なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

カテゴリ: 個人情報保護法・情報法

CCC委託の混ぜるな危険の問題1
(CCCサイトより)

1.個人情報保護委員会が令和2年改正に対応した個人情報保護法ガイドラインQ&Aを公表
個人情報保護委員会(PPC)が、2021年9月10日に令和2年改正に対応した個人情報保護法ガイドラインQ&Aをサイトで公表しました。
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会

今回公表された令和2年改正対応の個人情報保護法ガイドラインQ&Aをみると、QA7-38からQA7-43までの5つのQAが、個人情報の第三者提供の「委託」(法23条5項1号)に関するものであり、とくにいわゆる「委託の混ぜるな危険の問題」について詳しく解説を行っていることが注目されます。

このブログでは、以前、2021年1月15日にTポイントを運営するCCC カルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の第三者提供の委託の「混ぜるな危険の問題」に抵触する違法なものであることを取り上げました(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)。
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」-なか2656のblog

今回の本ブログ記事では、9月10日にPPCが公表した令和2年法改正に対応した個人情報保護法ガイドラインQ&Aの個人情報の第三者提供の委託に関する解説をみて、CCCの1月15日のT会員規約4条6項の「他社データと組み合わせた個人情報の利用の明確化」がやはり「委託の混ぜるな危険の問題」に抵触し違法であることを確認してみてみたいと思います。

2.委託の「混ぜるな危険の問題」
(1)個人情報保護法の本人の同意の必要な第三者提供の例外としての「委託」
1970年代以降のコンピュータやAIなどの発達により、個人情報・個人データが本人の同意なしに無制限にある事業者から第三者へ提供された場合、本人に関する他の種類のさまざまな個人データとの突合・結合・加工が容易に行われ、第三者提供後に当該個人データがどのように利用され、流通するかなどが不明の状態におかれ、個人データの主体である本人のプライバシーが侵害されるおそれや、本人がそれらの個人データで勝手にプロファイリング(=コンピュータ・AIによる個人データの自動処理により法的決定や重要な決定が行われること)されるおそれなど、本人に不測の権利利益の侵害や個人の尊重や基本的人権の侵害が行われる危険が増大しています。

そこで個人情報保護法は、事業者が保有する個人データを第三者提供することを特に注意すべき行為と位置づけ、本人が自らの個人データの流通をコントロールすることができるように、個人データの第三者提供には原則として本人の同意が必要であるとする規制を設けています(個人情報保護法23条1項、岡村久道『個人情報保護法 第3版』241頁)。

一方、近年は企業などの業務の外部委託(アウトソーシング)が普及しており、例えばある企業におけるPCへの紙データの入力作業などの情報処理関係の業務を外部の事業者に委託する場面が増えています。このような「委託」については、個人データの提供先の事業者は提供元の事業者とは別の主体として形式的には第三者に該当するものの、委託のたびに本人の同意を取得することは煩雑であるなど、委託先の事業者を個人データの主体の本人との関係において委託元の事業者と一体のものとして取り扱うことに合理性があるため、第三者提供における「第三者」に該当しないものと個人情報保護法はしています。

そのため、個人情報保護法は、事業者が「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託することに伴って当該個人データが提供される場合」、つまり「委託」の場合には第三者提供に該当しないので本人の同意やオプトアウト手続きは不要であるとしています(法23条5項1号、岡村・前掲262頁)。

(2)委託の混ぜるな危険の問題
しかし、「委託」とは上のように委託元の「利用目的の達成に必要な範囲内において、個人データの取扱いに関する業務の全部又は一部を委託すること」であるため、「委託された業務以外に当該個人データを取扱う」ことは「委託」に該当せず、これを本人の同意やオプトアウト手続きなしに行うことは原則に戻って本人の同意のない第三者提供として違法となります(法23条1項)。またこれは本人の同意のない個人データの目的外利用としても違法であり(法16条)、さらに委託元の事業者は個人データの安全管理措置に関する委託先の監督の義務違反にもなります(法22条)。

この違法となる「委託された業務以外に当該個人データを取扱うこと」の具体例として、個人情報保護法ガイドラインQ&A7-37の事例2(=旧ガイドラインQ&AQ&A5-26-2の事例(2))は、「複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合」をあげていますが、これがデータセンターなどにおける、いわゆる「委託の混ぜるな危険の問題」と呼ばれる事例です。

この「委託の混ぜるな危険の問題」が違法となるのは、そもそも個人情報保護法における個人データの「委託」とは、契約の種類・形態を問わず、委託元の個人情報取扱事業者が自らの個人データの取扱の業務を委託先に行わせることであるから、委託元が自らやろうと思えばできるはずのことを委託先に依頼することであり、したがって、委託元は自らが持っている個人データを委託先に渡すなどのことはできても、委託先が委託の前にすでに保有していた個人データや、委託先が他の委託元から受け取った個人データと本人ごとに突合させることはできないからであると解されています。そしてこれは、突合の結果、作成されるのが匿名加工情報等であっても同様であるとされています(田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁)。

3.CCCのT会員規約の改正による「他社データと組み合わせた個人情報の利用の明確化」
この点、2021年1月15日付でTポイントを運営するCCC カルチュア・コンビニエンス・クラブはT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行いました(T会員規約4条6項)。

T会員規約4条
6.他社データと組み合わせた個人情報の利用
当社は、提携先を含む他社から、他社が保有するデータ(以下「他社データ」といいます)を、他社が当該規約等で定める利用目的の範囲内でお預かりした上で、本条第2項で定める会員の個人情報の一部と組み合わせるために一時的に提供を受け、本条第 3 項で定める利用目的の範囲内で、統計情報等の個人に関する情報に該当しない情報に加工する利用および当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供(以下あわせて「本件利用」といいます)を行う場合があります。 なお、当社は、本件利用のための他社データを明確に特定して分別管理し、本件利用後に他社データを破棄するものとし、本件利用のための、前述、当該他社から当社への一時的な提供を除いては、それぞれの利用目的を超えて利用することも、当該他社その他第三者に対して会員の個人情報の一部または全部を提供することもありません。

CCC会員規約4条6項
(CCCサイトより)
・T会員規約等、各種規約の改訂について|CCC
・T会員規約 新旧比較表|CCC

つまり、CCCが2021年1月に規約改正を行って新設した、T会員規約4条6項は、①後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」と、②前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」の2つを行うことを明確化する内容となっています。

4.CCCのT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」(旅行代理店Bの事例)について
(1)CCCのT利用規約4条6項後段・「旅行代理店Bの事例」
このT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」について、CCCのプレスリリースはつぎのような具体例と図で説明しています。

CCC旅行代理店の事例
(CCCのプレスリリースより)

このT会員規約4条6項後段「旅行代理店Bの事例」は、旅行代理店Bが、「まだハワイに旅行していない人にハワイ旅行を販売促進したい」という意図で、旅行代理店Bが、「自社の保有するハワイに旅行したことのある人の顧客リスト」(B社の他社データ)をCCCに預け(委託、個人情報保護法23条5項1号)、CCCは「B社の他社データである顧客リストと、CCCの保有するT会員の個人データを突合し、「旅行代理店Bを利用してハワイ旅行をした人の趣味・嗜好・社会的属性などの特徴を分析」し、「ハワイ旅行に興味がありそうな人」を把握し、T会員の個人データの個人から、旅行代理店Bの顧客リストのハワイ旅行に行ったことのある人を除外し、その除外されたハワイ旅行に興味がありそうなT会員の個人(見込み客)に対して、ダイレクトメールなどでハワイ旅行の販売促進を行うという内容になっています。

(2)個人情報保護法ガイドラインQ&A7-41
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-41はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-41 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか。

A7-41 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1)既存顧客のメールアドレスを含む個人データを委託に伴ってSNS運営事業者に提供し、当該SNS運営事業者において提供を受けたメールアドレスを当該SNS運営事業者が保有するユーザーのメールアドレスと突合し、両者が一致した場合に当該ユーザーに対し当該SNS上で広告を表示すること

事例2)既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること

これらの取扱いをする場合には、①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要があります。(令和3年9月追加)

