（東急不動産本社。日経新聞より）

１．コロナ禍によるテレワークの進展で、PCなどによる従業員のモニタリング・監視が進んでいる
コロナ禍によるテレワークの進展にともない、自宅等で業務を行っている従業員をPCやスマートデバイスなどでモニタリング・監視しようという研究開発が進んでいるようです。

例えば最近、NHKは４月24日に、「テレワーク 働きぶりの“見える化” 導入広がる 新型コロナ」というニュースを報道しました。

このニュースで取り上げられたIT企業アイエンターのシステムは、自宅等で働いている従業員がソフトウェア上の「着席」のボタンを押して仕事をしている間の、パソコンの画面がランダムに撮影され、上司に送信される仕組みがあるとのことです。いつ画面が撮影されるか社員には分からない仕様とのことです。

また、2019年10月に、東急不動産が職場の従業員に脳波センサーのヘッドギアを着けさせて従業員のモニタリング・監視を行っているという報道は、ディストピアSFのようだと、ネット上で大きな話題となりました。東急不動産は、脳波センサーだけでなく、音圧センサーなどのスマートデバイスを従業員につけさせることにより、従業員の感情、ストレスの度合い、会話や位置情報も収集し分析しているそうです。

・東急不動産の新本社、従業員は脳波センサー装着｜日経新聞
・「働き方改革」の見える化を実現し、選ばれるオフィスへ｜東急不動産


日立も、スマホ等で従業員をモニタリング・監視するアプリなどを開発する「ハピネス事業」を展開しています。また、NECやパナソニック、凸版印刷なども、「働き方改革」やテレワーク対策のために、従業員をPCやスマートデバイスなどでモニタリング・監視する商品・サービスの展開を進めているようです。

・幸せの見える化技術で新たな産業創生をめざす「出島」としての新会社を設立｜日立
・残業時間が丸見え　NECが働き方監視サービスを強化｜日経新聞
・ニューノーマル時代のオフィスとは? パナソニックの「worXlab」を訪ねる｜マイナビニュース


２．日本の個人情報保護法制・労働法
このような事業者・使用者による従業員のPCやスマートデバイス、監視カメラなどによるモニタリング・監視は、法的に問題はないのでしょうか。

この点、2000年に制定された労働省「労働者の個人情報保護の行動指針」の「第２　個人情報の処理に関する原則」の６（５）（６）は、つぎのように規定しています。

「（５）職場において、労働者に対して常時ビデオ等によるモニタリングを行うことは、労働者の健康及び安全の確保又は業務上の財産の保全に必要な場合に限り認められるものとする。」

「（６）使用者は、原則として、個人情報のコンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない。」

・労働者の個人情報保護に関する行動指針｜厚労省

また、厚労省の2019年6月27日付の『労政審基本部会報告書～働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために～』の９頁、10頁は、HRtechや人事労務分野でAIを利用することについて、つぎのように問題点を指摘しています。

『プライバシーについては、AI 等の活用により、個人データから政治的立場、経済状況、趣味・嗜好等が高精度で推定できるため、企業は、労働者の権利が侵害されないよう、サイバーセキュリティの確保を含むリスク管理のための取組を進めるなど適切に情報セキュリティを確保しつつ、個人データを扱うことが求められる。』

『このため、AI の活用について、企業が倫理面で適切に対応できるような環境整備を行うことが求められる。特に働く人との関連では、人事労務分野等において AI をどのように活用すべきかを労使始め関係者間で協議すること、HRTech を活用した結果にバイアスや倫理的な問題点が含まれているかを判断できる能力を高めること、AI によって行われた業務の処理過程や判断理由等が倫理的に妥当であり、説明可能かどうか等を検証すること等が必要である。』

