なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

カテゴリ: 憲法

デジタル認証アプリイメージ図
前回のブログ記事でも取り上げた、デジタル庁のデジタル認証アプリに関するパブコメに対して以下のような意見を提出しました。


『デジタル認証アプリについては、個人が官民の各種サービスを利用した履歴が一元管理され、不当な個人のプロファイリングや、関連性のないデータによる個人の選別・差別、国家による個人の監視などの個人の権利利益の侵害や個人の人格権侵害のリスクがあります(マイナンバー法1条、個人情報保護法1条、3条、憲法13条、「マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク」2024年2月26日付日経クロステック参照)。そのため、「法律による行政の原則」(憲法 41 条、65 条、 76 条)の観点から、公的個人認証法の施行規則の一部改正だけではなく、マイナンバー法そのものを一部改正し、根拠条文を設置し、利用目的や目的外利用の禁止、安全管理措置等を規定し、違法・不当な利用に歯止めをかけるべきと考えます。

また、デジタル認証アプリで収集された個人情報(「連続的に蓄積」されたサービス利用履歴等も含む。個情法ガイドライン(通則編)2-8(※)参照。)についても、利用目的の制限、第三者提供等の制限、安全管理措置、保存期間の設定、データ最小限の原則、開示・訂正請求など本人関与の仕組みの策定、情報公開・透明性の仕組みの確保、不適正利用・プロファイリングの禁止などの法規制がなされるべきと考えます。

さらに、マイナンバーカードの電子証明書の発行番号(シリアル番号)についても、マイナンバー(個人番号)に準じたものとして取扱うように法規制し、利用目的の厳格化、目的外利用の禁止、第三者提供の制限、厳格な安全管理措置などの法規制を、マイナンバー法を改正するなどして盛り込むべきだと考えます。(同様に、マイナンバーカードやマイナポータルなどについてもマイナンバー法に根拠条文が非常に少ないため、これらについても「法律による行政の原則」の観点から、政令や施行規則・通達等の整備ではなく法規制を実施すべきだと思われます。)』


■参考文献
・電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案に対する意見募集について|e-GOV
・マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク|日経クロステック
・マイナンバーカードの取得を強く求める政府 本当の狙いはどこに|朝日新聞
・マイナカード、目に見えない「もう一つの番号」 規制緩くて大丈夫?|朝日新聞
・民間事業者が公的個人認証サービスを利用するメリット|J‐LIS
・水町雅子『逐条解説マイナンバー法』267頁、269頁

■関連するブログ記事
・デジタル庁のマイナンバーカードの「デジタル認証アプリ」で個人の官民の各種サービスの利用履歴が一元管理されるリスクを考えた

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

内閣府や厚労省等の検討会議で、健康・医療データについて本人同意なしに二次利用(目的外利用・第三者提供)を認める方向で検討がなされているようですが、この方向の検討に難治性の疾患の長年の患者の一人として反対です。

例えば、厚労省の検討会「健康・医療・介護情報利活用検討会 医療等情報の二次利用に関するワーキンググループ」の第2回資料をみると、健康・医療データを本人同意なしで二次利用する方向で議論しています。

第一回でいただいたご意見
(厚労省の検討会「健康・医療・介護情報利活用検討会 医療等情報の二次利用に関するワーキンググループ」の第2回資料より)

医療データ利活用の関する議論の全体像
「医療データの利活用に関する議論の全体像ー目指すべき未来」『医療データ利活用について(論点整理(骨子))』内閣府より)

医療データは要配慮個人情報・センシティブ情報であり、個人情報のなかでもとりわけ取扱注意な情報です(個人情報保護法2条3項、20条2項、27条2項ただし書き)。それを患者本人の同意を取らずに勝手に二次利用とは個情法の観点からもあまりにもおかしいと考えます。

プライバシーに関しては日本の憲法学では一応、自己情報コントロール権説(情報自己決定権説)が通説なのですから、その観点からも本人同意なしは説明がつかないと考えます。