PPC個人情報ガイドラインQA7-41
(個人情報保護委員会サイトより)
・個人情報保護法ガイドラインQ&A(令和2年改正法関係)|個人情報保護委員会

つまり、個人情報保護法ガイドラインQ&A7-41が解説するとおり、CCCなど共通ポイント制度により複数の委託元の企業から個人データの管理などの委託を受けている事業者や、複数の委託元から個人データの管理などの委託を受けているデータセンターなど、独自に収集した個人データを保有している事業者は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先(=CCCなど)は、委託に伴って委託元(=旅行代理店Bなど)から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはでき」ないのです。

そして、同Q&A7-41の事例2は、「委託」として行うことができない具体例として、「既存顧客のリストを委託に伴ってポイントサービス運営事業者等の外部事業者に提供し、当該外部事業者において提供を受けた既存顧客のリストをポイント会員のリストと突合して既存顧客を除外した上で、ポイント会員にダイレクトメールを送付すること」と、CCCのT会員規約4条6項後段の旅行代理店Bのそっくりそのままの事例をあげています。

したがって、このCCCの旅行代理店Bの事例、つまりT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」は個人データの「委託」として行うことは違法であり、許されないことになります(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、CCCや旅行代理店Bは、この違法状態を回避するためには、個人情報保護法ガイドラインQ&A7-41が解説するとおり、「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

(3)CCCマーケティングの「ハワイ州観光局」の事例
この点、CCCカルチュア・コンビニエンス・クラブ株式会社の子会社であるCCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「ハワイ州観光局」の事例が掲載されています。
・事例 ハワイ州観光局 CCCグループアセットの結集が実現する「五感に訴える観光地マーケティング」|CCCマーケティング

CCCマーケティングハワイ州観光局
(CCCマーケティング社サイトより)

このハワイ州観光局の事例は、上のT利用規約4条6項後段の「当社の個人情報と他社データのそれぞれに会員が含まれているかどうかを確認した上での会員の興味・関心・生活属性または志向性に応じた会員への情報提供」つまり「旅行代理店B」の事例と非常によく似ており、CCCはこの事例を念頭にT会員規約4条6号後段を新設したのであろうと思われます。

このCCCマーケティングのハワイ州観光局の事例の解説を読むと、「ハワイ州観光局では、ハワイ諸島のひとつであるハワイ島の渡航者数増加のために、2019年11月~12月にかけ、CCCマーケティングをパートナーとしてキャンペーンを実施した」とあります。

同サイトの解説によると、ハワイ州観光局の担当者は、「今回の施策では、リーチするべきターゲットを『海外旅行には行くが、ハワイには行ったことがない』、『ハワイには行ったことがあるが、ハワイ島には行ったことがない』というお客さまと設定したのですが、課題となったのが、アプローチするべきターゲットの顧客データでした」。「私たちでも、CRMや会員制公式ポータルサイト『allhawaii(オールハワイ)』、さらにソーシャルメディアなどで保有しているデータは、数十万件あります。ただ、その多くは、すでにハワイのファンとなっている顧客のデータであり、今回のキャンペーンのターゲットとは異なります。

そのため、ハワイ州観光局は、同局が保有する「すでにハワイのファンとなっている顧客のデータ」などの数十万件の個人データをCCCマーケティングに委託し、CCCはその他社データをCCCの保有するT会員の個人データと突合し分析を行い、ハワイ旅行に行きそうな見込み客の趣味・嗜好・社会的属性などの特徴を分析し、その特徴に合致する個人データを持つT会員から、すでにハワイ旅行に行ったことのあるT会員の個人データを除外し、残りの見込み客のT会員に対してDMを送信したり、蔦屋書店でハワイ旅行のキャンペーンを実施するなどの販売促進を、ハワイ州観光局とともに実施したようです。

このCCCマーケティングのハワイ州観光局の事例は、上でみた個人情報保護法ガイドラインQ&A7-41の事例2に該当するので、これをCCCが「委託」のスキームで行った場合は、それはガイドラインQ&A7-41などが施行となる2022年4月以降は完全に違法となります。

CCCおよびハワイ州観光局は違法状態を回避するためには、同ガイドラインQ&A7-41が解説するように「①外部事業者に対する個人データの第三者提供と整理した上で、原則本人の同意を得て提供し、提供先である当該外部事業者の利用目的の範囲内で取り扱うか、②外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する等の対応を行う必要」があることになります。

5.CCCのT利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について
(1)健康飲料メーカーAの自社の顧客の趣味・嗜好や社会的属性などを分析するための委託
T利用規約4条6項前段の「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」(健康飲料メーカーAの事例)について、CCCのプレスリリースはつぎのような具体例と図で説明しています。
CCC健康飲料メーカーの事例
(CCCのプレスリリースより)

つまり、「自社の青汁を飲んでくれている顧客はどんな人々なのだろう?」と顧客の趣味嗜好や社会的属性などを知りたい健康飲料メーカーAが、自社の青汁を飲んでくれる顧客の個人データ(他社データ)をCCCに委託し、CCCはCCCの保有するT会員の個人データと健康飲料メーカーAの他社データを突合し、A社の青汁を飲んでいるT会員の個人データを分析し、その趣味・嗜好や社会的属性などを割り出し、それを統計データなどにした上でA社に戻し、A社は自社商品のマーケティングなどに当該データを利用すると説明されています。

(2)個人情報保護法ガイドラインQ&A7-42
しかしこの点、令和3年9月追加として、個人情報保護委員会が9月10日に公開した、令和2年改正法関係の個人情報保護法ガイドラインQ&A7-42はこのような「委託の混ぜるな危険の問題」について、つぎのように解説しています。

Q7-42 委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合し、新たな項目を付加して又は内容を修正して委託元に戻すことはできますか。

A7-42 個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。したがって、個人データの取扱いの委託に関し、委託先において以下のような取扱いをすることはできません。

事例1) (略)
事例2) 顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと

これらの取扱いをする場合には、委託先において本人の同意を取得する等、付加・修正する情報を委託元に適法に提供するための対応を行う必要があります。(後略)(令和3年9月追加)

PPC個人情報QA7-42の1
PPC個人情報QA7-42の2
(個人情報保護委員会サイトより)

このように、個人情報保護法ガイドラインQ&A7-42は、「個人データの取扱いの委託(法第23条第5項第1号)において、委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできず、委託先で新たな項目を付加して又は内容を修正して委託元に戻すこともできません。」としています。

そしてその具体例として、事例2は、「顧客情報をデータ・マネジメント・プラットフォーム等の外部事業者に委託に伴って提供し、当該外部事業者において、提供を受けた顧客情報に、当該外部事業者が独自に取得したウェブサイトの閲覧履歴等の個人関連情報を付加し、当該顧客情報を委託元に戻すこと」をあげています。

したがって、CCCのT会員規約6条の4前段の「「提携先を含む他社から、他社が保有するデータ(「他社データ」)を、他社からお預かりした上で、会員の個人情報の一部と組み合わせるために一時的に提供を受け、統計情報等の個人に関する情報に該当しない情報に加工する利用」つまり健康飲料メーカーAの事例も、健康飲料メーカーAが自社の顧客情報をCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいてA社の青汁の顧客の趣味・嗜好や社会的属性などを分析し、それらの新たな項目を付加したデータをA社に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、この健康飲料メーカーAの事例も個人情報の委託として違法です(法23条5項1号・法23条1項・法22条・法16条の違反)。

そのため、この健康飲料メーカーAの事例も、CCCおよび健康飲料メーカーAが違法状態を回避するためには、CCCにおいて本人の同意を取得することなどが必要となります。

(3)CCCマーケティングの「タケシダ醤油」の事例
この点、CCCマーケティング株式会社のサイトの「事例」をみると、CCCマーケティングがデータビジネスとして実施した「タケシゲ醤油」の事例が掲載されています。

CCCマーケティングタケシゲ醤油
(CCCマーケティング社サイトより)
・事例 タケシゲ醤油 購買データの分析でヒット商品のさらなる価値向上を実現|CCCマーケティング

