なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

カテゴリ: 個人情報保護法・情報法

kojinjouhou_rouei_businessman
1.尼崎市で全市民46万人分の個人情報漏洩事故
報道などによると、兵庫県尼崎市は、すべての市民約46万人分の個人情報の入ったUSBメモリを紛失したことを発表したとのことです。

・全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表|NHKニュース
・住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリーの紛失について|尼崎市
・兵庫県尼崎市における「個人情報を含むUSBメモリーの紛失」についてのお詫び|BIPROGY株式会社

報道や尼崎市サイトのプレスリリースによると、USBメモリには、すべての市民約46万人分の住民基本台帳統一コード・氏名・住所・生年月日・性別などのほか、住民税の額、生活保護の受給に関するデータなど機微な個人データも含まれていたとのことです。USBメモリは、新型コロナのための生活困窮世帯への臨時特別給付金の支給を尼崎市が委託した業者(BIPROGY株式会社(旧日本ユニシス))が紛失したとのことです。このUSBメモリは、業者が市の許可を得ずに個人情報を入れて持ち出し、大阪のコールセンターで個人データの移管作業を行った後、作業の終了後も個人データの消去を行わず、担当者が当該USBメモリを持ったまま飲食店で酒を飲み、当該USBメモリの入ったかばんを紛失したとのことです。これはUSBメモリの紛失や酒を飲んでかばんを紛失など、典型的な個人情報漏洩事故ですが、その被害が全市民約46万人分ということで驚いてしまいます。

2.尼崎市個人情報保護条例から考える
尼崎市個人情報保護条例をみると、第6条は尼崎市の行政部局(実施機関)は「保有個人情報の漏えい、滅失又はき損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない」として、いわゆる安全確保措置を講じなければならないことを義務付けています。また第7条は、尼崎市の役職員に対しても、業務上知り得た個人情報をみだりに他人に知らせてはならないなどの守秘義務を課しています。

さらに、おそらく尼崎市は同条例8条2項5号の「本人以外の者に保有個人情報を提供することが明らかに本人の利益になることが認められるとき」などの条項をもとに、本件の臨時特別給付金の支給業務を外部の民間業者に業務委託したものと思われます。

しかしこの場合にも同条例9条は、市の実施機関は外部業者などに個人情報に関する業務を委託する場合には、「当該保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求め」るなどの安全管理措置を講じなければならないと義務付けています。

この点、本件の尼崎市の個人情報漏洩事件は、報道などによると、①業者が市の許可を得ずUSBメモリで個人情報を持ち運んだこと、②業者の担当者は作業の終了後も個人データを消去せず、当該USBメモリをかばんに入れて飲食店で酒を飲み当該かばんとUSBメモリを紛失したこと、③尼崎市も当該業者の給付金業務の委託にあたり、漫然と全46万人分の住民基本台帳ネットのすべての個人データにアクセス可能な状況におき、すべての個人データをUSBメモリに入れて持ち出しを許していることなど、外部業者の安全管理措置違反(個人情報保護法23条)だけでなく、尼崎市の安全確保措置違反の責任は非常に重大です(尼崎市個人情報保護条例6条、7条、9条)。

IPA(独立行政法人情報処理推進機構)の公表している「情報セキュリティ10大脅威 2022」においては、「情報セキュリティ10大脅威(組織)」のなかの5番目にUSBメモリなどによる個人データの不正な持ち出しなどは例示されているとおり(44頁)、USBメモリなどによる個人データの不正な持ち出しは個人情報漏洩事故の典型的な事例ですが、公的機関として多くの個人データを預かる尼崎市の責任は重大であると思われます。

・情報セキュリティ10大脅威2022|IPA

尼崎市個人情報保護条例

(安全確保の措置)
第6条
実施機関(実施機関が個人情報を取り扱う事務(以下「個人情報取扱事務」という。)を実施機関以外のものに行わせる場合にあっては、当該個人情報取扱事務を行うものを含む。)は、保有個人情報の漏えい、滅失又はき損の防止その他の保有個人情報の適切な管理のために必要な措置を講じなければならない。

(従事者の義務)
第7条
個人情報取扱事務に従事する実施機関の職員又は職員であった者(前条に規定する場合にあっては、その個人情報取扱事務に従事している者又は従事していた者(以下「個人情報取扱事務従事者」という。)を含む。)は、その事務に関して知り得た個人情報の内容をみだりに他人に知らせ、又は不当な目的に利用してはならない。

(保有個人情報の提供を受ける者に対する措置要求)
第9条
実施機関は、第8条第2項第3号から第6号までに掲げる事由のいずれかに該当することを理由に保有個人情報を提供する場合において、必要があると認めるときは、当該保有個人情報の提供を受ける者に対し、提供に係る個人情報について、その利用の目的若しくは方法の制限その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を講ずることを求めるものとする。