(なお、有力説としては曽我部真裕教授などの「自らの個人情報を適切に取扱われる権利」説や、高木浩光氏の「関連性のない個人データによる個人の選別・差別禁止」説などがあるが、これらの説ではこの医療データの本人同意なしの二次利用の問題などについて、政府等から「いやいや貴方の医療データは適切に取扱います。もちろん関連性のない個人データで貴方を選別・差別したりしません。」と言われたときに患者・国民は何も反論できないという問題点がある。)

医療データは風邪のような軽微なものから、がんやHIV、精神病など社会的差別の原因となる疾病が多いのに、医療データを乱雑に扱ってよいとはとても思えません。とくに精神疾患は患者の内心(憲法19条)に直結しています。政府や製薬会社・IT企業等は、患者・国民の内心・内面や思想・信条に土足で踏み込むつもりなのでしょうか。これらの社会的差別の原因となる、あるいは患者の内面に直結する医療データを患者の本人同意なしに二次利用してよいとはとても思えません。

日本経済の発展のために医療データの利活用が必要だとしても、オプトアウト制度など何らかの患者本人が関与するしくみが絶対に必要だと考えます。

日本は中国やシンガポール等のような全体主義国家ではなく、国民主権の民主主義国なのですから(憲法1条)、国民の個人の尊重や基本的人権の確立が最も重要な国家目的のはずです(憲法13条、12条、97条)。患者・国民を国や製薬会社・IT企業等のために個人データを生産する家畜のように扱うことは絶対に止めるべきです。

健康・医療データについて本人同意なしに二次利用を認めることには患者の一人として私は反対です。政府は患者・国民不在でこういう検討を勝手に進めるのは止めてほしいと思います。

■関連するブログ記事
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた

■参考文献

・山本龍彦・曽我部真裕「自己情報コントロール権のゆくえ」『<超個人主義>の逆説』165頁
・高木浩光「個人情報保護から個人データ保護へ(6)」『情報法制研究』12 巻49頁
・黒澤修一郎「プライバシー権」『憲法学の現在地』(山本龍彦・横大道聡編)139頁
・成原慧「プライバシー」『Liberty2.0』(駒村圭吾編)187頁
・「患者データ利用 同意不要へ」読売新聞2023年7月26日付記事

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

めぶくpay概要
(前橋市サイトより)

1.はじめに

最近、Twitter(現X)でawakoyot様(@awakoyot)から、”前橋市が地域電子通貨「めぶくpay」の決済データを市政や民間ビジネスに利活用するとのことだが、このようなことは個人情報保護法等から大丈夫なのだろうか?”との趣旨のツイートとともに、東京新聞の記事(「「めぶくPAY」前橋市で始動 決済データを市政やビジネスに活用」(2024年1月13日))やめぶくpay等の利用規約・プライバシーポリシーなどを紹介いただいたので、興味深く読んでみました。

めぶくpay等の利用規約やプライバシーポリシーには「決済データを市政や民間ビジネスなどに利活用する」等とは明記されていませんが、めぶくpay等による決済データを市政や民間ビジネスなどに利活用することは個人情報保護法などから大丈夫なのでしょうか?

2.めぶくpay・めぶくID等の概要・利用規約・プライバシーポリシー

(1)上の東京新聞の記事などによると、前橋市の地域電子通貨「めぶくpay」は、同市と民間企業が共同出資した株式会社めぶくグラウンドが手掛ける共通ID「めぶくID」を利用した「めぶくアプリ」というデータ連携基盤を利用しているものであるそうです。めぶくIDは、マイナンバーカードによる本人確認を実施した上でスマートフォン上に実装されるデジタルIDであるそうです。そして同記事においては、「めぶくpayの決済データはめぶくグラウンド社という地域に残る前橋市独自の仕組みであり、このめぶくpayの決済データを統計処理して、同市の行政サービスや市内の民間ビジネスなどに利活用することができる」ことが強調されています。

