なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

カテゴリ: 労働法

ai_pet_family
1.Githubの利用規約とネット系人材紹介会社
ある方が、Twitter上で「「Githubをみてメールしました」との人材紹介会社からのメールが来るけれど、これはGithubの利用規約違反ではないか?」という趣旨の投稿をされているのを見かけました。

以前より、私もGithubやSNSなどネット上で個人情報を収集している最近のネット系人材紹介会社(LAPRASHackerBase Jobsなど)に関心があったので、Githubの利用規約をみてみました。

すると、Github利用規約「5.情報利用の制限」はつぎのように規定しており、たしかに、ユーザーの個人情報を、人事採用担当者、ヘッドハンター、求人掲示板など販売することなどの目的で、Githubのサービスから取得して利用することはできないとはっきり禁止規定が存在します。

Github利用規約
5.情報利用の制限
「ユーザ個人情報」を、ユーザに対して未承諾メールを送信する、人事採用担当者ヘッドハンター求人掲示板など販売するといった目的を含め、スパム目的で本「サービス」から取得 (スクレイピング、APIを介した情報収集、その他の手段による取得) した情報利用することはできません。


github利用規約5情報の利用制限
(Githubより)

・Github利用規約

また、Github企業向け利用規約「3.プライバシー」も次のように規定し、企業(「お客様」)はGithubから「外部ユーザー」(=当該企業の顧客には未だなっていないユーザー)個人情報を収集して使用するには、当該ユーザー「利用目的」への「承認」が必要であると明記しています。

つまり、ここでも企業がユーザーの個人情報を取得し利用するためには、ユーザー本人の同意が必要であると明記されています。

「お客様がGitHubから「ユーザ個人情報」を収集した場合、お客様は「外部ユーザ」承認した目的にのみその個人情報を使用するものとします。


github企業向け利用規約
(Githubより)

このようにみてみると、人材紹介会社が、Github上のユーザーの本人の同意なしに、ユーザーの個人情報を収集し、分析、加工するなどして求人を行っている企業の人事部やヘッドハンターなどに第三者提供することは、Githubの利用規約に違反していることになります。

もし、Github上のユーザーの個人情報の企業などによる違法・不当な収集・利用があった場合、「GitHubはGitHubまたは「外部ユーザ」からの苦情、削除要請、および連絡拒否の要請速やかに対応する」と規定されており(Github企業向け利用規約「5.情報利用の制限」)、また、企業などは「当社やその他ユーザからの苦情、削除要請、および連絡拒否の要請速やかに対応する」(Github利用規約「6.プライバシー」)ことが義務付けられています。

2.ネット系人材紹介会社と職業安定法5条の4・2019年の厚労省通達
また、2019年に就活生のネット閲覧履歴などのAI分析に基づく内定辞退予測データの販売が大きな社会的問題となったリクナビ事件を受けて、厚労省職業安定局は2019年9月6日付で「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)との通達を発出しています。

・厚労省職業安定局「募集情報等提供事業者等の適正な運営について」(職発0906第3号令和元年9月6日)|厚労省(PDF)

厚労省通達職発0906第3号

この2019年の通達では、人材紹介会社や求人企業などは、求職者の個人情報を収集する際には、「本人から直接収集」するか、あるいは「本人の同意」の下に収集をしなければならないと明記されており、職業安定法5条の4および指針通達平成11年第141号第4「法5条の4に関する求職者等の個人情報の取扱い」の規定が再確認されています。(なお、本人同意は形式的なものであってはならないこと、人材会社等のサービスを利用するために本人の同意を条件とするなど同意を事実上強制してはならないこと等も明記されていることも注目されます。)

また、この2019年の通達では、「人材会社などの事業者の判断により求職者の個人情報選別または加工を行うことの禁止」を明記していることも大いに注目されます。(これは、EUのGDPR22条や、2000年の労働省「労働者の個人情報保護に関する行動指針」第2、6(6)などの「コンピュータによる個人データの自動処理のみによる法的決定・重要な決定の拒否権」と同じ趣旨の考え方であると思われ注目されます。平成28年の個人情報保護委員会の「個人情報保護法ガイドライン(通則編)」制定後は、日本の官庁はこの自動処理拒否権を無視・否定しているかに見えたのですが、この考え方は現在も日本で有効であるようです。すなわち、現在の日本政府は、AIやコンピュータによる個人情報の無制限な利活用を許容していないことになります。

ネット系人材会社LAPRASなどは、サイトの説明によると、転職を希望している「転職顕在層」だけでなく、「転職潜在層」のGithubなどネット上の個人データを収集・加工して求人企業の人事部などに提供を行うビジネスを業務を行っているようです。また、同社サイトはオプトアウト手続きのための入力フォームを現在も設置しており、やはり本人の同意を得ていない個人の個人データをネット上で収集し加工するビジネスを現在も行っているようです。

LAPRAS宣伝
(LAPRAS社サイトより)

そのため、LAPRASなどネット系人材紹介会社の業務は、(LAPRASの場合は「転職潜在層」に関して)個人の個人情報について、「本人から直接取得」あるいは「本人の同意」を得て収集しておらず、また、それらの個人情報・個人データを事業者の判断で選別・加工して、その個人データを求人企業などに提供しているようです。

したがって、Githubなどネットで個人情報を収集してるネット系人材会社のLAPRASなどのビジネスモデルは、やはり、Githubの利用規約に違反してると共に、職安法5条の4や厚労省の通達平成11年第141号、2019年の厚労省通達職発0906第3号などに違反しているのではないかと思われます。