3.損害賠償責任など
個人情報保護法制による行政法上の責任とは別に、今回被害にあった住民の方々に対しては尼崎市と委託を受けた業者は民事上の損害賠償責任を負うことになります。住民基本台帳ネットワークの業務を自治体から再々受託を受けた業者の従業員が住民票データを漏洩させた事件について、裁判所は不法行為に基づく損害賠償責任(原告一人につき1万5千円)を自治体に認めています(宇治市住民票データ漏洩事件・大阪高裁平成13年12月25日判決、宍戸常寿『新・判例ハンドブック 情報法』199頁)。

4.住基ネット訴訟・マイナンバー訴訟との関係
また、本個人情報漏洩事件は、自治体の保有する住基ネットの個人データから全住民の個人データが漏洩してしまったという点で、現在各地で係争されているマイナンバー訴訟に影響を与える可能性があります。

マイナンバー訴訟に先立つ、いわゆる住基ネット訴訟においては、住基ネットによる住民・国民の個人情報の収集・管理・利用は憲法13条が保障する個人の私生活上の自由などプライバシー権の侵害にあたるか否かが争点となりましたが、最高裁は、①住基ネットに保管される個人情報は氏名・住所など秘匿性が高い情報とはいえないこと、②情報システムの構築など情報セキュリティ上も法律上も住基ネットは適切な安全管理が施されていると審査を行い(構造審査)、国民・個人の私生活上の自由を侵害しているとはいえない、として原告側の訴えを退けています(最高裁第一小法廷平成20年3月6日判決、宍戸・前掲200頁、山本龍彦・横大道聡『憲法学の現在地』139頁)。

しかしこの住基ネット訴訟の最高裁判決では、最高裁は住基ネットは情報セキュリティ的にそして法的に堅牢であることを根拠の一つとして合憲判決を出しているわけですが、今回の尼崎市の個人情報漏洩事件では、条例や法律が杜撰に運用され、情報セキュリティや安全管理措置も適正に運用されず、全市民46万件もの個人データの漏洩を許してしまっています。

とくに今回の漏洩事件では、全住民46万人分の住民基本台帳統一コードもその他の個人データとセットで漏洩してしまっています。住民基本台帳統一コードはマイナンバー制度のマイナンバー(個人番号)に似て、国民一人に一つの番号を国が付番する性質のものであり、この番号があると国民の個人データの名寄せ・突合が簡単にできてしまい、不正なプロファイリングや信用スコアリングの危険があります。この尼崎市の個人情報漏洩事件は、マイナンバー訴訟などにも影響する可能性があるのではないでしょうか。

5.令和3年改正個人情報保護法
なお、令和3年改正個人情報保護法は、自治体や行政機関等に対しても、個人情報漏洩事故が発生した場合は、当該自己を自治体や行政機関等は、個人情報保護委員会に報告しなければならないと規定しています(法68条、冨安泰一郎・中田響『一問一答令和3年改正個人情報保護法』86頁)。おそらく尼崎市から警察とともに個人情報保護委員会に対しても、本件個人情報漏洩事故の報告が行われているものと思われます。

■追記
ITmediaニュースなどによると、記者会見中に尼崎市の担当者は、本事故で漏洩したUSBメモリにかかったパスワードの桁数をしゃべってしまったとのことです。これは情報セキュリティ的に二重三重に驚きです・・・。

・USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」|ITmediaニュース

■追記(6月24日)
尼崎市サイトによると、紛失していたUSBメモリが発見されたとのことです。
・紛失していたUSBメモリーの発見について(6月24日)|尼崎市

「現在、同メモリー内にある個人情報については、関係機関と協力しながら、調査を進めております。」とのことです。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・冨安泰一郎・中田響『一問一答令和3年改正個人情報保護法』86頁
・山本龍彦・横大道聡『憲法学の現在地』139頁
・宍戸常寿『新・判例ハンドブック 情報法』199頁、200頁

■関連する記事
・調布市の陥没事故の被害者住民の情報公開請求に係る個人情報の漏洩事件について考えた(追記あり)
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?













タグ :
尼崎市
個人情報
漏洩
住基ネット
security
privacy
パスワード
BIPROGY
amagasaki2022
日本ユニシス
このエントリーをはてなブックマークに追加 mixiチェック

ラインのアイコン
1.LINE社のLINE通知メッセージ
ネット上でLINEの「LINE通知メッセージ」は個人情報保護法的に大丈夫なのか?という声があがっています。

「LINE通知メッセージ」とは、郵便局(日本郵便)の「郵便局eお届け通知」などのメッセージが、郵便局等のアカウントを友だち追加していなくても勝手に突然届くサービスのことです。LINE社の説明サイト「LINE通知メッセージを受信する方法」などによると、本サービスは郵便局などの提携事業者から電話番号とメッセージを、委託されたLINE社が自社が保有する顧客個人データの電話番号と突合し、該当するユーザーに当該メッセージを送信するものであるそうです。またLINE社は該当するユーザーのユーザー識別符号を郵便局などの提携事業者に第三者提供するそうです。そしてユーザー本人はLINEの設定画面からこのユーザー識別符号の提供をオプトアウト手続きで停止することができるとされています。