CCCマーケティング社サイトの解説によると、タケシゲ醤油はもともと食品会社など法人向けに製造販売していた「博多ニワカそうす」という調味料を一般消費者向けにも販売を行ったところ売上が好調であったため、「博多ニワカそうす」を購入する一般消費者の趣味嗜好や社会的属性などを分析してマーケティングを行いたいと、CCCに委託を行い、CCCは自社のT会員の個人データで「博多ニワカそうす」の顧客の個人データの突合を行い、同商品の顧客の趣味嗜好や社会的属性、人物像などを分析し、CCCはその分析データをタケシゲ醤油に戻し、そのデータをもとにタケシゲ醤油は「博多ニワカそうす」のレシピ本を作成するなどして、さらに同商品の売り上げの増加を行ったとされています。

博多ニワカそうすの顧客の人物像
(CCCマーケティング社サイトより)

しかしこのタケシゲ醤油の事例も、タケシゲ醤油の「博多ニワカそうす」の顧客の個人データをCCCに委託に伴い提供し、CCCが自社の保有するT会員の個人データと突合し、CCCにおいて「博多ニワカそうす」の顧客の趣味・嗜好や社会的属性、モデルとなる人物像などを分析し、それらの新たな項目を付加したデータをタケシゲ醤油に戻しているので、個人情報保護法ガイドラインQ&A7-42の事例2と同様のことを行っているので、このタケシゲ醤油の事例も個人情報の委託として違法であると思われます(法23条5項1号・法23条1項・法22条・法16条の違反)。

(4)CCCマーケティングの「チューリッヒ保険」の事例
また、CCCマーケティングのサイトの「事例」をみると、通販型の傷害保険などの損害保険会社のチューリッヒ保険の事例も掲載されています。
・事例 チューリッヒ保険 ユニークデータと徹底分析で実現する長期・安定的な顧客獲得|CCCマーケティング

CCCマーケティングチューリッヒ保険
(CCCマーケティング社サイトより)

このチューリッヒ保険の事例は、サイトの解説によると、チューリッヒ保険がもつ優良な見込み客のセグメント(集団)などの情報・データの改善のための分析をCCCに委託し、CCCはその見込み客のセグメントのデータをCCCのT会員の個人データで分析・加工し、CCCはよりよい見込み客のセグメントのデータを作成し、チューリッヒ保険に戻しているようです。このチューリッヒ保険の事例も、もしその過程でチューリッヒ保険が保有する既存顧客の個人データをCCCに委託などしてCCCがT会員の個人データと突合などをしていた場合は、個人情報保護法ガイドラインQ&A7-42などに抵触する違法な「委託」スキームの利用である可能性があります。

6.まとめ
本年1月15日にCCCカルチュア・コンビニエンス・クラブがT会員規約の一部を改正し、「他社データと組み合わせた個人情報の利用の明確化」を行ったところ(T会員規約4条6項)、その明確化された「他社データと組み合わせた個人情報の利用」が、個人情報の委託の「混ぜるな危険の問題」に抵触する違法(法23条5項1号違反、改正前の個人情報保護法ガイドラインQ&A5-26-2の事例(2)違反)なものであることは、本ブログで取り上げただけでなく、ネット上でも大きな社会的注目を受けました。

・CCCがT会員規約等を改訂→改訂後規約が想定する事例の違法性及び問題点が指摘される。|togetter

そして本年9月10日に個人情報保護委員会が公表した、令和2年法改正対応の個人情報保護法ガイドラインQ&A7-41、7-42など追加された個人情報の「委託」に関する解説は、上でみたように、CCCのT会員規約6条4項の「他社データと組み合わせた個人情報の利用」が個人情報の「委託」スキームとしてやはり違法であることを明確に示しています。

今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aは2022年4月から施行予定であるそうなので、CCCやCCCと個人データのやり取りを行っている事業会社などは、それまでに自社のデータビジネスが個人情報保護法などの法令に抵触していないか、今一度再検討が必要であると思われます。

また、今回公表された、令和2年法改正対応の個人情報保護法ガイドラインQ&Aの「委託」に関する解説は、ネットやSNSにおける行動ターゲティング広告やDMP(Data Management Platform)などの事業に与える影響も大きいと思われます。これらの業務を行う企業の実務担当者の方々も、自社のビジネスモデルが個人情報保護法など法令に抵触していないか、今一度再検討が必要であると思われます。

■関連する記事
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・河野太郎大臣がTwitterで批判的なユーザーをブロックすることをトランプ氏の裁判例や憲法から考えたー表現の自由・全国民の代表(追記あり)
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権

■参考文献
・岡村久道『個人情報保護法 第3版』241頁、262頁
・田中浩之・北山昇「個人データ取り扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号30頁
・「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(令和2年改正法関係)|個人情報保護委員会





















このエントリーをはてなブックマークに追加 mixiチェック

河野太郎Twitterトップ画面
(河野太郎氏のTwitterより)

1.河野太郎大臣がTwitter上で批判的な国民にブロックを多用していることが話題
河野太郎行政改革担当相はTwitterで237万人を超えるフォロワー数がおり、熱狂的な支持層がいる一方で、Twitterブロック機能を多用することでも知られています。河野大臣がTwitterのブロックを多用することについては9月7日に記者会見で記者から質問が出され、河野大臣は「Twitter上でも礼節を求めることは当然」で問題ないとの回答をしたとのことです。(なお、安倍前首相や立憲民主党の蓮舫議員なども、Twitterでブロックを多用することで有名です。)

しかし、アメリカにおいては2019年にトランプ氏Twitter上で批判的なユーザーをブロックすることが争われた裁判において、トランプ氏のブロックは米合衆国憲法の規定する「言論の自由」の侵害であり違憲との興味深い判決が出されているところです。このブログ記事では、政治家がTwitter上でユーザーをブロックすることについて、主に憲法から考えてみたいと思います。
・河野大臣、ツイッターのブロック「問題ない」SNS上でも礼節求める|朝日新聞

2.表現の自由
日本の憲法21条1項は国民の基本的人権として「集会、結社及び言論、出版その他一切の表現の自由は、これを保障する」表現の自由を規定しています。この表現の自由は、意見や表現などを表明するだけでなく、情報をコミュニケーションする自由ですので、意見などの情報を受け取る自由、議論をする自由、国民の「知る権利」なども含まれます。

日本国憲法
第21条
第1項 集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。

この表現の自由は、国民個人が表現活動を通じて自己実現や自己の人格を発展させるという個人的な価値(自己実現の価値があるだけでなく、表現活動によって国民が政治的意思決定に関与するという民主政に資する社会的な価値(自己統治の価値の二つの価値があり、とりわけ後者の、国民が議論により民主政治に参加するために不可欠な基本的人権であるという、民主主義国家の前提をなす基本的人権として極めて重要な人権です(芦部信喜・高橋和之補訂『憲法 第7版』180頁)。

3.プライバシー権・自己決定権・自己情報コントロール権
その一方で、国民個人には、例えば①子どもをもうけるかどうかなど家族のあり方を決める自由、②服装・髪型など身じまいなどのライフスタイルを決める権利、③尊厳死・医療拒否なぞ自分の生命のあり方を決める自由など、個人の人格的な生存にかかわる重要な私的事項を個人が公権力や他人から干渉されずに自律的に決定する自己決定権という基本的人権が存在します。この自己決定権はもともとアメリカの判例で形成された「一人でほっておいてもらう権利」として発展してきたプライバシー権(古典的プライバシー権・狭義のプライバシー権、東京地裁昭和39年9月28日判決・「宴のあと」事件)と並んで形成された、「広義のプライバシー権」とされ、個人の尊重幸福追求権を規定する憲法13条の保障のもとにあるとされています。

この「個人の人格的な生存にかかわる重要な私的事項を個人が公権力や他人から干渉されずに自律的に決定する権利・自由」としての自己決定権には、国民個人が誰と友人・知人や会話や議論の相手となるか/ならないかという他社との私的な関係性を自己決定する権利も含まれるといえるのではないでしょうか。つまり、河野大臣がTwitter上で批判的なユーザーをブロックすることは、自己決定権から一応説明が可能とも考えられます。