■参考文献
・菅野和夫『労働法 第12版』69頁、262頁
・小向太郎・石井夏生利『概説GDPR』93頁
・山本龍彦『AIと憲法』101頁

■関連する記事
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた











このエントリーをはてなブックマークに追加 mixiチェック

東急不動産脳波センサー
(東急不動産本社。日経新聞より)

1.コロナ禍によるテレワークの進展で、PCなどによる従業員のモニタリング・監視が進んでいる
コロナ禍によるテレワークの進展にともない、自宅等で業務を行っている従業員をPCやスマートデバイスなどでモニタリング・監視しようという研究開発が進んでいるようです。

例えば最近、NHKは4月24日に、「テレワーク 働きぶりの“見える化” 導入広がる 新型コロナ」というニュースを報道しました。

このニュースで取り上げられたIT企業アイエンターのシステムは、自宅等で働いている従業員がソフトウェア上の「着席」のボタンを押して仕事をしている間の、パソコンの画面がランダムに撮影され、上司に送信される仕組みがあるとのことです。いつ画面が撮影されるか社員には分からない仕様とのことです。

また、2019年10月に、東急不動産が職場の従業員に脳波センサーのヘッドギアを着けさせて従業員のモニタリング・監視を行っているという報道は、ディストピアSFのようだと、ネット上で大きな話題となりました。東急不動産は、脳波センサーだけでなく、音圧センサーなどのスマートデバイスを従業員につけさせることにより、従業員の感情、ストレスの度合い、会話や位置情報も収集し分析しているそうです。

・東急不動産の新本社、従業員は脳波センサー装着|日経新聞
・「働き方改革」の見える化を実現し、選ばれるオフィスへ|東急不動産


日立も、スマホ等で従業員をモニタリング・監視するアプリなどを開発する「ハピネス事業」を展開しています。また、NECやパナソニック、凸版印刷なども、「働き方改革」やテレワーク対策のために、従業員をPCやスマートデバイスなどでモニタリング・監視する商品・サービスの展開を進めているようです。

・幸せの見える化技術で新たな産業創生をめざす「出島」としての新会社を設立|日立
・残業時間が丸見え NECが働き方監視サービスを強化|日経新聞
・ニューノーマル時代のオフィスとは? パナソニックの「worXlab」を訪ねる|マイナビニュース


2.日本の個人情報保護法制・労働法
このような事業者・使用者による従業員のPCやスマートデバイス、監視カメラなどによるモニタリング・監視は、法的に問題はないのでしょうか。

この点、2000年に制定された労働省「労働者の個人情報保護の行動指針」の「第2 個人情報の処理に関する原則」の6(5)(6)は、つぎのように規定しています。
「(5)職場において、労働者に対して常時ビデオ等によるモニタリングを行うことは、労働者の健康及び安全の確保又は業務上の財産の保全に必要な場合に限り認められるものとする。」

「(6)使用者は、原則として、個人情報コンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない。

・労働者の個人情報保護に関する行動指針|厚労省

また、厚労省2019年6月27日付『労政審基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~』の9頁、10頁は、HRtechや人事労務分野でAIを利用することについて、つぎのように問題点を指摘しています。

プライバシーについては、AI 等の活用により、個人データから政治的立場、経済状況、趣味・嗜好等が高精度で推定できるため、企業は、労働者の権利が侵害されないよう、サイバーセキュリティの確保を含むリスク管理のための取組を進めるなど適切に情報セキュリティを確保しつつ、個人データを扱うことが求められる。

『このため、AI の活用について、企業が倫理面で適切に対応できるような環境整備を行うことが求められる。特に働く人との関連では、人事労務分野等において AI をどのように活用すべきかを労使始め関係者間で協議すること、HRTech を活用した結果にバイアスや倫理的な問題点が含まれているかを判断できる能力を高めること、AI によって行われた業務の処理過程や判断理由等が倫理的に妥当であり、説明可能かどうか等を検証すること等が必要である。

このように、テレワーク等の環境下において、PCやスマートデバイス等により歯止めなく無制限に従業員をモニタリング・監視することや、収集された個人データのみにより従業員の人事考課を行うことは、「労働者の個人情報保護に関する行動指針」第2.6(5)(6)に違反しており、また、厚労省の2019年6月27日付の労政審基本部会報告書「~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」9頁、10頁の趣旨にも抵触していることになります。

3.裁判例から考える
企業・使用者には、労働契約に基づいて従業員に対して指揮命令権(労務指揮権)があり、また職場の施設管理権も有しています。

しかし職場内においても、労働者にとって私的な領域が存在し、労働者のプライバシー権や人格権が問題となります。そのため、企業が会社の備品の保全や製品・サービスの品質管理などのために、労働者のロッカーなどの所持品検査や職場の電子メールの監視・モニタリングなどをどの程度行うことができるのかついて、裁判で争われてきました。

この点のリーディングケースである、西日本鉄道事件の最高裁判決は、使用者が行う所持品検査について、①検査を必要とする合理的な理由の存在、②検査方法と程度の妥当性、③制度として職場の従業員に画一的に実施されていること、④就業規則その他に明示の根拠があること、という所持品検査が適法となる4要件を示しました(最高裁昭和43年8月2日判決・西日本鉄道事件)。

そして、職場の電子メールの監視・モニタリングが争点となった、F社Z事業部電子メール事件(東京地裁平成13年12月3日判決)の判決は、「監視の目的、手段およびその態様等を総合考量し、監視される側に生じた不利益とを比較考量の上、社会通念上相当な範囲を逸脱した監視がなされた場合、プライバシー権の侵害となる」と判示しています。