結論を先取りしてしまうと、この「LINE通知メッセージ」は、①いわゆる委託の「混ぜるな危険」の問題(個人情報保護法27条5項1号)の違反②提携企業にユーザー識別符号をオプトアウト方式で提供するとなっていること等がプライバシーポリシーに明記がなく法27条2項違反、の2点で違法なのではないかと思われます。

2.委託の「混ぜるな危険」の問題
個人情報保護委員会(PPC)の個人情報保護法ガイドラインQA7-41は、委託に伴って委託元から提供された個人データを委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできないとしています。

これは「委託」(個人情報保護法27条5項1号)とは、PCへのデータ入力など委託元ができる業務を委託先に委託するスキームであり、委託元ができないことを委託先に行わせることは「委託」のスキームを超えるものであるからです。これはいわゆる「委託の「混ぜるな危険」の問題」と呼ばれるものです(岡村久道『個人情報保護法 第4版』327頁、田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁)。

個人情報保護法ガイドラインQA7-41
(個人情報保護法ガイドラインQA7-41。個人情報保護委員会サイトより)

この点、LINE社の「LINE通知サービス」は日本郵便などの委託元から提供された電話番号という個人データを委託先であるLINE社が独自に収集して保有するユーザーの電話番号等の個人データと突合し、該当するユーザーに提供されたメッセージ等を表示するものであり、個人情報保護法の「委託」のスキームを踏み越えており違法なものです(法27条5項1号、個人情報保護法ガイドラインQA7-41)。(もしLINE社がこのような業務を行うためには、第三者提供の原則に戻って、ユーザー本人のあらかじめの本人の同意が必要となります(法27条1項)。)

3.「LINE通知サービス」のオプトアウト手続き
つぎに、個人情報保護法27条2項はオプトアウト方式による第三者提供のためには、第三者に個人データをオプトアウト方式で提供することをプライバシーポリシーなどの利用目的に明示すること(法27条2項2号)や、本人はオプトアウトできること(同6号)等の事項をあらかじめプライバシーポリシー等に表示しなければならないと規定していますが、LINE社のLINEのプライバシーポリシーにはその明示がありません。 パーソナルデータの利用目的
(LINEの「パーソナルデータの利用目的」。LINE社のLINEプライバシーポリシーより)

そして、LINEプライバシーポリシーの「4.d.お客様に最適化されたコンテンツの提供」と、Google検索などでようやく出てくる「LINE通知メッセージを受信する方法」サイトやLINEの設定画面などを読んでようやく「LINE通知サービス」の概要とオプトアウト方法が分かるのは、個人情報保護法27条2項違反と言わざるを得ないのではないでしょうか。 お客様に最適化されたコンテンツの提供
(LINEプライバシーポリシーの「4.d.お客様に最適化されたコンテンツの提供」より)

LINE通知メッセージを受信する方法
(LINE社サイト「LINE通知メッセージを受信する方法」より)

LINE通知メッセージの設定画面
(LINEアプリの設定画面の「LINE通知メッセージの設定画面」より)

4.個人情報・個人関連情報
なお、LINE社はユーザー識別符号や電話番号は個人情報ではないと反論するかもしれません。しかし、提供元のLINE社内の顧客情報DB等を照合して、「個人に関する情報」であって「あの人、この人」と「個人を識別できるもの」は個人情報です(法2条1項1号)。

PSX_20220610_102905
(鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁より)

また、万一、これらのユーザー識別符号や電話番号が個人情報でないとしても個人関連情報に該当するので、第三者提供にはやはり本人の同意が必要です(法31条1項1号)。

5.まとめ
このように、「LINE通知メッセージ」は、①いわゆる委託の「混ぜるな危険」の問題(個人情報保護法27条5項1号)の違反②提携企業にユーザー識別符号をオプトアウト方式で提供するとなっていること等がプライバシーポリシーに明記がなく法27条2項違反、の2点で違法なのではないかと思われます。

LINE社のLINEは2021年3月に、峯村健司氏などの朝日新聞のスクープ報道により個人情報の杜撰な取扱いが発覚し、大きな社会問題となり、個人情報保護委員会と総務省から行政指導を受けました。また内閣官房・個人情報保護委員会・金融庁などは、行政機関・自治体のLINE利用のガイドラインを制定する等しました。Zホールディングスが設置した有識者委員会の最終報告書は、LINE社内の情報セキュリティ部門などが繰り返し問題点を経営陣に伝えていたのに、出澤剛社長ら経営陣はそれらの問題の解決を放置していたことなど、LINE社の経営陣はコンプライアンスやガバナンスの意識が欠落していたことを指摘していました。出澤社長を始めとするLINE社は、コンプライアンスとガバナンスの徹底を記者会見などで誓ったはずですが、この「LINE通知メッセージ」の個人情報保護法違反の問題には、LINE社の姿勢に大きな疑問が残ります。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■関連する記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・LINEの改正プライバシーポリシーがいろいろとひどいー委託の「混ぜるな危険」の問題・外国にある第三者
・LINE Pay の約13万人の決済情報がGitHub上に公開されていたことを考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」