そして、めぶくID・めぶくアプリというデータ連携基盤は、めぶくグラウンド社の「助け合い掲示板」「グッドグロウまえばし」「メブクラスまえばし」「my Allergy alert」という各種サービスとデータ連携しており、また今回のmy FinTech株式会社の運営する、めぶくpay等とデータ連携しているとのことです。このデータ連携基盤と各種サービスとの間においては、利用者が自分自身の個人データをどのサービス・事業者に提供・連携するか選択できるようになっているとのことです。

めぶくpay・めぶくIDなどの概要図

(2)この点、めぶくグラウンド社の利用規約およびプライバシーポリシーをみると、たしかに「当社は…本サービス中においてデータ連携サービスを提供しています。お客様はご自身の判断で個人情報を提供するか否かを決定することができます」等と規定されています(めぶくグラウンド社利用規約6条2項、同社プライバシーポリシー5条1項など)。また、個人情報の各種サービスへの第三者提供にあたっては、「当社が本サービス上等でお客様に事前通知する情報のみを提供し」ますと規定されています(同社利用規約6条5項)。さらにこのめぶくアプリ等によるデータ連携基盤と各種サービスとの個人データの提供は、委託や共同利用ではなく第三者提供であることが明記されています(同社プライバシーポリシー6条)。

めぶくID
(前橋市サイトより)

(3)つまり利用規約・プライバシーポリシーによると、めぶくアプリ・めぶくID・めぶくpayなどにおける個人データの取扱いはあくまでも利用者本人の同意に基づく個人データのやり取りであり、個人データの官民による利用等に関しては、原則として本人同意した利用者が責任を負うというスキームになっています。委託におけるいわゆる「委託の「混ぜるな危険」の問題」などの規制は適用されないことになります。

3.めぶくpayの決済データを市政や民間ビジネスに利活用することについて

(1)さらに、個人情報を元に作成された統計情報・統計データはそもそも個人情報に該当しないため(個情法2条1項1号、個人情報保護法ガイドラインQA1-17)、前橋市やめぶくグラウンド社およびmy FinTech社などが市政や民間ビジネスなどに、めぶくpayの決済データを「統計情報・統計データ」として利用する限りにおいては、少なくとも現状のゆるい日本の個人情報保護法上は違法ではなく、加えて統計情報・統計データを市政や民間ビジネスに利用する場合にはプライバシーポリシー等に記載して通知・公表することも不要ということになりそうです(個人情報保護法ガイドラインQA2-5)。

(2)しかし、いくら日本のゆるゆるな個人情報保護法がそのような取扱いを許容するとしても、前橋市などの地方自治体や同自治体が出資する準公的団体がそのような個人情報の取扱いを行うことは、道義的あるいは政治的に許容されるのでしょうか?

この点、前橋市の未来創造部未来政策課の担当者の方に私が電話にて質問したところ、

「めぶくpayの決済データを市政や民間ビジネスに利用することについては、技術的には可能だがまだ検討中の段階である。めぶくpayやめぶくアプリなどで取得された個人データを第三者提供することや、同データをプロファイリングすることについても技術的には可能だがまだ検討中の段階である。」


との趣旨のご回答をいただきました。

このご回答がもし正しければ、上であげた東京新聞の記事はやや「飛ばし記事」であるように思われます。

(3)なお、これがもし、めぶくグラウンド社・my FinTech社等が統計情報・統計データではなく、個人データとしての決済データをAIによるプロファイリングなどを行って、その結果を前橋市の市政や民間ビジネス等に利活用する場合には、「プロファイリングを実施してその結果を市政に利用している」等の事項をプライバシーポリシーの利用目的に記載する等して利用目的を特定し、通知・公表を行うことが必要です(個情法17条1項、21条1項、個情法ガイドライン通則編3-3-1※1、田中浩之ほか『AIプロファイリングの法律問題』43頁)。