すなわち、「監視の目的、手段、その態様などを総合考量し、監視される側に生じた不利益とを総合考量して、社会通念上相当な範囲を逸脱した監視がなされた場合」には、労働者のプライバシー権が侵害され不法行為が成立することになります(山本龍彦「職場における電子メールの監視と不法行為責任」『新・判例ハンドブック情報法』98頁)。

この裁判例をもとに冒頭の東急不動産や日立の「ハピネス事業」の取組や、NHKの報道しているテレワークにおける従業員のモニタリング・監視を検討すると、「よりよい職場環境のための研究」「テレワーク中の従業員が職務に専念しているか監視すること」などの「監視の目的」は、一応、妥当なものといえるかもしれません。

しかし、業務時間中ずっとPCや脳波センサーなどのデバイスで従業員を監視し続けることは、「監視の手段、その態様」において、社会通念上相当な範囲を超えていると思われます。とくに東急不動産の脳波センサーなどの事例は、従業員の脳波というセンシティブな生体データを業務時間中ずっとモニタリングしており、「監視の手段、様態」の面で大きく社会通念上相当な範囲を逸脱しています。

しがたって、テレワークにおけるPCによる従業員のモニタリング・監視や、東急不動産や日立の脳波センサーやスマホによる従業員のモニタリング・監視は、かりに従業員側から民事訴訟が提訴された場合、「監視の手段、様態」などが限度を超えており、従業員のプライバシー権が侵害され不法行為責任(民法709条)が成立するという判決が出される可能性があります。

4.EUのGDPRから考える
2018年から施行された、EUのGDPR(一般データ保護規則)は、同22条1項において、「コンピュータによる自動処理(プロファイリング)のみによる法的決定・重要な決定を拒否する権利」を規定しています。

管理者(事業者)とデータ主体(本人)との契約に必要な場合等はその例外となるとされていますが(同22条2項)、生体データ・健康データ等のセンシティブ情報(特別カテゴリーの個人データ)はそのさらに例外で「本人の明示的同意」が必要(9条)とされています。しかも管理者は、本人から同意を取得する前提として、本人にどのようなデメリットがあるか等の情報提供義務(13条、14条)を負います。

またさらに、GDPRにおいては、本人の同意の任意性が重視されます。管理者とデータ主体との間に力関係の明らかな不均衡がある場合は、同意は有効な適法要件とすべきではないと規定されています(前文43条)。

そして、GDPRの解釈・運用指針の一つの、29条作業部会「同意に関するガイドライン(WP259 ver.01)」5頁以下は、「管理者が本人に対して強い立場にある場合は、同意を根拠に個人データを取扱うことはできない。雇用主に対して、個人データを取扱わないでほしいと本人が要請することは通常難しい。雇用主が職場の監視カメラ設置や、人事関連書類の提出について従業員に同意を求めれば、従業員はこれを拒否することに躊躇するはずである。そのため、雇用主は、基本的に同意を根拠として個人データの処理はできない。」と規定しています(小向太郎・石井夏生利『概説GDPR』60頁)。

したがって、日本では、さまざまな企業がわれ先にと、PCや監視カメラなどを利用した従業員のモニタリング・監視の商品・サービスの研究開発を行い、これらの商品・サービスの販売が行われていますが、このような日本の従業員の監視・モニタリングの商品・サービスは、EUのGDPRにおいては違法と判断される可能性が高いと思われます。

とくに日立は欧州に事業所を設置して業務を行っておりますが、自社の「ハピネス事業」についてEUのデータ保護当局から説明を求められた場合に、どのように説明しようとしているのか気になるところです。

なお、EUは4月21日に、AI規制法案を公表しました。これは、GDPR22条のAI版とも呼べるものであり、防犯カメラによる顔認証の原則禁止や、信用スコア、運輸・ガス・水道関連の社会インフラ、教育分野、採用・人事考課、ローンなどに絡む信用調査、移民・難民に関わる事務などへのAIの利用が規制の対象となります。

・EUのAI規制案、リスク4段階に分類 産業界は負担増警戒|日経新聞
・Europe fit for the Digital Age: Commission proposes new rules and actions for excellence and trust in Artificial Intelligence|European Union

5.西側自由主義諸国の個人データ保護法制の歴史(?)とまとめ
1960年代からのコンピュータの発展による人権侵害のおそれを受けて作成された、1974年の国連事務総長報告書「科学の発展と人権」以来、「コンピュータによる人間の選別を拒否する権利」プライバシー権・自己情報コントロール権などと並んで世界の個人情報保護法(個人データ保護法)の重要な法目的でした。この考え方は、1980年のOECD8原則や、1996年のILO「労働者の労働者の個人情報保護に関する行動準則」などに受け継がれ、EUにおいてはEUデータ保護指令15条から2018年のGDPR22条となり、さらに本年4月に公表されたAI規制法案に受け継がれています。

コンピュータ自動処理拒否権の歴史の図1
コンピュータ自動処理拒否権の歴史の図2

日本の個人情報保護法制においては、この「コンピュータによる人間の選別を拒否する権利」がなぜか法目的においてぼかされたまま立法や運用が行われてきました。しかし、国民の個人の尊重や基本的人権の確立を国の目的(憲法11条、97条)とする近代憲法の民主主義国家という国家体制を日本が今後も採ろうとするのであれば、日本は個人情報保護法制において、「コンピュータによる人間の選別を拒否する権利」やプライバシー権、自己情報コントロール権などを立法目的に明記し、それを守るための立法や運用を行うべきです。

このままでは、日本の個人データ保護法制はガラパゴス化の道を進み、西側自由主義諸国の個人データ保護法制からますます離れて、中国などのような国家主義・全体主義国家の個人データ保護法制にますます接近してしまうと思われます。