■参考文献
・岡村久道『個人情報保護法 第4版』319頁
・田中浩之・北山昇「個人データ取扱いにおける「委託」の範囲」『ビジネス法務』2020年8月号29頁
・鈴木正朝・高木浩光・山本一郎『ニッポンの個人情報』20頁













タグ :
LINE
LINE通知メッセージ
郵便局eお届け通知
混ぜるな危険
オプトアウト
出澤剛
security
privacy
個人情報
これはひどい
このエントリーをはてなブックマークに追加 mixiチェック

display_monitor_computer
1.電気通信事業法の改正
2022年2月に総務省の「電気通信事業ガバナンス検討会報告書」(以下「本報告書」という)が公表されたことを受けて、第208回国会の衆議院に「電気通信事業法の一部を改正する法律案」が上程されました(以下「改正法案」という)。改正法案は5月13日に衆議院で可決され、現在、参議院で審議が行われています。本改正法案は、①電気通信事業者などに対して利用者情報の外部への送信に関する規律を新設したこと、②新たにSNSや検索サービスの事業者を届出の対象としたこと、③大規模な電気通信事業者等に対して利用者情報の適切な取扱に関する規律を新設したことなどが注目されています。このブログ記事では、とくに利用者情報に関する部分について見てみたいと思います。

・「電気通信事業ガバナンス検討会報告書」及び意見募集の結果の公表|総務省
・電気通信事業ガバナンス検討会報告書(PDF)|総務省
・第208回閣法48号 電気通信事業法の一部を改正する法律案|衆議院
・新旧対照表(PDF)|総務省

図1
(電気通信事業法の具体的な規律。総務省「電気通信事業ガバナンス検討会報告書」70頁より)

2.電気通信事業法の適用対象-「電気通信事業を営む者」・「第3号事業」
本報告書は、電気通信事業法の対象になるかどうかについて、まず「電気通信事業を営む者」に該当するか否かで判断するとしています。この「電気通信事業を営む者」とは、電気通信役務(電気通信設備(光ファイバーなど)を用いて「他人の」通信を媒介し、その他電気通信設備を「他人の」通信の用に供すること)を反復継続して(「業」として)行い、利益を得ようとしている(「営む」)者のことです。(そのため、例えば企業が自社商品等を掲載するウェブサイトなどは「自分のため」(自己の需要のため)であるので対象外となります。)

図2
(「『電気通信事業を営む者』とは」。総務省「電気通信事業ガバナンス検討会報告書」70頁より)

つぎに、「電気通信事業を営む者」のうち、電気通信回線設備を設置する、または、他人の通信を媒介する者は登録・届出が必要な「電気通信事業者」であるとします(法9条の登録、16条1項の届出)。この電気通信事業者の具体例は、固定電話・携帯電話の事業者、インターネット接続サービス(ISP)、利用者間のメッセージ媒介サービス、ウェブ会議システムなどです。この登録・届出が必要な「電気通信事業者」には、①検閲の禁止(法3条)・通信の秘密の保護(法4条)、②利用の公平(法6条)、③登録・届出、④提供条件の説明などの消費者保護、⑤事故が発生したときの報告、などの義務が課されています。

さらに、「電気通信事業を営む者」のうち、登録・届出が不要な「電気通信事業者」(「電気通信事業を営む者」のうち、電気通信回線設備を設置せず、かつ、他人の通信を媒介しない者)の具体例は、SNS、検索サービス、オンラインでの情報提供サービス、オンラインストレージ、電子掲示板、オンラインのショッピングモールなどですが、これを本報告書と本改正法案は「第3号事業」と呼んでいます(法164条1項3号)。この「第3号事業」については、これまでは、検閲の禁止(法3条)、通信の秘密の保護(法4条)などの義務が課されているだけでした。

しかし本改正法案は、この「第3号事業」のうち、①検索サービスと②SNS、については次の3.のように、規模の大きな事業者を届出の対象とするとしています(改正法案164条2項4号(検索情報電気通信役務)、5号(媒介相当電気通信役務))。

図3
(「電気通信事業法の規律対象の整理」。総務省「電気通信事業ガバナンス検討会報告書」71頁より)

3.「利用者に関する情報についての規制」の新設
本改正法案は、届出・登録が必要な電気通信事業者と、検索サービス、SNSのうち規模の大きな電気通信事業者について、「利用者に関する情報」(「特定利用者情報」)を適正に取扱う義務を新設することとなっています(改正法案27条の5)。(本報告書はこの大規模な電気通信事業者の目安を、「例えば、国内…1000万人以上」の利用者がある事業者としています(本報告書48頁注65)。)