4.基本的人権の限界
とはいえ国民の基本的人権も無制限ではありません。憲法12条、13条、22条、29条は、国民の基本的人権は「公共の福祉」により制約を受けることがあると規定していますが、この「公共の福祉」とは、ある個人の基本的人権が他の個人の基本的人権と衝突した際に、その基本的人権を制約し衝突を抑えるものであり(内在的制約)、現代ではこの基本的人権に内在する制約は、上でみた憲法の4つの条文に関する基本的人権だけでなく、すべての基本的人権に該当すると考えられています(芦部・高橋・前掲111頁)。

そのため、河野大臣がTwitterで批判的なユーザーをブロックすることが表現の自由、自己決定権や自己情報コントロール権などに基づく人権であるとしても、それは無制限に許されるわけではなく、他の国民、とくに批判的な国民・ユーザーの表現の自由などとの関係で一定の制約を受けることになります。

5.憲法の私人や民間企業への適用の問題-間接適用説
ところで18世紀以降の西側自由主義諸国の近代憲法における基本的人権は、国家など公権力との関係で国民の人権などの権利・自由を保護することが重視されます(立憲主義)。Twitterは民間企業であるTwitter社が運営するサービスであるため、憲法の人権条項は適用されないのではないか?との問題があり得ます。

しかし現代社会においては大企業などの社会的権力による国民の権利自由の侵害が大きな問題となっています。そのため現代においては、憲法の基本的人権にかかわる条文は、民間企業と国家との関係や、国民の私人同士の関係においても、例えば公序良俗違反や権利の濫用は無効であるとする民法90条、同1条3項などの法律の一般条項の適用において、憲法の人権条項の趣旨を取り込んで法律の解釈・適用を行うという考え方が判例・通説となっています(間接適用説・最高裁昭和56年3月24日判決・日産自動車事件など)。そのため河野大臣のTwitter上のブロックの問題は、やはり憲法の基本的人権の問題でもあるわけです。

6.トランプ前アメリカ大統領のTwitter上のブロックに関するアメリカの裁判例
この点、アメリカでは、2019年に当時のアメリカ大統領ドナルド・トランプ氏Twitter上で批判的なユーザーをブロックすることは米合衆国憲法修正1条の定める「言論の自由」の侵害であり違憲であるとの2018年の第一審判決(ニューヨーク州南部地区連邦地方裁判所)を支持した興味深い連邦巡回控訴審判決が出されています(米連邦第2巡回控訴審2019年7月9日判決)。
・Twitterでのトランプ大統領の批判ブロックは違憲--米裁判所|C-NET Japan

このC-NET Japanの報道によると、大統領にブロックされた複数のTwitterユーザーを代表してコロンビア大学のナイト憲法修正第1条研究所がトランプ大統領に対して提起したこの裁判では、同研究所は、トランプ氏がユーザーをブロックする行為について、「指定されたパブリック・フォーラム」への参加に対して、違憲状態の制限を強要するものだ」と主張したとのことです。

これに対して2019年7月9日の米連邦第2巡回区控訴裁判所は、「米憲法修正第1条は、あらゆる種類の公的目的にソーシャルメディアアカウントを利用する政治家・官僚は、開かれたオンライン上の会話となるはずの場から、政治家・官僚が同意しない意見を表明したからという理由で、ユーザーを排除することを許可しない」として、トランプ氏のTwitter上の反対派ユーザーのブロックは米合衆国憲法修正1条の言論の自由に反して違憲であるとし、第一審判決を支持する興味深い判決を出しています。

アメリカ合衆国憲法
修正第1条(信教・言論・出版・集会の自由、請願権)
連邦議会は、国教を定めまたは自由な宗教活動を禁止する法律、言論または出版の自由を制限する法律、 ならびに国民が平穏に集会する権利および苦痛の救済を求めて政府に請願する権利を制限する法律は、これを制定してはならない。

7.「パブリック・フォーラム」論
ここで登場するパブリック・フォーラムとは、道路・広場・公園などのように、交通や憩いの場というだけでなく、人々が自由に交流し会話や表現などを行う場所のことです。表現のためにはこのような表現の空間の確保は不可欠であり、このような場所を、その場所・施設などの管理者の管理権などを理由に安易に国民の利用を制限することは、表現の自由への規制につながります。

この点、アメリカの判例は、政府の所有・管理する施設①道路・広場・公園などの「伝統的なパブリック・フォーラム」②表現のために特に設置された公会堂等の「指定されたパブリック・フォーラム」③上記いずれにも該当しない場所である「非パブリック・フォーラム」、の3つに分類しています。

そしてアメリカの判例は、①の「伝統的なパブリック・フォーラム」における表現の自由の法律などによる規制・制限は裁判所の厳格な審査が適用され、②の「指定されたパブリック・フォーラム」については設置・維持については管理者の裁量であるが、設置した場合には①の伝統的なパブリック・フォーラムと同様に裁判所の厳格な審査が適用されるとしています。また、③の「非パブリック・フォーラム」については国民の表現のために利用させるか否かは管理者の裁量であるが、しかしその「見解」や表現内容による差別を管理者はしてはならないとアメリカの判例はしています。

さらに、例えば自治体の掲示板や広報誌などのコラム欄を市民に開放する場合などは、当該場所・空間は「指定されたパブリック・フォーラム」に該当すると解されています(高橋和之『立憲主義と日本国憲法 第5版』252頁)。

トランプ氏のTwitterのブロックに関する本判決は、本来は政府の施設などに関するパブリック・フォーラム論を民間企業であるTwitter社に援用し、政治家・官僚などが「あらゆる種類の公的目的にソーシャルメディアアカウントを利用する」場合には、当該SNSのアカウントは「開かれたオンライン上の会話の場」(パブリック・フォーラム)となり、「政治家・官僚が同意しない意見を表明したからという理由で、ユーザーを排除すること」つまり政治家・官僚SNSにおける「ブロック」は、憲米合衆国憲法修正1条の「言論の自由」を侵害する違憲なものであると判断したものであり、非常に画期的な判決であるといえます。

(なお、このアメリカのトランプ氏の裁判は、米合衆国最高裁判所において、トランプ氏が2021年に大統領でなくなったことを受けて訴えの利益が失われたとして却下されています。)

この表現の自由に関するパブリック・フォーラム論は、日本でも京王電鉄の吉祥寺駅構内において、京王電鉄の許可なしに市民がビラ配布などを行った表現行為が鉄道営業法35条(無許可の演説)、刑法130条(不退去罪)に該当するか否かが争われた事件において、1984年の最高裁判決は憲法21条1項の表現の自由も無制約ではないとして当該市民への鉄道営業法、刑法の適用を認めたものの、伊藤正己裁判官補足意見においてパブリック・フォーラム論に言及したことが大いに社会的注目を集めました(最高裁昭和59年12月18日判決)。

すなわち、伊藤裁判官の補足意見はつぎのように述べています。

「道路、公園、広場などの「一般公衆が自由に出入りできる場所は、それぞれその本来の利用目的を備えているが、それは同時に、表現のための場として役立つことが少なくなく…これを「パブリック・フォーラム」と呼ぶことができよう。このパブリック・フォーラムが表現の場所として用いられるときには、所有権や、本来の利用目的のための管理権に基づく制約を受けざるを得ないとしても、その機能にかんがみ、表現の自由の保障を可能な限り配慮する必要がある。」

もとより、道路のような公共用物と…(私鉄の鉄道会社の敷地などの)私的な所有権、管理権に服するところとは、性質に差異があり、同一に論ずることはできない。しかし、後者にあっても、パブリック・フォーラムたる性質を帯有するときには、表現の自由の保障を無視することができないのであり、…前述の考量の結果、表現行為を規制することが表現の自由の保障に照らして是認できないとされる場合がありうる。

このように、アメリカの判例のパブリック・フォーラム論は、政府・公的機関の所有・管理する場所での表現の自由に関するものであるのに対して、日本の伊藤裁判官の補足意見のパブリック・フォーラム論は、国・自治体や公的機関の所有・管理する場所であるかどうかではなく、表現が行われる場所・空間が「公開された場所・空間」かどうかという性質に着目し、表現の自由や集会の自由の制約に関する比較衡量を行おうとしている点に大きな意義があるといえます(平地秀哉「駅構内でのビラ配布と表現の自由」『憲法判例百選Ⅰ 第7版』126頁)。