このように、テレワーク等の環境下において、PCやスマートデバイス等により歯止めなく無制限に従業員をモニタリング・監視することや、収集された個人データのみにより従業員の人事考課を行うことは、「労働者の個人情報保護に関する行動指針」第２．６（５）（６）に違反しており、また、厚労省の2019年6月27日付の労政審基本部会報告書「～働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために～」９頁、10頁の趣旨にも抵触していることになります。

３．裁判例から考える
企業・使用者には、労働契約に基づいて従業員に対して指揮命令権（労務指揮権）があり、また職場の施設管理権も有しています。

しかし職場内においても、労働者にとって私的な領域が存在し、労働者のプライバシー権や人格権が問題となります。そのため、企業が会社の備品の保全や製品・サービスの品質管理などのために、労働者のロッカーなどの所持品検査や職場の電子メールの監視・モニタリングなどをどの程度行うことができるのかついて、裁判で争われてきました。

この点のリーディングケースである、西日本鉄道事件の最高裁判決は、使用者が行う所持品検査について、①検査を必要とする合理的な理由の存在、②検査方法と程度の妥当性、③制度として職場の従業員に画一的に実施されていること、④就業規則その他に明示の根拠があること、という所持品検査が適法となる４要件を示しました（最高裁昭和43年8月２日判決・西日本鉄道事件）。

そして、職場の電子メールの監視・モニタリングが争点となった、F社Z事業部電子メール事件（東京地裁平成13年12月3日判決）の判決は、「監視の目的、手段およびその態様等を総合考量し、監視される側に生じた不利益とを比較考量の上、社会通念上相当な範囲を逸脱した監視がなされた場合、プライバシー権の侵害となる」と判示しています。

すなわち、「監視の目的、手段、その態様などを総合考量し、監視される側に生じた不利益とを総合考量して、社会通念上相当な範囲を逸脱した監視がなされた場合」には、労働者のプライバシー権が侵害され不法行為が成立することになります（山本龍彦「職場における電子メールの監視と不法行為責任」『新・判例ハンドブック情報法』98頁）。

この裁判例をもとに冒頭の東急不動産や日立の「ハピネス事業」の取組や、NHKの報道しているテレワークにおける従業員のモニタリング・監視を検討すると、「よりよい職場環境のための研究」「テレワーク中の従業員が職務に専念しているか監視すること」などの「監視の目的」は、一応、妥当なものといえるかもしれません。

しかし、業務時間中ずっとPCや脳波センサーなどのデバイスで従業員を監視し続けることは、「監視の手段、その態様」において、社会通念上相当な範囲を超えていると思われます。とくに東急不動産の脳波センサーなどの事例は、従業員の脳波というセンシティブな生体データを業務時間中ずっとモニタリングしており、「監視の手段、様態」の面で大きく社会通念上相当な範囲を逸脱しています。

しがたって、テレワークにおけるPCによる従業員のモニタリング・監視や、東急不動産や日立の脳波センサーやスマホによる従業員のモニタリング・監視は、かりに従業員側から民事訴訟が提訴された場合、「監視の手段、様態」などが限度を超えており、従業員のプライバシー権が侵害され不法行為責任（民法709条）が成立するという判決が出される可能性があります。

４．EUのGDPRから考える
2018年から施行された、EUのGDPR（一般データ保護規則）は、同22条１項において、「コンピュータによる自動処理（プロファイリング）のみによる法的決定・重要な決定を拒否する権利」を規定しています。

管理者（事業者）とデータ主体（本人）との契約に必要な場合等はその例外となるとされていますが（同22条２項）、生体データ・健康データ等のセンシティブ情報（特別カテゴリーの個人データ）はそのさらに例外で「本人の明示的同意」が必要（9条）とされています。しかも管理者は、本人から同意を取得する前提として、本人にどのようなデメリットがあるか等の情報提供義務（13条、14条）を負います。

またさらに、GDPRにおいては、本人の同意の任意性が重視されます。管理者とデータ主体との間に力関係の明らかな不均衡がある場合は、同意は有効な適法要件とすべきではないと規定されています（前文43条）。