■関連するブログ記事
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・従業員をスマホでモニタリングし「幸福度」「ハピネス度」を判定する日立の新事業を労働法・個人情報保護法的に考えた
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・2021年の個人情報保護法の改正法案の学術研究機関の部分がいろいろとひどい件-デジタル関連法案
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

■参考文献
・菅野和夫『労働法 第12版』262頁、695頁
・岡村久道『個人情報保護法 第3版』225頁
・小向太郎・石井夏生利『概説DGPR』60頁、64頁、93頁
・山本龍彦「職場における電子メールの監視と不法行為責任」『新・判例ハンドブック情報法』98頁
・労務行政研究所『新・労働法実務相談 第2版』551頁
・田島正広『インターネット新時代の法律実務Q&A 第3版』110頁
・高木浩光「個人情報保護から個人データ保護へ―民間部門と公的部門の規定統合に向けた検討」『情報法制研究』2巻75頁















このエントリーをはてなブックマークに追加 mixiチェック

LINEスコア
1.個人情報保護法24条の「外国」に国名の明示は必要か?
LINEの個人情報漏洩事件では、LINEの個人情報が中国・韓国に移転していたことが大きな問題となっています。

■これまでのブログ記事
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・LINEの中国・韓国へのLINEペイに関する個人情報漏洩や個人データの外国への越境を考えた


個人情報保護法24条は、①「外国」が個人情報保護法が個人情報保護レベルが日本と同等で安全と認定(日本版十分性認定)した国であれば個人データの第三者提供可能であること、あるいは②外国の「事業者」が個人情報保護委員会の定める安全管理の基準をクリアしていれば第三者提供可能であること、しかし①②を満たしていない場合はそのような安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要であると規定しています。

この点、①については、個人情報保護委員会が安全とお墨付きをした国は、2019年現在、EUとイギリスのみです(平成31年個人情報保護委員会告示第1号)。つぎに、②についても、LINEがそのように主張していない以上、安全管理の体制を満たす事業者ではないようです。そのため、LINEの件では③の安全でない「外国の第三者」に個人データが第三者提供などされることの「本人の同意」が必要になります。

しかし、LINEは「LINEプライバシーポリシー」の「5.パーソナルデータの提供」において、「当社は、お客様から同意を得た場合(略)、お客様のお住まいの国や地域と同等のデータ保護法制を持たない第三国にパーソナルデータを移転する場合があります」と、国名を具体的に明示していません。

2.「外国」は国名を明示しなくてよいのか?
そこで、法24条の「外国」について、③の本人の同意を取得するにあたって、あらかじめプライバシーポリシーなどで国名を明示する必要がないのかが問題となります。

この点について、改正法案の立案担当者が執筆した、日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』は、「原則として国レベル」の表示が必要としています。

この点、個人情報保護委員会の個人情報ガイドラインQA9-2、9-3は、「事業の性質及び個人データの取扱状況に応じ、当該本人が当該同意に係る判断を行うために必要と考えられる適切かつ合理的な」な情報提供が必要であるとした上で、国名を明示しなくてもよい3つの具体例を例示しています。(薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁も同旨。)

法24条の国名を明示しなくてよい3つの具体例
①提供先の国又は地域名(例:米国、EU 加盟国)を個別に示す方法

②実質的に本人からみて提供先の国名等を特定できる方法(例:本人がサービスを受ける際に実質的に本人自身が個人データの提供先が所在する国等を決めている場合)

③国名等を特定する代わりに外国にある第三者に提供する場面を具体的に特定する方法など(例えば、本人が日本の旅行会社に外国旅行を申し込んだ場合に、当該旅行会社が当該国の宿泊先に当該本人の情報を提供する場合)

LINEのプライバシーポリシーについては、具体例の②③が問題となります。具体例②についてみると、日本のLINEユーザーは、自分がLINEのサービスを受ける際に、自分自身の個人データの提供先を中国・韓国に決めていることはまずないと思われますので、具体例②は該当しません。つぎに、具体例③についても、日本の大半のLINEユーザーは、中国・韓国に旅行をするためにLINEを利用する等の事情はないと思われ、やはり具体例③も該当しません。

したがって、国名を明示しなくてもよい具体例のいずれにもあてはまらないので、やはり外国の国名を明示していないLINEのプライバシーポリシーは、個人情報保護法24条に違反しているのではないでしょうか。

一般人の理解に照らして「「外国の事業者」に自分の個人データが移転することがある」とのプライバシーポリシーを読んで、自分のセンシティブ情報の医療データや、マイナンバー等の重要な個人データが、韓国や中国に移転するとは合理的に判断できないのですから、やはりLINEの外国の国名を明示していないプライバシーポリシーは個人情報保護法24条違反であるとともに、消費者にとって騙し討ち的であり、消費者契約法10条や民法548条の2第2項(定型約款)に抵触しているのではないでしょうか。

3.民事上のリスク・風評リスクなど
また、LINEは法的トラブルとなったとき(現に今なっていますが)、法24条の条文が「国名を明示しろ」とは書いていないからと、かりに対行政庁のリスクはぎりぎりしのげたとしても、顧客との民事上のリスク(損害賠償請求のリスク)や風評リスク・レピュテーションリスクなどは回避できるのでしょうか?