·この伊藤裁判官のパブリック・フォーラム論は、京都府の勤労会館における集会の自由が争われた京都地裁平成2年2月20日判決(京都府勤労会館事件)でも採用され、その後、同じく公民館における集会の自由に関する泉佐野市民会館事件(最高裁平成7年3月7日判決)上尾市福祉会館事件(最高裁平成8年3月15日判決)や、公共施設だけでなく民間企業のホテルにおける集会の自由に関するプリンスホテル日教組会場使用拒否事件(東京高裁平成22年11月25日判決)など、公的施設だけでなく民間の私的な開かれた場所・空間における集会の自由・表現の自由をできるだけ保障しようとする日本の判例のスタンスに受け継がれています(野中俊彦・中村睦男・高橋和之・高見勝利『憲法Ⅰ 第5版』365頁、367頁)。

8.まとめ
このような日本やアメリカの憲法、とくにアメリカのトランプ氏のTwitterのブロックに関する控訴審判決などを見てみると、もし日本でも河野太郎大臣などに対してブロックされたユーザー・国民から同様の訴訟が裁判所に提起された場合に、日本の裁判所がどのような判断を行うのか多いに気になるところです。

従来、パブリック・フォーラム論については政府・公的機関の施設・場所などを対象にしてきたアメリカの裁判所ですら、Twitter社などの民間企業のSNSにおける政治家・官僚のアカウントについてはパブリック・フォーラムに該当するとして、政治家・官僚が反対派のユーザーのブロックを表現の自由の侵害で違憲との判断をしたのであり、パブリック・フォーラム論について政府・公的機関の施設・場所なのか民間の施設・場所なのかの違いを重視せず、公開された場所における表現の自由などを保障しようとする日本の裁判所では、より河野大臣などに不利な判決がでる可能性も無きにしもあらずなのではないでしょうか。

上でも見たように、表現の自由、言論の自由は憲法が保障する基本権人権のなかでも、国民が政治に参画するための前提の人権という点で、民主主義国家において特に重要な人権です。そして、河野太郎氏は行政のトップの内閣の大臣であり、河野氏のTwitterアカウントは国民に開かれた議論の場であるだけでなく、行政や政治に関する国民の「知る権利」からも極めて重要な場所・空間であるからです。

日本の憲法や情報法などに関する法律学の学者や法律家の先生方や、SNSの運営などを行うIT企業の実務家の方々、政治家・官僚などの方々などの、今後のこの問題に関するご見解・コメントなどにも大いに注目したいと思います。

■追記(9月9日)
このブログ記事に対しては、情報法、知的財産権法やITがご専門の弁護士の足立昌聰先生(@MasatoshiAdachi)などから、民間企業であるTwitterなどSNSにおける表現の自由の問題の難しさなどに関して、8日夜に貴重なご教示・ご感想をいただきました。足立先生、誠にありがとうございました。

トランプ氏とSNSの問題に関しては、2021年1月の米議会襲撃事件を受けて、TwitterやFacebookなどは相次いでトランプ氏のアカウントをBANして永久追放としました。このようなSNS各社の動きに対しては、ドイツのメルケル首相が「表現の自由はとても重要で、それを規制できるのは議会の立法だ。」と述べたことが社会的に注目されました。

・メルケル独首相のツイッター社等のトランプ氏追放への「苦言」を考える-表現の自由・憲法の構造

Twitterなど民間企業であるSNSにおける表現の自由、情報社会におけるSNSと政治の問題などは、今日的な非常に難しい問題であると思われます。

■追記(9月15日・河野大臣のTwitter上のブロックを憲法の統治の部分から考える)
ネット上で、この私のブログについて、ある方より、「憲法43条1項など、憲法の統治の部分からもこの問題を論じてみては」との貴重なご指摘をいただきました。

憲法の統治の部分から考えても、河野大臣は衆議院議員でもありますが、国会議員は「全国民の代表」です(憲法43条1項)。つまり選挙で当選して一度国会議員になったのであれば、支持者達の意見ばかりでなく、反対派や批判的な国民の意見にも十分耳を傾け、国会議員として少数意見にも配慮した熟議を行い、全国民のためになるような国会議員としての活動を行わなければなりません。そのため、河野大臣が大臣としてTwitter社から公認マークを受けているTwitterアカウントにおいて、自分に批判的な意見の国民を大量にブロックすることは憲法43条1項の「全国民の代表」にも違反しています。

また、河野大臣は大臣ですので公務員ですが、「すべて公務員は全体の奉仕者であって一部の奉仕者ではない」憲法15条2項、国家公務員法96条1項)と規定されているとおり、その公務には公平性・中立性が憲法レベルで要求されるので、河野大臣が大臣としてのTwitterアカウントにおいて批判的意見の国民を大量にブロックすることは、これも大臣としての公務に要求される公平性・中立性を遵守しておらず、自身の支持者の国民に対してのみ「一部の奉仕者」として職務を行っているものであり、これも憲法15条2項、国家公務員法96条1項に違反しているものと思われます。

このように、河野大臣がTwitterで自身に批判的な国民を大量にブロックしていることは、憲法43条1項、15条2項に違反しているなど、日本国憲法の統治に関する部分からも大きな問題をはらんでいるといえます。

■関連する記事
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・東京医科大学の一般入試で不正な女性差別が発覚-憲法14条、26条、日産自動車事件
・懐風館高校の頭髪黒染め訴訟についてー校則と憲法13条・自己決定権
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権

■参考文献
・芦部信喜・高橋和之補訂『憲法 第7版』111頁、180頁
・高橋和之『立憲主義と日本国憲法 第5版』252頁
・野中俊彦・中村睦男・高橋和之・高見勝利『憲法Ⅰ 第5版』365頁、367頁
・山本龍彦・横大道聡『憲法学の現在地』139頁
・安西文雄・巻美矢紀・宍戸常寿『憲法学読本』93頁
・平地秀哉「駅構内でのビラ配布と表現の自由」『憲法判例百選Ⅰ 第7版』126頁

























このエントリーをはてなブックマークに追加 mixiチェック

デジタル庁トップページ
1.デジタル庁のウェブサイト
9月1日から正式に発足したデジタル庁は、サイト作成や運用にSTUDIO株式会社というベンチャー企業の「コード不要」というSTUDIOというサービスを利用して同庁サイトの作成や運用を行っていますが、STUDIO社のプライバシーポリシーは個人情報保護法違反の部分があり、また同社の利用規約は「当社システムは高度な安全性はない」と明示しています。つまり、デジタル庁(および内閣IT戦略室)は厚労省のCOCOAの件などと同様に、委託先の選定等の安全確保措置を十分に実施していない行政機関個人情報保護法6条違反の可能性があります。

2.STUDIO社の利用規約
ITmediaニュースなどの報道によると、デジタル庁のサイトは、ベンチャー企業のSTUDIO株式会社のSTUDIOという「コード不要」なシステムで作成されているようです。同社サイトをみると、主に個人事業主や中小企業向けのサービスのようですが。「コード不要」とは、いかにも新しいものがお好きな平井大臣が好みそうなサービスですが、共同入札などの正式な手続きは経ているのでしょうか?
・デジタル庁発足 公式サイトにITエンジニアから反応続々「シンプル」「重い」「ロゴが丁寧」「苦労が見える」|ITmediaニュース

この点、ある方の9月1日のツイッターの投稿によると、デジタル庁のサイトの利用者のログやブラウザ情報、端末データなどの個人データはやはりSTUDIO社のサーバーに送信されているようであり、STUDIO社がデジタル庁サイトの運営を委託されていることは間違いないようです。

デジタル庁のサイトのサーバー

また、サイトを作成さえすればドメイン、サーバなどはS社が一括管理と説明されていますが、中央官庁サイトの安全管理措置などには十分対応できるのでしょうか。

スタジオ社
(STUDIO社サイトより)
https://studio.inc/

そこでSTUDIO社の利用規約をみると、IT企業の利用規約のよくあるパターンで、利用規約9条(保障・免責)の各号では「本サービスの利用による保障はしないし、責任も負わない」旨を明示しています。
・利用規約・プライバシーポリシー・特定商取引法上の表記|STUDIO