この「特定利用者情報」とは、①「通信の秘密に該当する情報」、②「利用者を識別することができる情報であって総務省令で定めるもの」、の2つとされています(改正法案27条の5第1号、2号)。また、この「利用者」とは、①「電気通信事業者又は第3号事業を営む者との間に電気通信役務の提供を受ける契約を締結する者その他これに準じる者として総務省令で定める者」と②「電気通信事業者又は第3号事業を営む者から電気通信役務の提供を受ける者」の2つの者を指すとされています(改正法案2条7号イ、ロ)。そのためこの「利用者」には自然人だけでなく法人も含まれます。

そして、届出・登録が必要な電気通信事業者と、検索サービス、SNSのうち規模の大きな電気通信事業者について、「特定利用者情報」を適正に取扱う義務とは、具体的にはつぎの4つとなっています。

「特定利用者情報」を適正に取扱う義務

①特定利用者情報の適正な取扱いに関する規定(「情報取扱規程」)の策定・届出(改正法案27条の6)
②特定利用者情報の適正な取扱いに係る方針(「情報取扱方針」)の策定および公表(27条の8)
特定利用者情報の適正な取扱い状況に関する評価と対策への反映(27条の9)
特定利用者情報統括管理者の選任(27条の10)

4.「利用者情報の外部送信」に関する規律の新設
(1)「利用者情報の外部送信」に関する規律
また、改正法案は、電気通信事業者または第三号事業を営む者、つまり「電気通信事業を営む者」のうち総務省令で定める者に対して、新たに利用者情報の送信に関する規律が新設されています(改正法案27条の11(情報送信指令通信に係る通知等))。すなわち、利用者がウェブサイトやアプリを利用する際に、利用者の意思によらず、利用者に関する情報である利用者の端末情報(例えば端末に保存された閲覧履歴、システムログ、Cookieなど)がウェブサイト運営者またはアプリ提供事業者またはそれ以外の第三者に外部送信される際に、利用者に確認の機会を与えるための規律です。

この規律は具体的には、電気通信事業を営む者が、利用者のPCやスマートフォン等に記録された利用者に関する端末情報を外部に送信させようとする際には、その情報の内容、送信先等を利用者に通知または利用者が容易に知りうる状態に置かなければならない(自社サイトへの表示など)とするものです。ただし、利用者への通知等はつぎの4つの場合には例外的に不要とされています(田中浩之・蔦大輔・北山昇「改正対応!個人情報保護法の基礎 第22回 電気通信事業法改正法案は個人情報保護に関係ある?」『会社法務A2Z』2022年5月号52頁)。

利用者への通知等が例外的に不要とされる4つの場合

①適正表示のために必要な情報
(例)文字や画像を適正に表示するためのOS情報、画像設定、言語設定情報など

②利用者の識別符号
(例)ウェブサイトの管理者・運営者が発行している1st Party Cookieなど

③利用者が外部送信に同意している情報

④外部送信についてオプトアウト措置がなされている情報
(田中・蔦・北山・前掲53頁より)

(2)「利用者情報の外部送信」に関する規律と個人情報保護法の個人関連情報との異同
なお、この改正法案の利用者に関する情報の規制と個人情報保護法31条の個人関連情報との異同が問題となりますが、まず個人関連情報は自然人(個人)が対象ですが、改正法案は自然人と法人の両方が対象となります。つぎに個人関連情報は、第三者提供を行い、かつ提供先が当該情報を個人データとして取得する場合に適用されますが、改正法案は利用者に関する情報が外部送信される時点で適用となります。さらに個人関連情報は本人の同意のみしか正当化の根拠がありませんが、改正法案は、本人の同意、通知・公表、オプトアウトと正当化の根拠が複数存在します(田中・蔦・北山・前掲53頁)。

5.その他
その他、改正法案は、①サイバー攻撃への対応の強化、②光ファイバー回線のユニバーサルサービス化のための対応、などの改正が盛り込まれています。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・田中浩之・蔦大輔・北山昇「改正対応!個人情報保護法の基礎 第22回 電気通信事業法改正法案は個人情報保護に関係ある?」『会社法務A2Z』2022年5月号50頁
・総務省「電気通信事業ガバナンス検討会報告書」
・第208回閣法48号 電気通信事業法の一部を改正する法律案|衆議院













タグ :
電気通信事業法
利用者情報の外部送信
第三号事業
SNS
検索サービス
電気通信事業を営む者
個人情報
個人関連情報
このエントリーをはてなブックマークに追加 mixiチェック

三菱銀行トップページ
(三菱UFJ銀行サイトより)