プライバシーポリシーに明示もせずに、顧客の重要なデータを含む個人データを、日本の友好国とはいえない中国・韓国の事業者に勝手に移転していたということで、LINE・ヤフージャパン・Zホールディングスの日本の顧客や投資家、取引先、従業員などからの信頼は大きく低下するのではないでしょうか。そしてそれは、LINEをプラットフォームとしてビジネスや業務を展開していた、損保ジャパン、ライフネット生命、エン・ジャパン、総務省、厚労省、神奈川県、大阪府などの自治体なども同様と思われます。

4.個人情報のごった煮状態
それにLINEの問題は法24条だけでなく、LINE上でさまざまなサービスを展開することで結果として法15条、16条個人情報の利用目的を必要最小限に特定せず、幅広な個人情報を収集・利用していることや、法20条、22条の委託先の監督など安全管理措置がボロボロだったことにあるのではないでしょうか。

LINEは個人情報保護法がザル法であることをいいことに、多様な利用目的で多種多様な個人情報を収集し、「情報のごった煮状態」で個人情報の管理・分析・利用を行い、LINEスコアなどの、多種多様な個人データで個人の信用スコアを算定するというビジネスさえも実施しています。

(多種多様な業種・業界の企業と業務提携して個人データを収集し、「情報のごった煮状態」でデータマーケティングを運営しているTポイントのCCC(カルチュア・コンビニエンス・クラブ)に対しても、そのビジネスモデルに対して社会的批判が寄せられています。)

本人が把握しきれないような個人に関する多種多様な膨大な情報を事業者が保有している状況で、LINEスコアのような信用スコア事業を実施するのは、「コンピュータによる個人データの自動処理のみで法的決定や重大な決定を行ってはならない」という1980年代以降の世界の個人データ保護法制の立法目的や流れに反してるのではないでしょうか。(例えば、2019年のAIと労働者に関する厚労省労政審報告書、1996年ILO「労働者の個人情報保護に関する行動基準 一般原則5-6」、労働省「労働者の個人情報保護の基本方針」6(6)やGDPR22条など。)

コンピュータ自動処理拒否権の歴史の図1
コンピュータ自動処理拒否権の歴史の図2


また、LINEはこの個人情報のごった煮状態で、LINEキャリアなどの人材ビジネスをも実施しています。これも、就活生が想像もできない方法でネット閲覧履歴などを収集・分析し、就活生の内心に関するデータを採用企業に販売するなど、就活生を裏切るビジネスモデルが大きな社会的非難を招いたリクナビ事件などのような法的リスクを含んでいるのではないでしょうか。(なお、この問題は、ネット系人材会社LAPRASなどにおいても同様と思われます。)

2020年改正の個人情報保護法は16条の2に、リクナビ事件などのような個人情報の不適正な利用を禁止する条文を新設しました。同改正法は2022年4月から施行ですが、LINEの各ビジネスは、法16条の2をクリアできるのかが問題となると思われます。

■関連するブログ記事
・人事労務分野のAIと従業員に関する厚労省の労働政策審議会の報告書を読んでみた
・ヤフーのYahoo!スコアは個人情報保護法的に大丈夫なのか?
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・CCCがT会員規約やプライバシーポリシーを改定-他社データと組み合わせた個人情報の利用・「混ぜるな危険の問題」
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える

■参考文献
・岡村久道『個人情報保護法 第3版』267頁
・日置巴美・板倉陽一郎『平成27年改正個人情報保護法のしくみ』140頁、143頁
・薗部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』191頁
・曽我部真裕・林秀弥・栗田昌裕『情報法概説 第2版』53頁



個人情報保護法のしくみ [ 日置 巴美 ]

個人情報保護法〔第3版〕 [ 岡村 久道 ]

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じている [ 鈴木正朝 ]

このエントリーをはてなブックマークに追加 mixiチェック

いらすとや個人情報
1.改正個人情報保護法
『週刊東洋経済』2021年3月6日号64頁に、2020年に改正のあった個人情報保護法についての解説記事(「22年施行 情報の「利用」を重視する 個人情報保護の規制強化」)が掲載されていたので読んでみたところ、いくつか気になる点がありました。

本記事は、新卒の就活生の採用において、リクルートキャリア社が分析し販売した就活生の「内定辞退予測データ」をトヨタなどの採用企業が購入して利用していたことが2019年に発覚し、大きな社会問題となったいわゆる「リクナビ事件」やDMP(Data Management Platform)業務を中心的な題材として改正個人情報保護法の解説を行っています。

2.個人関連情報
本記事は、DMPベンダー企業(C社)のサーバーに、A社、B社などさまざまな企業のサイトを閲覧したユーザー・顧客の閲覧履歴が顧客のcookieなどの顧客IDごとに蓄積されてゆき、DMPベンダー企業C社がこの蓄積された閲覧履歴のデータを分析してゆくと、それぞれの顧客がその顧客IDごとに、例えば「40代であり、男性で、自動車に興味がある」などと推測・プロファイリングすることができるとしています(分析結果データ)。

週刊東洋経済閲覧履歴
(「週刊東洋経済」2021年3月6日号65頁より)

そして、C社からこれらの分析結果データを購入したB社は、B社のサーバーに蓄積されたCookieなどの顧客IDや自社の顧客DBなとと情報を突合・名寄せを行い、顧客の実名等を割り出し、マーケティング活動などを行うとしています。

その上で、本記事は、(顧客IDが)「1234のユーザーが40代男性で自動車に興味があるという情報は、まさに個人関連情報だ」としています。

ところで、今回の法改正で新設された、個人関連情報とは、「生存する個人に関する情報であって個人情報、匿名加工情報および仮名加工情報のいずれにも該当しないもの」と定義されています(改正個人情報保護法26条の2第1項かっこ書き)。解説書は、個人関連情報について、「氏名等と結びついていないインターネットの閲覧履歴、位置情報、Cookieなど」が個人関連情報の具体例であるとしています(佐脇紀代志『一問一答令和2年改正個人情報保護法』62頁)。