スタジオ1

とくに利用規約9条4項は、STUDIOのサービス・システムは「本サービスは高度の安全性が要求され…重大な損害が発生する用途には設計しておりません」と明示しています。中央官庁であるデジタル庁のサイトは、「高度な安全性」が必要だと思うのですが、これはまずいのではないでしょうか?
スタジオ社利用規約9条4項

この点、デジタル庁などの行政機関に適用される行政機関個人情報保護法6条は行政機関とその委託先に個人データの滅失・毀損・漏洩などが発生しないように安全確保措置を講じることを要求しています。

行政機関個人情報保護法6条
これを受けて、総務省総管情第84 号・平成 16 年9月14 日通知「行政機関の保有する個人情報の適切な管理のための措置に関する指針について(通知)」「第8 保有個人情報の提供及び業務の委託等」4項は、行政機関が委託を行う際は、委託先が安全確保の能力があることを事前に確認し、年1回以上の立入検査の実施、個人データの利用の制限や障害対応、秘密保持条項、障害対応、損害賠償、再委託の制限などを明記した契約書を締結しなければならない等と規定しています(岡村久道『個人情報保護法 第3版』430頁)。

総務省安全確保指針
・「行政機関の保有する個人情報の適切な管理のための措置に関する指針」及び「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」の改正|総務省

にもかかわらず、利用規約において「当社のサービスは高度の安全性が要求される用途のためには設計されていない」と明記しているSTUDIO社にサービスやシステムの運用を委託しているということは、デジタル庁およびその前身の内閣IT戦略室は、個人データを取り扱う情報システムの委託について、委託先が安全確保の能力があることを事前に確認するなどの安全確保措置を十分に講じておらず、行政機関個人情報保護法6条および総務省「「行政機関の保有する個人情報の適切な管理のための措置に関する指針」第8第4項などに違反しているのではないでしょうか?

この点に関しては、コロナの接触確認アプリCOCOAのシステム開発の委託においても厚労省や内閣IT戦略室が杜撰な委託を行っていたことが発覚したばかりであり、また、今年春にはLINE社のLINEが個人情報や通信の秘密の杜撰な安全管理を行っており、かつLINE社が国・自治体に対して繰り返し「LINEの日本の個人データは日本のサーバーに保存されている」等と虚偽の説明を行い、国・自治体がこの説明を鵜呑みにして立入検査・実地検査などをしてLINE社が安全管理措置を本当に講じているかどうか確認を行わず、安全確保措置を講じていないという行政機関個人情報保護法6条などの違反などを行っていたことが発覚したばかりなのにです。

デジタル庁や内閣IT戦略室などは、高度な法令順守・コンプライアンスが要求される国の機関であるにもかかわらず、このような度重なる行政機関個人情報保護法6条の違反を漫然と繰り返していることは、「法の支配」や法治主義、「法律による行政の原則」、「法律による行政の民主的コントロールの原則」(憲法41条、65条、76条)の観点から非常に問題なのではないでしょうか。国・行政がコンプライアンス意識を無くし、憲法や法律を無視するようになっては、国民から選挙で選ばれた国会の法律で行政を民主的にコントロールしようという議会制民主主義が破綻してしまいます。

総務省や個人情報保護委員会などは、デジタル庁や内閣IT戦略室などに対して法律を守れと指導・勧告等を実施すべきではないでしょうか。

3.STUDIO社のプライバシーポリシー
なお、STUDIO社のプライバシーポリシーについても簡単にみてみると、利用者のcookieや端末情報、操作ログなどの個人データを収集・利用するとあるのはある意味当然ですが、STUDIO社はプライバシーポリシー6条で、それらの個人データの共同利用(個人情報保護法23条5項3号)を行うとしているのに、共同利用を行う者の範囲、利用される個人データの項目、共同利用の利用目的などが同社サイトにどこにも明示されてないのは個人情報保護法23条5項3号違反です(岡村久道『個人情報保護法 第3版』264頁)。

スタジオプライバシーポリシー共同利用

また、STUDIO社のプライバシーポリシー9条は、開示・削除・利用停止等の請求の手続や手数料などについては「当社が別途定める所定の方式により」としていますが、肝心のこの別記がサイト上にどこにも掲載されてないのは、個人情報保護法27条1項3号違反です(岡村・前掲295頁)。個人情報保護委員会はSTUDIO社やデジタル庁などに対して指導・勧告などを実施すべきではないでしょうか(法40条、41条、42条)。

このようにSTUDIO社は、プライバシーポリシーについても個人情報保護法違反が複数存在します。同社にサイトの作成や運用を委託したデジタル庁・内閣IT戦略室が委託先の選定などの安全確保措置に関していかに杜撰であるかがここにも見受けられます。

デジタル庁は日本の国・自治体のデジタル行政を所管する官庁のはずなのに、行政機関個人情報保護法や個人情報保護法などの法律の素人しか存在しないのでしょうか?それ以前に国の官庁なのに法令を遵守して業務を行おうというコンプライアンス意識が非常に低いように見受けられるのは非常に心配です。

個人情報保護法は「個人情報の有用性に配慮しつつ、個人の権利利益を保護」(法1条)とし、また「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべき」(法3条)との立法目的・趣旨を明記しています。

国・自治体のデジタル化は重要です。しかし、国民の個人の尊重と基本的人権の確立(憲法13条)と、「個人の権利利益を保護」、「個人の人格尊重の理念」(個人情報保護法1条、3条)、つまり国民の人権保障という憲法や個人情報保護法の基本理念を大原則として、デジタル庁はコンプライアンス意識を持ってデジタル行政を企画立案、実施していただきたいと思います。

デジタル庁は民間のITスタートアップ企業ではなく、国の行政官庁であり、その大臣や職員は公務の中立性・公平性とともに法令順守が要求され(国家公務員法96条1項、98条1項、憲法15条2項)、憲法尊重擁護義務(憲法99条)を負うのですから。

■追記(9月4日)
9月3日のマスメディア各社の報道によると、デジタル庁デジタル監の石倉洋子氏が、画像素材サイト「PIXTA」の複数の画像を、同サイトから購入せずに自身のウェブサイトに勝手に掲載していたとのことです。同サイトからの申し出に対して石倉氏はこの事実を認め、自身のサイトを閉鎖したとのことです。これにはさすがに呆れてしまいました。

1630756714318
(石倉洋子氏のTwitterより)

石倉氏は経営学者であり、ITや情報法などの専門家ではないが、2000年代からTwitterやFacebookなどを利用しておりITリテラシーの高い人物である」と、石倉氏を高く評価する投稿が9月になってからTwitter上で多く見られたところですが、画像素材サイトの画像を購入せずに勝手にパクって自分のサイトに掲載するとは、石倉氏の「ITリテラシー」は最低です。

デジタル庁は国・自治体のデジタル政策を担う官庁であり、その業務のためには、ITの知識やノウハウだけでなく、著作権法などの知的財産権法や個人情報保護法制や憲法、行政法、独禁法や消費者法などの法律知識は必須のはずですが、事務方トップの石倉氏はこのような素人レベルな法律知識で、デジタル庁の役職員の業務に違法・不当がないか監督できるのでしょうか? 多いに疑問です。

平井大臣の特定企業との癒着の問題や、NECを「徹底的に干せ」「脅せ」などとヤクザのような暴言を吐いていた問題や、アメリカの性犯罪者の富豪から多額の寄付金を受けていた伊藤譲一氏のデジタル監の人事の問題など、デジタル庁や菅政権はとにかく憲法や法律・モラルを遵守しようというコンプライアンス意識が致命的に欠落しています。

デジタル庁は、デジタル行政の業務を始める前に、まずは大臣やデジタル監をはじめとする全役職員が、憲法や国家公務員法、国家公務員倫理法や、個人情報保護法、知的財産権法、独占禁止法などの法令の基礎に関する全庁的なコンプライアンス研修を実施すべきではないでしょうか。