そして、GDPRの解釈・運用指針の一つの、29条作業部会「同意に関するガイドライン（WP259 ver.01）」５頁以下は、「管理者が本人に対して強い立場にある場合は、同意を根拠に個人データを取扱うことはできない。雇用主に対して、個人データを取扱わないでほしいと本人が要請することは通常難しい。雇用主が職場の監視カメラ設置や、人事関連書類の提出について従業員に同意を求めれば、従業員はこれを拒否することに躊躇するはずである。そのため、雇用主は、基本的に同意を根拠として個人データの処理はできない。」と規定しています（小向太郎・石井夏生利『概説GDPR』60頁）。

したがって、日本では、さまざまな企業がわれ先にと、PCや監視カメラなどを利用した従業員のモニタリング・監視の商品・サービスの研究開発を行い、これらの商品・サービスの販売が行われていますが、このような日本の従業員の監視・モニタリングの商品・サービスは、EUのGDPRにおいては違法と判断される可能性が高いと思われます。

とくに日立は欧州に事業所を設置して業務を行っておりますが、自社の「ハピネス事業」についてEUのデータ保護当局から説明を求められた場合に、どのように説明しようとしているのか気になるところです。

なお、EUは4月21日に、AI規制法案を公表しました。これは、GDPR22条のAI版とも呼べるものであり、防犯カメラによる顔認証の原則禁止や、信用スコア、運輸・ガス・水道関連の社会インフラ、教育分野、採用・人事考課、ローンなどに絡む信用調査、移民・難民に関わる事務などへのAIの利用が規制の対象となります。

・EUのAI規制案、リスク4段階に分類　産業界は負担増警戒｜日経新聞
・Europe fit for the Digital Age: Commission proposes new rules and actions for excellence and trust in Artificial Intelligence｜European Union

５．西側自由主義諸国の個人データ保護法制の歴史（？）とまとめ
1960年代からのコンピュータの発展による人権侵害のおそれを受けて作成された、1974年の国連事務総長報告書「科学の発展と人権」以来、「コンピュータによる人間の選別を拒否する権利」はプライバシー権・自己情報コントロール権などと並んで世界の個人情報保護法（個人データ保護法）の重要な法目的でした。この考え方は、1980年のOECD８原則や、1996年のILO「労働者の労働者の個人情報保護に関する行動準則」などに受け継がれ、EUにおいてはEUデータ保護指令15条から2018年のGDPR22条となり、さらに本年４月に公表されたAI規制法案に受け継がれています。




日本の個人情報保護法制においては、この「コンピュータによる人間の選別を拒否する権利」がなぜか法目的においてぼかされたまま立法や運用が行われてきました。しかし、国民の個人の尊重や基本的人権の確立を国の目的（憲法11条、97条）とする近代憲法の民主主義国家という国家体制を日本が今後も採ろうとするのであれば、日本は個人情報保護法制において、「コンピュータによる人間の選別を拒否する権利」やプライバシー権、自己情報コントロール権などを立法目的に明記し、それを守るための立法や運用を行うべきです。

このままでは、日本の個人データ保護法制はガラパゴス化の道を進み、西側自由主義諸国の個人データ保護法制からますます離れて、中国などのような国家主義・全体主義国家の個人データ保護法制にますます接近してしまうと思われます。

■関連するブログ記事
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件－個人情報・公務の民間化
・従業員をスマホでモニタリングし「幸福度」「ハピネス度」を判定する日立の新事業を労働法・個人情報保護法的に考えた
・AI人材紹介会社LAPRAS（ラプラス）の個人情報の収集等について法的に考える
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・2021年の個人情報保護法の改正法案の学術研究機関の部分がいろいろとひどい件－デジタル関連法案
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