4.まとめ

このように検討してみると、もしめぶくグラウンド社などがめぶくpayの決済データ等を統計データの形で市政や民間ビジネスなどに利用するのであれば、それはゆるいわが国の個人情報保護法や、めぶくグラウンド社などの利用規約・プライバシーポリシーなどとの関係では違法ではないという結論になりそうです。しかしこれも上述したとおり、前橋市の担当部署の担当者の方は、そのような取組みは「可能ではあるがまだ検討中」と回答しています。これが本当であれば、冒頭の東京新聞の記事はやや飛ばし記事なのではないかと思われます。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■参考文献
・「めぶくPAY」前橋市で始動 決済データを市政やビジネスに活用|東京新聞
・安心・安全なデジタルID「めぶくID」を是非ご活用ください!|前橋市
・めぶくグラウンド社利用規約
・めぶくグラウンド社プライバシーポリシー
・my FinTech社プライバシーポリシー
・田中浩之ほか『AIプロファイリングの法律問題』43頁

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

kojinjouhou_businessman (1)
1.はじめに
2023年11月15日付で個人情報保護委員会(PPC)が「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」を公表していたので読んでみました。今回の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」(以下「本検討」)は、大きく、①個人の権利利益のより実質的な保護の在り方、②実効性のある監視・監督の在り方、③データ利活用に向けた取組に対する支援等の在り方、の3つを次回の個人情報保護法改正の柱として掲げています。(なお本ブログ記事の意見の部分は、あくまで筆者の個人的な意見にすぎません。)
・第261回個人情報保護委員会

2.「検討の方向性① 個人の権利利益のより実質的な保護の在り方」について
検討の方向性1
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)

この「検討の方向性① 個人の権利利益のより実質的な保護の在り方」では、PPCは「概要」として、「破産者等情報のインターネット掲載事案や、犯罪者グループ等に名簿を提供する悪質な「名簿屋」事案等、個人情報が不適正に利用される事案も発生している。こうした状況に鑑み、技術的な動向等を十分に踏まえた、実質的な個人の権利利益の保護の在り方を検討する。」等としています。

そしてその下の「検討の視点(例)」は、とくにつぎの①~③をあげています。

①技術発展に伴って、多様な場面で個人情報の利活用が進み、その有用性が認められる一方で、こうした技術による個人の権利利益の侵害を防ぐためには、どのような規律を設定すべきか。

②個人情報を取り扱う様々なサービス等が生まれる中、個人の権利利益の保護の観点から、本人の関与の在り方を検討すべきではないか。その際、その年齢及び発達の程度に応じた配慮が必要なこども等の関与の在り方はどうあるべきか、併せて検討すべきではないか。

③個人の権利利益保護のための手段を増やし、個々の事案の性質に応じて効果的な救済の在り方を検討すべきではないか。
この点、①に関しては、本検討3頁の「施行状況に係る委員会における主な意見」において、「生成AI、認証技術の普及等」を踏まえて「不適正利用の禁止」に関する規律(法19条)を「実効ある形になるよう…その考え方を検討すべき」との意見が出されています。

主な意見
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)

最近はchatGPTなど生成AIや画像生成AIが製造開発され普及しつつありますが、AIによる個人のプロファイリングなどについては日本の個情法には法19条の不適正利用の禁止の条文しか存在せず、しかもその条文は抽象的で謙抑的です。この不適正利用の禁止規定の具体化・積極化は個人の権利利益の保護に資するものとして、次の個人情報保護法改正において大きな目玉になるのではないかと思われます。(あくまで個人的な予想ですが。)

つぎに②に関しては、「本人関与の在り方」を検討すべきとされていますが、これは現行の個情法の開示・利用停止等の請求権のさらなる拡大を意味しているのでしょうか。ところでその後の「その年齢及び発達の程度に応じた配慮が必要なこども等の関与」を検討すべきとの記述が注目されます。

EUのGDPR(一般データ保護規則)は原則16歳未満の子どもの個人データの収集等に規制を設け、アメリカの児童オンラインプライバシー保護法(COPPA)も同様に13歳未満の子どもの個人データの収集等に規制を設けているところ、日本の個情法は子どもの個人データ・個人情報を保護するための明文規定を置いていません。そのため、次の個人情報保護法改正では、遅ればせながらもわが国の子どもの個人データへの規律が新設されるのかもしれません。