この点、本記事の説明における、DMPベンダー企業のC社のサーバーに収集された、ユーザーのCookieなどの顧客IDやサイト閲覧履歴などのデータは、まさに個人関連情報ですが、それらの情報・データをC社が分析した結果である、「1234のユーザーが40代男性で自動車に興味があるという情報・データ」は、個人関連情報ではなく、個人情報(個人情報保護法2条1項1号)なのではないでしょうか。

つまり、個人情報とは、「生存する個人に関する情報」であって、「特定の個人を識別することができるもの」です(法2条1項1号)。ここでいう「特定の個人を識別することができる」とは、「生存する具体的な人物と情報との間に同一性を認めることができること」(個人情報保護委員会・個人情報ガイドラインQ&A1-1)であり、特定の個人の「実名」等を識別できることまでは要件とされていません。すなわち、例えば防犯カメラの映像データにおいて、映っている人物の顔や身体的特徴などの「識別のための情報」によって、特定の個人がいわば「この人」であると識別できる場合には、当該個人の実名等が不明であっても、その情報は個人情報となります(岡本久道『個人情報保護法 第3版』72頁)。また、事実そのものを示す情報(事実情報)だけでなく、人事考課のような判断・評価を表す情報(評価情報)も個人情報に該当します(岡本・前掲69頁)。

そのため、DMPベンダー企業C社において、Cookieなどの顧客IDによって特定の個人を「この人」と識別できるうえに、閲覧履歴などを評価・分析した評価情報である「顧客ID1234のユーザーが40代男性で自動車に興味があるという情報・データ」はやはり個人情報であると考えられます。したがって、これらの分析結果の情報を個人関連情報としている本記事は不正確ではないかと思われます。

なお、本記事65頁は、Cookieについて「ブラウザに保存されるテキスト形式の情報のことであり、顧客IDなどを保存するのに使われる」と解説していますが、Cookieが保存されるのは正確にはブラウザではなくパソコンやスマホのストレージ(記憶装置)であると思われます。

(DMPの事業については、従来、Cookieなどは個人ではなくブラウザに付番された情報であるので個人情報ではないという説明がなされてきたようです。しかし、共用のパソコンなどであればともかく、個人のスマートフォンなどは「一人一端末」であることがほとんでであると思われ、その場合、Cookie等の情報は限りなく個人情報そのものと考えられます。)

3.仮名加工情報
本記事66頁は、仮名加工情報とは、「個人情報から、①氏名等、②個人識別符号(生体認証情報やマイナンバー等)、③クレジットカード番号や銀行口座番号など、を削除した情報である」と解説しています。

この点、仮名加工情報について、改正法2条9項は
改正個人情報保護法
2条9項
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(後略)
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(後略)

と規定しています。つまり、個人情報については個人情報の記述の一部を削除し、個人識別符号に該当する個人情報については個人識別符号の全部を削除したもので他の情報と照合しない限り特定の個人を識別できないよう加工されたものが仮名加工情報です。「クレジットカード番号や銀行口座番号など」は、個人情報(個人識別符号)の一部として明確化がなされるように前回(平成27年)の個人情報保護法改正の際に盛り込まれようとしたものの、経済界の一部の強い反対によりお蔵入りとなったものです。そのため、「個人情報から、③クレジットカード番号や銀行口座番号などを削除した情報」としている本記事は、③の部分については正確でないように思われます。(この点は今後制定される、個人情報保護委員会の施行令・施行規則で明らかになると思われます。)

また、本記事66頁は、「仮名加工情報に加工しておけば、(略)本人からの開示や利用停止等の請求の対象にならない」ことが「企業にとって前向きな改正」と解説しています。

この点、本記事の筆者である影島広泰弁護士は、「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号38頁においても、「仮名加工情報については、15条2項(利用目的の変更)、22条の2(漏えい等の報告)、27条から34条まで(開示・利用停止等の保有個人データに関する本人の権利)の規定は適用されないとされている(改正法35条の2第9項)。したがって、本稿で述べてきた開示請求や利用停止等の請求への対応が難しいデータについては、仮名加工情報に加工して保有・利用するというのが、有力な解決策の1つとなると考えられる。」と解説しておられます。

しかし、仮名加工情報は、例えば製薬会社などの製薬の研究開発のため、企業内部におけるデータ利用などを想定し、企業などの個人情報取扱事業者としての義務を緩和するものです。そのため、仮名加工情報を利用する際に当該企業が他の情報と照合するなどして本人を識別するは禁止されますし(識別行為禁止義務)、第三者提供も禁止されています(改正法35条の2第7項)。また、仮名加工情報のなかの連絡先などの情報を利用することも禁止されています(改正法35条の2第8項)。

もし影島氏が、企業からみて好ましくない顧客のリスト表などの個人情報・個人データを匿名加工情報にすべきだと考えておられるのであれば、しかしそのような個人情報は匿名加工情報に加工しても、個人を特定する用途には利用できませんし、第三者提供もできませんし、さらに連絡先を利用することも禁止されているので、結局、このような各種の用途には利用できず無意味なデータとなってしまうのではないでしょうか。

あるいは、「顧客から隠すために保有個人データを匿名加工情報に加工する」という行為は、今回新設された不適正利用の禁止規定(改正法16条の2)に抵触するのではないでしょうか。

4.閲覧履歴などを採用選考に利用できるのか?
さらに、本記事は、就活生からの本人の同意さえ取れば、リクナビ事件のようなネット閲覧履歴等も企業が採用選考に利用できることを前提として書かれているようです。