このままでは、デジタル庁は、役職員が「法令を守っていては日本は潰れる」などと嘯いて官民のデジタル利権を牛耳って、中抜きで私腹を肥やす経済マフィアのような組織になっていまいます。

■関連する記事
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関する有識者委員会の第一次報告書をZホールディンクスが公表
・新型コロナの接触確認(感染追跡)アプリ(COCOA)の内閣府の仕様書を読んでみた
・コロナ禍の緊急事態宣言で国民の私権制限をできないのは憲法に緊急事態条項がないからとの主張を考えた

■参考文献
・岡村久道『個人情報保護法 第3版』264頁、295頁、430頁
・宇賀克也『個人情報保護法の逐条解説 第6版』179頁、432頁



















このエントリーをはてなブックマークに追加 mixiチェック

面接
1.朝日新聞の「ウェブ面接で「部屋着見せて」 就活セクハラ、対策は」
2021年8月22日付の朝日新聞の「ウェブ面接で「部屋着見せて」 就活セクハラ、対策は」という記事がネット上で注目されています。
・ウェブ面接で「部屋着見せて」就活セクハラ、対策は|朝日新聞

この記事によると、コロナ禍における就活のウェブ面接において、採用選考を行う企業の人事部やリクルーターなどが、就活生に対して「部屋着を見せて」「部屋の様子も見せて」などとセクハラ・パワハラ的な要求を行う事例が発生しているとのことです。

またツイッター上では、この問題に関連して、ウェブ面接において本棚の本などに関して企業の面接担当より「そのような本は当社にあなたが入社した際に何の役にたつの?」などと、採用選考と関係のない嫌がらせのような質問をされたなどの事例も投稿されています。

このような企業の人事部やリクルーターなどのウェブ面接での行為は、セクハラ・パワハラに該当するおそれがあり、また企業による就活生・求職者などに対するプライバシー権侵害として不法行為による損害賠償責任を企業が負う可能性もあります(民法709条、憲法13条)。

2.職業安定法5条の4・労働省告示平成11年第141号が禁止する個人情報の収集
昔の最高裁の判決には、求人を行う企業側が求職者等の思想・信条に関する情報を収集することは違法ではないとする判決も存在します(最高裁昭和48年12月12日判決・三菱樹脂事件)。しかしこの判決は当時においても社会的批判を受け、就活生や求職者の採用選考に関する職業安定法は立法により求人を行う企業などの情報収集に法規制を設けています。

つまり、職業安定法5条の4(求職者等の個人情報の保護)は、求人を行う企業、人材紹介会社、ハローワークなどは、就活生・求職者等の個人情報に関して、「個人情報を収集し、保管し、又は使用するに当たつては、その業務の目的の達成に必要な範囲内で求職者等の個人情報を収集し、並びに当該収集の目的の範囲内でこれを保管し、及び使用しなければならない。」と規定しています。

つまり、求人を行う企業や人材紹介会社などは、就活生・求職者などから無制限に個人情報を収集することは許されず、当該求人を行う企業の「業務の目的の達成に必要な範囲内」でのみ求職者等の個人情報を収集し保存・利用することが許されています。

そして求人を行う企業や人材紹介会社などは、個人情報保護法15条に基づき、就活生などから個人情報を収集する際の個人情報の利用目的を特定し、同法18条に基づきその利用目的などをあらかじめ就活生などに対して通知・公表しなければなりません。

また、この職業安定法5条の4に関連して厚労省は、労働省告示平成11年第141号(以下「労働省告示」という)という通達を出しています。
・職業紹介事業者、労働者の募集を行う者、募集受託者、労働者供給事業者等が均等待遇、労働条件等の明示、求職者等の個人情報の取扱い、職業紹介事業者の責務、募集内容の的確な表示等に関して適切に対処するための指針(平成11年労働省告示第141号)|厚労省

この労働省告示は「第4 法第5条の4に関する事項(求職者等の個人情報の取扱い)」において、つぎのように、①人種、民族、社会的身分、門地、本籍、出身地その他社会的差別の原因のおそれのある事実②思想および信条③労働組合への加入状況などの個人情報の収集を禁止しています。

そして厚労省の「公正な採用選考の基本」は、求職者等の個人情報の収集に関して「(3)採用選考時に配慮すべき事項」においてさらに詳しい説明を行っています。
・公正な採用選考の基本|厚労省

厚労省「公正な採用選考の基本」
(3)採用選考時に配慮すべき事項
次のaやbのような適性と能力に関係がない事項を応募用紙等に記載させたり面接で尋ねて把握することや、cを実施することは、就職差別につながるおそれがあります。

<a.本人に責任のない事項の把握>
本籍・出生地に関すること (注:「戸籍謄(抄)本」や本籍が記載された「住民票(写し)」を提出させることはこれに該当します)
家族に関すること(職業、続柄、健康、病歴、地位、学歴、収入、資産など)(注:家族の仕事の有無・職種・勤務先などや家族構成はこれに該当します)
住宅状況に関すること(間取り、部屋数、住宅の種類、近郊の施設など
生活環境・家庭環境などに関すること

<b.本来自由であるべき事項(思想信条にかかわること)の把握>
宗教に関すること
支持政党に関すること
人生観、生活信条に関すること
尊敬する人物に関すること
思想に関すること
労働組合に関する情報(加入状況や活動歴など)、学生運動など社会運動に関すること
購読新聞・雑誌・愛読書などに関すること

<c.採用選考の方法>
身元調査などの実施 (注:「現住所の略図」は生活環境などを把握したり身元調査につながる可能性があります)
・合理的・客観的に必要性が認められない採用選考時の健康診断の実施


したがって、朝日の記事にあった、「部屋着を見せて」などの企業側の要求は、この「採用選考の基本」が禁止する「生活環境・家庭環境に関する情報の収集」に抵触する違法な要求と思われますし、「部屋のなかをよくみせて」などの要求も「住宅状況に関する情報の収集」や「生活信条に関すること」などの規定に抵触する違法なものと思われます。また、冒頭であげた、部屋のなかの本・雑誌・CDなどに関する企業側の質問なども、「採用選考の基本」が禁止する「購読新聞・雑誌・愛読書など」、「人生観、生活信条」、「思想」、「尊敬する人物」などに関する情報収集に該当し違法です。

さらに労働省告示は、求人を行う企業や人材紹介会社などは、就活生・求職者から個人情報を収集する場合には、本人から直接収集するか、または本人の同意の下で本人以外の者から収集しなければならないなど、個人情報の収集の方法も適切かつ公平な手段で行われなければならないと規定しています。(そのため、GithubやSNSなどネット上の個人情報を勝手に収集して人材紹介ビジネスを行っている、HackerBase JobsやLAPRASなどのネット系・AI系人材紹介会社のビジネスモデルはこの点に抵触し違法であると思われます。)

なお、労働省告示は、上であげた個人情報の収集の制限に関して、「ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りでない」とのただし書きを置いています。しかし労働法の実務書は、一般企業においてこのただし書きが適用される場合は少ないとしています(大矢息生・岩出誠・外井浩志『会社と社員の法律相談』53頁)。

加えて、求人を行う企業や人材紹介会社などは、収集した個人情報については滅失・毀損・漏えいなどが発生しないように安全管理措置を講じることが要求されます。加えて求人を行う企業や人材紹介会社などが就活生等の秘密に係る個人情報を知った場合はこれを厳重に管理しなければならないと規定されています。(そのため、2019年の就活生の内定辞退予測データの授受を行っていたリクナビ事件の、リクルートキャリアやトヨタなどはこの点にも違反しています。)

3.職業安定法5条の4・労働省告示平成11年第141号に違反があった場合
求人を行う企業や人材紹介会社等が、上でみたような職業安定法5条の4や労働省告示に違反があった場合、当該企業などは厚労省から改善命令を受ける場合があります(職業安定法48条の3)。また、当該企業が改善命令に違反した場合は、6か月以下の懲役または30万円以下の罰金の罰則を科せられる場合があり、これは両罰規定となっています(法65条7号、法67条)。

