれるが、消費者法と個情法の問題と同時に、労働者と個情法の問題も非常に重要であると思っている。最近、日本を代表する企業で個人情報の漏えいが起きているが、従業員の個人情報が漏えい等することも非常に大きな問題である。労働者は企業のなかで個人情報について自由に意思決定できない。そのため、企業がそのかわりに決めてやるというパターナリズムな状況が生まれている。最近、山本健人先生などが「デジタル立憲主義」すなわり、立憲主義を企業にもおよぼそうという考え方を論じておられるが、示唆に富むと考えている。

宍戸先生)つぎに②の「AI時代の個情法」について、山本先生からコメントをいただきたい。
山本先生)最近、私は「個人界」・「集合界」という考え方を唱えているが、生成AIは基本的には集合界に属する問題であると考えている。ただし、EUのAI法5条にあるような、「精神的・身体的な害を生じさせる態様で対象者などの行動を実質的に歪めるため、対象者の意識を超えたサブリミナルな技法を展開する」などの生成AIについては個人界に関する問題であるとして、法規制が必要であると考えている。

宍戸先生)つぎに③の「企業から見た個情法の規制強化」について、森先生からコメントをいただきたい。
森先生)経済界は団体訴訟などに強く反対しているが、かりに規制緩和で個情法を緩和する、あるいは個情法やPPCを廃止したとしても、日本から司法を廃止することは不可能なので、裁判によって差止や損害賠償を命じられることは無くならない。その点を経済界はよく考えるべきなのではないか。
山本先生)こういった場なので比喩的に言うと、企業は遊びたい、勉強したくないとだだをこねている小さな子どものように思える。たしかに親としては短期的に考えれば子どもがうるさくないので遊ばせたほうがいいのかもしれない、しかし長期的に考えればそれでいいのか。同様に、個人情報保護を遵守したくない、もう勉強したくないと言っている経済界に対して、政治家や行政はどう対応すべきなのか。長期的に考えれば、遊ばせる、勉強させないではない方向が必要なのではないか。

なお、この講演会の最後は観客席からの質問・意見の時間であり、明治大学の横田明美先生や、情報法制研究所の高木浩光先生などから質問・意見が出されましたが割愛します。

■関連するブログ記事

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_rouei_businessman
2024年7月8日付で東京都が「個人情報の漏えい」というプレスリリースを出しています。
・個人情報の漏えい|東京都

本リリースを読むと、「東京都産業労働局(委託元)と公益財団法人東京しごと財団(委託先)は、「シニア中小企業サポート人材プログラム」という再就職のためのプログラムを実施しているところ、このプログラムの希望者56名について、本来、個人が特定されないよう匿名加工を施した人材情報を提供すべきところ、個人が特定できる内部保存用のファイルを、488社に対しEメールで誤って送付した。」というのが本個人情報漏洩事故の概要のようです。

ところが本リリースの「漏洩した個人情報」の部分を読むと、つぎのようになっています。

3 漏えいした個人情報
本来送信予定の項目
「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」

実際に送信してしまった項目
上記に加え、「漢字氏名」「年齢」「性別」
漏洩した個人情報

・・・これは「匿名加工情報」(個人情報保護法2条6項)の問題なのでしょうか?つまり、東京都産業労働局および東京しごと財団は、個人情報の生データ(「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」)から氏名・年齢・性別などを除外しただけのデータを「匿名加工」した個人情報ではないデータと認識しているということなのでしょうか?(もしそうであるなら、東京都産業労働局および東京しごと財団における情報管理が心配です。)

そこで東京都産業労働局および東京しごと財団に電話で質問してみたところ、おおむね次のような回答でした。

〇「Excelで人材情報を管理しているところ、「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」などのデータから、氏名・年齢・性別を除外したデータなので「匿名加工」とプレスリリースに標記した。」

〇「ただしこれらの情報を求人企業に第三者提供するにあたっては、求職者の本人同意は得ている。」

〇「「匿名加工」という記載が妥当ではないとのご意見に関しては、貴重なご意見としてうけたまわる。」

いうまでもなく個人情報保護法上の「匿名加工情報」は、「次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。」(法2条6項)であり、個人データの生データのデータセットから氏名・住所などを削除しただけでは匿名加工情報とはいえず、このデータは以前として個人情報・個人データです。

本プレスリリースによると、東京都産業労働局は再発防止策として、「個人情報の適切な取扱い及びメール送信内容のダブルチェックを改めて徹底する。」「産業労働局における、委託業務を含めた個人情報の適切な管理について、改めて注意喚起を行った。」の2点をあげていますが、まずは東京都産業労働局および東京しごと財団における個人情報保護法の再教育を実施したほうがよいのではと思いました。

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