1.はじめに
2022年5月8日の読売新聞の報道によると、三菱UFJ銀行はサイバーエージェントと提携し、年度内に自社の個人・法人の顧客の金融資産などの個人データを利用した広告事業を年度内に開始するとのことです。記事によると三菱UFJ銀行はこの新しい広告事業を同銀行本体で実施するようですが、これは2021年の銀行法改正で可能になったスキームのようです。銀行の広告事業などには関心があったため、2021年の銀行法改正や個人情報保護法上の「本人の同意」について少し調べてみました。

・三菱UFJ銀、サイバーエージェントと提携し広告事業参入…同意得て匿名化の顧客情報活用|読売新聞

2.三菱UFJ銀行の広告のスキーム
まず、本記事によると、「三菱UFJ銀は約3400万人の預金口座や約120万社の取引データの活用を想定している。顧客の事前の同意を前提に、口座所有者の年齢や性別、住所に加え、預金額や運用資産・住宅ローンの有無といった金融データを匿名化した上で利用する。広告主は宣伝したい対象として、例えば「預金1000万円以上の女性」や「資産運用している40歳代男性」などに絞る。対象に合った個人や法人が、スマホやパソコンなどの端末でSNSやアプリ、検索サイトなどを利用すると、広告が表示される仕組み」とのことです。

三菱銀行の広告スキーム図
(三菱UFJ銀行の広告事業のスキーム図。読売新聞より)

3.2021年の銀行法改正
(1)2021年の銀行法改正の趣旨
令和3年の第204国会で5月19日に成立した「新型コロナウイルス感染症等の影響による社会経済情勢の変化に対応して金融の機能の強化及び安定の確保を図るための銀行法等の一部を改正する法律」は新型コロナの社会的影響を受けて、日本経済の回復・再生を力強く支える金融機能を確立するため、規制緩和や環境整備を推進するために、銀行に対してはデジタル化や地方創生への貢献を強化するための銀行法改正が行われています。

概要2
(2021年銀行法改正の概要。金融庁サイトより)

(2)銀行法改正の具体的内容
①銀行業高度化会社の他業業務の認可の要件の緩和
広告事業などの関係をみると、まず、2017年に制度が開始した銀行の子会社としての「銀行業高度化等会社」は、ITを活用した銀行業務の高度化などを認めるための制度ですが、従来「他業」とされていたFintechや地域商社業務などを金融庁の他業の認可を受けて実施するものでした。この認可には収入依存度規制などの厳格な規制が存在していました。これに対して2021年の改正銀行法は、銀行高度化等会社の業務に「地域の活性化、産業の生産性の向上その他の持続可能な社会の構築に資する業務」が新たに追加されました。この業務の個別列挙は行われず、各銀行の創意工夫で幅広い業務を行うことが可能となります。具体的には、デジタル、地域創生、持続可能な社会の構築などに関する業務が想定されています。この業務は、収入依存度規制はなくなり銀行の負担を減らして金融庁の認可が取得できることになっています。(改正銀行法16条の2第1項15号など。)

②特例銀行業高度化等業務を行う銀行業高度化等会社の新設
つぎに、銀行業高度化等会社の他業認可よりも基準が緩い「特例銀行業高度化等業務」のみを行う高度化等会社というカテゴリが新設されました。この高度化等会社の業務は個別列挙されていますが、具体的には、①Fintech、②地域商社、③登録型人材派遣、④自行アプリやシステムの販売、⑤データ分析・マーケティング・広告、⑥ATM保守点検、⑦障害者雇用促進の特例子会社、⑧成年後見業務などが想定されています。そしてこれらの他業の金融庁の認可については収入度依存度規制などの厳格な規制はなくなり、銀行の負担が緩和されています。(改正銀行法52条の23の2第6項など。)

③銀行本体の付随業務
さらに、金融システムの潜在的なリスク(優越的な地位の濫用等)に配慮しつつ、銀行本体の付随業務に銀行業に係る経営資源を主として活用して営む業務であって、デジタル化や地方創生などの持続可能な社会の構築に資するものが個別列挙され認められることになりました。具体的には、①自行アプリやシステムの販売、②データ分析・マーケティング・広告、③登録型人材派遣、④コンサルティングなどが個別列挙されます。そして従来、銀行本体の付随業務には「銀行業との機能的な親近性」などの要件が課されていましたが、個別列挙された業務にはその制約がなくなります。(改正銀行法10条2項21号など。)

4.改正銀行法10条2項21号および金融分野における個人情報保護に関するガイドライン
(1)改正銀行法10条2項21号
読売新聞の本記事を読むと、三菱UFJ銀行が行おうとしているデータ分析・マーケティング・広告事業は③の銀行本体における業務であると思われます。そこで、個人情報に関する顧客の本人の同意についてはどうなっているのかと改正銀行法10条2項21号をみると、ここには特に規定がありません。

銀行法

(業務の範囲)
第十条 銀行は、次に掲げる業務を営むことができる。
 預金又は定期積金等の受入れ
 資金の貸付け又は手形の割引
 為替取引
 銀行は、前項各号に掲げる業務のほか、次に掲げる業務その他の銀行業に付随する業務を営むことができる。
(略)
二十一 当該銀行の保有する人材、情報通信技術、設備その他の当該銀行の営む銀行業に係る経営資源を主として活用して営む業務であつて、地域の活性化、産業の生産性の向上その他の持続可能な社会の構築に資する業務として内閣府令で定めるもの