しかし、就活生本人から同意を取得すれば、たしかに個人情報保護法はクリアできるかもしれませんが、「採用選考に思想信条や内心等に関連する情報の取得はしてはならない」「社会的差別のもととなる情報を取得してはならない」「本人の仕事をする能力についてのみ採用選考をすること」等としている職業安定法などの労働法に抵触し、やはりネット閲覧履歴等を採用選考に企業などが利用することは許されないのではないでしょうか(職安法5条の4、同法3条、厚労省指針通達労働省平成11年第141号第4、厚労省「公正な採用選考の基本」、浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁)。

・厚労省指針通達(平成11年労働省告示第141号)|厚労省
・公正な採用選考の基本|厚労省

厚労省指針通達平成11年労働省第141号

第4 法第5条の4に関する事項(求職者等の個人情報の取扱い)
1 個人情報の収集、保管及び使用
(1) 職業紹介事業者等は、その業務の目的の範囲内で求職者等の個人情報(以下単に「個人情報」という。)を収集することとし、次に掲げる個人情報を収集してはならないこと。ただし、特別な職業上の必要性が存在することその他業務の目的の達成に必要不可欠であって、収集目的を示して本人から収集する場合はこの限りでないこと。
 人種、民族、社会的身分、門地、本籍、出生地その他社会的差別の原因となるおそれのある事項
 思想及び信条
 労働組合への加入状況
(2) 職業紹介事業者等は、個人情報を収集する際には、本人から直接収集し、又は本人の同意の下で本人以外の者から収集する等適法かつ公正な手段によらなければならないこと。
(以下略)

つまり、DMP事業者は数千、数万のサイトから情報を収集し、分析したデータをターゲティング広告などに利用しています。そして収集されたネットの閲覧履歴などは、就活生の就職活動に関するデータだけでなく、就活生の趣味嗜好や思想信条、政治的傾向、愛読書や好きなアーティスト等などの情報や、あるいは本人の人種、性別、出身地などのさまざまな情報が含まれます。

しかし、企業等が採用選考にあたり、「思想信条、趣味嗜好、政治的傾向、労働組合歴、愛読書、尊敬する人物」などの情報や、「人種、性別、肌の色、出身地、親の職業・資産状況」などの情報で選考してはならないと職業安定法などが規定しているのは、日本が「個人の尊重」(憲法13条)や内心の自由(19条)や平等原則(14条)などの基本的人権の確立(11条、97条)を掲げる自由主義、民主主義の国家だからです。企業などは、個別の国民から本人同意を取得することはできても、国会による改正などを経ない限り、職業安定法や憲法あるいはわが国の国家のあり方を変えることはできないからです。

そのため、採用側の企業が就活生などから本人の同意を取得することで、かりに個人情報保護法をクリアすることができたとしても、閲覧履歴などの個人の内心に関する情報や社会的差別の原因となるおそれのある情報を、企業が採用選考のために収集し利用することはやはり許されないことになります。

(そのことは、ネット上の情報を収集して業務を行っている、LAPRASなどのネット系人材紹介会社にも同様にあてはまると思われます。)

■参考文献
・佐脇紀代志『一問一答令和2年改正個人情報保護法』62頁
・岡村久道『個人情報保護法 第3版』72頁、69頁
・浜辺陽一郎『労働法実務相談シリーズ10 個人情報・営業秘密・公益通報』98頁、100頁
・高木浩光「個人データ保護とは何だったのか」『世界』2019年11月号55頁
・影島広泰「情報の「利用」を重視する 個人情報保護の規制強化」『週刊東洋経済』2021年3月6日号64頁
・影島広泰「本人による開示請求、利用停止・消去請求への対応」『ビジネス法務』2020年8月号34頁
・厚労省指針通達(平成11年労働省告示第141号)|厚労省
・公正な採用選考の基本|厚労省

■関連するブログ記事
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・AI人材紹介会社LAPRAS(ラプラス)の個人情報の収集等について法的に考える




週刊東洋経済 2021年3/6号 [雑誌]

一問一答 令和2年改正個人情報保護法 (一問一答シリーズ)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

個人情報保護法〔第3版〕

このエントリーをはてなブックマークに追加 mixiチェック

ai_pet_family
1.AIと従業員に関する厚労省の2019年の報告書
人事労務分野の労働者とAIとのあり方に関する報告書を、2019年9月11日に厚労省の労働政策審議会が公表していました(「労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~」)。

・労働政策審議会労働政策基本部会報告書~働く人がAI等の新技術を主体的に活かし、豊かな将来を実現するために~|厚労省

人事労務分野におけるコンピュータやAIなどによる従業員のモニタリングなどについては以前から関心があったので、その観点からこの報告書を読んでみました。

2.AIなどによる従業員のモニタリングについて
すると、本報告書10頁に、つぎのような報告がまとめられていました。

(2)AI による判断に関する企業の責任・倫理
 AI の情報リソースとなるデータやアルゴリズムにはバイアスが含まれている可能性があるため、AI による判断に関して企業が果たすべき責任、倫理の在り方が課題となる。例えば、HRTech では、リソースとなるデータの偏りによって、労働者等が不当に不利益を受ける可能性が指摘されている。

 このため、AI の活用について、企業が倫理面で適切に対応できるような環境整備を行うことが求められる。特に働く人との関連では、人事労務分野等において AI をどのように活用すべきかを労使始め関係者間で協議すること、HRTech を活用した結果にバイアスや倫理的な問題点が含まれているかを判断できる能力を高めること、AI によって行われた業務の処理過程や判断理由等が倫理的に妥当であり、説明可能かどうか等を検証すること等が必要である。

 他方、AI 等を活用することにより、人間による業務判断の中にバイアスが含まれていないかを解析することもできるため、技術革新が人間のバイアスの解消に資する可能性もあるという指摘もあり、今後、こうした面からも AI 等の活用が期待される。(「労働政策審議会労働政策基本部会報告書」10頁より)』