さらに③に関しては、本検討3頁の「施行状況に係る委員会における主な意見」において、「個人の権利利益保護のための手段を増やす観点から」「集団訴訟」を「検討すべき」との意見が出されています。現状の裁判例では、個人情報漏洩について民事訴訟が提起されても認められる損害額が数千円程度であり、被害を受けた個人が訴訟をためらう現状があるように思われます。消費者契約法にある消費者団体訴訟制度のような制度が個人情報保護法の分野にも創設されたら、そのような被害を受けた国民個人の救済に資するように思われます。(一方、もし集団訴訟制度が個情法に創設された場合、事業者側に対するインパクトは大きいものがあると思われます。)

3.「検討の方向性② 実効性のある監視・監督の在り方」について
検討の方向性2
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)

この部分の「検討の視点(例)」はつぎのようになっています。
①ヒューマンエラーのような過失による漏えい等事案が多い一方で、非常に大規模な漏えい等事案等、重大な個人の権利利益の侵害に繋がるケースも発生しているところ、従来の指導を中心とした対応にとらわれない、より実効性のある監視・監督の在り方を検討すべきではないか。

②重大な事案や、故意犯による悪質な事案を抑止するための方策を検討すべきではないか。また、そのための関係省庁等との連携の在り方を検討すべきではないか。

③個人の権利利益の保護のため、重大な漏えい等事案の状況をどのように把握し、適切な執行につなげていくべきか検討すべきではないか。
まず、①に関しては、本検討3頁の「施行状況に係る委員会における主な意見」は、現行の事業者に対する行政指導中心の監視・監督だけでなく、「緊急命令」(法148条3項)をも利用した監視・監督を提言する意見が出されています。そのため今後のPPCの監視・監督においては、報告徴求や立入検査、行政指導などだけでなく積極的に緊急命令が発動される実務が行われる可能性があります。

つぎに②に関しては、公正取引委員会、総務省、消費者庁、厚労省、金融庁、デジタル庁、こども家庭庁等の関係行政庁とのさらなる連携が行われるのかもしれません。また本検討3頁の「施行状況に係る委員会における主な意見」は、「課徴金制度」を導入することに関する意見も出されているので、次の個人情報保護法改正においては、個人情報データベース等提供罪などの罰則強化だけでなく、独禁法に規定がある課徴金減免制度のような制度が盛り込まれるのかもしれません。さらに公取委などのように内部通報窓口(内部告発窓口)などがPPCに用意されるかもしれません。加えて、個人情報データベース等提供罪などの罰則強化の改正があるかもしれません。

4.「検討の方向性③ データ利活用に向けた取組に対する支援等の在り方」について
検討の方向性3
(PPC「個人情報保護法いわゆる3年ごと見直し規定に基づく検討」より)

この部分に関しては、本検討3頁の「施行状況に係る委員会における主な意見」には、「個票データの利活用」の検討があげられています。「個票データ」というものの概念がはっきりしませんが、ひょっとしたら匿名加工情報、仮名加工情報につぐ個人データの利活用のための新たなカテゴリーが創設される可能性があるのでしょうか。

また、同「主な意見」には、「健康・医療データ、子どもデータ等の公共性の高い分野」の個人データのさらなる利活用のために関係官庁とさらなる連携を行うべきであるとの意見も出されています。これらの個人データに関しては良い悪いは別として、国策としてさらなる利活用が検討・実施されるように思われます。

5.その他・スケジュールなど
今後のスケジュールに関しては、11月下旬以降に関係団体等のヒアリングを順次実施とあり、その後、2024年春頃に「委員会「中間整理」公表」とあります。この段階でパブコメが実施されるのでしょうか。