さらに、求人を行う企業や人材紹介会社などから上のような行為を行われた就活生や求職者などは、ハローワークや都道府県労働局、労基署などを通じて厚生労働大臣に申告を行い、厚生労働大臣に必要な調査や措置を行わせることができます(法48条の4)。

加えて、このような企業などによる違法な個人情報の収集などが行われた場合は、当該企業は不法行為に基づく損害賠償責任を負う法的リスクがあります(東京地裁平成15年5月28日判決・東京都警察学校・警察病院HIV検査事件など)。

いずれにせよ、就活生や求職者に対して採用選考の場面で上のようなセクハラ・パワハラ的な行為、プライバシー侵害や違法な個人情報の収集などを行うような企業は、もし就活生などが採用されたとしても、職場でセクハラ・パワハラや労働法違反、法令違反などが横行しているブラック企業である可能性が高いのではないでしょうか。就活生や求職者の方々は、ウェブ面接などで上のような違法・不当な被害を受けた場合は、その企業への就職は辞退したほうがよいかもしれません。

■関連する記事
・人事は就活生のSNSを見ているのか?-就活と個人情報
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・Github利用規約や厚労省通達などからSNSなどをAI分析するネット系人材紹介会社を考えた
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

■参考文献
・菅野和夫『労働法 第12版』69頁
・浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁
・大矢息生・岩出誠・外井浩志『会社と社員の法律相談』53頁
・労務行政研究所『新・労働法実務相談 第2版』45頁
・公正な採用選考の基本|厚労省













このエントリーをはてなブックマークに追加 mixiチェック

法務省1
法務省が最近、「Myじんけん宣言」という政策(?)を実施しているようです。
・Myじんけん宣言|法務省

この「Myじんけん宣言」ページの説明を読むと、つぎのようになっています。

「人権は、誰にとっても身近で大切なものです。「人権」を難しく考えずに、「Myじんけん宣言」をして、誰もが人権を尊重し合う社会を、一緒に実現していきましょう。」

「「人権」を難しく考えずに」という、まるで怪しい金融商品の薄っぺらい営業トークのような言い回しがいきなり気になりますが、とにかくこの法務省の「Myじんけん宣言」とは、法人・団体・個人が「難しいことを考えずに」、「自らが取り組む人権課題を宣言」するもののようです。

ところで、この「Myじんけん宣言」ページの法人向けのページをみると、「宣言の内容は自由ですが、世界人権宣言や、「ビジネスと人権に関する国内行動計画」を参考に、宣言を行ってください。」と説明がされており、なぜか日本国憲法については言及されていないことが謎です。

法務省2
そして、この法人向けページの下のほうには世界人権宣言、「ビジネスと人権に関する国内行動計画」、「心のバリアフリー」の3つのページへのリンクが貼られていますが、ここにも日本国憲法へのリンクが貼られていません。法務省としては、「Myじんけん宣言」政策において、日本の法人・団体・個人に日本の最高法規たる日本国憲法の存在を何とか忘れてほしいのでしょうか?

法務省3

さらに、「Myじんけん宣言」ページをみると、上川陽子法務大臣のつぎの「Myじんけん宣言」も掲載されています。

「誰もが人権を尊重し合い、SDGsが掲げる「誰一人取り残さない」社会を実現するためには、 一人一人が人権尊重の意識を持ち、行動する必要があります。」

「多様性を認め、包摂性のある「誰一人取り残さない社会」を目指し、力を合わせて取り組んでまいりましょう。法務大臣 上川陽子」

法務省4
法務省5

この上川大臣の「Myじんけん宣言」も、人権宣言をするはずなのに、日本国憲法は登場せず、そのかわりに「SDGsの掲げる「誰一人取り残さない」社会の実現」というまるで経産省、金融庁、デジタル庁かのような言い回しが登場しています。

法務省が「Myじんけん宣言」政策にあたり、国民の基本的人権を定めた日本国憲法を無視して、SDGsや世界人権宣言、「ビジネスと人権に関する国内行動計画」などを全面に押し出しているのは何故なのでしょうか。

フランス革命・アメリカ独立戦争などの18世紀以降の西側自由主義諸国の「近代」における近代憲法は、国民の基本的人権の条項、国家(統治機構)のしくみに関する条項、そして「国家権力を憲法・法律によって歯止めをかけることにより国民の人権や権利利益を守る」という立憲主義の考え方が取り入れられていることに特色があります。わが国の日本国憲法もこの近代憲法の一つです。

しかし、法務省や政府与党は、このような憲法の基本的人権や立憲主義などの「難しいこと」を国民・法人に忘れてもらって、SDGsなどの経済政策の一環として、ふんわりとした耳触りの良い「じんけん」を、「人間はお互いゆずりあって幸せに生きましょう」的な、マナー道徳的なものにすり替えて日本社会に普及させようとしているのではないでしょうか。

繰り返しになりますが、日本の現行憲法を含む西側自由主義諸国の近代憲法(あるいはポスト近代憲法)は、「国家権力の暴走を法で防止し、もって国民の権利利益を守る」という立憲主義を原則としています。

つまり近代憲法における基本的人権とは、例えば表現の自由などの精神的自由がそうであるように、まずは国家権力の検閲などの規制により国民の表現の自由・権利が違法・不当に制限されないこと、つまり「国家からの自由」が最も重要です。そして、生存権、教育を受ける権利などの社会権も、国家により国民の社会権がきちんと守られることが重要です。

つまり憲法とは「国家」を名宛人とした法であり、国家に国民の人権を守れと命令する法です。日本国憲法99条は、大臣、国会議員などの公務員に対して憲法尊重擁護義務を課していますが、国民に対してはこの義務を課していないことは、端的にこのことを表しています。
日本国憲法
第99条 天皇又は摂政及び国務大臣、国会議員、裁判官その他の公務員は、この憲法を尊重し擁護する義務を負ふ。

にもかかわらず、法務省の「Myじんけん宣言」は、政府・国会・自治体などが守るべき人権の宣言ではなく、個人・法人に対して「自らが取り組むべき人権の課題」を宣言させる仕組みとなっているのは、国家が国民の人権を守るべきところを、人権の問題を国民同士の問題にすり替えており、これは近代憲法や立憲主義、基本的人権などの基本的な理解を完全に間違っています。

つまり、法務省など政府は、このような国民の憲法や基本的人権の理解を間違った方向にミスリードする「Myじんけん宣言」政策を実施するのではなく、まずは中央官庁が、例えば法務省ならば、「法務省は憲法や法律を遵守し、入管行政や人権擁護行政において、国民や外国人の生命・身体の安全などの基本的人権を守ることを誓います」等と「自省の人権宣言」を制定し公表すべきではないでしょうか。

最近の法務省は入管行政において、収監している外国人の人々を非人道的に扱い、死者も出ていることが国内外からの大きな社会的批判を招いています。上川大臣をはじめとする法務省の役職員達は、「Myじんけん宣言」の前に、まずは日本国憲法の初歩を勉強するべきなのではないでしょうか。

なお最後に、上川大臣の「「多様性を認め、包摂性のある「誰一人取り残さない社会」を目指し、力を合わせて取り組んでまいりましょう。」との「Myじんけん宣言」は、国家が国民の人権を守るのではなく、人権の問題を国民同士の問題にすり替えていることが大問題であるだけでなく、「「誰一人取り残さない社会」へ力を合わせて取り組んでいきましょう」と、日本をはじめとする西側自由主義諸国の近代憲法の原則の一つである「個人主義」でなく、まるで「国家の基礎単位は家族である」とする2012年に公表された自民党憲法改正草案のような集団主義・全体主義・国家主義のような国家観を前提にしているようなことも大いに気になるところです。

■関連する記事
・コロナ禍の緊急事態宣言で国民の私権制限をできないのは憲法に緊急事態条項がないからとの主張を考えた
・赤羽一嘉国交大臣の「内閣には臨時国会を開く権限はない」ツイートとその後の釈明ツイートがひどい件
・コロナ対策のために患者の入院制限を行う菅内閣の新方針について考えた
・西村大臣の酒類販売事業者や金融機関に酒類提供を続ける飲食店との取引停止を求める方針を憲法・法律的に考えた
・「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた
・自民党憲法改正草案の緊急事態条項について考える













このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