つまり、本報告書10頁の(2)の第二段落は、人事労務分野におけるAIの活用について、

①AI をどのように活用すべきかを労使始め関係者間で協議すること
②HRTech を活用した結果にバイアスや倫理的な問題点が含まれているかを判断できる能力を高めること
③AI によって行われた業務の処理過程や判断理由等が倫理的に妥当であり、説明可能かどうか等を検証すること

の3点を提言しています。
もちろん、この3点は簡潔に的を射ており、とても重要であると思うのですが、しかし厚労省の諮問委員会の報告書が「倫理」を強調している点はやや気になります。

3.旧労働省の行動指針とGDPR22条
旧・労働省の2000年に公表された「労働者に関する個人情報の保護に関する行動指針」6(6)は、「使用者は、原則として、個人情報のコンピュータ等による自動処理又はビデオ等によるモニタリングの結果のみに基づいて労働者に対する評価又は雇用上の決定を行ってはならない。」とする規定を置いています。

・労働者の個人情報保護に関する行動指針|厚労省

また、2016年にEUが制定したGDPR(EU一般データ保護規則)22条1項も、「データ主体は、当該データ主体に関する法的効果を発生させる、又は、当該データ主体に対して同様の重大な影響を及ぼすプロファイリングを含むもっぱら自動化された取扱いに基づいた決定の対象とされない権利を有する。」と規定しています。

GDPR22条
(個人情報保護委員会サイトより)

旧労働省の行動指針やGDPR22条が示すのは、コンピュータ等による個人データの自動処理のみによる結果に基づいて労働者等が人事労務上の差別を受けない権利という平等権(憲法14条1項)だけでなく、コンピュータ等の自動処理のみによって人事労務上の決定を受けない権利という一種の人格権(憲法13条)の2点であると思われます。

人格権的観点からみると、この「コンピュータ等の自動処理のみによって人事労務上の決定を受けない権利(自動処理のみに基づき重要な決定を下されない権利)」の趣旨は、「AIの統計的・確率的な判断からの自由を保障し、個人一人ひとりの評価に原則として人間の関与を求めるなど、時間とコストをかけることを要請して、ネットワーク社会における「個人の尊重」(憲法13条)を実現しようとするものです。また、この権利は、コンピュータ・AIが確率的・統計的に導き出した個人のイメージに異議を唱え、自らが主体的に情報を「出し引き」(コントロール)することにより、そのイメージを改定することを認めている点で、「自己情報コントロール権」(憲法13条)に近いともいえます。さらに、適正な手続き保障(憲法31条)の観点からも重要な権利といえます。(山本龍彦『AIと憲法』101頁~105頁)

それに対して2019年の厚労省の労働政策審議会の報告書は、人事労務分野におけるAIによる従業員のモニタリングの問題を主に「倫理」の面から捉え「法律」の面から捉えていない点が問題であり、また、AIによる労働者のモニタリングの問題を「コンピュータによる差別」「バイアス」と平等権の問題のみから捉えている点も問題ではないかと思われます。

4.労働法-西日本鉄道事件(最高裁昭和43年8月2日判決)
この点、労働法分野においては、使用者の指揮監督権と従業員のプライバシー権が衝突する場面については、古くから使用者による従業員の所持品検査などが裁判で争われていました。

そのリーディングケースである、西日本鉄道事件(最高裁昭和43年8月2日判決)は、「使用者が従業員に対して行う所持品検査は、これは被検査者の基本的人権に関する問題であって、その性質上、常に人権侵害のおそれを伴うものであるから、たとえそれが企業の経営・維持にとって必要かつ効果的な措置(略)であったとしても、そのことをもって当然に適法視されるものではない」とした上で、所持品検査が適法となるための要件として、「①検査を必要とする合理的な理由のあること、②一般的に妥当な方法と程度であること、③職場従業員に画一的に実施されていること、④就業規則その他の規定に明示の根拠があること」の4要件をあげています。

一般論としては、人事労務分野のAIやコンピュータによる従業員のモニタリングは、この要件のなかで、とくに「②一般的に妥当な方法と程度であること」、「③職場従業員に画一的に実施されていること」が今後、より争点となるように思われます。

5.まとめ
厚労省の労働政策審議会は、人事労務分野・HRtechにおけるAIやコンピュータ等による従業員のモニタリングについてせっかく報告書を取りまとめるのであれば、倫理的問題だけでなく、労働法・個人情報保護法・憲法などに目配りをした上で、法的な問題や、それをクリアするための基準を可能な範囲で示すべきだったように思われます。

また、今後の社会・経済はますますグローバル化が進行するように思われ、日本の人事労務分野もますますグローバルな視線が必要になると思われます。日本の人事労務やHRtechが「官民による個人情報の利活用」ばかりを重視しガラパゴス化して、欧米と断絶してしまう事態は避けるべきだと思われます。

■関連するブログ記事
・従業員をスマホでモニタリングし「幸福度」「ハピネス度」を判定する日立の新事業を労働法・個人情報保護法的に考えた
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える

■参考文献
・菅野和夫『労働法 第12版』262頁
・高野一彦「従業員の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』163頁(堀部政男)
・高木浩光「個人情報保護から個人データ保護へ ―民間部門と公的部門の規定統合に向けた検討(2)」『情報法制研究』2号91頁
・山本龍彦『AIと憲法』101頁
・小向太郎・石井夏生利『概説GDPR』93頁
・労務行政研究所『新・労働法実務相談 第2版』549頁




AIと憲法

概説GDPR

労働法 (法律学講座双書)

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