■参考文献
・菅野和夫『労働法 第12版』262頁、695頁
・岡村久道『個人情報保護法 第３版』225頁
・小向太郎・石井夏生利『概説DGPR』60頁、64頁、93頁
・山本龍彦「職場における電子メールの監視と不法行為責任」『新・判例ハンドブック情報法』98頁
・労務行政研究所『新・労働法実務相談 第２版』551頁
・田島正広『インターネット新時代の法律実務Q&A 第３版』110頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』２巻75頁

タグ ：

モニタリング

監視

従業員

労働者個人情報保護行動指針

GDPR

AI規制法案

F社Z事業部事件

労働法

コロナ

１．個人情報保護法24条の「外国」に国名の明示は必要か？
LINEの個人情報漏洩事件では、LINEの個人情報が中国・韓国に移転していたことが大きな問題となっています。

■これまでのブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた


個人情報保護法24条は、①「外国」が個人情報保護法が個人情報保護レベルが日本と同等で安全と認定（日本版十分性認定）した国であれば個人データの第三者提供可能であること、あるいは②外国の「事業者」が個人情報保護委員会の定める安全管理の基準をクリアしていれば第三者提供可能であること、しかし①②を満たしていない場合はそのような安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要であると規定しています。

この点、①については、個人情報保護委員会が安全とお墨付きをした国は、2019年現在、EUとイギリスのみです（平成31年個人情報保護委員会告示第１号）。つぎに、②についても、LINEがそのように主張していない以上、安全管理の体制を満たす事業者ではないようです。そのため、LINEの件では③の安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要になります。

しかし、LINEは「LINEプライバシーポリシー」の「５．パーソナルデータの提供」において、「当社は、お客様から同意を得た場合（略）、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転する場合があります」と、国名を具体的に明示していません。

２．「外国」は国名を明示しなくてよいのか？
そこで、法24条の「外国」について、③の本人の同意を取得するにあたって、あらかじめプライバシーポリシーなどで国名を明示する必要がないのかが問題となります。

この点について、改正法案の立案担当者が執筆した、日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』は、「原則として国レベル」の表示が必要としています。

この点、個人情報保護委員会の個人情報ガイドラインQA9-2、9-3は、「事業の性質及び個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な」な情報提供が必要であるとした上で、国名を明示しなくてもよい３つの具体例を例示しています。（薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁も同旨。）

法24条の国名を明示しなくてよい３つの具体例
①提供先の国又は地域名（例：米国、EU 加盟国）を個別に示す方法

②実質的に本人からみて提供先の国名等を特定できる方法（例：本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合）

③国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法など（例えば、本人が日本の旅行会社に外国旅行を申し込んだ場合に、当該旅行会社が当該国の宿泊先に当該本人の情報を提供する場合）

LINEのプライバシーポリシーについては、具体例の②③が問題となります。具体例②についてみると、日本のLINEユーザーは、自分がLINEのサービスを受ける際に、自分自身の個人データの提供先を中国・韓国に決めていることはまずないと思われますので、具体例②は該当しません。つぎに、具体例③についても、日本の大半のLINEユーザーは、中国・韓国に旅行をするためにLINEを利用する等の事情はないと思われ、やはり具体例③も該当しません。

したがって、国名を明示しなくてもよい具体例のいずれにもあてはまらないので、やはり外国の国名を明示していないLINEのプライバシーポリシーは、個人情報保護法24条に違反しているのではないでしょうか。

一般人の理解に照らして「「外国の事業者」に自分の個人データが移転することがある」とのプライバシーポリシーを読んで、自分のセンシティブ情報の医療データや、マイナンバー等の重要な個人データが、韓国や中国に移転するとは合理的に判断できないのですから、やはりLINEの外国の国名を明示していないプライバシーポリシーは個人情報保護法24条違反であるとともに、消費者にとって騙し討ち的であり、消費者契約法10条や民法548条の２第２項（定型約款）に抵触しているのではないでしょうか。