(2)主要行等向けの総合的な監督指針
つぎに、金融分野個人情報保護ガイドライン(金融分野における個人情報保護に関するガイドライン)14条(個人関連情報の第三者提供の制限等(法第31条関係))1項 はつぎのように規定しています。

金融分野個人情報保護ガイドライン

第14条1項
金融分野における個人情報取扱事業者は、個人関連情報取扱事業者から法第31条第1項の規定による個人関連情報の提供を受けて個人データとして取得するに当たり、同項第1号の本人の同意を得る(提供元の個人関連情報取扱事業者に同意取得を代行させる場合を含む。)際には、原則として、書面によることとし、当該書面における記載を通じて、

① 対象となる個人関連情報の項目
② 個人関連情報の提供を受けて個人データとして取得した後の利用目的

本人に認識させた上で同意を得ることとする。

すなわち、個人情報保護法31条と同様に金融分野個人情報保護ガイドライン14条1項も、銀行が顧客の顧客番号、PCやスマートフォン等の端末ID、Cookie、閲覧履歴などの個人関連情報を広告会社などに第三者提供する際には、本人の同意を得ることが必要であるとしています。

5.まとめ
したがって、仮に三菱UFJ銀行が広告事業を行うにあたり、顧客の属性や金融資産情報などを匿名加工情報にしたとしても、顧客番号、PCやスマートフォン等の端末ID、Cookie、閲覧履歴などの個人関連情報を第三者提供する限りはやはり本人の同意の取得が必要となります。

なお、この銀行法改正に関連して、例えば野村総合研究所は銀行の広告事業を支援するサービスを開始したそうです(野村総合研究所「野村総合研究所、銀行の広告事業への進出を支援する「バンクディスプレイ」サービスを開始」)。

概要3
(野村総合研究所「野村総合研究所、銀行の広告事業への進出を支援する「バンクディスプレイ」サービスを開始」より)

このスキームは銀行と広告主の間に野村総研が入り、銀行の個人データなどの第三者提供などを媒介するスキームであるようです。この野村総研のスキームにおいては、銀行は個人関連情報だけでなく、金融資産や属性データ、閲覧履歴、行動履歴などの個人データの第三者提供のための顧客の本人の同意をあらかじめ取得することが必要であると思われます(個人情報保護法27条1項)。

■参考文献
・荒井伴介・脇裕司・杉本陽・豊永康史「2021年銀行法等の一部を改正する法律の概要」『金融法務事情』2170号(2021年9月25日号)14頁
・家森信善「業務範囲規制の緩和を生かして顧客支援の充実を」『銀行実務』2021年8月号12頁
・松本亮孝・今拓久真・椎名沙彩・赤井啓人「金融分野における個人情報保護に関するガイドライン改正の概要」『『金融法務事情』2183号(2022年4月10日号)9頁

■関連する記事
・情報銀行ビジネス開始を発表した三菱UFJ信託銀行の個人情報保護法の理解が心配な件
・みずほ銀行のみずほマイレージクラブの改正を考える-J.Score・信用スコア・個人情報
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・コロナの緊急事態宣言をうけ、代表取締役が招集通知後に取締役会決議を経ずに株主総会の日時場所を変更したことが違法でないとされた裁判例-大阪地決令2.4.22
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見

















タグ :
三菱UFJ銀行
銀行法
個人情報
個人関連情報
匿名加工情報
privacy
security
第三者提供
本人の同意
このエントリーをはてなブックマークに追加 mixiチェック

doctor_isya_warui
1.はじめに
NHKの5月14日のニュースによると、帯広中央病院、済衆館病院、JA広島総合病院、福井赤十字病院、府中病院(大阪)の5か所の病院の眼科医5名が、米医療機器会社の日本法人「スター・ジャパン」社に対して、患者の白内障手術をスター・ジャパン社のカメラで撮影した画像データを3年間にわたり繰り返し第三者提供し現金(40万円~105万円)を受け取っていたことが発覚したとのことです。

・“手術動画”無断で外部提供か 病院側「再発防止に努めたい」|NHKニュース

本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」は適正に取得されていたのか、②医療機器メーカーに販売するという利用目的での本人の同意は取得されていたのか、あるいは目的外利用に本人の同意はあったのか、③医療機器メーカーに販売するという第三者提供について本人の同意は得られていたのか、④各病院の安全管理措置、⑤医師の守秘義務などが主に問題になると思われます。

2.要配慮個人情報
白内障手術の画像データは、「医師等により心身の状態の改善のための指導又は診療」に該当する「診察情報」(個人情報保護法施行令2条3項)に該当するので、要配慮個人情報に該当します(個人情報保護法2条3項)。そして要配慮個人情報の収集にあたっては原則として「本人の同意」が必要となります(法20条2項)。(岡村久道『個人情報保護法 第4版』237頁、91頁。)