また、同「主な意見」では、いわゆる「クラウド例外」の見直しも議論の対象となっているようです。

なお、上の本検討3頁の「施行状況に係る委員会の主な意見」を読んでも、個人情報保護法の立法目的に自己情報コントロール権あるいは「自らの個人情報を適正に取扱われる権利」(曽我部真裕説)、「関連性のない個人データで個人が選別・差別されない権利」(高木浩光説)などを盛り込むべきといった議論はなされていないようでした。また、EUのGDPR22条のプロファイリング拒否権のような規定や、コントローラー・プロセッサー等の概念を盛り込むべきとの議論もなされていないようです。カメラ規制法やEUのようなAI規制法などの立法化の議論もなされていないようです。

このように次回の個人情報保護法改正は、これまでの法改正に比べて小ぶりな改正に留まるのかもしれません。

このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

daigaku_toudai
1.はじめに
反戦デモに許可なく参加したなどとして愛知大学が学生自治会の委員長ら学生3人に退学の懲戒処分を通知し、学生側が現在、審査請求を行っているとの中日新聞のニュースがネット上で大きく注目されています。ネット上では愛知大学を批判する意見が多いようですが、事件の概要や、類似する事件の判例をみると、問題はそう簡単ではないように思われます。

・反戦デモに参加し退学処分、元愛知大生3人が再審査請求 不当な処分と主張|中日新聞

2.今回の愛知大学の事件の概要
冒頭の中日新聞の記事によると、退学処分となった学生3人は愛知大学豊橋校舎学生自治会の委員長らであり、9月15日付の退学処分通知書は「反戦デモに参加し、無断で「愛知大学学生自治会」の旗を掲げて…本学公認の活動であるかのような外観を作出したこと」「学長が学生を監視している等虚偽の内容のビラを配布していること」など6~7項目の不適切な行為が列挙されていたとのことです。

また愛知大学に関するウィキペディアなどによると、愛知大学学生自治会は革マル系の団体であり、1月に自治会館の管理権をめぐって同自治会は大学を相手取って訴訟を提起しているとのことです。今回愛知大学が同自治会の3人を退学処分としたことは、このような様々な原因を総合考慮して、同大学学則55条3項3号の「大学の秩序を乱し、その他学生の本分に反したと認められる者」に該当すると判断されたものと思われます。

愛知大学学則55条
(愛知大学学則55条 愛知大学サイトより)

3.昭和女子大事件
(1)このような大学生の政治活動への退学処分が争点となった判例として昭和女子大事件(最高裁昭和49年7月19日判決)があります。学則の細則である生徒要録に反して学内で政治活動を行ったり政治団体に加入等した学生が私立大学の昭和女子大から退学処分となった事案について、学生側が生徒要録は憲法19条(内心の自由)、21条(表現の自由、結社の自由)などに違反するとして訴訟を提起したものです。

(2)この事件の最高裁は、①憲法19条、21条などの自由権規定は国又は公共団体の統治行為に対して個人の基本的人権を保障することを目的とした規定であり、私人相互間の関係については適用されない、②大学は国公立を問わず学則等の制定によって学生を規律する包括的権能を有する、③とくに私立大学は建学の精神に基づく独自の伝統・校風と教育方針を学則等において具現化することが認められる、④本件退学処分は社会通念上合理性を欠くものとはいえず、懲戒権者の裁量権の範囲内にある、等として学生側の主張を退けました。

(3)この最高裁判決に対しては、憲法の私人相互間への適用を大学について否定していること(間接適用説の否定)、法令に明文規定のない大学の学生への包括的権能を十分な論証もなしに安易に認めていることなど、憲法学の学説からは批判が大きいところです(木下智史「私立大学における学生の自由」『憲法判例百選Ⅰ第7版』24頁、芦部信喜・高橋和之補訂『憲法 第8版』116頁) 。

4.まとめ
とはいえ判例としてこのような事件が存在する以上は、今回の愛知大学の事件においても、もし訴訟となった場合においても、この昭和女子大事件判決に準拠して学生側が敗訴する判決が出される可能性はあると思われます。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■参考文献
・芦部信喜・高橋和之補訂『憲法 第8版』116頁
・木下智史「私立大学における学生の自由」『憲法判例百選Ⅰ第7版』24頁
・高橋和之『新・判例ハンドブック【憲法】第2版』42頁

人気ブログランキング

PR




このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