３．民事上のリスク・風評リスクなど
また、LINEは法的トラブルとなったとき（現に今なっていますが）、法24条の条文が「国名を明示しろ」とは書いていないからと、かりに対行政庁のリスクはぎりぎりしのげたとしても、顧客との民事上のリスク（損害賠償請求のリスク）や風評リスク・レピュテーションリスクなどは回避できるのでしょうか？

プライバシーポリシーに明示もせずに、顧客の重要なデータを含む個人データを、日本の友好国とはいえない中国・韓国の事業者に勝手に移転していたということで、LINE・ヤフージャパン・Zホールディングスの日本の顧客や投資家、取引先、従業員などからの信頼は大きく低下するのではないでしょうか。そしてそれは、LINEをプラットフォームとしてビジネスや業務を展開していた、損保ジャパン、ライフネット生命、エン・ジャパン、総務省、厚労省、神奈川県、大阪府などの自治体なども同様と思われます。

４．個人情報のごった煮状態
それにLINEの問題は法24条だけでなく、LINE上でさまざまなサービスを展開することで結果として法15条、16条の個人情報の利用目的を必要最小限に特定せず、幅広な個人情報を収集・利用していることや、法20条、22条の委託先の監督など安全管理措置がボロボロだったことにあるのではないでしょうか。

LINEは個人情報保護法がザル法であることをいいことに、多様な利用目的で多種多様な個人情報を収集し、「情報のごった煮状態」で個人情報の管理・分析・利用を行い、LINEスコアなどの、多種多様な個人データで個人の信用スコアを算定するというビジネスさえも実施しています。

（多種多様な業種・業界の企業と業務提携して個人データを収集し、「情報のごった煮状態」でデータマーケティングを運営しているTポイントのCCC（カルチュア・コンビニエンス・クラブ）に対しても、そのビジネスモデルに対して社会的批判が寄せられています。）

本人が把握しきれないような個人に関する多種多様な膨大な情報を事業者が保有している状況で、LINEスコアのような信用スコア事業を実施するのは、「コンピュータによる個人データの自動処理のみで法的決定や重大な決定を行ってはならない」という1980年代以降の世界の個人データ保護法制の立法目的や流れに反してるのではないでしょうか。(例えば、2019年のAIと労働者に関する厚労省労政審報告書、1996年ILO「労働者の個人情報保護に関する行動基準 一般原則5-6」、労働省「労働者の個人情報保護の基本方針」6(6)やGDPR22条など。)





また、LINEはこの個人情報のごった煮状態で、LINEキャリアなどの人材ビジネスをも実施しています。これも、就活生が想像もできない方法でネット閲覧履歴などを収集・分析し、就活生の内心に関するデータを採用企業に販売するなど、就活生を裏切るビジネスモデルが大きな社会的非難を招いたリクナビ事件などのような法的リスクを含んでいるのではないでしょうか。（なお、この問題は、ネット系人材会社LAPRASなどにおいても同様と思われます。）

2020年改正の個人情報保護法は16条の２に、リクナビ事件などのような個人情報の不適正な利用を禁止する条文を新設しました。同改正法は2022年４月から施行ですが、LINEの各ビジネスは、法16条の２をクリアできるのかが問題となると思われます。

■関連するブログ記事
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか？
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・CCCがT会員規約やプライバシーポリシーを改定－他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・AI人材紹介会社LAPRAS（ラプラス）の個人情報の収集等について法的に考える

■参考文献
・岡村久道『個人情報保護法 第３版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第２版』53頁

個人情報保護法のしくみ [ 日置 巴美 ]

個人情報保護法〔第3版〕 [ 岡村 久道 ]

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じている [ 鈴木正朝 ]

タグ ：

LINE

LINEスコア

LINEキャリア

security

privacy

個人情報

中国

韓国

安全保障

峯村砲

１．改正個人情報保護法
『週刊東洋経済』2021年3月6日号64頁に、2020年に改正のあった個人情報保護法についての解説記事（「22年施行 情報の「利用」を重視する 個人情報保護の規制強化」）が掲載されていたので読んでみたところ、いくつか気になる点がありました。