3.「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」における「本人の同意」
この「本人の同意」について、平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の義務等」の「9.個人データの第三者提供(法第27条)」の「(3)本人の同意が得られていると考えられる場合」は、つぎのような場合は本人の同意は得られているとしています(黙示の同意)。

「(略)このため、第三者への情報の提供のうち、患者の傷病の回復等を含めた患者への医療の提供に必要であり、かつ、個人情報の利用目的として院内掲示等により明示されている場合は、原則として黙示による同意が得られているものと考えられる。(後略)」
病院の本人の同意
(個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」より)

つまり、①患者への医療の提供に必要であり、かつ、②個人情報の利用目的として院内掲示板等により明示されている場合、には、患者本人からの明確な本人同意がなくても黙示の同意が得られており、「本人の同意」は適法に取得されていると本ガイダンスはしています。

この点、例えば今回問題となった帯広協会病院は、同病院サイトでプライバシーポリシーのなかで利用目的を表示しています。

帯広病院1
帯広病院2
(帯広協会病院サイトより)

しかしこの帯広協会病院のプライバシーポリシーの利用目的には、「外部の医療機器メーカーなどの医療機器の研究開発に協力する」であるとか、「外部の医療機器メーカーなどに患者の医療データを販売(第三者提供)する」などの利用目的は記載されていません。(個人情報保護委員会等の本ガイダンスに記載されている利用目的の例をみると、他の4つの病院にも記載はないものと思われます。)

4.小括
(1)そのため、本事件において、5つの病院は本人の同意なしに要配慮個人情報の患者の白内障手術の画像データを取得している点で法20条2項違反であり、また本人の同意なしに患者の個人データを目的外利用し、またスター・ジャパン社に第三者提供しているので、法18条1項違反および法27条1項違反であると思われます。さらに、所属する眼科医がこのような違法な行為をしていたことを見逃していた帯広協会病院など5つの病院は、病院内の個人情報に関する安全管理措置に重大な落ち度があったといえると思われます(法23条、24条)。

(2)加えて、今回違法に提供された白内障手術の画像データの全部または一部をスター・ジャパン社に提供し、現金を受け取っていた5名の医師および病院は、1年以下の懲役又は50万円以下の罰金の個人情報データベース等提供罪に該当する可能性があるのではないでしょうか(法174条)。同時にこの医師らは守秘義務違反として刑事責任を問われる可能性があります(刑法134条)。

5.被害にあった患者の方などについて
本事件では、白内障手術の画像データという個人データが本人の同意なしに目的外利用され、また第三者提供されているので、被害にあった患者の方は、各病院に対して、個人データの利用の停止または消去と、第三者提供の停止請求を行うことができます(法35条1項、3項)。また、被害にあった患者の方々は、各病院および各医師に対してプライバシー権の侵害として不法行為に基づく損害賠償責任を請求することができます(民法709条、715条)。

6.個人情報保護委員会など
本事件は個人情報漏洩事故といえるので、各病院は個人情報保護委員会および厚労省に対して報告をし、被害者に通知するとともに公表することが義務付けられています(法26条)。

一方、個人情報保護委員会および厚労省は、各病院に対して報告を徴求し立入検査を行い(法143条)、指導・助言や勧告・命令などの行政指導・行政処分を出すことができます(法144条、145条)。

7.まとめ
このように本事件は、センシティブ情報の要配慮個人情報である医療データについて、①取得にあたり「本人の同意」が適正に取得されておらず違法であり、②医療機器メーカーに販売するという利用目的での本人の同意は取得されておらず違法な目的外利用であり、③個人データの医療機器メーカーへの第三者提供について本人の同意は得られておらず違法であり、④各病院の安全管理措置は尽くされておらず、⑤医師の守秘義務違反による刑事責任やプライバシー侵害による不法行為に基づく損害賠償請求権が問題となる事案であると思われます。

■追記(5月17日)
NHKのニュースによると、本事件について、厚労省はスター・ジャパン社に聞き取りをするなどの調査を開始したとのことです。また、業界団体の「医療機器業公正取引協議会」も調査を開始したとのことです。今後の展開が気になるところです。

このブログ記事が面白かったらブックマークやシェアをお願いします!

■参考文献
・岡村久道『個人情報保護法 第4版』237頁、91頁、400頁、405頁
・平成29年4月29日・個人情報保護委員会・厚生労働省「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」

■関連する記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・スーパーシティ構想・デジタル田園都市構想はマイナンバー法・個人情報保護法や憲法から大丈夫なのか?-デジタル・ファシズム













タグ :
要配慮個人情報
目的外利用
第三者提供
個人情報データベース等提供罪
不法行為
損害賠償
privacy
security
個人情報
医療データ
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