本記事は、新卒の就活生の採用において、リクルートキャリア社が分析し販売した就活生の「内定辞退予測データ」をトヨタなどの採用企業が購入して利用していたことが2019年に発覚し、大きな社会問題となったいわゆる「リクナビ事件」やDMP（Data Management Platform）業務を中心的な題材として改正個人情報保護法の解説を行っています。

２．個人関連情報
本記事は、DMPベンダー企業（C社）のサーバーに、A社、B社などさまざまな企業のサイトを閲覧したユーザー・顧客の閲覧履歴が顧客のcookieなどの顧客IDごとに蓄積されてゆき、DMPベンダー企業C社がこの蓄積された閲覧履歴のデータを分析してゆくと、それぞれの顧客がその顧客IDごとに、例えば「40代であり、男性で、自動車に興味がある」などと推測・プロファイリングすることができるとしています（分析結果データ）。


（「週刊東洋経済」2021年3月6日号65頁より）

そして、C社からこれらの分析結果データを購入したB社は、B社のサーバーに蓄積されたCookieなどの顧客IDや自社の顧客DBなとと情報を突合・名寄せを行い、顧客の実名等を割り出し、マーケティング活動などを行うとしています。

その上で、本記事は、（顧客IDが）「1234のユーザーが40代男性で自動車に興味があるという情報は、まさに個人関連情報だ」としています。

ところで、今回の法改正で新設された、個人関連情報とは、「生存する個人に関する情報であって個人情報、匿名加工情報および仮名加工情報のいずれにも該当しないもの」と定義されています（改正個人情報保護法26条の２第１項かっこ書き）。解説書は、個人関連情報について、「氏名等と結びついていないインターネットの閲覧履歴、位置情報、Cookieなど」が個人関連情報の具体例であるとしています（佐脇紀代志『一問一答令和２年改正個人情報保護法』62頁）。

この点、本記事の説明における、DMPベンダー企業のC社のサーバーに収集された、ユーザーのCookieなどの顧客IDやサイト閲覧履歴などのデータは、まさに個人関連情報ですが、それらの情報・データをC社が分析した結果である、「1234のユーザーが40代男性で自動車に興味があるという情報・データ」は、個人関連情報ではなく、個人情報（個人情報保護法２条１項１号）なのではないでしょうか。

つまり、個人情報とは、「生存する個人に関する情報」であって、「特定の個人を識別することができるもの」です（法２条１項１号）。ここでいう「特定の個人を識別することができる」とは、「生存する具体的な人物と情報との間に同一性を認めることができること」（個人情報保護委員会・個人情報ガイドラインQ&A1-1）であり、特定の個人の「実名」等を識別できることまでは要件とされていません。すなわち、例えば防犯カメラの映像データにおいて、映っている人物の顔や身体的特徴などの「識別のための情報」によって、特定の個人がいわば「この人」であると識別できる場合には、当該個人の実名等が不明であっても、その情報は個人情報となります（岡本久道『個人情報保護法 第３版』72頁）。また、事実そのものを示す情報（事実情報）だけでなく、人事考課のような判断・評価を表す情報（評価情報）も個人情報に該当します（岡本・前掲69頁）。

そのため、DMPベンダー企業C社において、Cookieなどの顧客IDによって特定の個人を「この人」と識別できるうえに、閲覧履歴などを評価・分析した評価情報である「顧客ID1234のユーザーが40代男性で自動車に興味があるという情報・データ」はやはり個人情報であると考えられます。したがって、これらの分析結果の情報を個人関連情報としている本記事は不正確ではないかと思われます。

なお、本記事65頁は、Cookieについて「ブラウザに保存されるテキスト形式の情報のことであり、顧客IDなどを保存するのに使われる」と解説していますが、Cookieが保存されるのは正確にはブラウザではなくパソコンやスマホのストレージ（記憶装置）であると思われます。

（DMPの事業については、従来、Cookieなどは個人ではなくブラウザに付番された情報であるので個人情報ではないという説明がなされてきたようです。しかし、共用のパソコンなどであればともかく、個人のスマートフォンなどは「一人一端末」であることがほとんでであると思われ、その場合、Cookie等の情報は限りなく個人情報そのものと考えられます。）

３．仮名加工情報
本記事66頁は、仮名加工情報とは、「個人情報から、①氏名等、②個人識別符号（生体認証情報やマイナンバー等）、③クレジットカード番号や銀行口座番号など、を削除した情報である」と解説しています。

この点、仮名加工情報について、改正法２条９項は

改正個人情報保護法
２条９項
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう
一　第一項第一号に該当する個人情報　当該個人情報に含まれる記述等の一部を削除すること（後略）
二　第一項第二号に該当する個人情報　当該個人情報に含まれる個人識別符号の全部を削除すること（後略）

と規定しています。つまり、個人情報については個人情報の記述の一部を削除し、個人識別符号に該当する個人情報については個人識別符号の全部を削除したもので他の情報と照合しない限り特定の個人を識別できないよう加工されたものが仮名加工情報です。「クレジットカード番号や銀行口座番号など」は、個人情報（個人識別符号）の一部として明確化がなされるように前回（平成27年）の個人情報保護法改正の際に盛り込まれようとしたものの、経済界の一部の強い反対によりお蔵入りとなったものです。そのため、「個人情報から、③クレジットカード番号や銀行口座番号などを削除した情報」としている本記事は、③の部分については正確でないように思われます。（この点は今後制定される、個人情報保護委員会の施行令・施行規則で明らかになると思われます。）

また、本記事66頁は、「仮名加工情報に加工しておけば、（略）本人からの開示や利用停止等の請求の対象にならない」ことが「企業にとって前向きな改正」と解説しています。

この点、本記事の筆者である影島広泰弁護士は、「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年８月号38頁においても、「仮名加工情報については、15条２項（利用目的の変更）、22条の２（漏えい等の報告）、27条から34条まで（開示・利用停止等の保有個人データに関する本人の権利）の規定は適用されないとされている（改正法35条の２第９項）。したがって、本稿で述べてきた開示請求や利用停止等の請求への対応が難しいデータについては、仮名加工情報に加工して保有・利用するというのが、有力な解決策の１つとなると考えられる。」と解説しておられます。

しかし、仮名加工情報は、例えば製薬会社などの製薬の研究開発のため、企業内部におけるデータ利用などを想定し、企業などの個人情報取扱事業者としての義務を緩和するものです。そのため、仮名加工情報を利用する際に当該企業が他の情報と照合するなどして本人を識別するは禁止されますし（識別行為禁止義務）、第三者提供も禁止されています（改正法35条の２第７項）。また、仮名加工情報のなかの連絡先などの情報を利用することも禁止されています（改正法35条の２第８項）。

もし影島氏が、企業からみて好ましくない顧客のリスト表などの個人情報・個人データを匿名加工情報にすべきだと考えておられるのであれば、しかしそのような個人情報は匿名加工情報に加工しても、個人を特定する用途には利用できませんし、第三者提供もできませんし、さらに連絡先を利用することも禁止されているので、結局、このような各種の用途には利用できず無意味なデータとなってしまうのではないでしょうか。

あるいは、「顧客から隠すために保有個人データを匿名加工情報に加工する」という行為は、今回新設された不適正利用の禁止規定（改正法16条の２）に抵触するのではないでしょうか。

４．閲覧履歴などを採用選考に利用できるのか？
さらに、本記事は、就活生からの本人の同意さえ取れば、リクナビ事件のようなネット閲覧履歴等も企業が採用選考に利用できることを前提として書かれているようです。

しかし、就活生本人から同意を取得すれば、たしかに個人情報保護法はクリアできるかもしれませんが、「採用選考に思想信条や内心等に関連する情報の取得はしてはならない」「社会的差別のもととなる情報を取得してはならない」「本人の仕事をする能力についてのみ採用選考をすること」等としている職業安定法などの労働法に抵触し、やはりネット閲覧履歴等を採用選考に企業などが利用することは許されないのではないでしょうか（職安法５条の４、同法３条、厚労省指針通達労働省平成11年第141号第４、厚労省「公正な採用選考の基本」、浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁）。

・厚労省指針通達（平成11年労働省告示第141号）｜厚労省
・公正な採用選考の基本｜厚労省

厚労省指針通達平成11年労働省第141号

第４　法第５条の４に関する事項（求職者等の個人情報の取扱い）
１　個人情報の収集、保管及び使用
(1) 職業紹介事業者等は、その業務の目的の範囲内で求職者等の個人情報（以下単に「個人情報」という。）を収集することとし、次に掲げる個人情報を収集してはならないこと。ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りでないこと。
イ　人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項
ロ　思想及び信条
ハ　労働組合への加入状況
(2)　職業紹介事業者等は、個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外の者から収集する等適法かつ公正な手段によらなければならないこと。
（以下略）

つまり、DMP事業者は数千、数万のサイトから情報を収集し、分析したデータをターゲティング広告などに利用しています。そして収集されたネットの閲覧履歴などは、就活生の就職活動に関するデータだけでなく、就活生の趣味嗜好や思想信条、政治的傾向、愛読書や好きなアーティスト等などの情報や、あるいは本人の人種、性別、出身地などのさまざまな情報が含まれます。

しかし、企業等が採用選考にあたり、「思想信条、趣味嗜好、政治的傾向、労働組合歴、愛読書、尊敬する人物」などの情報や、「人種、性別、肌の色、出身地、親の職業・資産状況」などの情報で選考してはならないと職業安定法などが規定しているのは、日本が「個人の尊重」（憲法13条）や内心の自由（19条）や平等原則（14条）などの基本的人権の確立（11条、97条）を掲げる自由主義、民主主義の国家だからです。企業などは、個別の国民から本人同意を取得することはできても、国会による改正などを経ない限り、職業安定法や憲法あるいはわが国の国家のあり方を変えることはできないからです。

そのため、採用側の企業が就活生などから本人の同意を取得することで、かりに個人情報保護法をクリアすることができたとしても、閲覧履歴などの個人の内心に関する情報や社会的差別の原因となるおそれのある情報を、企業が採用選考のために収集し利用することはやはり許されないことになります。

（そのことは、ネット上の情報を収集して業務を行っている、LAPRASなどのネット系人材紹介会社にも同様にあてはまると思われます。）

■参考文献
・佐脇紀代志『一問一答令和２年改正個人情報保護法』62頁
・岡村久道『個人情報保護法 第３版』72頁、69頁
・浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁
・高木浩光「個人データ保護とは何だったのか」『世界』2019年11月号55頁
・影島広泰「情報の「利用」を重視する 個人情報保護の規制強化」『週刊東洋経済』2021年3月6日号64頁
・影島広泰「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年８月号34頁
・厚労省指針通達（平成11年労働省告示第141号）｜厚労省
・公正な採用選考の基本｜厚労省

■関連するブログ記事
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・AI人材紹介会社LAPRAS（ラプラス）の個人情報の収集等について法的に考える

週刊東洋経済　2021年3/6号 [雑誌]

一問一答 令和2年改正個人情報保護法 (一問一答シリーズ)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

個人情報保護法〔第3版〕

タグ ：

個人情報

security

privacy

個人関連情報

仮名加工情報

職業安定法

憲法

リクナビ

LAPRAS